Auftragsdatenverarbeitung (ADV)

Was ist eine Auftragsdatenverarbeitung (ADV)?

Bei dem Outsourcing der Datenverarbeitung personenbezogener Daten ist durch die verantwortliche Stelle zu beurteilen, ob eine Auftragsdatenverarbeitung (ADV) oder eine Funktionsübertragung vorliegt. Eine Auftragsdatenverarbeitung (ADV) liegt vor, wenn eine Datenverarbeitung personenbezogener Daten durch eine andere verantwortliche Stelle im Auftrag erhoben, verarbeitet oder genutzt werden und die andere Stelle dabei den Weisungen des Auftraggebers unterworfen ist. Sie besitzt keine eigene Entscheidungsbefugnis darüber, wie sie mit den Daten umzugehen hat.

Das Datenschutzrecht kennt kein Konzernprivileg zwischen Mutter- und Tochtergesellschaften oder zwischen Schwestergesellschaften. Daher sind auch die Datenflüsse personenbezogener Daten zwischen solchen Gesellschaften nach dem „Kriterienkatalog zur Unterscheidung zwischen Auftragsdatenverarbeitung und Funktionsübertragung“ zu beurteilen.

Das Privileg der Auftragsdatenverarbeitung kann nicht bei Vertragsverhältnissen mit Dienstleistern und Datenverarbeitungen in Drittstaaten angewendet werden. Hier sind die Zulässigkeitsnormen für die Übermittlung personenbezogener Daten in Drittstaaten anzuwenden.

Auf den Seiten des Landesbeauftragten für den Datenschutz Niedersachsen gibt es noch weitergehende Informationen.

Kriterienkatalog zur Unterscheidung zwischen Auftragsdatenverarbeitung und Funktionsübertragung

Die Kriterien zur Unterscheidung zwischen einer Auftragsdatenverarbeitung (ADV) und einer Funktionsübertragung ist nicht im Gesetz geregelt. Stattdessen werden von den Aufsichtsbehörden oder auch der Literatur Kriterienkataloge vorgeschlagen. Alle Kriterienkataloge ähneln sich. Beispielhaft sei hier der Kriterienkatalog des Landesbeauftragten für den Datenschutz Niedersachsen (Landesbeauftragter für den Datenschutz Niedersachsen, Auftragsdatenverarbeitung - Orientierungshilfe und Checkliste).

Kriterien für das Vorliegen einer Auftragsdatenverarbeitung (ADV)

fehlende Entscheidungsbefugnis des Auftragnehmers
weisungsgebundene Unterstützung
fehlende (vertragliche) Beziehung des Auftragnehmers zum Betroffenen
Umgang nur mit Daten, die der Auftraggeber zur Verfügung stellt

Kriterien für das Vorliegen einer Funktionsübertragung

Überlassung von Nutzungsrechten an den Daten
eigenverantwortliche Sicherstellung von Zulässigkeit und Richtigkeit der Daten durch den Dienstleister
Sicherstellen der Rechte von Betroffenen (Benachrichtigungspflicht, Auskunftsanspruch).

Wenn eine Auftragsdatenverarbeitung (ADV) vorliegt, sind die Vorgaben des § 11 BDSG zu beachten.

In der Praxis wird es aber häufig so sein, dass der Anwender eines Kriterienkataloges bei einer Einzelfallprüfung zu keinem eindeutigen Ergebnis kommen wird, ob eine Auftragsdatenverarbeitung (ADV) oder eine Funktionsübertragung vorliegt. Ein solcher Fall ist zum Beispiel die Lohnbuchhaltung.

Sonderfall "Lohnbuchhaltung"

Fälschlicherweise wird aufgrund der einfachen Anwendung des Kriterienkataloges das Outsourcing der Lohnbuchhaltung häufig generell als Auftragsdatenverarbeitung (ADV) qualifiziert. Zur Beurteilung des Sachverhalts im Einzelfall ist bei der Auslagerung der Lohnbuchhaltung zu einem Steuerberater allerdings sein Berufsrecht zu beachten, das klarstellt, dass ein Steuerberater seine berufliche Fachkunde grundsätzlich weisungsfrei ausübt. Dies gilt auch für die Lohnbuchhaltung, auch wenn die Lohnabrechnung in §§ 1 und 5 StBerG nicht explizit genannt wird. Eine Beauftragung des Steuerberaters im Rahmen einer Auftragsdatenverarbeitung stünde hier im Konflikt mit den einschlägigen berufsrechtlichen Regelungen.

Eine ausführliche Besprechung dieses Sachverhalts kann nachgelesen werden bei Kramer, BvD-News 1/2013, S. 20 ff. Ebenso Kirsch, "Auftragsdatenverarbeitung durch Steuerberater?", ZD-Aktuell 2012, 03047 und Oetterich, "Keine Auftragsdatenverarbeitung bei Übernahme der Lohn- und Gehaltsabrechnung durch Steuerberater", DStR 2012, 1771.

Sonderfall Wartung und Prüfung von automatisierten Verarbeitungen (§ 11 Abs. 5 BDSG)

Grundsätzlich liegt bei der Wartung oder Prüfung von EDV durch Dienstleister eine Auftragsdatenverarbeitung (ADV) vor, wenn eine Kenntnisnahmemöglichkeit personenbezogener Daten durch den Auftragnehmer nicht ausgeschlossen werden kann und kein Drittlandssachverhalt vorliegt.

§ 11 Abs. 5 BDSG: „Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.“

zurück zur Übersicht

Sorgfältige Auswahl des Auftragnehmers

Bevor ein Vertrag zur Auftragsdatenverarbeitung (ADV) zwischen Auftraggeber und Auftragnehmer geschlossen werden kann, muss der Auftragnehmer sorgfältig durch den Auftraggeber ausgewählt werden. Das bedeutet, dass das Datenschutzniveau, also die Maßnahmen der Informationssicherheit zum Schutz der personenbezogenen Daten des Auftraggebers, angemessen sind. Anders ausgedrückt ist zu prüfen, ob die technisch-organisatorischen Maßnahmen (§ 9 BDSG) des Auftragnehmers angemessen sind.

Vertragliche Anforderungen an die Auftragsdatenverarbeitung (ADV)

Bei Vorliegen einer Auftragsdatenverarbeitung (ADV) muss zwingend auch ein Vertrag zur Auftragsdatenverarbeitung geschlossen werden. Der Gesetzgeber stellt an Verträge zur Auftragsdatenverarbeitung hohe Anforderungen. Diese Anforderungen sind in § 11 Abs. 2 Satz 2 BDSG konkretisiert:

„Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:

1. der Gegenstand und die Dauer des Auftrags,

2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,

3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,

4. die Berichtigung, Löschung und Sperrung von Daten,

5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,

6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,

7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,

8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,

9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,

10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.“

Aufgrund der hohen Anforderungen an den Inhalt des Vertrages zur Auftragsdatenverarbeitung (ADV), empfiehlt es sich als Ausgangsbasis auf Musterverträge zur Auftragsdatenverarbeitung (ADV) zurückzugreifen.

Musterverträge zur Auftragsdatenverarbeitung

Im Internet können verschiedene Musterverträge zur Auftragsdatenverarbeitung (ADV) kostenlos abgerufen werden. So haben z. B. die Aufsichtsbehörden für nicht-öffentliche Stellen einen Mustervertrag erarbeitet (Regierungspräsidium Darmstadt, Dezernat Datenschutz, „Mustervereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach § 11 BDSG").
Alternativ können auch Musterverträge der Gesellschaft für Datenschutz und Datensicherheit e.V. oder der BITKOM kostenlos heruntergeladen und verwendet werden. Bei diesen beiden Vertragsmustern ist die Besonderheit, dass sie auch in englischer Sprache zur Verfügung stehen.

Regelmäßige Kontrolle des Auftragnehmers

Außerdem muss der Auftraggeber den Auftragnehmer auf die Einhaltung dieser Vorgaben kontrollieren und die Kontrolle schriftlich dokumentieren. Ein Prüfungsintervall oder auch das Prüfverfahren werden durch den Gesetzgeber explizit nicht vorgeschrieben.

Beendigung des Vertragsverhältnisses

Bei Beendigung der Auftragsdatenverarbeitung sollte unbedingt darauf geachtet werden, dass alle personenbezogenen Daten, die der Auftraggeber im Rahmen der Auftragsdatenverarbeitung dem Auftragnehmer zur Verfügung gestellt hat, an den Auftraggeber zurückgegeben oder – sofern möglich – datenschutzkonform gelöscht werden.