Bundesamt für Sicherheit in der Informationstechnik

M 2.511 Regelung der Auftragsdatenverarbeitung bei der Verarbeitung personenbezogener Daten

Verantwortlich für Initiierung: Datenschutzbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Datenschutzbeauftragter, Fachverantwortliche

Werden personenbezogene Daten im Auftrag verarbeitet, bleibt der Auftraggeber für die Einhaltung der Gesetze und Vorschriften über den Datenschutz verantwortlich. Er hat den Auftragnehmer sorgfältig auszuwählen.

Der Auftrag ist im Rahmen der gesetzlichen Vorgaben schriftlich zu erteilen und etwaige Unterauftragsverhältnisse sind festzulegen (§ 11 BDSG ). In einigen Bereichen sind zusätzliche gesetzliche Regelungen zu beachten, z. B. Krankenhausgesetze der Länder.

Je nachdem, wie schutzbedürftig die personenbezogenen Daten sind, die im Auftrag verarbeitet werden sollen, sind die Anforderungen an den Vertrag mit dem Auftragnehmer zu stellen: Je schutzbedürftiger, umso enger und präziser der Auftrag. Bei besonders sensiblen Verarbeitungen kann sich eine Vergabe an Außenstehende verbieten (z. B. Fahndungsdaten).

Auftragnehmer müssen sicherstellen, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden. Unterauftragsverhältnisse unterliegen der Zustimmung des Auftraggebers.

Wenn der Auftragnehmer keine öffentliche Stelle ist, sind die mit der Verarbeitung personenbezogener Daten beschäftigten Personen bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten.

Bei Sozialdaten sind die Regelungen des Sozialgesetzbuches (SGB) zu beachten. Die Verarbeitung personenbezogener Daten im Auftrag durch nicht-öffentliche Stellen ist nur zulässig, wenn anders Störungen im Betriebsablauf auftreten können oder Teilvorgänge der automatischen Datenverarbeitung hierdurch erheblich kostengünstiger besorgt werden können und der Auftrag nicht die Speicherung des gesamten Datenbestandes des Auftraggebers umfass (§ 80 Abs. 5 SGB X). Bei den Aufsichtsbehörden haben die erforderlichen Anzeigen zu erfolgen.

Der Auftraggeber und gegebenenfalls der zuständige Datenschutzbeauftragte haben ein jederzeitiges Kontrollrecht.

Prüffragen:

  • Wurden bei der Vertragsgestaltung zur Auftragsdatenverarbeitung, bei der personenbezogene Daten verarbeitet werden, alle relevanten Datenschutz-Aspekte berücksichtigt?

  • Ist sichergestellt, dass externe Dienstleister die Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden?

  • Wurden auch beim Auftragnehmer alle Mitarbeiter bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis verpflichtet?

Stand: 13. EL Stand 2013