Auftragsdatenbearbeitung: Outsourcing und Digitalisierung
Dem „Outsourcing“ bedienen sich stetig immer mehr Unternehmen. Dabei werden einzelne Arbeitsschritte, Aufgaben oder Geschäftsprozesse gegen Entgelt auf Drittunternehmen ausgelagert. Was gilt es dabei rechtlich zu beachten?
Schutz personenbezogener Daten
Im Zuge dessen fordert das Digitalisierungszeitalter einen regelmäßigen Datentransfer an die Auftragnehmer. Wenn dabei auch personenbezogene Daten an Dritte übermittelt werden, stellt sich aus datenschutzrechtlicher Sicht die Frage, unter welchen Voraussetzungen der Datentransfer zulässig ist, welche Informationspflichten bestehen und welche Regeln von Auftraggeber bzw Auftragnehmer zu beachten sind.
Outsourcing und Arbeitskette
Das Outsourcing von Tätigkeiten entspricht einem klaren Bedürfnis in einer arbeitsteiligen Wirtschaft, es wurde dadurch bereits selbstverständlich.
Zum Beispiel gliedert ein Unternehmen seine Lohnbuchhaltung einem Treuhandunternehmen aus und übermittelt diesem im Zuge dessen die zur Aufgabenerfüllung lohnrelevanten Daten. Eine anderes Unternehmen überträgt Marketingaufgaben an ein spezialisiertes Unternehmen, welches zur Erfüllung dieser Aufgaben auf die Kundendaten zugreift.
Zusätzlich ist Cloud-Computing zu erwähnen, bei welchem gewisse Unternehmensdaten einer dritten Person, der Betreiberin einer Cloud, zur Speicherung anvertraut werden.
Rechtliche Grundlagen
Datenschutzrechtlich handelt es sich bei der Überlassung personenbezogener Daten an Dritte um eine so genannte Auftragsverarbeitung (§ § 48 DSG).
Die DSGVO hingegen setzt in Art 28 ff. auf eine weit ausführlichere Regelung und verwendet terminologisch ebenfalls den Begriff der Auftragsverarbeitung.
Risiken und Zulässigkeitsvoraussetzungen
Die Übertragung von personenbezogenen Daten an Dritte zwecks Erfüllung bestimmter Aufgaben ist grundsätzlich zulässig und bedarf keiner speziellen Information der betroffenen Personen. Sie birgt jedoch verschiedene Risiken, wie etwa den unbefugten Zugriff auf Daten, Datenverlust oder ungenügende Datensicherheit.
Im § 48 DSG normiert der Gesetzgeber Voraussetzungen für die Auftragsverarbeitung und die Aufsicht über die Verarbeitung:
1. Einhaltung der Anforderungen des DSG und Schutz der Rechte von betroffenen Personen
Die Auftragsverarbeiter müssen hinreichend Garantien bieten, dass technische und organisatorische Maßnahmen in einer solchen Weise durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen des DSG erfolgt und die Rechte von betroffenen Personen schützt.
2. Grundlage der Verarbeitung
Die Verarbeitung durch einen Auftragsverarbeiter kann auf Grundlage eines Vertrags, eines anderen Rechtsinstruments des Unionsrechts oder aufgrund ausdrücklicher gesetzlicher Ermächtigung erfolgen. Dabei ist im Vertrag oder sonstigen Rechtsinstrument vorzusehen, dass der Auftragsverarbeiter
- personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet
- sich vergewissert, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer gesetzlichen und angemessenen Verschwiegenheitspflicht unterliegen
- die Bedingungen für die Inanspruchnahme eines weiteren Auftragsverarbeiters einhält
- angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte der betroffenen Person nachzukommen
- Datensicherheitsmaßnahmen gem § 54 DSG trifft
- Den Verantwortlichen bei der Einhaltung seiner Pflichten unterstützt
- nach Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder aufgrund von Gesetzen eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht
- dem Verantwortlichen alle erforderlichen Informationen zur Verfügung stellt, Überprüfungen des Verantwortlichen ermöglicht und dazu beiträgt.
3. Weiterer Auftragsverarbeiter und Datenschutz
Es ist dem Auftragsverarbeiter nicht gestattet weitere Auftragsverarbeiter ohne vorherige gesonderte schriftliche Genehmigung des Verantwortlichen in Anspruch zu nehmen. Diesem weiteren Auftragsverarbeiter werden dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder sonstigem Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter festgelegt sind. Kommt der weitere Auftragsverarbeiter den Datenschutzpflichten nicht nach, so haftete der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des weiteren Auftragsverarbeiters.
4. Schriftlichkeitserfordernis
Der Vertrag oder das sonstige Rechtsinstrument sind schriftlich oder in elektronischem Format zu verfassen.
5. Weisungsrecht des Verantwortlichen
Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder aufgrund von Gesetzen zur Verarbeitung verpflichtet sind.
Zum Beitrag
Produkt-Empfehlungen
