Datenschutz im Unternehmen und der Daten in der Cloud.

Auftragsdatenverarbeitung, das Auslagern von Datenverarbeitungsprozessen durch den Auftraggeber auf externe Dienstleister (Cloud-Services), ist ein häufiges Mittel zur Kostensenkung, Personaleinsprung und der Nutzung von externem Know How — Stichwort “Outsourcing”. Sind hiervon personenbezogene Daten betroffen, findet § 11 “Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag” BDSG (Bundesdatenschutzgesetz) Anwendung.

 

Nachfolgende Kriterien unterstützen die Bewertung über das Vorliegen einer Auftragsdatenverarbeitung.

• Der Auftragnehmer steht in keiner vertraglichen Beziehung zu den Betroffenen der personenbezogenen Daten.
• Dem Auftragnehmer fehlt die Entscheidungsbefugnis über die übermittelten Daten.
• Dem Auftragnehmer ist die Nutzung der überlassenen Daten über den eigentlichen Überlassungszweck hinaus verboten.
• Der Auftragnehmer nutzt nur die ihm überlassenen Daten.
• Die Datenverarbeitung wird nach außen durch den Auftraggeber vertreten.

 

Wann liegt eine Auftragsdatenverarbeitung vor?

Hinweis: Die nachfolgende Aufstellung bietet nur einen Auszug.

• Outsourcing von EDV (IT- und TK-Diensten) z.B. E-Mail, Homepage etc.
• Outsourcing des Rechenzentrums (ganz oder teilweise).
• Marketingaktionen, Kundenumfragen, Newsletterversand durch eine externe Agentur.
• Beauftragung eines Callcenters für Kundensupport oder Kundengewinnung.
• Papier– und Aktenvernichtung sowie die Vernichtung von Datenträgern.
• Externe Lohn– und Gehaltsabrechnung.
• Externe Rechnungsbearbeitung / Buchhaltung.
• Zugriff auf personenbezogene Daten vor Ort bei Auftraggeber.

Oft vernachlässigt wird § 11 Absatz 5 des BDSG . Durch diesen Absatz finden die Regelungen zur Auftragsdatenverarbeitung ebenfalls Anwendung auf Wartungs– und Prüfungsverträge, wenn hierdurch der Zugriff auf personenbezogene Daten möglich ist. Somit ist ein weites Feld an weiteren Leistungen ebenfalls von den Regelungen des BDSG betroffen (Beispiele):

• Wartung von Servern und Computern durch einen externen Dienstleister (wichtig: auch Fernwartung!)
• Parametrisierung oder Pflege von Software (Updates etc.), über die Zugriff auf personenbezogene Daten möglich ist.
• Systemmigrationen.

 

Was bedeutet dies für Sie als Auftraggeber?

Liegt eine Auftragsdatenverarbeitung vor, muss diese schriftlich geregelt werden.

Sie als Auftraggeber müssen die im Vertrag festgeschriebenen Maß­nah­men zum Datenschutz und zur Datensicherheit beim Auftraggeber in geeigneter Form kontrollieren — im Zweifel persönlich vor Ort beim Auftragnehmer.

Für die Einhaltung der gesetzlichen Datenschutzvorschriften sind Sie als Auftraggeber verantwortlich, nicht der Auftragnehmer (dies wird oft irrtümlich falsch eingeschätzt).

Eine einfache Erklärung des Auftragnehmers über die Einhaltung der Datenschutzvorschriften ist nicht ausreichend!

 

Fazit:

Externe Dienstleister und ordentliche Cloud-Service-Provider haben ein stichhaltiges Datenschutzkonzept samt einer vorformulierten Vereinbarung gem. § 11 BDSG bereits in der Schublade und gehen damit aktiv auf ihre Kunden zu.

Sie sind bereits Kunde von NetTask oder wollen unsere Cloud Services zukünftig nutzen?

Sprechen Sie uns auf die komplette Thematik Datenschutz an. Gern übersenden wir Ihnen eine Auftragsdatenverarbeitungserklärung sowie unsere technischen und organisatorischen Maßnahmen zum Datenschutz.