11. Januar 2010 - Auftragsdatenverarbeitung

Auftragsdatenverarbeitung: Häufiger als man denkt

Ein Papier der Datenschutzbeauftragten des Bundes und der Länder zur Auftragsdatenverarbeitung vom Februar letzten Jahres sollte die ausufernde Anwendung des § 11 BDSG eingrenzen. Allerdings ist das Papier, das für mehr Klarheit sorgen will, fast genauso unverständlich wie die bisherige Diskussion um Auftragsdatenverarbeitung versus Funktionsübertragung. Wie bekommt man nun Licht ins Dunkel?

auftragsdatenverarbeitung-haufiger-als-man-denkt.jpeg
Die Beschränkung der Auftragsdatenverarbeitung auf technische Datenverarbeitung ist unzulässig und vom Gesetz nicht gedeckt (Bild: Harald Wanetschka / Pixelio)

Wesentlich ist eine Aussage ganz am Ende des zehnseitigen Papiers: „Die Auslegung des § 11 BDSG (bzw. vergleichbarer Landesregelungen) ergibt, dass dieser ausschließlich die Übertragung der Datenverarbeitung im technischen Sinne auf einen Dritten regelt und nicht Rechtsgrundlage für eine inhaltliche Aufgabenübertragung sein kann.“

Auftragsdatenverarbeitung umfasst JEDEN Umgang mit Daten im Auftrag

Die Beschränkung auf technische Datenverarbeitung ist unzulässig und vom Gesetz nicht gedeckt. Nach § 11 BDSG gilt nicht nur die EDV-mäßige Verarbeitung als Auftragsdatenverarbeitung, sondern ebenso die Datenerhebung und -nutzung im Auftrag.

Lesen Sie hier, was beim Thema Datenschutz und Funktionsübertragung gilt.

Der Begriff „Auftragsdatenverarbeitung“ ist ungenau

Der Begriff Auftragsdatenverarbeitung ist also – zumindest im BDSG – ungenau. Streng genommen müsste man von Umgang mit Daten im Auftrag sprechen.

Zudem gilt bei dem in § 11 BDSG verwendeten Begriff des Verarbeitens die für das ganze BDSG charakteristische technikoffene bzw. nicht auf rein technische Verfahren beschränkte Sichtweise (vgl. § 3 Abs. 4 BDSG: „ungeachtet der dabei angewendeten Verfahren“).

Im neuen § 11 BDSG heißt es zwar, dass sich der Auftraggeber vor Beginn der „Datenverarbeitung“ von der Einhaltung der beim Auftragnehmer getroffenen Schutzmaßnahmen zu überzeugen hat. Aber auch hier gilt – in Anbetracht des Regelungszusammenhangs und des Schutzzweckes der Norm – der umfassende Datenverarbeitungsbegriff, der das Erheben und Nutzen mit umfasst.

Vom Zweck unabhängig

Zuzustimmen ist aber, dass die Auftragsdatenverarbeitung „keine inhaltliche Aufgabenübertragung“ ist. Sie ist unabhängig vom Zweck des Vertrags. Relevant ist allein, dass in Verbindung mit der Erreichung eines beliebigen Zwecks datenschutzrechtlich geschützte Daten erhoben, verarbeitet oder sonstwie genutzt werden.

Auch bei bereichsspezifischen Regelungen

Wo bereichsspezifische Datenschutzregelungen zur Anwendung kommen (z.B. TKG, TMG, PDSV), gelten grundsätzlich die Regelungen zur Auftragsdatenverarbeitung nach § 11 BDSG. Dabei braucht das Spezialgesetz nicht auf das BDSG als Lückenfüller zu verweisen. Die Regelungen des § 11 BDSG gelten nur dann nicht, wenn und soweit im Spezialgesetz die Auftragsdatenverarbeitung anders geregelt ist (Tatbestandskongruenz) oder aber explizit ausgeschlossen ist.

Auftragsdatenverarbeitung findet in mehr Bereichen statt, als man denkt

So sind neben den allgemein bekannten Beispielen auch die Beauftragung eines Postdienstleisters mit der Postzustellung, eines Telekommunikationsunternehmens mit der Herstellung von Telefonverbindungen oder einer Bank im Rahmen des Lastschrifteinzugsverfahrens Formen der Auftragsdatenverarbeitung, sofern der Auftraggeber eine verantwortliche Stelle ist und datenschutzrechtlich geschützte Daten (wie Empfängeradresse, Telefonnummer, Kontoverbindung) genutzt werden.

Download: Checkliste Auftragsdatenverarbeitung

Mit der BDSG-Novelle II wurde § 11 zur Auftragsdatenverarbeitung ausführlicher gefasst und erweitert. Zu beachten ist aber, dass die Aufzählung im neuen § 11 BDSG nicht abschließend ist. Die dort genannten Punkte geben nur beispielhaft vor, was vertraglich zu regeln ist. Die Liste stellt Mindestanforderungen dar („insbesondere“). Prüfen Sie daher eingehend, welche weiteren für Ihre konkreten Vertragsverhältnisse wesentlichen Materien zu regeln sind. Die folgende Checkliste kann Ihnen dafür Anhaltspunkte liefern. Brauchen Sie zu einem der in § 11 BDSG vorgegebenen Punkte keine Regelung zu treffen, dann halten Sie dies mit einer entsprechenden Begründung im Vertrag fest. So können Sie bei einer späteren Prüfung belegen, dass Sie nichts übersehen haben.

Manuel Cebulla, LL.M

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln