Auftragsdatenverarbeitung (kurz: ADV), im Sinne des BDSG, ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag der verantwortlichen Stelle. § 11 BDSG beschreibt im Detail welche Rechte, Pflichten und Maßnahmen im Einzelnen durch Vertrag zwischen Auftraggeber (verantwortliche Stelle) und Auftragnehmer (Dienstleister) zu treffen sind.
Inhaltsverzeichnis
- Pflichten zur Vertragsgestaltung nach § 11 BDSG
- Beispiele zur Auftragsdatenverarbeitung
- Abgrenzung zur Funktionsübertragung
- Bußgelder
- Best Practice
- Musterverträge
Pflichten zur Vertragsgestaltung nach § 11 BDSG
- Der Auftraggeber bleibt im Falle von ADV voll für die Einhaltung der Bestimmungen des BDSG verantwortlich. Rechte von Betroffenen sind gegen den Auftraggeber geltend zu machen.
- Der Auftragnehmer ist Aufgrund der Tauglichkeit der Sicherheitsvorkehrungen zum Schutz personenbezogener Daten auszuwählen
- Der Auftrag muss schriftlich erteilt werden, wobei mindestens folgende Gegenstände geregelt sein müssen
- Gegenstand und Dauer des Auftrages (um was für eine Dienstleitung handelt es sich und wie lange soll die Dienstleistung andauern)
- Umfang, Art und Zweck der Dienstleistung (Wozu dient die Dienstleistung, welcher Zielerreichung ist sie dienlich, mit welchen Mitteln wird dies erreicht)
- Art der Daten (welche Daten oder Datenkategorien werden verarbeitet, erhoben oder genutzt)
- Kreis der Betroffenen (Wessen personenbezogene Daten werden verarbeitet, z.B. Mitarbeiter oder Kunden des Auftraggebers)
- konkrete Festlegung der zu treffenden technischen und organisatorischen Maßnahmen
- Sicherstellung, dass gewährleistet ist, dass personenbezogene Daten berichtigt, gelöscht oder gesperrt werden können
- Pflichten des Auftragnehmers, insbesondere welche Kontrollen er vorzunehmen hat
- Berechtigung zur Begründung von Unterauftragsverhältnissen
- Kontrollrechte des Auftraggebers
- Duldungs- und Mitwirkungspflichten bei diesen Kontrollen
- Mitteilungspflicht des Auftragnehmers bei Verstößen gegen das BDSG oder den Vertrag
- Weisungsbefugnisse
- Verfahrensweise mit Datenträgern und Unterlagen bei Ende der Dienstleistung
- Kontrollpflicht des Auftraggebers ggü. dem Auftragnehmer vor Vertragsbeginn und regelmäßig während der Laufzeit des Vertrages bzgl. der technischen und organisatorischen Maßnahmen
- Dokumentationspflicht dieser Kontrolle