Informationen zum Datenschutz I Mai 2015 Auftragsdatenverarbeitung Nach dem Datenschutzrecht ist die Weitergabe von personenbezogenen Daten grundsätzlich untersagt, solange keine Einwilligung des Betroffenen vorliegt oder eine andere Ermächtigungsgrundlage eingreift. Kunden- oder Mitarbeiterdaten dürfen daher grundsätzlich nicht an Dritte weitergegeben werden, auch nicht an Dienstleister. Häufig gibt es aber in einem Unternehmen die Notwendigkeit zur Weitergabe der Daten, weil bestimmte Verarbeitungsschritte nicht selbst erledigt werden. So kann es etwa sinnvoll sein, die Personalabrechnung durch einen Dienstleister vornehmen zu lassen oder den Versand von Katalogen einem Lettershop zu übertragen. In diesen Fällen ist es praktisch nicht denkbar, zuvor die Erlaubnis aller betroffenen Mitarbeiter bzw. Kunden einzuholen. Mit Hilfe der Auftragsdatenverbeitung ist es dann möglich, auch ohne Zustimmung der Betroffenen die Leistungen von externen Dienstleistern in Anspruch zu nehmen. Was ist das Grundprinzip der Auftragsdatenverarbeitung? Bei der Auftragsdatenverabeitung bleibt die Verantwortung für die Datenverarbeitung im eigenen Unternehmen; dieses bleibt – im datenschutzrechtlichen Sinne – „Herr der Daten“ und „verantwortliche Stelle“. Der Dienstleister wird unter der Verantwortung des Auftraggebers tätig und übernimmt einzelne Aufgaben für den Auftraggeber nach dessen Weisungen. Das Konzept der Auftragsdatenverarbeitung bringt es mit sich, dass der Auftraggeber im Außenverhältnis immer für die Datenverarbeitung verantwortlich bleibt und damit auch gegenüber Betroffenen für eine fehlerhafte oder missbräuchliche Datenverarbeitung haftet. Dies ergibt sich schon daraus, dass unterstellt wird, dass der Dienstleister keinen eigenen Entscheidungsspielraum hat, sondern immer nur die Vorgaben und Weisungen des Auftraggebers umsetzt. www.brandi.net Wie wird die Auftragsdatenverarbeitung rechtlich beurteilt? Der große Vorteil der Auftragsdatenverarbeitung besteht darin, dass die Überlassung von Daten an einen Dienstleister im Rahmen der Auftragsdatenverarbeitung nicht als Übermittlung personenbezogener Daten angesehen wird, weil die Verantwortung für die Daten sich nicht verändert. Obwohl die Daten tatsächlich weitergegeben werden, findet im juristischen Sinne keine Weitergabe statt. Diese Privilegierung der Auftragsdatenverarbeitung ergibt sich aus der Definition des Empfängers personenbezogener Daten in § 3 Abs. 8 Bundesdatenschutzgesetz (BDSG), bei der die Auftragsdatenverarbeitung ausdrücklich ausgenommen ist. Für den Auftraggeber hat dies den Vorteil, dass er gegenüber seinen Kunden und Mitarbeitern kommunizieren kann, dass deren Daten nicht an Dritte (im juristischen Sinne) weitergegeben werden. Es erübrigt sich dann auch die Frage, inwieweit der Betroffene in die Weitergabe seiner Daten einwilligen muss. Vielfach erfolgt die Auslagerung von Verarbeitungsschritten im Wege der Auftragsdatenverarbeitung ganz ohne Information der Betroffenen, da diese regelmäßig mit den Dienstleistern gar nicht in Kontakt kommen. Was sind die Voraussetzungen für eine Auftragsdatenverarbeitung? Um in den Genuss der Privilegierung der Auftragsdatenverarbeitung zu kommen, ist es zwingend erforderlich, dass die gesetzlichen Anforderungen aus § 11 BDSG eingehalten werden. Aus der datenschutzrechtlichen Bestimmung ergeben sich dabei sowohl formale wie auch inhaltliche Voraussetzungen. Werden diese nicht eingehalten, ist die Auftragsdatenverarbeitung unzulässig. Zunächst ist zwingend vorgeschrieben, dass alle Regelungen zur Auftragsdatenverarbeitung schriftlich getroffen werden müssen. Zwar bedarf es neben dem eigentlichen Informationen zum Datenschutz I Mai 2015 Dienstleistungs- oder Geschäftsbesorgungsvertrag nicht unbedingt eines eigenen, zusätzlichen Vertrages zur Auftragsdatenverarbeitung; in der Praxis hat sich dies aber bewährt. Der Umfang der inhaltlichen Regelungen zur Auftragsdatenverarbeitung ist so umfassend, dass es sich anbietet, einen eigenen Vertrag zu erstellen und diesen als Anlage zum Hauptvertrag zu nehmen. Unzulässig sind übrigens pauschale Vereinbarungen zur Auftragsdatenverarbeitung ohne Bezug auf die konkrete Datenverarbeitung. Daher ist für jeden Auftrag grundsätzlich eine eigene Vereinbarung abzuschließen, die auch konkret den Umfang der Datenverarbeitung und den Kreis der Betroffenen zu beschreiben hat. Darüber hinaus sind unter anderem Angaben über technische und organisatorische Schutzmaßnahmen, über die Löschung von Daten sowie über Kontroll-, Weisungs- und Informationspflichten aufzunehmen. Vor allem die Regelungen zur Kontrolle sind wichtig, damit der Auftraggeber sich bei Zweifeln oder Beschwerden effektiv bei dem Dienstleister davon überzeugen kann, dass alle datenschutzrechtlichen Vorgaben eingehalten werden. Diese Kontrolle obliegt typischerweise dem betrieblichen Datenschutzbeauftragten, kann aber auch auf andere Stellen delegiert werden. Wie gestalte ich die Auftragsdatenverarbeitung in der Praxis? Um den Bearbeitungsaufwand gering zu halten, empfiehlt sich die Erstellung eines Musters für eine Vereinbarung zur Auftragsdatenverarbeitung. Sobald der Auftraggeber eine Auftragsdatenverarbeitung in Erwägung zieht, sollte diese von der Zustimmung zu der eigenen Vereinbarung abhängig gemacht werden. Wenn der Auftraggeber für die Datenverarbeitung des Dienstleisters verantwortlich bleibt, ist es nur legitim, dass er auch die rechtlichen Rahmenbedingungen bestimmt. Alle Fälle der Auftragsdatenverarbeitung sollten dem jeweiligen betrieblichen Datenschutzbeauftragten gemeldet werden, damit dieser einen Überblick über die Vertragsbeziehungen behält und bei Bedarf die Dienstleister auch überprüfen kann. Außerdem sollten alle Fälle der Auftragsdatenverarbeitung im Verfahrensverzeichnis erfasst werden. www.brandi.net Kontakt: BRANDI Rechtsanwälte Partnerschaft mbB Dr. Sebastian Meyer, LL.M. Rechtsanwalt Datenschutzauditor (TÜV) Adenauerplatz 1 33602 Bielefeld Tel.: +49 (0) 521 / 96535 – 812 Fax: +49 (0) 521 / 96535 – 115 Mail: [email protected] Web: www.brandi.net