Auftragsdatenverarbeitung, § 11 BDSG

Auftragsdatenverarbeitung, § 11 BDSG

Eine zentrale Personendatenverarbeitung muß nicht durch das eigene Unternehmen durchgeführt werden. In Betracht kommt eine sogenannte Auftragsdatenverarbeitung nach § 11 BDSG, deren Zulässigkeit nach den Vorschriften des BDSG allerdings an enge Voraussetzungen geknüpft ist. Aber nicht nur diejenigen Unternehmen, die die Personenbezogenen Daten eines Unternehmens bearbeiten wollen, müssen die Vorschriften des § 11 BDSG und der damit verbundenen Regelungen beachten. Es ist unerheblich, ob der Auftraggeber oder Auftragnehmer die Daten erhoben hat, solange feststeht, daß der Auftraggeber derjenige ist, der über den Inhalt, die Art der Bearbeitung oder die Löschung entscheiden kann – oder wie es im Jargon heißt „Herr der Daten“ ist. Eine Übermittlung an den Auftragsdaten ist keine Übermittlung z.B. nach § 28 BDSG.

Anwendbar bei Übertragung auf fremde und auch konzerneigene Unternehmen

Relevant sind die Vorschriften des § 11 BDSG und der korrelierenden Regelungen zunächst für die Unternehmen, die ihre Datenverarbeitung durch Dritte erbringen lassen wollen. Achtung: Hierzu gehört auch die Übermittlung der Daten an konzerneigene Unternehmen gem. § 28 BDSG, so will es jedenfalls die herrschende Ansicht der Literatur. Hier bestünde eine Übertragung der Funktionsaufgaben, was rechtlich nicht möglich sei.  Die Betriebsvereinbarungen von Konzernen muß insofern auch eine Verarbeitung durch und Übermittlung an Dritte mit beinhalten, sonst drohen die üblichen Möglichkeiten. Auch dem Betriebsrat sind korrelierende Kontrollmöglichkeiten einzuräumen.  Auch diejenigen, die aus anderen Gründen mit personenbezogenen Daten des Kunden in Kontakt geraten können,  wie z.B. bei der Erbringung von Wartungsarbeiten an Software für einen Kunden im Wege des DFÜ der Fall,  müssen diese Regelungen beachten. Sonst drohen die bekannten Sanktionen. Außerdem sind die §§ 87 BetrVG und 9a BDSG angewendet werden.

Pflichten des Auftraggebers

Der Auftraggeber einer Auftragsdatenverarbeitung ist verpflichtet, das beauftragte Unternehmen sorgfältig auszusuchen. Der Auftragnehmer wird zu diesem Zweck einer Sicherungskonzept vorlegen müssen. Aus diesem Konzept müssen konkrete Maßnahmen ersichtlich sein, die sich am besten an den Erfordernissen des BDSG ausrichten. Hierzu sind die einschlägigen Vorschriften des BDSG anzuwenden. Er ist schriftlich zu beauftragen, der Auftraggeber hat sicher zu stellen, daß er über die ganze Zeit „Herr der Daten“ bleibt, also alle Weisungsbefugnisse innehat und kontrollieren, daß seine Weisungen auch eingehalten werden.  

Weitere Beiträge

KI und OSS – Grundlegendes Teil I

1.1 Einfluss der KI auf die OSS Lizenzen Ich muss gleich am Beginn sagen, dass ich sehr gespannt darauf bin, wie sich die Dinge entwickeln, wenn die Programmierer, die in Github unterwegs sind, nun eine KI zur Erstellung von Source

Mehr lesen »
Stefan G. Kramer 28. Januar 2025

Open Source Compliance Teil V

3.5 Lizenztexte und Urhebervermerke 3.5.1 Lizenztexte Praktisch immer verlangen die OSS- Lizenzen, dass der Text der Lizenz mit der Software gemeinsam übergeben werden muss. Sofern man es als Lieferant richtig machen will, muss man dem Kunden eine BOM (Bill of

Mehr lesen »
Stefan G. Kramer 24. Januar 2025

Open Source Compliance Teil IV

3.4.2 Einschränkungen  3.4.2.1 Kompatibilität Gerade im Bereich der Kompatibilität der Lizenzen muss man aufpassen. Jede der Lizenzen erlaubt eine Nutzung der Software nur unter Beachtung der eigenen Regelungen. Deshalb entsteht dann, wenn die Komponenten nicht sauber technisch und vertrieblich getrennt

Mehr lesen »
Stefan G. Kramer 23. Januar 2025

Rechtliches

Datenschutzhinweis

Pflichtangaben/ Impressum

Kontakt

Kramer & Partner Rechtsanwälte PartG mbB 
Deichstr. 1
20459 Hamburg
Telefon: 040 – 349 603 0
Telefax: 040 – 349 603 20
E-Mail: info@anwaltskanzlei-online.de

Copyright © 2025 Kramer & Partner Rechtsanwälte mbB
Nach oben scrollen