Datenverarbeitung im Auftrag

Datenverarbeitung im Auftrag 2016-12-08T21:50:36+00:00

Datenverarbeitung im Auftrag

Durch die fortschreitende Technisierung aller Berufe ist es heutzutage fast unmöglich für ein Unternehmen gänzlich ohne externe Dienstleister auszukommen.
Das gilt nicht nur für Unternehmen in Branchen, die sich erst durch das Internet entwickeln konnten, sondern mittlerweile auch für alle „klassischen“ Bereiche. Nahezu jedes Unternehmen hat heutzutage Webseiten, (Kunden-)Datenbanken oder Cloud-Dienste (z. B. Dropbox, Microsoft Office 365, etc.) für verschiedenste Zwecke im Einsatz.

Sofern mit diesen Technologien personenbezogene Daten verarbeitet und zur Bereitstellung dieser Dienste externe Dienstleister in Anspruch genommen werden, liegt eine sogenannte Datenverarbeitung im Auftrag vor, die datenschutzrechtlich mittels einer Zusatzvereinbarung abgesichert werden muss.

Diese Zusatzvereinbarung muss nicht nur die im BDSG ausdrücklich aufgeführten Regelungspunkte enthalten, sondern auch eine Übersicht der konkret im Unternehmen vorliegenden technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten des beauftragten Dienstleisters.

Im Umkehrschluss trifft Sie die Pflicht zur Schließung einer Zusatzvereinbarung zur Datenverarbeitung im Auftrag auch, wenn Sie als Dienstleister personenbezogene Daten für Kunden verarbeiten.

Was ist bei einer Datenverarbeitung im Auftrag zu regeln?

Die Regelungspunkte, die eine solche Zusatzvereinbarung zur Datenverarbeitung im Auftrag zwingend enthalten muss sind in § 11 BDSG ausdrücklich erwähnt und sind im Einzelnen:

  • Gegenstand und Dauer der Auftragsdatenverarbeitung
  • Umfang, Art und Zweck der Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen
  • Die technischen und organisatorischen Maßnahmen des verarbeitenden Dienstleisters
  • Berichtigung, Löschung und Sperrung von Daten
  • Bestehende Pflichten des Dienstleisters, insbesondere vorzunehmende Kontrollen
  • Berechtigung zur Beauftragung von Subunternehmern
  • Kontrollrechte des Auftraggebers
  • Mitzuteilende Verstöße des Auftragnehmers gegen Vorschriften des Datenschutzes
  • Umfang der Weisungsbefugnisse des Auftraggebers
  • Rückgabe überlassener Daten nach Beendigung der Auftragsdatenverarbeitung

Technische und organisatorische Maßnahmen

Darüber hinaus muss eine Übersicht der technischen und organisatorischen Maßnahmendes beauftragten Unternehmen Teil der Zusatzvereinbarung sein.
Die Übersicht muss dabei zwingend Informationen zu den folgenden Punkten enthalten:

  • Zutrittskontrolle:
    Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
  • Zugangskontrolle:
    Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
  • Zugriffskontrolle:
    Maßnahmen, die geeignet sind zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
  • Weitergabekontrolle:
    Maßnahmen, die geeignet sind zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
  • Eingabekontrolle:
    Maßnahmen, die geeignet sind zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
  • Auftragskontrolle:
    Maßnahmen, die geeignet sind zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
  • Verfügbarkeitskontrolle:
    Maßnahmen, die geeignet sind zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
  • Trennungsgebot:
    Maßnahmen, die geeignet sind zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Diese Übersicht kann nicht pauschal erstellt werden, da sie die tatsächlichen Gegebenheiten bei dem mit der Verarbeitung von personenbezogenen Daten beauftragten Dienstleister wiedergeben müssen.

In der Vergangenheit sind bereits hohe Bußgelder durch Behörden gegen Unternehmen verhängt worden, die Daten im Auftrag verarbeiten ließen und dabei die Übersicht der technischen und organisatorischen Maßnahmen des beauftragten Unternehmens nicht den rechtlichen Anforderungen genügten.
Somit ist nicht nur die Kontrolle der Zusatzvereinbarung selbst, sondern auch die Prüfung der technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten Ihres Dienstleisters unabdingbar um mögliche Bußgelder zu verhindern.

Zusatzvereinbarungen nicht nur bei Datenverarbeitung im Auftrag

Doch nicht nur bei einer Datenverarbeitung im Auftrag sind alle oben genannten Punkte zu regeln, sondern auch, wenn lediglich die Möglichkeit besteht, wenn auch nur zufällig Kenntnis von personenbezogenen Daten Ihres Kunden zu nehmen.
Wichtig wird dies vor allem z. B. bei Wartungsverträgen zu Softwareprodukten oder Multifunktionsgeräten mit externen Dienstleistern.
Hier steht nicht die Verarbeitung von personenbezogenen Daten im Vordergrund, dennoch ist es oftmals nicht ausgeschlossen, dass Mitarbeiter des mit der Wartung beauftragten Unternehmens personenbezogene Daten zur Kenntnis nehmen könnten.

Die Kontrolle der Einhaltung aller oben genannter Punkte beim Auftragnehmer kann durch das Unternehmen, das Daten im Auftrag verarbeiten lässt, selbst oder durch  unabhängige Dritte erfolgen.

Was können wir für Sie tun?

Wir unterstützen Sie nicht nur bei der Erstellung von Vereinbarungen zur Datenverarbeitung im Auftrag, sondern prüfen für Sie auch bereits bestehende und besprechen mit Ihnen gegebenenfalls das weitere Vorgehen.

Falls Sie als Dienstleister personenbezogene Daten für Ihre Kunden verarbeiten erstellen wir mit Ihnen die rechtlich geforderte Übersicht der technischen und organisatorischen Maßnahmen und prüfen die vom jeweiligen Kunden vorgelegten Zusatzvereinbarungen auf besondere Nachteile für Ihr Unternehmen.

Wir beraten Sie gern

Wie Sie sehen haben es Auftragsdatenverarbeitungsverhältnisse in sich und beinhalten viele mögliche Fehlerquellen. Gleichzeitig bergen fehlerhafte Vereinbarungen ein nicht zu unterschätzendes Bußgeldpotential.

Falls Sie weitere Fragen zu diesem Thema haben stellen Sie einfach eine Anfrage an uns und Sie erhalten eine kostenfreie Ersteinschätzung.

Kanzlei Wetzel kontaktieren