Der Auftragsdatenverarbeitung mehr Aufmerksamkeit schenken

30.09.2014

Aufgaben zu delegieren, weil sie im eigenen Unternehmen nicht oder nur mit einem unverhältnismäßig großen Aufwand erledigt werden können, ist längst an der Tagesordnung. Darunter fällt auch die Auftragsdatenverarbeitung, also die Verarbeitung personenbezogener Daten durch einen externen Dienstleister. Hierfür hat der Gesetzgeber klare Regeln aufgestellt und im Bundesdatenschutzgesetz verankert. Trotz dieser Richtlinien gehen viele Unternehmen eher fahrlässig mit dem Thema um, und riskieren damit schlimmstenfalls hohe Bußgelder und den Verlust des Kundenvertrauens.

Bei der Auftragsdatenverarbeitung sind zwei Aspekte entscheidend. Vordergründig, dass ein Dritter mit der Datenverarbeitung betraut wird. Das kann ein Callcenter sein, ein IT-Dienstleister, eine Marketingagentur oder auch ein Dienstleister aus dem Sicherheitsgewerbe. Maßgeblich für die Einstufung als Auftragsdatenverarbeitung ist dabei der Zugriff auf personenbezogene Daten. Zum anderen, und das übersehen die meisten Firmen, bleibt die Verantwortung für den ordnungsgemäßen Umgang mit den Daten beim Auftraggeber. Heißt: Schludert das Callcenter, nimmt der Gesetzgeber das Unternehmen in die Pflicht, von dem die Daten stammen.

In der Theorie klingt das alles sehr einfach. In der Praxis hapert es mitunter allerdings schon an Kleinigkeiten. Etwa die Unwissenheit darüber, inwieweit die externen Firmen Zugriff auf personenbezogene Daten haben. Teils ist auch nicht klar, welche Dienstleister im Einsatz sind und ob Verträge mit ihnen geschlossen wurden. Selbst wenn es Verträge gibt, handelt es sich in der Regel um Musterverträge, die unverändert übernommen wurden. Oder anders ausgedrückt: Die Verträge spiegeln nicht den konkreten Einzelfall wider. Ähnlich stiefmütterlich – wenn überhaupt – erfolgen die vom Gesetzgeber geforderten Kontrollen und Dokumentationen.

Wer nicht auf die Nase fallen möchte, setzt mit den externen Dienstleistern individuelle Verträge auf, die sich explizit auf die jeweilige Zusammenarbeit beziehen. Dazu reicht es meist schon, den Mustervertrag entsprechend anzupassen. Darüber hinaus muss geklärt werden, wie der Pflicht zur Kontrolle und Dokumentation nachgekommen wird. Hält man sich nicht an die Spielregeln, sind Bußgelder von bis zu 50.000 Euro möglich. Von daher macht es durchaus Sinn, der Auftragsdatenverarbeitung etwas mehr Aufmerksamkeit zu schenken und das Thema in Ruhe mit einem Datenschutzbeauftragten zu besprechen.