> Auftragsdatenverarbeitung (ADV)

Auftragsdatenverarbeitung (ADV)

Donnerstag, 02. Juli 2015

ADV § 11 BDSG Lexikon DatenschutzDer Begriff "Auftragsdatenverarbeitung" wird Ihnen im Datenschutz häufig "über den Weg laufen". Vereinfacht wird unter einer Auftragsdatenverarbeitung eine Dienstleistung verstanden, bei der personenbezogene Daten im Auftrag und nach Weisung der sogenannten "Verantwortlichen Stelle" durch einen Dienstleister erhoben, verarbeitet und / oder genutzt werden.

Klassische Beispiele für Fälle der Auftragsdatenverarbeitung können sein:

  • der Einsatz eines externen Callcenters
  • die Beauftragung eines Dienstleisters, der Servicearbeiten an den IT-Systemen der verantwortlichen Stelle (also Ihres Unternehmens, Ihrer Behörde oder Ihres Vereins) vornimmt
  • nicht aber der Einsatz eines Steuerberaters (zu Zwecken der Steuerberatung!) oder die Beauftragung eines Rechtsanwaltes (zur Vertretung z. B. vor Gericht). Hier wird von einer sogenannten Funktionsübertragung ausgegangen.

---

Das Gesetz sieht im § 11 des Bundesdatenschutzgesetzes (BDSG) u. a. das Folgende vor:   

"(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:

1. der Gegenstand und die Dauer des Auftrags,
2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
4. die Berichtigung, Löschung und Sperrung von Daten,
5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.

(3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen."

---

Zehn-Punkte-Katalog zur Auftragsdatenverarbeitung

Zu beachten ist dabei, dass der sich daraus ergebende und sogenannte "10-Punkte-Katalog zur Auftragsdatenverarbeitung" eingehalten werden sollte. Es besteht auch die Möglichkeit weitere Subunternehmer im Sinne einer Kette von Auftragsdatenverarbeitern einzusetzen. Hierfür sollten unbedingt auf die eingesetzten Subunternehmer die gleichen Rechte und insbesondere auch Pflichten (z. B. Kontrollrechte, die ordnungsgemäße Bestellung eines Datenschutzbeauftragten usw.) übertragen werden wie auf den regulären Auftragnehmer.

Nutzen Sie hierfür zwingend einen Vertrag zur Auftragsdatenverarbeitung, der als Ergänzung zur regulären Leistungsbeschreibung und den Vertragskonditionen (Preis, Laufzeit des Vertrages, Lieferzeit etc.) dient.

Der eingesetzte Dienstleister sollte vor und auch während des Einsatzes u. a. auf die Einhaltung der sogenannten technischen und organisatorischen Maßnahmen (TOM) überprüft werden.

Sie haben eine Frage hierzu? Sprechen Sie doch mit Ihrem (betrieblichen) Datenschutzbeauftragten. Sie haben noch keinen? Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Weitere Informationen zum Datenschutz?

Hier geht es zum Datenschutz-Lexikon von A-Z mit weiteren Datenschutz-Begriffen.

Unser Dienstleistungsangebot