Es wird von einer Auftragsdatenverarbeitung gesprochen, sobald Dritte Daten zur Erfüllung eines Auftrages erheben, übermittelt bekommen oder verarbeiten. Wichtig ist hierbei, dass sie nur sogenannte Hilfsleistungen anbieten, also unterstützend tätig und weisungsabhängig sind. In Zeiten des Outsourcings zur Kostensenkung steigt die Anzahl der Auftragsdatenverarbeitungen kontinuierlich an.

Weit verbreitet ist die Auftragsdatenverarbeitung bei:

• Externen Agenturen, die Marketingsaktionen für Unternehmen durchführen (z.B. Gewinnspiele)
• Externen Lohn- bzw. Gehaltsabrechnungen
• Ausgelagerten Callcentern oder Rechenzentren
• Dienstleisterverträgen zur Datenträgerentsorgung

Die Verantwortung für die Daten bleibt jedoch auch hier weiter in den Händen des Auftraggebers, der zusätzlich starken Kontroll- und Dokumentationspflichten sowie genauen Vorgaben über die Vertragsausgestaltung unterliegt.

Der Gesetzgeber hat sich bei der Auftragsdatenverarbeitung ausnahmsweise in die Privatautonomie der Vertragspartner eingemischt und in § 11 BDSG 10 Punkte für den Vertragsinhalt vorgegeben, die stets miteinbezogen werden müssen:

1. der Gegenstand und die Dauer des Auftrags, der Umfang,
2. die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten,
3. die Art der Daten und der Kreis der Betroffenen, die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
4. die Berichtigung, Löschung und Sperrung von Daten,
5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Trotz der genauen gesetzlichen Vorschriften und einer Vielzahl von Standardverträgen zur Auftragsdatenverarbeitung ist deren genaue Ausgestaltung immer noch einzelfallabhängig und mit äußerster Sorgfalt umzusetzen. Die Konsultation eines Experten rechnet sich hierbei allein schon auf Grund der empfindlichen Bußgelder, die bei einer fehlerhaften Vertragsausgestaltung verhangen werden.

Einen Mustervertrag zur Auftragsdatenverarbeitung stellen wir Ihnen gern zum Download bereit, direkt hier »

Die EU-Standardvertragsklauseln spielen dann eine Rolle, wenn der Auftragnehmer weder im europäischen Ausland sitzt noch in den USA Safe-Habor-zertifiziert ist. Sie sollen sicherstellen, dass ein angemessenes Datenschutzniveau hergestellt wird.

Ein word-Dokument in englischer Sprache mit den genauen Klauseln, die Sie in Ihren Vertrag mit einbauen, jedoch nicht im Wortlaut verändern dürfen, finden Sie hier »