Auftragsdatenverarbeitung: Kurze Hinweise und Muster einer Auftragsdatenverarbeitung

Rechtsanwalt & Fachanwalt für Informationstechnologierecht Jens Ferner: Ihr Anwalt in Alsdorf für die Region Aachen, Heinsberg & Düren im gesamten IT-Recht & Datenschutzrecht. Zu meiner Kerntätigkeit gehören als Fachanwalt für IT-Recht das Softwarerecht, Domainrecht, IT-Vertragsrecht, sowie mit Bezügen zur IT das Urheberrecht und Markenrecht.

Besprechungstermin vereinbaren: 02404-92100 | Anwalt für IT-Recht

Beachten Sie, dass wir ausnahmslos keine Beratung per Mail anbieten und dass wir nicht tätig sind, wenn sich Gerichtsstand oder Auftraggeber ausserhalb der Regionen Aachen, Heinsberg, Düren, Düsseldorf oder Köln befinden.

Die Auftragsdatenverarbeitung ist inzwischen durchaus bekannt: Wenn jemand einen anderen Beauftragt, für ihn Daten zu verarbeiten, greift die Auftragsdatenverarbeitung nach §11 Bundesdatenschutzgesetz.

Durch diese Regelung wird die Datenverarbeitung auf der einen Seite vereinfacht: Im Rahmen einer Auftragsdatenverarbeitung wird der eigentlich als „Dritte“ zu betrachtende Verarbeiter quasi eine Einheit mit dem Auftraggeber. Es liegt keine datenschutzrechtlich relevante „Übermittlung an einen Dritten“ vor, die eigentlich die Einwilligung des Betroffenen verlangen würde. Arbeitsprozesse werden somit effizienter. Auf der anderen Seite ist die Situation für den Betroffenen einfacher, er kann sich nämlich weiterhin an den Auftraggeber wenden um seine Rechte geltend zu machen – der Auftraggeber darf den Betroffenen nicht an den Auftragnehmer verweisen.

Doch es gibt Fallstricke – ein kurzer Überblick.

Form und Inhalt der Auftragsdatenverarbeitung

Durch §11 BDSG wird die Auftragsdatenverarbeitung in einen rechtlichen Rahmen gefasst. Es gilt erst einmal die Schriftform, wobei §11 Absatz 2 BDSG der notwendige Inhalt der Vereinbarung zu entnehmen ist. Im Internet gibt es eine Fülle von Vorlagen und Mustern hierzu (etwa dieses gute Muster einer Auftragsdatenvereinbarung des Hessischen Landesdatenschutzbeauftragten). Bei so vielen Mustern braucht es keiner rechtlichen Beratung – so scheint es.

Problem: Liegt eine Auftragsdatenverarbeitung überhaupt vor?

Bevor man sich an die Auftragsdatenverarbeitung macht, muss geprüft werden, ob eine solche überhaupt vorliegt. Was so profan klingt, ist mir in den letzten Jahren als Standardfehler begegnet: Nicht immer, wenn ein Dritter Daten verarbeitet, liegt eine Auftragsdatenverarbeitung vor! Es kommt hier auf den Einzelfall an, wobei zu Fragen ist, ob tatsächlich alleine nach Weisung des Auftraggebers gehandelt wird – oder etwa eigenes Ermessen bei der Frage gewährt ist, ob und welche Daten verarbeitet werden. Es gibt hier keine konkrete Formel, tatsächlich muss im konkreten Fall geprüft werden, was für und was gegen eine Auftragsdatenverarbeitung spricht. Notwendig hierbei ist zum einen sicherlich Fingerspitzengefühl und Kenntnis der wesentlichen Kriterien – in jedem Fall aber auch hinreichende Erfahrung.

Trugschluss: Vorschnelle Annahme einer Auftragsdatenverarbeitung

Interessant ist, dass ich seit einiger Zeit damit konfrontiert werde, dass gerne Auftragsdatenvereinbarungen getroffen werden, wo gar keine vorliegen. So etwa aus „rein formellen“ Gründen, weil sich alle Beteiligten dann „wohler“ fühlen. Dabei erreicht man damit dann genau das Gegenteil – nämlich mindestens rechtliche Unsicherheit, schlimmstenfalls hat man gar ein Problem.

Das Ergebnis zur Auftragsdatenverarbeitung

ist dann beispielsweise Folgendes: Auf Grund der vermeintlichen Sicherheit durch die Auftragsdatenverarbeitung wird nicht weiter über die Einwilligung des Betroffenen nachgedacht. Wenn es aber keine Auftragsdatenverarbeitung ist, liegt weiterhin eine Übermittlung an einen Dritten vor – die aber vielleicht nicht rechtlich gedeckt ist. Somit wäre ein Bussgeldtatbestand (etwa nach §43 II Nr.1 BDSG) verwirklich. Von beiden, vermeintlichem Auftraggeber und vermeintlichem Auftragnehmer.

Wie erwähnt: Nicht jede Verarbeitung von Daten durch einen Dritten ist eine Auftragsdatenverarbeitung. Rein vorsichtshalber eine entsprechend Erklärung abzuzeichnen mag ein gutes Gefühl geben, hilft aber nicht. Von einer vorschnellen Auftragsdatenverarbeitung ist letztlich ebenso abzuraten, wie davon, das Thema schlicht ganz zu ignorieren. Auch blind irgendwelche Muster einzusetzen ist ein Fehler, da diese Muster im Einzelfall angepasst werden müssen. Letztlich werden Laien bereits erhebliche Probleme haben, sauber zu prüfen, ob überhaupt eine Auftragsdatenverarbeitung vorliegt, sofern keiner der absolut problemlosen Fälle vorliegt.