Montag, 5. Oktober 2015

Auftragsdatenverarbeitung ohne korrekte ADV-Vereinbarung kann teuer werden

Das Bayrische Landesamt für Datenschutz (BayLDA) verhängte laut eigenen Angaben vom 20.08.2015 erstmals ein Bußgeld in fünfstelliger Höhe gegen einen Auftraggeber, der Auftragnehmer mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt hatte, ohne mit diesen gemäß § 11 BDSG hinreichende Vereinbarungen zur Auftragsdatenverarbeitung zu treffen. Speziell die Festlegung konkreter (!) technischer und organisatorischer Maßnahmen (TOM) wurde vernachlässigt (vgl. § 11 (1) Abs. 3 BDSG).


Das betroffene und nun abgestrafte Unternehmen hatte stattdessen nur pauschale Aussagen und Wiederholungen des Gesetzestextes in die Vereinbarungen mit den Auftragnehmern geschrieben. Dies reicht laut dem BayLDA keinesfalls aus. Denn der Auftraggeber ist und bleibt für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz auch in Fällen einer Auftragsdatenverarbeitung verantwortlich.

Auftragsdatenverarbeitung ohne korrekte schriftliche Vereinbarung kann teuer werden


Als Datenschutzbeauftragte bekommen wir aber nicht selten genau diese pauschalen Aussagen und Wiederholungen aus dem Gesetzestext statt konkreter technischer und organisatorischer Maßnahmen zu lesen, wenn wir eine Vereinbarung zur Auftragsdatenverarbeitung schließen wollen. Wenn ich dann konkrete Maßnahmen einfordere, höre ich nicht selten, ich wäre der erste Datenschutzbeauftragte, der sich mit dem "Standard" nicht zufrieden geben möchte.

Aber ganz ehrlich: Wie will ein Auftraggeber seiner gesetzlich auferlegten Datenschutz-Verantwortung nachkommen, wenn er die konkreten technischen und organisatorischen Maßnahmen des Auftragnehmers nicht kennt und daher auch nicht überprüft. Wie kann er dann wissen, ob sein ausgewählter Dienstleister überhaupt in der Lage ist, für Sicherheit und Schutz der Daten zu sorgen - die in seinem Verantwortungsbereich liegen?

Der Datenschutzbeauftragte des Auftraggebers muss sich gemäß Anlage zu § 9 BDSG über die Verhältnisse der

  • Zutrittskontrolle,
  • Zugangskontrolle,
  • Zugriffskontrolle, 
  • Weitergabekontrolle,
  • Eingabekontrolle,
  • Auftragskontrolle,
  • Verfügbarkeitskontrolle und
  • Trennungsgebot

beim Auftragnehmer ein Bild machen - z.B. durch Kontaktaufnahme mit dem Datenschutzbeauftragten des Auftragnehmers. Falls notwendig muss er auch für die Einführung weiterer geeigneter technisch-organisatorischer Maßnahmen sorgen. Gibt es auf Seiten des Auftragnehmers keinen Datenschutzbeauftragten, wird der Datenschutzbeauftragte des Auftraggebers auch diese Arbeiten durchführen müssen.

Der Auftraggeber muss eine dem § 11 BDSG entsprechende Vereinbarung schließen. Die Haftung bleibt bei ihm, solange sich der Auftragnehmer wie vereinbart verhält. Der Auftraggeber wird auch die Kosten dieser Tätigkeiten seines Datenschutzbeauftragten sowohl beim Auftraggeber als auch beim Auftragnehmer tragen müssen. Es ist aber denkbar, diese zumindest teilweise an den Auftragnehmer weiter zu reichen.

Typische Fälle von Auftragsdatenverarbeitung


Auftragsdatenverarbeitung sind laut dem BayLDA regelmäßig z. B. folgende Dienstleistungen:

  • die edv-technischen Arbeiten für die Lohn- und Gehaltsabrechnungen oder die Finanzbuchhaltung,
  • Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing,
  • die Werbeadressenverarbeitung in einem Lettershop,
  • die Kontaktdatenerhebung durch ein Callcenter,
  • die Auslagerung eines Teils des eigenen Telekommunikationsanlagenbetriebs (soweit nicht TKG),
  • die Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten,
  • die Datenerfassung, die Datenkonvertierung oder das Einscannen von Dokumenten,
  • die Backup-Sicherheitsspeicherung und andere Archivierungen,
  • die Datenträgerentsorgung, 
  • usw.


Diese Liste erhebt keinen Anspruch auf Vollständigkeit.

Was Sie als Auftraggeber jetzt tun sollten


Sie sind laut § 11 BDSG in der Pflicht, eine hinreichende schriftliche Vereinbarung mit allen Auftragsdatenverarbeitern zu schließen. Falls Sie das nicht tun, zahlen Sie gegebenenfalls das Bußgeld. Falls noch nicht geschehen, sollten Sie jetzt eine Liste Ihrer Auftragsdatenverarbeiter aufstellen. Auf Anfrage liefern wir Ihnen gerne ein kostenloses Muster einer solchen Liste der Auftragsdatenverarbeiter. Danach sollten Sie überprüfen, mit welchen der in der Liste notierten Auftragsdatenverarbeiter bereits schriftliche Vereinbarungen getroffen wurden und ob diese den Anforderungen des § 11 BDSG entsprechen. Mit allen anderen sollten  Sie schnellstmöglich entsprechende Vereinbarungen treffen.

Wie wir von yourIT Sie als Auftraggeber unterstützen können


Unser gefördertes Beratungspaket "Datenschutzkonzept" enthält neben einigen anderen Dingen auch die Erhebung der Liste der Auftragsdatenverarbeiter und die Überprüfung der bisherigen Vertragsstände.

yourIT Beratungspaket Datenschutzkonzept für Sie als Auftraggeber

Vorteil für mittelständische Unternehmen: Unser Beratungspaket "Datenschutzkonzept" wird gefördert mit Mitteln aus dem Europäischen Sozialfonds. Sie erhalten bis zu 1.500 EUR Fördermittel - aber nur bei Durchführung der Beratung bis 31.12.2016.

Worauf warten Sie noch? Vereinbaren Sie jetzt einen kostenlosen Kennenlerntermin.


Ich freue mich auf Ihre Anfragen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele, Telefon 07471/930100

Thomas Ströbele

Sie möchten bei neuen Entwicklungen im Bereich Datenschutz & IT-Sicherheit informiert werden?


Dann tragen Sie sich einfach hier in unseren Newsletter ein.



Hinweis: Auch für Auftragnehmer haben wir ein passendes Beratungspaket geschnürt:

Die §-11-Zertifizierung für Auftragsdatenverarbeiter


yourIT Beratungspaket §-11-Zertifizierung für Auftragsdatenverarbeiter


Wenn Sie Ihren Auftraggeber unterstützen und diesem seine gemäß § 11 BDSG auferlegten Aufgaben so einfach wie möglich machen wollen, lassen Sie Ihr Unternehmen als Auftragsdatenverarbeiter durch uns von yourIT kontrollieren und zertifizieren. In diesem Fall erstellen wir ein Zertifikat, da Ihr Auftragsdatenverarbeiter direkt als Nachweis verwenden kann.