BTK Rechtsanwälte

Auftragsdatenverarbeitung

Wir beraten Sie in allen Fragen des Datenschutzrechts, insbesondere bei Fragen zur Auftragsdatenverarbeitung und gestalten für Sie ADV-Vereinbarungen und Verträge.

(0681) 93 88 26 01 Anfrage schicken

Die Anforderungen des Gesetzgebers an die Auftragsdatenverarbeitung stellen Unternehmen vor Herausforderungen

Die Auftragsdatenverarbeitung ist in einer immer stärker digitalisierten Welt längst zu einem wichtigen Faktor für Unternehmen geworden. Doch was genau versteht man unter dem Begriff und welche Verpflichtungen und Anforderungen ergeben sich im Falle einer Auftragsdatenverarbeitung? Diese und weitere Fragen beantworten wir Ihnen folgend und verhelfen Ihnen so zu einem schnellen und umfassenden Überblick.

Was versteht man unter Auftragsdatenverarbeitung?

Unter dem Begriff der Auftragsdatenverarbeitung versteht man das Nutzen, das Erheben oder die Verarbeitung von personenbezogenen Daten, im Auftrag durch eine andere Stelle. Es handelt sich also um eine vertragliche Beziehung, die in der Regel zwischen einem Auftraggeber und einem Auftragnehmer geschlossen wird. Im Einzelfall kann es schwierig sein, zu bestimmen, ob bzw. wann eine Auftragsdatenverarbeitung vorliegt. Daher bedarf es einer Abgrenzung, um die wesentlichen Merkmale der Auftragsdatenverarbeitung herauszustellen.

Abgrenzung zur Funktionsübertragung

Der Begriff der Auftragsdatenverarbeitung ist insbesondere von dem Begriff der Funktionsübertragung abzugrenzen. Im Falle einer Funktionsübertragung verfügt der Auftragnehmer über einen gewissen Entscheidungsspielraum. Der Dienstleister verarbeitet in dem Fall die Daten „eigenverantwortlich“ und ist nicht weisungsgebunden. Vielmehr geht der Auftragnehmer einer weisungsunabhängigen Tätigkeit nach und hat daher ein Eigeninteresse an den Daten.

Im Gegensatz dazu ist der Dienstleister im Rahmen der Auftragsdatenverarbeitung weisungsgebunden. Er erhält in der Regel strikte Vorgaben durch den Auftraggeber. Des weiteren hat der Auftragnehmer in einer Vielzahl von Fällen kein eigenes Interesse an den Daten, sondern fungiert lediglich als „verlängerter Arm“ des Auftraggebers. Außerdem muss sich der Dienstleister durch den Auftraggeber hinsichtlich des Datenschutzniveaus kontrollieren lassen. Die Abgrenzung zwischen Funktionsübertragung und Auftragsdatenverarbeitung bereitet vielmals Probleme. Daher empfiehlt sich zur richtigen Einordnung eine Beratung.

In welchen Bereichen wird Auftragsdatenverarbeitung häufig genutzt?

Klassische Bereiche, in denen Auftragsdatenverarbeitung eine Rolle spielt, sind beispielsweise ausgelagerte Call-Center, Dienstleistungsverträge zur Datenträgerentsorgung oder die externe Lohn- bzw. Gehaltsabrechnung.

Darüber hinaus spielt die Auftragsdatenverarbeitung bei der Auslagerung von IT-Diensten eine große Rolle. Sobald ein Dienstleister dabei die potentielle Möglichkeit eines Zugriffs auf personenbezogene Daten hat, liegt eine Auftragsdatenverarbeitung vor (§11 Abs. 5 BDSG). Dabei sind zwei Konstellationen voneinander zu unterscheiden. Beim sogenannten „Housing“ stellt ein Dienstleister lediglich Server bereit, erhält aber keinen direkten Zugriff auf die Daten. Bei dieser Konstellation liegt keine Auftragsdatenverarbeitung vor. Anders verhält es sich, wenn der Dienstleister weitere Aufgaben übernimmt. Führt er zum Beispiel Backups durch oder administriert das System, dann spricht man vom sogenannten „Hosting“. In solchen Fällen liegt eine Auftragsdatenverarbeitung vor, da der Auftragnehmer auf personenbezogene Daten zugreifen kann.

