Was Unternehmen jetzt beachten müssen

10 Tipps zur Auftragsdatenverarbeitung

Christian Volkmer, geschäftsführender Gesellschafter von Projekt 29 gibt mit zehn Tipps Hilfestellung, wann und wie ein Vertrag zur Auftragsdatenverarbeitung von Unternehmen vergeben werden muss, wenn externe Dienstleister eingesetzt werden.

Für viele Firmen ist es jetzt höchste Zeit, etwas für den aktiven Datenschutz zu tun. Der Grund: Die Kontrollen der Aufsichtsbehörden nehmen ständig zu und auch Verbraucher sowie Geschäftspartner sind immer stärker sensibilisiert. Da ist es nicht mehr zeitgemäß, dass in deutschen Unternehmen die Einhaltung von Datenschutzvorschriften oft nicht den notwendigen Stellenwert einnimmt. Immer wieder kommt die Frage auf, ob mit einem externen Dienstleister ein Auftragsdatenverarbeitungsvertrag (ADV-Vertrag) abgeschlossen werden muss. Und das liegt häufig schlicht daran, dass vielen Unternehmen nicht klar ist, was genau personenbezogene Daten sind.

1. Klarmachen, was personenbezogene Daten sind: Die Definition im Datenschutzrecht lautet: „Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“ (§ 3 Abs. 1 BDSG). Grundsätzlich ist es verboten, personenbezogene Daten zu erheben, zu verarbeiten und zu nutzen. Nur wenn eine Einwilligung der betroffenen Person vorliegt oder ein übergeordnetes Gesetz eine Erlaubnis darstellen kann, wird der Erlaubnisvorbehalt als gegeben angesehen – und nur dann können die Daten genutzt werden.

2. Funktionsübertragung und Auftragsdatenverarbeitung unterscheiden:
Bei der Funktionsübertragung an einen Dienstleister ist der Auftraggeber nicht in der Lage, dem Dienstleister Anweisungen oder Vorgaben zur Auftragsdurchführung zu geben. Dies ist in der Regel zum Beispiel bei Steuerberatern, Anwälten oder Betriebsärzten der Fall, die besondere Rechte und Pflichten genießen. In anderen Fällen, beispielsweise bei der EDV-Wartung, handelt es sich um den Fall einer Auftragsdatenverarbeitung, und es muss ein ADV-Vertrag zwischen dem eigenen Unternehmen und dem Dienstleister geschlossen werden.

3. Falls eine externe Personalberatungsfirma nach neuen Mitarbeitern sucht, gilt es, im Einzelfall zu prüfen, ob einen ADV-Vertrag mit ihr abgeschloßen werden muss. Es handelt sich um ADV, wenn die Firma die Bewerbungen sammelt, vorsortiert und weiterleitet. Wenn die Firma aber in Eigenverantwortung bereits eine Vorauswahl trifft, so handelt es sich um eine Funktionsübertragung und es muss kein Vertrag geschlossen werden. Die Personalberatungsfirma muss in jedem Fall die Bewerber darauf hinweisen, dass ihre Daten weitergegeben werden. Das ist dann aber deren eigene Verantwortung.

4. Ein Verzeichnis der Verfahren erstellen, mit denen personenbezogenen Daten organisiert werden: Setzt ein Unternehmen ein Verfahren, in dem personenbezogene Daten verarbeitet werden, in Gang, besteht eine Meldepflicht an die Aufsichtsbehörde – noch vor Inbetriebnahme des Verfahrens. Sobald mindestens neun Personen regelmäßig auf personenbezogene Daten zugreifen, besteht die Pflicht, einen Datenschutzbeauftragten (DSB) einzusetzen. In diesem Zusammenhang entfällt die Meldepflicht gegenüber der Behörde. Alle Verfahren im Unternehmen müssen dann dem Datenschutzbeauftragten gemeldet werden.

5. Für die Frage, ob ein ADV-Vertrag abzuschließen ist oder nicht, ist sowohl der Umfang als auch die Dauer der Zusammenarbeit unerheblich. Auch bei einmaliger Beauftragung muss ein Vertrag geschlossen werden.

6. Das IT-Outsourcing, also das komplette Organisieren der EDV durch einen externen Dienstleister, bedarf immer eines ADV-Vertrages. Entscheidend ist dort der stets mögliche Zugriff auf datenverarbeitende Systeme, die personenbezogene Daten enthalten.

7. Auch für die EDV-Wartung muss regelmäßig ein immer aktueller ADV-Vertrag abgeschlossen sein. Der Grund dafür liegt darin, dass fast nie ausgeschlossen werden kann, dass der externe Dienstleister beiläufig auch in Kontakt mit personenbezogenen Daten kommen kann.

8.  Wie die Form des ADV-Vertrages aussehen muss, regelt das Gesetz nicht. Unternehmen sind frei, ihn als eigenständiges Dokument, als Teil eines Vertragswerks oder als Anlage zu einem Vertrag zu gestalten. Das Gesetz schreibt aber vor, dass neben grundlegenden Verabredungen auch technische und organisatorische Maßnahmen (TOM) konkret benannt werden (§ 11 BDSG). Die TOMs regeln verschiedene Arten, wie die Zugänge zu den Daten erlaubt werden oder nicht. Solche Kontrollmöglichkeiten heißen Zutrittskontrolle, Zugangskontrolle oder auch die Weitergabekontrolle. Wichtig ist es, dass der Vertrag konkrete Handlungsanweisungen benennt – und nicht abstrakt formuliert ist, weil dann deren Einhaltung ungeklärt bleibt.

9. Generell muss ein ADV-Vertrag in jedem Falle mit dem Dienstleister für beide Seiten Klarheit und Eindeutigkeit schaffen. Bei Unsicherheiten, ob alles Notwendige im ADV-Vertrag bedacht wurde, kann eine Checkliste helfen. Hier finden Sie eine Orientierungshilfe, was alles im Vertrag konkret geregelt sein muss.

10. Eigenen Mitarbeitern den Raum zu bieten, problematische interne Vorgänge anzugeben, nennt man Whistleblowing. Wenn Unternehmen ein Whistleblowing-System verwenden, das aber von einem externen Dienstleister betrieben wird, so müssen sie an einen ADV-Vertrag mit ihm denken. Da im Whistleblowing-System das Gebot, seine Meldungen transparent einzureichen, eingehalten werden soll, ist es wichtig, den Umgang mit personenbezogenen Daten auch in diesem Bereich zu regeln. Wird dieses Verfahren – das Whistleblowing – einem Dritten übertragen, muss neben dem Abschluss des ADV-Vertrags ebenfalls daran gedacht werden, den Betriebsrat zu beteiligen. Derjenige, der das Whistleblowing nutzt, gibt damit auch Daten über sich an, deren Verwendung mit dem Betriebsrat geregelt sein muss.

Bildquelle: Thinkstock / iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok