Dauerbrenner Auftragsdatenverarbeitung


Digital schlägt heute der Puls der Wirtschaft und eröffnet neue Trends und Möglichkeiten in eingespielten Prozessen. Externe Dienstleister lassen sich schneller und effektiver in die Prozessketten integrieren und Dank optimaler Vernetzung stehen Anbieter aus der ganzen Welt zur Option. Mit dieser zusätzlichen Expertise und dem Knowhow können eigene Geschäftsmodelle dem Wandel angepasst und die effiziente Auslagerung als fester Bestandteil eingeplant werden.

Fallen in einer Kette jedoch personenbezogene Daten an, ist Vorsicht geboten. In diesem Fall stellt der Datenschutz zahlreiche Anforderungen, die vor der Aufnahme der Tätigkeit des Dienstleisters erfüllt sein müssen. Einzelheiten ergeben sich aus dem § 11 BDSG mit einer 10-Punkte-Liste, die den Kern jeder schriftlichen Vereinbarung darstellen. Diese Liste ist obligatorisch, jedoch nicht abschließend. Weitere Eckdaten können je nach Anforderungsniveau an die Sicherheit und den Schutz der Daten, sowie der Art der Daten hinzukommen. Ein besonderes Augenmerk ist auf die technischen und organisatorischen Maßnahmen zu legen, die die Maßnahmen zur Datensicherheit im Einzelnen detailliert festhalten.

Übernimmt ein Dienstleister die Erhebung, Verarbeitung oder eine Nutzung personenbezogener Daten, handelt es sich um eine Auftragsdatenverarbeitung mit dem Dienstleister als Auftragsdatenverarbeiter. Klassische Auftragsdatenverarbeitungstätigkeiten sind beispielsweise Kontaktdatenerhebung durch ein Callcenter, die Datenträgerentsorgung oder die Auslagerung der E-Mail-Verwaltung oder anderweitige Webdienste. Auch die (Fern)Wartung von IT-Systemen wird als Auftragsdatenverarbeitung angesehen. In derartigen Fällen ist mit dem Dienstleister vor Aufnahme dessen Tätigkeit eine Vereinbarung zur Auftragsdatenverarbeitung zu schließen.

Vorsicht Bußgeld. Wird kein oder kein richtiger Vertrag geschlossen, können nach der aktuellen Rechtsgrundlage Bußgelder bis zu 50.000 EUR drohen. Einige Aufsichtsbehörden haben im Laufe der letzten Jahren immer wieder von verhängten Bußgeldern im 5-stelligen Bereich berichtet. Häufiger Kritikpunkt war die mangelhafte oder den Datenkategorien gegenüber ungenügende Sicherung durch technisch organisatorische Maßnahmen.

Ein ordentliches Vertragswesen hilft bei dem Übergang zur DS-GVO, bei der die Auftrags(daten)verarbeitung in einer ausführlicheren Version, weiterhin Bestand hat.