Begriffsbestimmung: Auftragsdatenverarbeitung
Auftragsdatenverarbeitung bezeichnet die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag. Der § 11 BDSG findet demnach bei einem Auftragsverhältnis zwischen einem Auftraggeber und einem Auftragnehmer Anwendung. Im Fall einer Auftragsdatenverarbeitung übernimmt der Auftragnehmer Hilfsfunktionen für den Auftraggeber. Der Auftraggeber kann die Handlungen des Auftragnehmers steuern. Es besteht ein Abhängigkeitsverhältnis. Mit der Novellierung des Bundesdatenschutzgesetzes vom 01.01.2009 fallen nunmehr auch ausgelagerte Geschäftsprozesse von Unternehmen unter den §11 BDSG, bei denen der externe Dienstleister (Auftragnehmer) potenziell Zugriff auf personenbezogene Daten von Mitarbeitern, Kunden und Lieferanten des Auftraggebers erhalten könnte.

Typische Beispiele für eine Auftragsdatenverarbeitung sind:

• externe Lohnbuchhaltung
• externe Reisekostenabrechnung
• Datenträgervernichtung (z.B. Papier- und Aktenentsorgung)
• Newsletterversand durch eine Marketingagentur
• Personalbeschaffung durch eine externe Personalagentur
• Betreuung der IT-Infrastruktur durch einen IT-Dienstleister
• Wartung von Softwarelösungen, Webportalen, Onlineshops etc. durch ein externes Softwareentwicklungsunternehmen

Abgrenzung zur Funktionsübertragung
Wird hingegen der Geschäftprozess durch einen Auftragnehmer in voller Eigenverantwortung und ohne Einflussnahme des Auftraggebers ausgeführt, handelt es sich um eine Funktionsübertragung.

Datenübermittlung in ein Drittland
Des Weiteren handelt es sich nicht um eine Auftragsdatenverarbeitung, wenn die Datenverarbeitung in einem Drittland erfolgt. In diesem Fall kann die Privilegierung der Datenverarbeitung nach §11 BDSG nicht in Anspruch genommen werden. Stattdessen muss eine Zulässigkeitsprüfung der Datenverarbeitung nach §4 BDSG erfolgen. Demnach ist eine Datenverarbeitung nur zulässig, wenn "dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat".

 
Anforderungen an die Auftragsdatenverarbeitung 
Prinzipiell gilt, dass bei der Auftragsdatenverarbeitung der Auftraggeber für die Einhaltung der Vorschriften des BDSG verantwortlich ist. Er ist verpflichtet, den Auftragnehmer sorgfältig auf der Basis der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen (nach §9, Anlage zu Satz 1) auszuwählen. 

Mit der Novellierung des §11 BDSG wurde zusätzlich die Anforderung eingeführt, dass "der Auftraggeber sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen" hat. Das Ergebnis ist zu dokumentieren.

Weiterhin wurde festgelegt, dass alle Verträge zur Auftragsdatenverarbeitung der Schriftform bedürfen. Das gilt auch für mündlich abgeschlossene Verträge. In einem 10-Punkte-Katalog werden die Mindestanforderungen für den Inhalt eines Vertrags festgelegt: 

• Gegenstand und Dauer des Auftrags
• Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen
• Festlegung der technischen und organisatorischen Maßnahmen (§9, Anlage zu Satz 1)
• Vereinbarung zur Berichtigung, Löschung und Sperrung von Daten
• die Berechtigung zur Begründung von Unterauftragsverhältnissen
• die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers
• Umgang mit Verstößen des Auftragnehmers oder der bei ihm beschäftigten Personen gegen bestehende Vereinbarungen
• Umfang der Weisungsbefugnis des Auftraggebers gegenüber dem Auftragnehmer
• Umgang mit gespeicherten Daten nach Beendigung des Auftrags

Die vollständige Auflistung entnehmen Sie bitte dem § 11 Abs.2 BDSG.

Novellierung des  §11 BDSG - Änderungen sind seit dem 01.09.2009 rechtskräftig
Mit Wirkung vom 01.09.2009 müssen alle Neuverträge zur Auftragsdatenverarbeitung den neuen Bestimmungen entsprechen. Altverträge müssen an die neuen Vorgaben angepasst werden. 
Anderenfalls droht nach § 43 Bußgeldvorschriften (Abs. 1 Nr. 2b) ein Bußgeld.

Besonderheiten bei "Altverträgen"
Da der Gesetzgeber für "Altverträge" keine Übergangsregelungen vorgesehen hat, müssen diese Verträge an die neue Rechtslage angepasst werden. Es ist daher notwendig, "Altverträge" nachzuverhandeln und entsprechende Zusatzvereinbarungen festzulegen. Der Bußgeldkatalog bezieht sich bei Versäumnissen allerdings nur auf Verträge, die nach dem 01.09.2009 abgeschlossen wurden.

Ein Sonderfall stellen "Altverträge" dar, bei denen die Auftragsdatenverarbeitung erst am oder nach dem 01.09.2009 beginnt. In diesem Fall greift die neue Regelung, dass der Auftraggeber vor Beginn der Datenverarbeitung sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen hat. Bei Nichtbeachtung droht ein Bußgeld.
Nicht bußgeldbewährt ist das Versäumnis des Auftraggebers, sich regelmäßig von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Diese Lücke betrifft gleichermaßen Alt- und Neuverträge. 

weitere Informationen:

§ 11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag

Anlage zu § 9 Technische und organisatorische Maßnahmen (Satz 1)

siehe auch Lexikon-Beitrag "Personenbezogene Daten/ Umgang"

siehe auch Lexikon-Beitrag "Funktionsübertragung"

siehe auch "Informationsblatt zur Auftragsdatenverarbeitung gemäß §11 BDSG"
Bitte fordern Sie das Informationsblatt über unser Kontaktformular an. 

Urteile zum Thema Auftragsdatenverarbeitung:

siehe Artikel vom 20.10.2010:
http://www.procado.de/artikel/19813/Abrechnungspraxis-des-Hausaerzteverbandes-Schleswig-Holstein-e.-V.-verstoesst-gegen-Datenschutzvorschriften.html

Quellen:
Gesellschaft für Datenschutz und Datensicherung e.V.
Datenschutz-Praxis
Praxiskommentar Bundesdatenschutzgesetz, November 2009
Merkblatt Datenschutz, Datakontext 2008