Auftragsdatenverarbeitung

Auftragsdatenverarbeitung bedeutet, dass ein Dritter den Auftrag erhält, personenbezogene Daten nach genauen Weisungen zu erheben, zu verarbeiten oder zu nutzen.

Während der gesamten Auftragsdauer bleibt die Verantwortung für den Umgang mit den Daten beim Auftraggeber, nicht beim Dienstleister (z. B. Outsourcingpartner).

Rechtsgrundlage:
§ 11 BDSG Vorgaben für die Datenverarbeitung im Auftrag
§ 3 Abs. 7 BDSG verantwortliche Stelle
§ 9 BDSG zu treffende technische und organisatorische Maßnahmen
§ 43 Abs.1 Nr. 2b BDSG Bußgeldvorschriften

Was ist eine Auftragsdatenverarbeitung (ADV)?
Eine ADV liegt vor, wenn folgende Voraussetzungen erfüllt sind (§ 11 BDSG):

  • Auftraggeber und Auftragnehmer sind zwei unterschiedliche verantwortliche Stellen
  • Zwischen Auftraggeber und Auftragnehmer werden personenbezogene Daten ausgetauscht
  • Der Dienstleister erhebt, verarbeitet oder nutzt personenbezogene Daten im Auftrag des Auftraggebers. Dies bedeutet, dass er nicht aus Eigeninteresse mit den Daten arbeitet, sondern er erfüllt einen Auftrag (ist sozusagen der verlängerte Arm des Auftraggebers)
  • Der Dienstleister ist weisungsgebunden, d.h. der Auftraggeber schreibt dem Dienstleister genau vor, wie er mit den Daten umzugehen hat.

Beispiele für ADV: Callcenter, Archivierungsdienstleister, externe IT-Abteilung/Systemadministratoren, etc.

Keine ADV liegt vor, wenn ein Dienstleister nicht weisungsgebunden ist, d. h. der Auftraggeber schreibt ihm nicht das „wie“ der Datenverarbeitung vor (= Funktionsübertragung).
Beispiele für Funktionsübertragung: Steuerberater, Rechtsanwalt, etc.

Die Aufsichtsbehörde kann Bußgelder verhängen, wenn es sich um eine ADV handelt, aber ein fehlerhafter oder nicht schriftlicher Auftrag vorliegt (§ 43 Abs. 1 BDSG).