Auftragsdatenverarbeitung § 11 BDSG

Grundsätzliches: Jedes Unternehmen lässt andere Unternehmen mit den eigenen Daten arbeiten, um bestimmte Tätigkeiten im Auftrag zu erfüllen. Hierbei handelt es sich nicht immer um eine Auftragsdatenverarbeitung, sondern es kommt auch die Funktionsübertragung in Betracht, und diese unterscheiden sich maßgeblich voneinander. Es gibt dabei typische Tätigkeiten, welche generell eine Auftragsdatenverarbeitung darstellen und bestimmte Tätigkeiten, welche dahingehend erst geprüft werden sollten. Eine irrtümlich festgestellte Funktionsübertragung entbindet den Auftraggber nicht von seinen Pflichten im Rahmen einer Auftragsdatenverarbeitung.

Auftragsdatenverarbeitung / Funktionsübertragung

Häufig stellt sich die Frage, was genau ist eigentlich was, und vor allem: Wo liegt der Unterschied?

In vielen Fragen ist dies leicht zu beantworten und auch ohne weiteres aus der Logik der Sache heraus zu erkennen. In einigen Sachverhalten jedoch ist dies tatsächlich nicht leicht zu erkennen und auch nicht immer eindeutig; hier müssen häufig erst diverse Fragen geklärt werden, um dies eindeutig zuzuordnen.

Gibt eine verantwortliche Stelle den Auftrag zur Nutzung, Verarbeitung oder Speicherung von Daten, so handelt es sich um eine Auftragsdatenverarbeitung. Diese Tätigkeiten gehören zu den Pflichten der verantwortlichen Stelle; diese Pflichten werden in diesem Fall von einer anderen Stelle ausgeführt. Selbst wenn die ausführende Stelle hier komplett mit allen Daten in allen Schritten tätig ist, bleibt dies eine Auftragsdatenverarbeitung (Beispiel Lohnbuchhaltung). Eine Auftragsdatenverarbeitung liegt aber auch vor, wenn der Auftrag eine Nutzung, Verarbeitung oder Speicherung von Daten ermöglichen würde, auch wenn dies nicht Teil des Auftrages ist. Als Beispiel wäre hier der IT-Support zu nennen.

Eine Funktionsübertragung erfolgt, wenn eine bestimmte Tätigkeit in der Funktion vollständig abgegeben wird und die verantwortliche Stelle selbst hier nicht die Verantwortung zu tragen hat. Ein einfaches und typisches Beispiel wäre die Zustellung von Post, hier übernimmt die Post die Funktion der Zustellung, und für diese liegt keine Auftragsdatenverarbeitung vor.

Bei der Auftragsdatenverarbeitung übernimmt zwar eine dritte Stelle die Verarbeitung, doch die Verantwortung bleibt beim Auftraggeber, woraus sich auch weitreichende Kontrollrechte, aber auch -pflichten ergeben. Kommt die verantwortliche Stelle diesen Pflichten nicht hinreichend nach, so kann dies ernsthafte Folgen nach sich ziehen. Eine unzureichende Erfüllung dieser Pflichten stellt eine grobe Fahrlässigkeit dar.

Wer Daten im Auftrag verarbeiten lässt, der muss dafür Sorge tragen, dass eine Vereinbarung nach § 11 BDSG geschlossen wird bzw. im nicht europäischen Ausland eine Vereinbarung nach dem EU-Standardvertrag. Darüber hinaus muss die verantwortliche Stelle sich über die Eignung des Auftragnehmers hinreichend kundig machen und diese auch in organisatorischer und technischer Hinsicht prüfen. Diese Vereinbarung und diese Prüfung (Audit) sind dabei nicht einfach Papier, sondern haben durchaus Auswirkungen. Häufig bemängeln Aufsichtsbehörden diese Vereinbarungen; viele solcher Vereinbarungen sind tatsächlich unwirksam, da sie schwerwiegende Mängel aufzeigen.

Die Vereinbarung nach § 11 BDSG ist zwischen der verantwortlichen Stelle und der ausführenden Stelle zu schließen. Auftragsdatenverarbeitungen sind auch innerhalb einer Unternehmung mit mehreren Niederlassungen zwischen den einzelnen Niederlassungen zu schließen. Innerhalb einer Unternehmung bietet sich statt dieser Papierwut auch ein CI zum Datenschutz mit einer Generalvereinbarung zu allen Niederlassungen an, was deutlich die Menge an Vereinbarungen reduziert und den gleichen Zweck erfüllt. Ein häufiger Fehler ist, dass Vereinbarungen zwischen den jeweiligen Hauptniederlassungen geschlossen werden, jedoch nicht zwischen der verantwortlichen und ausführenden Stelle. Dieser Fehler ist leicht zu vermeiden und kann gut korrigiert werden, sollte aber jedem Datenschutzbeauftragten bei Prüfung sofort auffallen.

