Folgen einer Auftragsdatenverarbeitung

Folgen einer Auftragsdatenverarbeitung

Wenn eine Auftragsdatenverarbeitung (ADV) zwischen den Vertragspartnern abgeschlossen ist, dann dürfen die erforderlichen personenbezogenen Daten zwischen dem Auftraggeber und Auftragnehmer untereinander ausgetauscht werden.

Es ist allerdings zu beachten:
a. Sorgfältige Auswahl des Auftragnehmers
Kann der Dienstleister die Anforderungen des BDSG erfüllen? Wie sieht es mit der Datensicherheit aus?

b. Schriftlicher Auftrag
Die Vereinbarung muss schriftlich erfolgen; die ADV sollte alle 10 Punkte gemäß §11 Abs. 2 BDSG enthalten:

1. Gegenstand und Dauer des Auftrages
2
. Umfang, Art und Zweck der vorgesehen Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten und der Kreis der Betroffenen
3. §9 BDSG: zu treffende technische und organisatorische Maßnahmen
4. Die Befugnis, die Daten zu berichtigen, zu löschen und zu sperren
5. Datenschutz-Pflichten des Arbeitnehmers, Datengeheimnis und die Bestellung eines Datenschutzbeauftragten
6. Ggf. Berechtigung zur Begründung von Unterauftragsverhältnissen (Subunternehmer)
7. Kontrollrechte des Auftraggebers, Duldungs- und Mitwirkungspflichten seitens Auftragnehmers
8. Mitzuteilende Verstöße des Auftragnehmers gegen Datenschutz-Vorschriften oder gegen die im Auftrag getroffenen Festlegungen
9. Umfang der Weisungsbefugnisse seitens Auftraggeber
10. Rückgabe von Datenträgern und Löschung gespeicherte Daten nach Beendigung des Auftrags.

c. Überprüfung des Auftraggebers vom Auftragnehmer
Der Auftraggeber ist verpflichtet, sich von der Einhaltung der vereinbarten Maßnahmen beim Auftragnehmer zu überzeugen. Dies hat er „vor Beginn der Datenverarbeitung und sodann regelmäßig“ zu tun (§11 Abs. 2 Satz 4 BDSG).
Es gilt: Je sensibler die Daten, desto öfter.

Die Datenschutz-Aufsichtsbehörde kann Bußgelder verhängen, wenn es sich um eine ADV handelt, aber ein fehlerhafter Auftrag vorliegt oder wenn nicht vor Beginn der Datenverarbeitung eine Kontrolle erfolgt ist. Bußgeldhöhe: bis zu 50 000 Euro.