1.) Zweck der Vorschrift
Die Vorschrift wurde dazu geschaffen, die Anforderungen an das Auftragsverhältnis festzulegen. Sie soll gewährleisten, dass die datenschutzrechtlichen Standards, die normalerweise für den Auftraggeber gelten, auch bei der Einschaltung externer Dienstleistungen eingehalten werden. Die Übertragung von personenbezogenen Daten nach dem § 3 BDSG an den Auftragnehmer ist normalerweise ein zustimmungsbedürftiger Tatbestand. Werden aber die Voraussetzungen des § 11 eingehalten, ist nach § 3 Abs. 8 Satz 3 BDSG der Auftragnehmer nicht als Dritter anzusehen.
Der Auftraggeber ist „die verantwortlich Stelle“ (§ 2 BDSG) und allein für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich.
Der Anwendungsbereich des § 11 ist eröffnet, wenn personenbezogene Daten im Auftrag der verantwortlichen Stelle – also des Auftraggebers – durch eine andere Stelle erhoben, verarbeitet oder genutzt werden sollen. Umfang und Zeitdauer des Auftrags spielen keine Rolle. Der Begriff des Auftrgs selbst ist für Leihen irreführend. Es handelt sich nicht um einen Auftrag im Sinne des § 662 BGB – also die im Auftrag des Auftraggebers stattfindende Verarbeitung – also Veränderung – der Daten. Das Gesetz präferenziert auf den § 3 Abs. 4 BDSG. Danach ist das Verarbeiten, Speichern, Verändern, Übermitteln, Sperren oder Löschen personenbezogener Daten. Erfasst wird das Speichern, Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einen Datenträger zum Zwecke ihrer späteren und weiteren Verarbeitung oder Nutzung; das Verändern oder inhaltliche Umgestalten gespeicherterer personenbezogener Daten; das Übermitteln oder Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass
a) die Daten an den Dritten weitergegeben werden oder
b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft; ferner das Sperren, womit das Kennzeichnen personenbezogener Daten gemeint ist, um ihre weitere Verarbeitung oder Nutzung einzuschränken; letztlich das Löchen, womit das Unkenntlichmachen gespeicherter personenbezogener Daten gemeint ist.
Mit anderen Worten: Jedes IT-Unternehmen, das gezwungen ist im Rahmen der Durchführung von Aufträgen personenbezogene Daten der Angestellten des Auftraggebers oder von Kunden des Auftraggebers zu transferieren, zu speichern oder inhaltlich umzugestalten, wird von der Regelung des § 11 BDSG erfasst.
Es sei nicht verschwiegen, dass der § 11 BDSG eine Vorschrift ist, die den Auftraggeber zur Handlung zwingt. Im Grundsatz könnte sich der Auftagnehmer also beruhigt zurücklehnen und auf die Vorschläge zur inhaltlichen Gestaltung der Aufttragsdatenverarbeitung warten, die der Auftraggeber erbringt. In der Praxis ist es aber vielfach so, dass der Auftraggeber von dem Auftragnehmer entsprechende Vertragsvorlagen einfordert.