Auftragsdatenverarbeitung

Personenbezogene Daten können im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt werden. Dies kann beispielsweise bei Beauftragung einer Werbeagentur zur Durchführung einer Marketing-Aktion erfolgen oder bei der Entgeltabrechnung durch einen Steuerberater. Ein Auftraggeber vergibt einen Auftrag zur Datenverarbeitung an einen Auftragnehmer. Der Auftraggeber ist dann für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich. Er hat den Auftragnehmer unter besonderer Berücksichtigung der Eignung sorgfältig auszuwählen. Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen.

Vereinbarung über eine Datenverarbeitung im Auftrag

Gemäß § 11 Abs. 2 Bundesdatenschutzgesetz (BDSG) ist der Auftrag schriftlich zu erstellen. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.

Folgende Punkte müssen Gegenstand der Vereinbarung sein:

  • der Gegenstand und die Dauer des Auftrags,
  • der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  • die für die Einhaltung des BDSG zu treffenden notwendigen technischen und organisatorischen Maßnahmen,
  • die Möglichkeit der Berichtigung, Löschung und Sperrung von Daten,
  • die bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  • die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  • die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  • mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtlicher Vorschriften oder gegen die im Auftrag getroffenen Festlegungen,
  • der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  • die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags

Bußgeld

Bei der Verletzung bzw. Nichtbeachtung dieser Vorschrift kann ein Bußgeld von bis zu 50.000 Euro verhängt werden.