Auftragsdatenverarbeitung: Bußgelder drohen bei fehlender oder unzureichender Vereinbarung

Im Unternehmensverkehr werden eine Vielzahl von (personenbezogenen) Daten an zur Aufgabenerledigung beauftragte Unternehmen (auch wenn diese im Konzern – oder Unternehmensverbund organisiert sind) übertragen. In diesen Fällen stellt sich datenschutzrechtlich stets die Frage, ob in diesen Fällen der Auftraggeber oder der Auftragnehmer für die Datenverarbeitung auch datenschutzrechtlich verantwortlich ist. Liegt ein Fall einer so genannten Funktionsübertragung und damit eine „normale“ Datenübermittlung gemäß § 3 Abs. 4 Nr. 3 BDSG vor, muss der Akt der Datenübermittlung datenschutzrechtlich gerechtfertigt werden. Liegt hingegen ein „privilegierter“ Fall einer Datenübermittlung – eine so genannte Auftragsdatenverarbeitung – vor, müssen die Regelungen des § 11 BDSG beachtet werden. Da in Fällen der Auftragsdatenverarbeitung der Auftraggeber für den Datenschutz bei dieser Datenverarbeitung in seinem Auftrag verantwortlich ist, sieht § 11 BDSG eine enge Bindung des Auftragnehmers an den Auftraggeber mittels konkreter Vereinbarungen vor. Eine solche Vereinbarung ist in der Praxis aufgrund der Vielzahl der Anforderungen des § 11 Abs. 2 BDSG nicht trivial, vielmehr fordert § 11 Abs. 2 BDSG folgende Inhalte einer solchen schriftlichen Vereinbarung:

  • der Gegenstand und die Dauer des Auftrags,
  • der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  • die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen,
  • die Berichtigung, Löschung und Sperrung von Daten,
  • die nach § 11 Abs ...
Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK