Auftragsdatenverarbeitung im öffentlichen Bereich

Der nachfolgende Muster-Vertrag soll es den öffentlichen Stellen erleichtern, mit Auftragnehmern ausreichende vertragliche Regelungen unter Beachtung des Saarländischen Datenschutzgesetzes und eventueller sonstiger spezialgesetzlicher Bestimmungen zu vereinbaren. Der Inhalt des Vertrages ist im Einzelfall aufgabenspezifisch anzupassen. An nicht-öffentliche Stellen darf ein Auftrag nur vergeben werden, wenn weder gesetzliche Regelungen über Berufs- oder besondere Amtsgeheimnisse noch überwiegende schutzwürdige Belange entgegenstehen. 

Soweit nicht § 5 SDSG, sondern spezialgesetzliche Regelungen für die Daten, die im Auftrag verarbeitet werden sollen, Anwendung finden, ist zunächst zu prüfen, ob eine Auftragsdatenverarbeitung grundsätzlich zulässig ist, und ggf. sind die spezialgesetzlichen Regelungen bei der Vertragsgestaltung (z. B. Personal-, Beihilfe- und Sozialdaten) zu berücksichtigen. 

Gemäß § 5 Abs. 3 Satz 2 SDSG hat der Auftraggeber die oder den Landesbeauftragten für Datenschutz und Informationsfreiheit im Saarland über die Beauftragung zu unterrichten.

Rechtsgrundlagen (öffentlicher Bereich)

§ 5 SDSG Verarbeitung personenbezogener Daten im Auftrag

(1) Werden personenbezogene Daten im Auftrag einer öffentlichen Stelle verarbeitet, so bleibt sie verantwortliche Stelle im Sinne dieses Gesetzes. Die Auftragsnehmerin oder der Auftragnehmer ist unter besonderer Berücksichtigung ihrer oder seiner Eignung sorgfältig auszuwählen. Der Auftrag ist schriftlich unter Festlegung von Gegenstand und Umfang der Datenverarbeitung zu erteilen. Er muss Weisungen zur Umsetzung der Vorgaben des § 11 enthalten. Die Auftragnehmerin oder der Auftragnehmer darf personenbezogene Daten nur im Rahmen des vertraglich Festgelegten verarbeiten. Unterauftragsverhältnisse bedürfen ausdrücklicher Zustimmung. Die Auftraggeberin oder der Auftraggeber hat darauf zu achten, dass bei der Auftragnehmerin oder dem Auftragnehmer die nach § 11 Abs. 2 erforderlichen Maßnahmen getroffen sind.

(2) Soweit öffentliche Stellen personenbezogene Daten im Auftrag verarbeiten, gelten für sie nur die §§ 6, 7 Abs. 1, §§ 8, 11, 23, 26 bis 29, 35 und 36.

(3) Sofern die Vorschriften dieses Gesetzes auf die Auftragnehmerin oder den Auftragnehmer keine Anwendung finden, ist die Auftraggeberin oder der Auftraggeber verpflichtet, vertraglich sicherzustellen, dass die Auftragnehmerin oder der Auftragnehmer die Bestimmungen dieses Gesetzes befolgt und sich der Kontrolle des Landesbeauftragten für Datenschutz unterwirft. Die Auftraggeberin oder der Auftraggeber hat die Landesbeauftragte oder den Landesbeauftragten für Datenschutz über die Beauftragung zu unterrichten.

(4) Die Absätze 1 bis 3 gelten entsprechend für Personen und Stellen, die im Auftrag die Wartung und Betreuung von Anlagen und Verfahren zur automatisierten Datenverarbeitung wahrnehmen.

Auftragsdatenverarbeitung im nicht-öffentlichen Bereich

Die Regelungen der Auftragsdatenverarbeitung sind in der BDSG Novelle 2009 grundlegend geändert worden. So sind in dem Vertrag zur Auftragsdatenverarbeitung gemäß § 11 Abs. 2 BDSG ein ganzer Katalog von Maßnahmen zwingend schriftlich festzulegen.

Werbeagenturen, Betreiber von web-shops aber auch Dienstleister die Lohnbuchhaltung anbieten und viele andere Betriebe sind Auftraggeber und müssen die Datenschutzvorschriften einhalten sonst drohen Bußgelder.

Eine Hilfe hierbei bieten Musterverträge, diese Sie im Internet finden können.

Rechtsgrundlagen (nicht-öffentlicher Bereich)

§ 11 BDSG Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag

(1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den §§ 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen.

(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:

  1. der Gegenstand und die Dauer des Auftrags,
  2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.

(3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.

(4) Für den Auftragnehmer gelten neben den §§ 5, 9, 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3 sowie § 44 nur die Vorschriften über die Datenschutzkontrolle oder die Aufsicht, und zwar für

  1. a) öffentliche Stellen,
    b) nicht-öffentliche Stellen, bei denen der öffentlichen Hand die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle ist,
    die §§ 18, 24 bis 26 oder die entsprechenden Vorschriften der Datenschutzgesetze der Länder,
  2. die übrigen nicht-öffentlichen Stellen, soweit sie personenbezogene Daten im Auftrag als Dienstleistungsunternehmen geschäftsmäßig erheben, verarbeiten oder nutzen, die §§ 4f, 4g und 38.

(5) Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

Downloads

Externe Links

Auftragsdatenverarbeitung im nicht-öffentlichen Bereich

 Mustervertrag des hessischen Datenschutzbeauftragten 
  Beim Aufruf dieser Seite startet automatisch ein Dateidownload!

 Mustervertrag der GDD