Auftragsdatenverarbeitung

Bei der Auftragsdatenverarbeitung (kurz „ADV“ genannt) verarbeitet ein Dienstleister für ein Unternehmen personenbezogene Daten. Dazu verarbeitet das Unternehmen die Daten nach vorgegebenen Regeln oder im Rahmen von Weisungen.  § 11 Abs. 2 BDSG fordert eine schriftliche Vereinbarung mit einem gesetzlich vorgegebenen Inhalt. Diese Vereinbarung leisten dafür Gewähr, dass die Daten während der Verarbeitung in der Herrschaft des auftraggebenden Unternehmens verbleiben. Auch müssen die Daten angemessen gegen Verlust und Missbrauch durch technisch-organisatorische Maßnahmen gesichert sein.

Hinsichtlich der Daten des Auftraggebers wird ein Dienstleister rechtlich mehr oder weniger “Erfüllungsgehilfe” des Auftraggebers behandelt. Der Auftraggeber bleibt nach dem BDSG die verantwortliche Stelle. Dies erfordert eine regelmäßige Kontrolle, dass der Auftragnehmer seine Weisungen und die vereinbarten technisch-organisatorischen Maßnahmen einhält. Im Sinne der  “Privilegierung der Auftragsdatenverarbeitung” bedarf es für die Bereitstellung der personenbezogenen Daten im Rahmen der ADV keiner gesetzlichen Erlaubnis oder Einwilligung.

Typische Fälle einer ADV

Als Beispiele sind zu nennen:

  • IT-Outsourcings
  • Webhosting bzw. Webseitenpflege
  • Google Analytics oder Piwik
  • Reinigungsservice
  • Datenmüllentsorgung
  • Rechenzentrumsleistungen

In diesen Fällen ist regelmäßig eine Vereinbarung nach § 11 BDSG erforderlich.

Die Auftragsdatenverarbeitung ist von der „Funktionsübertragung“ abzugrenzen. Hierbei lagert der Auftraggeber die zugrundeliegende betriebliche Aufgabe selbst aus. Der Dienstleister verfügt bei der Funktionsübertragung größere Entscheidungsspielräume beim Umgang mit den Daten.

Probleme gibt es bei Dienstleistern häufig bei der Abgrenzung von Auftragsdatenverarbeitung und Funktionsübertragung. Nach der sogenannten Vertragstheorie erfolgt eine Auslegung der Vereinbarung mit dem Dienstleister. Hat sich der Dienstleister den Weisungen des Auftraggebers und den Bedingungen der ADV von § 11 BDSG unterworfen, soll danach Auftragsdatenverarbeitung vorliegen. Geht seine Verpflichtung darüber hinaus, so soll eine Funktionsübertragung vorliegen.