skip to Main Content
+49 (700) 34778539 info@firstlex.de Login
[layerslider id="6"]

Auftragsdatenverarbeitung

Oben wurde bereits gesagt, dass § 28 innerhalb des privaten Bereichs nur für die Datenverarbeitung zu eigenen Geschäftszwecken gilt. Dies ist zu unterscheiden von der Datenverarbeitung zum Zwecke der Übermittlung, §§ 29, 30, also für fremde Zwecke, und von der Datenverarbeitung im Auftrag, § 11.
Beispiel für §§ 29, 30: Auskunfteien, Detekteien, Adressenverlage, Markt- und Meinungsforschungsinstitute. Hintergrund ist die auf Gewinn ausgerichtete, geschäftsmäßige Datenverarbeitung.
Beispiel für § 11: Lohnrechenzentren, ärztliche Verrechnungsstellen, Datenerfassungsbüros.

Abgrenzung
Die in § 11 geregelte Datenverarbeitung im Auftrag unterscheidet sich von der Datenverarbeitung für eigene Zwecke im wesentlichen nur dadurch, dass hier eine Aufgabenverteilung auf zwei Parteien stattfindet, die vorher allein dem AG unterfiel. Die zweite Partei ist der Auftragnehmer (Atn), der außerhalb des Unternehmens die DV für den AG vornimmt. Dies geschieht – bezogen auf die Daten – nicht aus eigenem Interesse, sondern für den AG. Es liegt deshalb keine DV für eigene Zwecke wie bei § 28 vor.
Die AuftragsDV scheint aber das gleiche zu sein, wie die geschäftsmäßige Datenspeicherung für fremde Zwecke gem. §§ 29, 30. Doch ein genauer Blick zeigt, dort geht es um den Zweck der Übermittlung. Sie liegt aber, § 3 IV Nr. 3, nur vor bei einer Weitergabe von der verantwortlichen Stelle an einen Dritten. Das wäre noch anzunehmen in Richtung Auftraggeber (Arbeitgeber) – Atn. Doch schon dies ist ein Trugschluss. § 3 IX sagt ausdrücklich, dass der Auftragnehmer nicht Dritter ist. Umgekehrt ist der Atn aber auch nicht verantwortliche Stelle, obwohl die DV bei ihm abläuft. Dies erklärt sich aus einer Abstraktion, die nur theoretisch Bedeutung hat – aber das ist hier gerade entscheidend. Verantwortliche Stelle soll nämlich deshalb der AG bleiben, weil man die Rechtsfolgen, die damit verbunden sind, bei ihm belassen möchte. Dies ergibt sich aus §§ 3 VIII, 11 I. Danach verbleibt die Verantwortung für den Datenschutz beim AG.
Daher und weil keine Übermittlung vorliegt, wird der Atn privilegiert, d.h. er braucht nur geringe Standardanforderungen zu erfüllen, die sich aus § 11 IV ergeben.
Das Verhältnis zwischen Atg und Atn wird also fiktiv so konstruiert, als ob der AG die Daten von seiner einen Hand in seine andere geben würde. Alles spielt sich rechtlich wie innerhalb der verantwortlichen Stelle ab, obwohl wir wissen, dass es tatsächlich ein wenig anders ist.
Trotz dieser Abgrenzungen ist nicht immer klar, ob AuftragsDV oder DV für eigene Zwecke mit einer der Phasen des § 28 vorliegt.

Beispiel: Konzernunternehmen X lässt die Lohndaten durch eine DV-Abteilung eines Schwester-Konzernunternehmens Y verarbeiten. Weil Konzernunternehmen rechtlich selbständig sind, könnte auch eine Übermittlung an Y gem. § 28 vorliegen. Y ist aber in diesem Falle weisungsgebundener Auftragnehmer und nicht Dritter.
Anders wäre es, wenn X an Y Daten übermitteln würde, die in keinem Zusammenhang mit der Auftragsaufgabe stehen, also etwa Leistungsdaten. Dann müsste § 28 geprüft werden.
Gibt der Auftragnehmer seinerseits die Daten an einen anderen weiter (etwa Adressen an ein Versandhaus), so liegt wieder eine Übermittlung vor, es sei denn, er bedient sich eines Unter-Auftragnehmers (möglich gem. § 11 II).

Konsequenzen
Dem Verantwortungsprinzip beim AG steht die Weisungsgebundenheit und die Privilegierung des Atn gegenüber, § 11 III.
Beispiel zur Weisungsgebundenheit: Auftragnehmer Y ist überlastet und möchte einen Teil der Aufgaben an ein Subunternehmen weiterleiten. Es darf dies nur tun, wenn der Auftraggeber die Weisung hierzu erteilt bzw. ausdrücklich einverstanden ist, § 11 II.
Zu dieser Privilegierung zählt außerdem noch, dass der Atn nur noch zwei weitere Pflichtenkreise hat, nämlich die Haftung gegenüber dem Staat gem. §§ 43, 44 und die Unterordnung unter die Kontrollinstanzen des Beauftragten für den Datenschutz und der Aufsichtsbehörde.
Für den AG ergibt sich aus dem Verantwortungsprinzip des § 11 I dreierlei. Erstens haftet er dem Betroffenen voll gem. §§ 6 bis 8 als verantwortliche Stelle auch für Fehler und rechtswidrige Handlungen des Atn.
Beispiel: Der AN hat gem. § 83 BetrVG ein Recht auf Einsicht in seine Personalakte. Sind Teile der Akte "ausgelagert" beim Atn, so bleibt dieses Recht davon völlig unberührt. Der AG muss die Einsichtnahme zu eigenen Lasten sicherstellen.
Zweitens ist er gem. § 11 II verpflichtet, den Atn sorgfältig auszuwählen und in einem schriftlichen Vertrag die Modalitäten, die § 11 verlangt, genau festzulegen.
Beispiel: Computerfreak F ist arbeitslos. Um schnell zu Geld zu kommen, bietet er mittelständischen Unternehmen an, ihre Daten zu verarbeiten. Unternehmer X freut sich über die günstigen Konditionen und lässt durch Fahrer S schon mal die ersten Akten anliefern. Die mangelnde Sorgfalt liegt hier auf der Hand.
Drittens wird daraus auch abgeleitet, dass der AG gegenüber dem Betriebsrat die volle Verantwortung beibehält und dessen Rechte gewährleisten muss, als ob er die DV bei sich selbst durchführen würde.
Beispiel: Gem. § 80 I Nr. 1 hat der Betriebsrat bestimmte Überwachungsrechte. Diese eröffnen ihm auch die Möglichkeit, bestimmte technische Einrichtungen, auch zur DV, zu kontrollieren. Hierfür ist teilweise ein Zugang zu bestimmten Räumen nötig. Dieses Recht erstreckt sich auch auf die Räume des Auftragnehmers

Schreibe einen Kommentar

Back To Top