Auftragsdatenverarbeitung in der Praxis - Antworten auf die vier wichtigsten Fragen

02.05.2016 von

Als Referenten der Bitkom Akademie geben wir regelmäßig Webinare zum Thema Datenschutz. Dabei kommen sehr häufig Fragen dazu auf, was bei der Verarbeitung von Auftragsdaten beachtet werden muss. Die Bitkom-Referenten haben die häufigsten Fragen rund um das Thema Auftragsdatenverarbeitung gebündelt und kompakt beantwortet.

1. Welche Druckmittel hat ein Auftraggeber gegenüber dem Auftragnehmer, um eine Vereinbarung zur Auftragsdatenverarbeitung abzuschließen (die Datenverarbeitung findet bereits statt)?

Rechtlich gesehen gibt es dafür keine Druckmittel. Bei bestehenden Vertragsverhältnissen bleibt einem Auftraggeber nur die Option, mit der Kündigung seines Dienstleisters zu drohen.
Die Vereinbarung zur Auftragsdatenverarbeitung muss mit Beginn der Zusammenarbeit zwischen Unternehmen und dem daraus folgenden Datenaustausch, geschlossen sein. Sollte der Auftragnehmer sich weigern, sich zu einer Vereinbarung zur Auftragsdatenverarbeitung zu einigen, muss der Datenaustausch gestoppt werden, da dieser ohnehin unzulässig ist. Eine unzulässige Datenübermittlung kann durch die Aufsichtsbehörde geahndet werden.

2. Kann ich mehrere Arten der Datenverarbeitung in einer Vereinbarung zur Auftragsdatenverarbeitung zusammenfassen?

Ja, mehrere ähnliche Gegenstände einer Auftragsdatenverarbeitung mit dem gleichen Auftragnehmer können in einer Vereinbarung zur Auftragsdatenverarbeitung aufgeführt werden. Hierfür eignet sich das kostenlose Bitkom-Muster als Vertragsvorlage. Unter „§ 1 Gegenstand, Dauer und Spezifizierung der Auftragsdatenverarbeitung“ können die einzelnen Gegenstände genauer definiert werden. 
In stark unterschiedlichen Auftragsszenarien sollten dennoch verschiedene Verträge erstellt werden, z.B. wenn es verschiedene Laufzeiten gibt, die zugrundeliegenden technischen und organisatorischen Maßnahmen besonders gewählt werden müssen oder wenn an eine fehlerhafte Verarbeitung Vertragsstrafen geknüpft werden.

3. Gibt es beim Datentransfer in einem internationalen Konzern besondere Vorgaben zu beachten?

Ja, das Bundesdatenschutzgesetz kennt kein Konzernprivileg. Sollte ein Unternehmen mit Firmensitz in Deutschland personenbezogene Daten an eine Konzerntochter/-mutter übermitteln, müssen die Datenschutzgesetze eingehalten werden. Verbundene Unternehmen innerhalb der EU/EWR müssen eine Vereinbarung zur Auftragsdatenverarbeitung abschließen. Bei dem Transfer an Konzernunternehmen außerhalb der EU/EWR muss hingegen mindestens ein angemessenes Datenschutzniveau sichergestellt sein. Ein solches hat die EU-Kommission für bestimmte Staaten  festgestellt. Mehr zum Thema finden Interessenten unter: http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm
Sollten Daten in andere Staaten, übermittelt werden, bei denen das Datenschutzniveau nicht angemessen geregelt ist, sollten mindestens EU-Standardvertragsklauseln abgeschlossen werden. Alternativ bieten sich auch Binding Corporate Rules als verbindliches Datenschutzregelwerk im Konzernverbund an. 

4. Welche Risiken entstehen Unternehmen, wenn sie keine Vereinbarung zur Auftragsdatenverarbeitung mit einem Auftragnehmer abgeschlossen haben?

Letztlich hat das Unternehmensmanagement keine Hoheit mehr über die bereitgestellten personenbezogenen Daten. Ohne schriftliche Vereinbarungen wäre es möglich, dass der Auftragnehmer den Weisungen nicht Folge leistet. Das betreffende Unternehmen kann seine Datenschutzpflichten somit nicht mehr erfüllen: Auskunft erteilen gegenüber Betroffenen oder Löschung und Sperrung personenbezogener Daten erwirken. 

Fazit:

Sofern Vereinbarungen zur Auftragsdatenverarbeitung fehlen, kann dies mit einem Bußgeld geahndet werden. Die Aufsichtsbehörden fragen dazu bei Unternehmen gezielt nach. Für Unternehmen ist es daher unumgänglich, fehlende Vereinbarungen zügig nachzuverhandeln.

Das nächste Webinar „Auftragsdatenvereinbarung in der Praxis“ findet am 12. Mai 2016 statt. Hier geht es zur Anmeldung.  

Neuen Kommentar schreiben

CAPTCHA
Um Bot-generierten Kommentaren vorzubeugen, bitten wir Sie, dieses Captcha zu lösen.
4 + 14 =
Solve this simple math problem and enter the result. E.g. for 1+3, enter 4.