Die Verarbeitung personenbezogener Daten erfolgt nicht immer im eigenen Unternehmen. Es gibt mehrere Bereiche, in denen es nicht ungewöhnlich ist, Outsourcing zu betreiben. Ein gutes Beispiel ist die Lohnbuchhaltung. Viele Betriebe ziehen es vor, diese Aufgabe an einen Spezialisten zu übertragen, um dadurch Rechtssicherheit zu erlangen und gleichzeitig Kosten einzusparen.

Weil hierbei personenbezogene Daten übertragen werden, wird im Zusammenhang mit dem Thema Datenschutzberatung von einer Auftragsdatenverarbeitung gesprochen. Sie wird in der Gesetzgebung akribisch geregelt und gilt als komplex. Es existieren mehrere Stolpersteine, die schon so manches Unternehmen teuer zu stehen gekommen sind.

Was ist Auftragsdatenverarbeitung?

Nach dem Gesetz liegt eine Auftragsdatenverarbeitung vor, wenn eine weisungsgebundene Datenverarbeitung durch Externe erfolgt, die Verantwortung für die ordnungsgemäße Datenverarbeitung jedoch weiterhin beim Auftraggeber verbleibt.

Die Verarbeitung von personenbezogenen Daten im Auftrag ist im geschäftlichen Alltag sehr viel stärker verbreitet, als im Allgemeinen angenommen wird. Zur besseren Veranschaulichung haben wir verschiedene Beispiele rund um die Auftragsdatenverarbeitung zusammengetragen.

  • Lohnbuchhaltung: Das Unternehmen leitet personenbezogene Daten zu einzelnen Mitarbeitern gezielt weiter. Hierunter befinden sich sogar sensible Daten, weil unter anderem die Höhe des Einkommens oder die Anzahl der Kinder mitgeteilt wird.
  • Kundenservice: Besonders im Kundenservice ist Outsourcing stark verbreitet, viele Unternehmen betreuen ihre Kunden nicht mehr selbst. Wenn beispielsweise Reparaturen innerhalb der Garantiezeit anstehen, werden externe Service-Partner eingeschaltet, die zugleich personenbezogene Daten übermittelt bekommen.
  • Personalbeschaffung: Im produzierenden Gewerbe ist es nicht ungewöhnlich, dass sich Unternehmen gezielt Fachkräfte bei Arbeitsvermittlern oder Zeitarbeitsfirmen leihen. Auch hier werden sensible Daten regelmäßig im Auftrag übermittelt.

Eine der großen Kernfragen bei der Herstellung von Datensicherheit im Unternehmen dreht sich darum, ob und mit welchen Partnern eine Auftragsdatenverarbeitung erfolgt. Die Praxis zeigt, dass die Situation in vielen Unternehmen falsch eingeschätzt wird. Oft wird vermutet, dass entsprechende Vertragsverhältnis gar nicht existieren. Doch nach einer gründlichen Prüfung, beispielsweise durch einen externen Datenschutzbeauftragten, werden meist gleich mehrere solcher Verhältnisse aufgedeckt.

Im Übrigen gibt es auch Grenzfälle, in denen nicht unbedingt auf den ersten Blick zu erkennen ist, ob eine Auftragsdatenverarbeitung stattfindet. Dies trifft ganz besonders für das Konzernumfeld zu, wenn beispielsweise Tochterunternehmen gezielt Daten untereinander austauschen. In solchen Fällen bedarf es einer genauen Prüfung, um letztlich genau sagen zu können, ob eine Auftragsdatenverarbeitung vorliegt.

Welche Pflichten bestehen bei der Auftragsdatenverarbeitung?

Sowohl für das Unternehmen als auch den externen Dienstleister ist es erforderlich, sich vertraglich abzusichern. Leider kommt es in der Praxis noch immer vor, dass eine Zusammenarbeit und somit auch der Austausch personenbezogener Daten erfolgt, obwohl kein Vertragsverhältnis besteht. Solch eine Vorgehensweise bedeutet einen erheblichen Verstoß gegen die in Europa gültigen Datenschutzbestimmungen.

Es war im Jahr 2009, als der Gesetzgeber den rechtlichen Rahmen erheblich verschärft und die maximale Höhe für Bußgelder heraufgesetzt hat. Seither können Fehler, die mit der auftragsmäßigen Verarbeitung personenbezogener Daten in Verbindung stehen, mit einer Geldstrafe in Höhe von bis zu 50.000 Euro geahndet werden.

Die Praxis zeigt, dass die Aufsichtsbehörden der einzelnen Länder mittlerweile zahlreiche Kontrollen durchführen und dabei immer wieder Unternehmen aufspüren, die ihren Pflichten nicht vollständig nachkommen. Dementsprechend häufen sich die verhängten Bußgelder, was im Grunde nicht sein müsste.

Bei der Schließung eines Vertrags über die Auftragsdatenverarbeitung ist es erforderlich, sämtliche Details zu berücksichtigen, die in § 11 BDSG festgehalten sind. Zusammengefasst handelt es sich dabei um die folgenden Punkte:

  • Gegenstand und Dauer des Auftrags.
  • Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten. Art der Daten und Kreis der Betroffenen.
  • Nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen.
  • Berichtigung, Löschung und Sperrung von Daten.
  • Nach Absatz 4 bestehende Pflichten des Auftragnehmers, insbesondere von ihm durchzuführende Kontrollen.
  • Etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen.
  • Kontrollrechte des Auftraggebers und entsprechende Duldungs- und Mitwirkungspflichten des Auftragnehmers.
  • Mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen.
  • Ausmaß der Weisungsbefugnisse, welche sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält.
  • Rückgabe von Datenträgern sowie Löschung gespeicherter Daten nach Auftragsbeendigung.

Hinweis: Im Internet werden diverse Musterverträge zur Auftragsdatenverarbeitung bereitgestellt, teilweise sogar von renommierten Stellen, wie beispielsweise den Landsbeauftragen für Datenschutz der einzelnen Länder. Allerdings wird keine Haftungsübernahme angeboten, weshalb Unternehmen diese Verträge niemals blind, d.h. ohne vorherige Prüfung übernehmen sollten.

Was kann ein externer Datenschutzbeauftragter tun?

Zur Herstellung einer angemessenen Datensicherheit im Unternehmen prüft der Datenschutzbeauftragte, ob Vertragsverhältnisse über die Auftragsdatenverarbeitung bestehen und ob sie den Anforderungen des Datenschutzes gerecht werden. Andernfalls wird er nachbessern, indem Verträge angepasst oder neu geschlossen werden. Anschließend überwacht er alle relevanten Geschäftsprozesse, damit auf Änderungen umgehend reagiert werden kann.

Sie wissen nicht, ob Ihr Unternehmen den Anforderungen und Pflichten an die Auftragsdatenverarbeitung gerecht wird? Dann nehmen Sie jetzt Kontakt auf, wir helfen gerne weiter.