Der verlängerte Arm: Die ausführende Stelle agiert als Ihr verlängerter Arm. Die Prüf- und Kontrollrechte sind Ihrerseits vorzunehmen; für die Fragen des Datenschutzes ist hier Ihr Datenschutzbeauftragter zuständig, so als wäre die ausführende Stelle Teil Ihrer Unternehmung.

Das Nichtschließen einer Vereinbarung nach § 11 BDSG oder die unzureichende Prüfung und Auswahl eines Auftragnehmers bergen als Risiko bereits derzeit ein Bußgeld von 50.000 €. Dieses Risiko stellt dabei noch die geringste Gefahr dar: Kommt es nun bei der ausführenden Stelle mit ihren Daten zu einem Datenschutzvorfall, so ist hierfür die verantwortliche Stelle haftbar. Wenn Sie also beispielsweise Ihre Lohnbuchhaltung anderweitig abwickeln lassen und auch die Überweisungsinformationen dort mit erfasst sind, könnte es ernsthafte Konsequenzen haben, wenn diese Daten in die falschen Hände geraten und ein Missbrauch stattfindet.

Was passiert bei einem solchen Fall? Ein solcher Fall würde der Aufsichtsbehörde bekannt werden und die Betroffenen wären zu informieren. Da Sie hierfür verantwortlich sind, müssen Sie nun auf Ihre Kosten nach Vorgaben der Aufsichtsbehörde diesen Vorfall veröffentlichen (abhängig von dem Vorfall und der Unternehmung, wenigstens aber in zwei überregionalen Zeitungen). Die Aufsichtsbehörde führt eine Prüfung des Vorfalls durch, Bußgelder oder Strafgelder erfolgen nur dann, wenn Sie Ihre Pflichten nicht oder nicht hinreichend wahrgenommen haben.

Als verantwortliche Stelle sind Sie auch für mögliche Folgen aus diesem Datenschutzvorfall verantwortlich sowie für die Tragung möglicher Schäden. Diese Haftungen variieren aufgrund unterschiedlicher gesetzlicher Auswirken, eine mögliche Haftung basiert hier auf § 7 BDSG. Diese Haftung nach § 7 BDSG tritt bereits bei leichter Fahrlässigkeit ein, eine Beschränkung dieser Haftung sieht das Gesetz nicht vor. Wird also eine leichte oder grobe Fahrlässigkeit festgestellt, so kann jeder Betroffene Sie direkt für materielle und immaterielle Schäden in Anspruch nehmen, wenn seine Daten missbraucht wurden. Sollte tatsächlich ein Missbrauch der Bankdaten stattgefunden haben, so kann dieser Schaden sehr schnell in die Millionen gehen. Eine unzureichende Prüfung des Auftragnehmers wäre eine grobe Fahrlässigkeit und Sie wären hiermit haftbar für die daraus resultierenden Schäden, obgleich Sie selbst diese nicht verursacht haben.

Als Unternehmen werden Sie vermutlich über eine Versicherung verfügen. Wenn Sie nun den Schaden bei Ihrer Versicherung melden, wird diese bei kleinen Schäden vermutlich keine weiteren Prüfungen vollziehen und den Schaden ersetzen, bei größeren Schäden aber sicherlich eine Prüfung vornehmen, bevor Leistungen erfolgen. Kommt die Versicherung nun zu der Erkenntnis, dass eine grobe Fahrlässigkeit vorgelegen hat, so kann die Versicherung die Leistung ganz oder teilweise versagen, da Sie als verantwortliche Stelle Ihren Pflichten nicht hinreichend nachgekommen sind. Der gesamte Schaden kann also direkt bei Ihrer Unternehmung hängen bleiben, ohne die Möglichkeit, dies anderweitig zu kompensieren.

Je nach Vertragsgestaltung werden Sie nun vom eigentlichen Verursacher Schadenersatz geltend machen können. Diese Schäden sind in der Regel begrenzt. Anders sieht dies aus, wenn ihr Auftragnehmer von Ihnen korrekt geprüft wurde und seinerseits einen Unterauftragnehmer mit diesen Tätigkeiten beauftragt hat und hier seinerseits die Prüfungen vernachlässigt hat. In diesem Fall können diese Schäden auch vertraglich nicht begrenzt werden. Ab diesem Punkt wird es nun haftungsrechtlich sehr komplex. Letztendlich würden bis zum letzten Glied in der Kette die Haftungsfragen geprüft werden müssen.

