Softwarevertragsrecht: Auftragsdatenverarbeitung I

Begriff und Abgrenzung

Der Bereich der Auftragsdatenverarbeitung ist dann eröffnet, wenn jemand oder ein Unternehmen für eine andere Person oder ein anderes Unternehmen im Rahmen der Erhebung, Verarbeitung und Nutzung von Daten für die Zwecke des Auftraggebers tätig ist. Allein der Auftraggeber darf derjenige sein, der für die Nutzung der Daten rechtlich verantwortlich ist.

Verarbeitung für den Auftraggeber

Auftragsdatenverarbeiter im juristischen Sinne liegt dann nicht vor, wenn auch derjenige, der die Daten erhebt verarbeitet oder nutzt, ein eigenes Interesse an diesen Vorgängen hat, dass über die Erfüllung des Auftrags für den Auftraggeber hinausgeht. So also z. B., wenn man selbst mit den Daten Werbung treiben will, die man von einem Dritten erhält.

Faktische Zugriffsmöglichkeit allein reicht nicht aus.

Die Datenverarbeitung und Aufgabenerledigung geben der Auftragsdatenverarbeitung ihr Gepräge. Entscheidend ist nicht allein die Möglichkeit das rechtsmissbräuchlichen Zugriffs. Deshalb muss man auch mit einer Putzfrau keine Regelung über die Auftragsdatenverarbeitung treffen, wenn Putzfrauen faktisch ihre Befugnisse missbrauchen können, um Zugriff zu einen Server zu erhalten.

Bezeichnung ist irrelevant

Die Bezeichnung der Auftragsdatenverarbeitung als Vertrag über die Auftragsdatenverarbeitung ist komplett irrelevant.

Keine Auftragsdatenverarbeitung bei organisatorischer Einheit.

Keine Auftragsdatenvereinbarung liegt auch vor, wenn eine personalorganisatorische Einheit zwischen dem Auftraggeber und dem Auftragnehmer besteht. Maßgeblich sind hier die § 3 Abs. 7 BDSG. Übersetzt: Ist von einer einheitlichen Stelle im Sinne des § 3 Abs. 7 BDSG auszugehen, liegt kein Fall der Auftragsdatenverarbeitung vor; eine Ausnahme von dieser Regel besteht dann, wenn eine Datenübermittlung an Niederlassung in Drittstaaten vorgenommen werden soll. Das bedeutet – dass ist für die Betroffenen Unternehmen durchaus ärgerlich – dass auch bei einer Datenverarbeitung ins Ausland aufgrund des § 4 b BDSG alle Voraussetzungen der Auftragsdatenverarbeitung vorliegen müssen.

Anwendungsbereich der Auftragsdatenverarbeitung: Einzelfälle

Vorab: Die juristischen Meinungen gehen an dieser Stelle weit auseinander. Es gibt andere als die hier vertretene Ansicht.

Keine Auftragsdatenverarbeitung liegt bei der Nutzung reiner Infrastruktur vor. Hat der Eigentümer der Infrastruktur im nur durch rechtsmissträuliches Handeln wie den nichtvertraglich vereinbarten Zugriff auf die Server ein Zugriff auf die entsprechenden Daten, liegt kein Fall der Auftragsdatenverarbeitung vor. Das Serverhousing ist also kein Fall der Auftragdatenverarbeitung. Das gleiche gilt dann, wenn abgeschottete Rechnerkapazitäten auf externen Servern angemietet werden. Kommt aber dem Vermieter der Rechnerkapazität wiederum die Aufgabe zu, sich um die Wartung der Server zu kümmern und erfordert die Wartung ein Zugriff auf die Rechner und deren Inhalte, liegt wieder ein Fall der Auftragsdatenverarbeitung vor. Kein Fall der Auftragsdatenverarbeitung liegt bei sogenannten Blackboxverfahren zur Firma bei denen die Daten verschlüsselt an den Auftragnehmer zur Speicherung überlassen werden. Ob die Zwischenspeicherung von Daten im Rahmen der Telekommunikation ist keine Auftragsdatenverarbeitung, aber die Grenzen sind hier fließend und Sonderregelungen des TKG zu beachten. Webhosting ist ein Fall der Auftragsdatenverarbeitung, da der Anbieter der Leistung im Rahmen der vertraglichen Überlassung die Pflege der Anlage schuldet und im Kontext der Pflegemaßnahmen auch eine Zugriffsmöglichkeit (§11 Abs. 5 BDSG) Rechenzentrumsverträge sind von der Auftragsdatenverarbeitung erfasst. Internetportale werfen weitere Schwierigkeiten hervor, wenn ein gemeinsamer Zugriff auf die Daten der Kunden stattfindet oder die Kunden gemeinsam verwaltet werden.

Weitere Beiträge

Datenschutzrechtliche Verantwortlichkeit, AVV und AGB- Recht im Spiegel der neueren EuGH- Rechtsprechung zur Cyberkriminalität  Teil II Beweislast und Auswirkungen auf den Inhalt der AVV

Fortsetzung von Teil I https://www.anwaltskanzlei-online.de/2024/12/27/datenschutzrechtliche-verantwortlichkeit-avv-und-agb-recht-im-spiegel-der-neueren-eugh-rechtsprechung-zur-cyberkriminalitaet-teil-i/ Beweislast Die DSGVO enthält keine Regelungen zur Beweislast für den Schadensersatz. Grundsätzlich muss der Betroffene (also die natürliche Person) nachweisen, dass ein Verstoß gegen die DSGVO zu einem Schaden (materiell oder immateriell) geführt hat. Eine

Mehr lesen »

Datenschutzrechtliche Verantwortlichkeit, AVV und AGB- Recht im Spiegel der neueren EuGH- Rechtsprechung zur Cyberkriminalität  Teil I

Inhalt: Mir geht’s in diesem Blog darum, ganz kurz die Rechtsprechung des EuGH zum Thema Schadensersatz und Cyberkriminalität darzustellen und auf die Auswirkungen dieser Rechtsprechung für die IT- Unternehmen einzugehen, die als Auftragsverarbeiter für die Auftraggeber fungieren. Insbesondere beschäftigt mich

Mehr lesen »
Nach oben scrollen