Auftragsdatenverarbeitung, § 11 BDSG
Eine zentrale Personendatenverarbeitung muß nicht durch das eigene Unternehmen durchgeführt werden. In Betracht kommt eine sogenannte Auftragsdatenverarbeitung nach § 11 BDSG, deren Zulässigkeit nach den Vorschriften des BDSG allerdings an enge Voraussetzungen geknüpft ist. Aber nicht nur diejenigen Unternehmen, die die Personenbezogenen Daten eines Unternehmens bearbeiten wollen, müssen die Vorschriften des § 11 BDSG und der damit verbundenen Regelungen beachten. Es ist unerheblich, ob der Auftraggeber oder Auftragnehmer die Daten erhoben hat, solange feststeht, daß der Auftraggeber derjenige ist, der über den Inhalt, die Art der Bearbeitung oder die Löschung entscheiden kann – oder wie es im Jargon heißt „Herr der Daten“ ist. Eine Übermittlung an den Auftragsdaten ist keine Übermittlung z.B. nach § 28 BDSG.
Anwendbar bei Übertragung auf fremde und auch konzerneigene Unternehmen
Relevant sind die Vorschriften des § 11 BDSG und der korrelierenden Regelungen zunächst für die Unternehmen, die ihre Datenverarbeitung durch Dritte erbringen lassen wollen. Achtung: Hierzu gehört auch die Übermittlung der Daten an konzerneigene Unternehmen gem. § 28 BDSG, so will es jedenfalls die herrschende Ansicht der Literatur. Hier bestünde eine Übertragung der Funktionsaufgaben, was rechtlich nicht möglich sei. Die Betriebsvereinbarungen von Konzernen muß insofern auch eine Verarbeitung durch und Übermittlung an Dritte mit beinhalten, sonst drohen die üblichen Möglichkeiten. Auch dem Betriebsrat sind korrelierende Kontrollmöglichkeiten einzuräumen. Auch diejenigen, die aus anderen Gründen mit personenbezogenen Daten des Kunden in Kontakt geraten können, wie z.B. bei der Erbringung von Wartungsarbeiten an Software für einen Kunden im Wege des DFÜ der Fall, müssen diese Regelungen beachten. Sonst drohen die bekannten Sanktionen. Außerdem sind die §§ 87 BetrVG und 9a BDSG angewendet werden.
Pflichten des Auftraggebers
Der Auftraggeber einer Auftragsdatenverarbeitung ist verpflichtet, das beauftragte Unternehmen sorgfältig auszusuchen. Der Auftragnehmer wird zu diesem Zweck einer Sicherungskonzept vorlegen müssen. Aus diesem Konzept müssen konkrete Maßnahmen ersichtlich sein, die sich am besten an den Erfordernissen des BDSG ausrichten. Hierzu sind die einschlägigen Vorschriften des BDSG anzuwenden. Er ist schriftlich zu beauftragen, der Auftraggeber hat sicher zu stellen, daß er über die ganze Zeit „Herr der Daten“ bleibt, also alle Weisungsbefugnisse innehat und kontrollieren, daß seine Weisungen auch eingehalten werden.