Wie reagieren ihre Kunden? Wird der Fall bekannt, so kann dies zum Verlust aller Kunden führen, und auch neue Kunden werden Sie vermutlich nicht mehr leicht für sich gewinnen können.

Wenn Sie jedoch hier keine Verantwortung trifft, da Sie alles getan haben, um einen solchen Schaden zu vermeiden, so könnten Ihre Kunden Ihnen auch weiterhin ihr Vertrauen schenken.

Der Schaden übersteigt das Firmenvermögen: Die Schäden sind so groß, dass die Firma diese nicht mehr tragen kann - die Insolvenz der Firma wäre die Folge. Was bei normalen finanziellen Schäden das Ende darstellt, ist hier aber nur eine Zwischenetappe. Die verantwortliche Stelle ist hier in vollem Umfang haftbar; dies betrifft auch die Geschäftsleitung bis hin in deren Privatvermögen. Das Haus, das Auto, die Yacht und alle anderen Vermögenswerte sind hiervon folglich nicht geschützt und im schlimmsten Fall verbleibt ein riesiger Schuldenberg, selbst wenn dieses Vermögen verbraucht wurde. Der Weg kann dann auch in die Privatinsolvenz führen.

Fehlerhaftes Audit: Der Vorfall ist nur entstanden, weil Ihr Datenschutzbeauftragter Ihnen grünes Licht zur Auftragsdatenverarbeitung gegeben hat? Bei einem internen betrieblichen Datenschutzbeauftragten hilft Ihnen dies leider wenig, da dieser gesetzlich besonders geschützt ist. Bei einem externen Datenschutzbeauftragten können Sie hier die Fahrlässigkeit anders darstellen und so zu anderen Leistungen der Versicherungen kommen sowie Haftungen beim externen Datenschutzbeauftragten anmelden. Eine einfache Behauptung hierzu genügt aber nicht, diese wäre darzulegen; darüber hinaus wird dieses im Rahmen einer Aufarbeitung durch die Aufsichtsbehörde auch bereits geprüft worden sein.

Die Aufsichtsbehörde wird in einem solchen Fall auch die Vereinbarung nach § 11 BDSG prüfen sowie die Prüfberichte hierzu und ggf. auch die Bestellung des Datenschutzbeauftragten, sowie seine Qualifikation und Nachweise seiner Fachkunde. Nicht jeder ist geeignet, in jedem Unternehmen als Datenschutzbeauftragter bestellt zu werden, die Anforderungen können hier je nach Unternehmen sehr stark voneinander abweichen. Die Aufsichtsbehörde kann hier auch zu dem Schluss kommen, dass der Datenschutzbeauftragte mit dieser Prüfung überfordert war - oder noch schlimmer, dass der Datenschutzbeauftragte unwirksam bestellt wurde, was Ihre Lage dann noch verschlechtern könnte.

Auftragsdatenverarbeitung trotz negativem Audit: Der Datenschutzbeauftragte übt eine beratende Funktion aus, folglich entscheidet dieser nicht abschließend, sondern gibt nur eine Empfehlung ab. Die Empfehlung wird in der Regel durch einen Bericht mit Begründungen gestützt sein. Mögliche Mängel können Sie vor einer Auftragsdatenverarbeitung durch den Auftragnehmer beseitigen lassen,  und bei Nachweis dieser Beseitigung kann auch aus einem negativen Audit ein positives Audit werden. Werden diese Mängel aber nicht beseitigt und wurden diese berechtigt festgestellt, so hat dies negative Auswirkungen zur Fahrlässigkeit. Eine Inanspruchnahme zur Haftung des Datenschutzbeauftragten scheidet hiermit natürlich dann auch aus, da dieser bereits im Rahmen seiner Prüfung zu einem entsprechenden Risiko gelangt war.

Fazit: Gehen Sie bei der Vergabe von Auftragsdatenverarbeitungen besonders sorgsam vor und lassen Sie jeden externen Prozess dahingehend prüfen, ob dieser eine Funktionsübertragung oder eine Auftragsdatenverarbeitung darstellt. Schützen Sie Ihre Daten und damit Ihr Unternehmen durch Audits. Nehmen Sie ein negatives Audit Ihres Datenschutzbeauftragten ernst.

Unser Angebot: Wir unterstützen Sie und Ihren Datenschutzbeauftragten bei der Prüfung von Auftragsdatenverarbeitungen und schaffen so Rechtssicherheit sowie Risikominimierung. Wir prüfen für Sie die vertraglichen, die technischen und die organisatorischen Voraussetzungen der Auftragsdatenverarbeitung. Mögliche Mängel werden wir entsprechend bewerten und zeigen hier auch ggf. Möglichkeiten zum Abstellen dieser Mängel auf.

 

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen Ok Ablehnen