Auftragsdatenverarbeitung Muster §11BDSG - Art. 28 DSGVO

Datenschutzrecht-Blog
Seite 1 von 4

Auftragsdatenverarbeitung? Was ist das und wozu braucht man einen Vertrag zur Auftragsdatenverarbeitung?

Immer wenn personenbezogene Daten durch einen Dritten im Auftrag verarbeitet weAuftragsdatenverarbeitungsvertrag - Muster - § 11 BDSG - Art. 28 DSGVOrden, stellt sich die Frage, auf welcher Rechtsgrundlage die Datenverarbeitung erfolgt. Damit die Daten von dem Auftraggeber zu dem Auftragnehmer (z.B. Cloud-Anbieter oder Rechenzentrums-Betreiber) übertragen werden dürfen, muss entweder eine Einwilligung des von der Datenverarbeitung Betroffenen i.S.d. § 4 BDSG bestehen oder die Datenübertragung wird auf anderem Wege "legalisiert". An diesem Grundsatz wird sich auch durch die Einführung der EU-Datenschutzgrundverordnung nichts ändern.

Mittel der Wahl zur Legalisierung einer Datenübertragung an Dritte ist der Abschluss eines sog. Auftragsdatenverarbeitungsvertrages. Unter Auftragsdatenverarbeitung versteht man die weisungsgebundene Datenverarbeitung durch Externe, bei der die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Auftraggeber verbleibt. Das Bundesdatenschutzgesetz enthält hierfür Regelungen in § 11 BDSG. Die ab Mai 2018 gültige EU-Datenschutzgrundverordnung, die die Regelungen des BDSG bzgl der Auftragsdatenverarbeitung komplett ersetzen wird regelt die Auftragsdatenverarbeitung in Art. 28 DSGVO.

Die Auftragsdatenverarbeitung in Fachkreisen auch als ADV bezeichnet. Ein Auftragsdatenverarbeitungsvertrag wird dementsprechend als ADV-Vertrag abgekürzt.

Meist unterhalten Unternehmen eine Vielzahl von Auftragsdatenverarbeitungsverhältnissen, insbesondere in den Bereichen IT und Personalverwaltung. Da es in der Praxis meist unmöglich ist, sich von allen durch den Datenverarbeitungsprozess Betroffenen eine rechtskonforme Einwilligung i.S.d. § 4 BDSG zu "organisieren", sollten diese Datenverarbeitungsprozesse über einen ADV-Vertrag "legalisiert" werden,.

MERKE: Liegt ein Auftragsdatenverarbeitungsverhältnis vor, muss vor Beginn der Auftragsdatenverarbeitung ein entsprechender Vertrag zwischen den Beteiligten abgeschlossen werden.

Was muss in einem Auftragsdatenverarbeitungsvertrag (ADV-Vertrag) alles geregelt sein?

§ 11 BDSG schreibt vor, dass die nachfolgenden 10 Punkte zwingend in einem Vertrag zur Auftragsdatenverarbeitung geregelt werden müssen:

  • der Gegenstand und die Dauer des Auftrags,
  • der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  • die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen,
  • Regelungen zu Zugriffsberechtigungen und zur Löschung und Sperrung von Daten,
  • die Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  • die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  • die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  • mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  • der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  • Regelungen zur Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Was ändert sich am Vertragsinhalt, wenn die EU-Datenschutzgrundverordnung ab Mai 2018 die Regelungen zur Auftragsdatenverarbeitung des § 11 BDSG ablösen wird?

Die EU-Datenschutzgrundverordnung, die abseits der Datenverarbeitung im Gesundheitswesen gem. Sozialgesetzbuche (SGB) ab Mai 2018 allein maßgebliche Rechtsgrundlage für den Bereich der Auftragsdatenverarbeitung werden wird, nimmt den Auftragnehmer zur Einhaltung des Datenschutzrechts weitaus stärker in die Pflicht als dies noch in § 11 BDSG der Fall ist.

Während das BDSG vorsieht, dass ausschließlich der Auftraggeber für den outgesourcten Datenverarbeitungsprozess verantwortlich ist, wird durch die DSGVO der Auftragnehmer für die Verarbeitung der Daten mitverantwortlich gemacht.

Die DSGVO enthält dementsprechend u.a. in den nachfolgend aufgelisteten Artikeln neue Regelungen zu selbstständigen datenschutzrechtlichen Pflichten, die sich u.a. auch an den Auftragnehmer, den sog. "Auftragsverarbeiter" richten:

  • Art. 27 Abs. 1 DSGVO:  Die Pflicht zur Bestellung eines „Repräsentanten“ trifft auch den Auftragsverarbeiter.
  • Art. 30 Abs. 2 DSGVO:  Der Auftragsverarbeiter ist zur Führung von Verfahrensverzeichnissen verpflichtet.
  • Art. 31 DSGVO:  Die Pflicht zur Zusammenarbeit mit der Datenschutzaufsicht trifft auch den Auftragsverarbeiter.
  • Art. 32 Abs. 1 DSGVO:  Die Pflicht zu technischen und organisatorischen Maßnahmen der Datensicherheit gilt auch für den Auftragsverarbeiter.
  • Art. 37 Abs. 1 DSGVO:  Die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten trifft auch den Auftragsverarbeiter.
  • Art. 44 DSGVO: Die Beschränkungen für den Datentransfer in Drittländer sind auch vom Auftragsverarbeiter zu beachten.

Das bereits in § 11 BDSG verankerte Weisungsrecht des Auftraggebers gegenüber dem Auftragnehmer bleibt aber unverändert bestehen. Art. 29 der EU-DSGVO legt fest, dass der Auftragnehmer weiterhin grundsätzlich verpflichtet bleibt, im Rahmen der Datenverarbeitung ausschließlich auf Weisung des Verantwortlichen zu handeln:

Bildquelle: businessman thinking of problem stasique fotolia.com