Wo ist die Auftragsdatenverarbeitung geregelt? Welche Anforderungen gibt es?

Wenn ihre Daten innerhalb der europäischen Union oder des Europäischen Wirtschaftsraums im Auftrag genutzt, erhoben oder verarbeitet werden sollen, ist ein entsprechendes vertragliches Verhältnis in der Regel recht unkompliziert zu vereinbaren. Denn solche Auftragsdatenverarbeitungsprozesse liegen im Anwendungsbereich der europäischen Datenschutzrichtlinie (RL 95/46 EG).

Größere Hürden müssen im Fall einer Auftragsdatenverarbeitung in sogenannte Drittstaaten, die nicht im Regelungsbereich der Richtlinie liegen, überwunden werden. Zu diesen Drittstaaten gehören zum Beispiel  die Vereinigten Staaten von Amerika. Planen Sie eine Auftragsdatenverarbeitung in Drittstaaten, ergeben sich zu den in §11 BDSG enthaltenen Regelungen häufig weitere Voraussetzungen. Dieser Umstand erfordert eine genau auf den Einzelfall zugeschnittene Planung des Vertragswerks. Denn in allen Fällen, in denen die Anforderungen nicht eingehalten werden, drohen Bußgelder.

Empfindliche Bußgelder möglich

Bußgelder drohen dann, wenn eine vertragliche Beziehung fälschlicherweise nicht als Auftragsverarbeitung eingeschätzt wurde oder die Anforderungen des §11 BDSG nicht eingehalten werden. Die Bußgeldvorschriften sind in §43 BDSG geregelt. Die Nichteinhaltung der gesetzlichen Regelungen kann derzeit zu einem Bußgeld von bis zu 50.000 Euro führen. Mit Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) können die Bußgelder sogar noch erheblich höher ausfallen.

Als Fazit lässt sich festhalten, dass es im Rahmen der Auftragsdatenverarbeitung auf die Besonderheiten des Einzelfalls ankommt. Unterschiedliche Konstellationen führen dabei zu verschiedenen Anforderungen und Verpflichtungen für den Auftraggeber.

Gerne beraten wir Sie umfassend auf diesem Gebiet. Sowohl hinsichtlich der Einhaltung von Anforderungen und Verpflichtungen, als auch in der Frage, ob überhaupt eine Auftragsdatenverarbeitung vorliegt. Wir sorgen dafür, dass sämtliche rechtlich relevanten Regelungen berücksichtigt werden.

Headerfoto: © Wilm Ihlenfeld – Fotolia.com

Haben Sie Fragen?

Rechtsanwalt Gregor Theado hilft Ihnen gerne weiter und berät Sie bei Ihrem Anliegen.

Rechtsanwalt Gregor Theado

Haben Sie Fragen?

Jetzt Kontakt aufnehmen.

Anschrift:

BTK Rechtsanwälte
Gregor Theado
Schützenstr. 3-5
66123 Saarbrücken

Telefon:

(0681) 93 88 26 01

Bürozeiten:

Montag - Freitag
8.00 - 17.00 Uhr


Kanzlei BTK Rechtsanwälte in Saarbrücken

BTK Rechtsanwälte ist eine bundesweit tätige Rechtsanwaltskanzlei mit Sitz in Saarbrücken. Unsere Spezialisierung liegt in den Bereichen Medienrecht, Markenrecht, Internetrecht, Wettbewerbsrecht, Urheberrecht, Vertragsrecht und Datenschutzrecht, in denen wir auf eine langjährige Erfahrung zurück blicken.

Kontaktformular

Hinweis: Ihre Daten erheben und verwenden wir gemäß unserer Datenschutzerklärung. Alle Daten werden mittels SSL-Verschlüsselung übertragen.