Wirtschaft und Verwaltung

Datenverarbeitung im Auftrag (ADV)

Charakteristisch für die Auftragsdatenverarbeitung ist, dass sich die datenschutzrechtlich verantwortliche Stelle (Auftraggeberin oder Auftraggeber) für Hilfstätigkeiten einer Dienstleisterin oder eines Dienstleisters (Auftragnehmerin oder Auftragnehmer) für die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten bedient. Die Auftragnehmerin oder der Auftragnehmer verfährt dabei entsprechend den Weisungen der Auftraggeberin oder des Auftraggebers mit den von ihr oder ihm überlassenen Daten. Die maßgeblichen Entscheidungen über den Umgang mit den personenbezogenen Daten verbleiben aber bei der Auftraggeberin oder dem Auftraggeber, die oder der weiterhin „Herr der Daten“ bleibt. Die Weitergabe von personenbezogenen Daten im Zuge einer Auftragsdatenverarbeitung wird gesetzlich nicht als Übermittlung im datenschutzrechtlichen Sinne qualifiziert.

Die gesetzlichen Regelungen im privaten Bereich (§ 11 Abs. 2 BDSG) sowie im öffentlichen Bereich (§ 3 Abs. 1 Satz 3 BlnDSG) beschreiben im Detail welche Rechte, Pflichten und Maßnahmen im Einzelnen durch einen schriftlichen Vertrag zwischen Auftraggeberin oder Auftraggeber und Auftragnehmerin oder Auftraggeber zu treffen sind. Die Auftraggeberin oder der Auftraggeber hat die Auftragnehmerin oder den Auftragnehmer sorgfältig auszuwählen und sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der bei der Auftragnehmerin oder beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.

Typische Beispiele einer Auftragsdatenverarbeitung sind: Lohn- und Gehaltsabrechnung, IT-Wartung, Cloud-Computing-Anwendungen, Hosting oder Callcenter-Tätigkeiten.

Die Auftragsdatenverarbeitung ist abzugrenzen von der Funktionsübertragung: diese liegt immer dann vor, wenn der Auftragnehmerin oder dem Auftragnehmer bei der Datenverarbeitung eine eigene Entscheidungsbefugnis über die Verwendung der Daten und damit eine gewisse Eigenverantwortlichkeit zukommt. Die Tätigkeit erfolgt zwar weiterhin „im Interesse“ des Auftraggebers, geht über eine reine Hilfstätigkeit jedoch hinaus. Der Datenaustausch zwischen der verantwortlichen Stelle und dem Dienstleister darf dann nur erfolgen, soweit die gesetzlichen Voraussetzungen für eine Datenübermittlung vorliegen oder der Betroffene zugestimmt hat.

Typische Beispiele einer Funktionsübertragung sind: Beauftragung einer Steuerberatungsgesellschaft oder die Beauftragung eines Inkassounternehmens.

Die zentrale Vorschrift für die Auftragsverarbeitung in der EU-DS-GVO ist Art. 28. Wie bisher muss bei einer Verarbeitung im Auftrag ein Vertrag über die weisungsgebundene Hilfstätigkeit geschlossen werden. Die zu regelnden Inhalte gleichen sich dabei weitestgehend mit dem bisherigen BDSG.

zurück zur Seite: