Auftragsdatenverarbeitung

ADV Vertragsabschluss

Viele Unternehmen beauftragen für bestimmte Prozesse und Teilaufgaben, die nicht zu ihrem Kerngeschäft gehören, Subunternehmen oder Dienstleister. Zu diesen Tätigkeiten gehören z.B. die Buchhaltung, Callcenter, Personaldienstleistungen, Druckdienstleistungen oder IT-Dienstleistungen. Dabei wird oft vergessen, dass personenbezogene Daten (Personal- und Kundendaten) die verantwortliche Stelle (das Unternehmen) verlassen und an die beauftragte Firma weitergeleitet werden bzw. die Dienstleister in Kenntnis der Daten kommen. Ohne die Einwilligung der betroffenen Personen bzw. ohne entsprechende vertragliche Vereinbarungen sowie einer sorgfältigen Auswahl des Auftragnehmers, verstößt das beauftragende Unternehmen gegen das Bundesdatenschutzgesetz (BDSG). Es können empfindliche Bußgelder bis zu einer Höhe von 300.000€ drohen.

Daher ist es unbedingt erforderlich die zu beauftragenden Dienstleister sorgfältig, nach Datenschutzgesichtspunkten, auszuwählen und vertraglich zu binden. Das BDSG sieht hierfür die Auftragsdatenverarbeitung (ADV) §11 in Verbindung mit den technischen und organisatorischen Maßnahmen §9 vor.

Das heißt, dass bereits vor und regelmäßig während (alle 2-3 Jahre) der Beauftragung vom Auftraggeber geprüft werden muss, ob der Dienstleister den datenschutzrechtlichen Anforderungen genügt. Dies kann durch eine vom Auftraggeber durchgeführte Prüfung vor Ort oder durch aktuelle Zertifizierungen des Auftragnehmers von unabhängigen Prüfgesellschaften erfolgen. Eine durchgeführte Prüfung sollte unbedingt protokolliert und dokumentiert werden.

Bei der ADV im Sinne des BDSG bleibt der Auftraggeber weiterhin voll für die personenbezogenen Daten verantwortlich und haftet bei Missbrauch. Der Auftragnehmer darf hingegen nur die zuvor vertraglich beschriebenen und vereinbarten Daten verarbeiten. Jegliche abweichende Verarbeitungen sind verboten.

Die ab dem 25. Mai 2018 geltende Europäische Datenschutzgrundverordnung (EU-DSGVO) enthält in den Art. 28 ff ebenfalls die Auftragsdatenverarbeitung nach dem Vorbild des BDSG. Allerdings wird hier bei Datenverstößen ebenfalls der Auftragnehmer in die Pflicht genommen. Weicht er von den zuvor vereinbarten Weisungen ab, wird er selbst zum Verantwortlichen. Grundsätzlich haften der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter gegenüber dem Betroffenen gemeinsam. Die Geldbußen haben sich gegenüber dem BDSG empfindlich verschärft. Nach Art. 83 EU-DSGVO drohen Geldbußen in Höhe von bis zu 10.000.000€ oder 2,00% des gesamten weltweit erzielten Jahresumsatzes.