Lässt der Verantwortliche personenbezogenen Daten von einem Dienstleister verarbeiten, kann das Risiken für die Rechte und Freiheiten der Betroffenen darstellen. In diesem Fall hat der Verantwortliche die Pflicht, mit dem Dienstleister einen Vertrag (zur Auftragsdatenverarbeitung) zu schließen. Dabei bleibt die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Auftraggeber. Er hat die Verarbeitung in geeigneter Weise zu überwachen.
Die Auftragsdatenverarbeitung ist zu unterscheiden von der Weitergabe personenbezogener Daten (Funktionsübertragung). Während bei der Weitergabe von Daten der Empfänger die Daten i.d.R. (auch) für eigene Zwecke verwendet und nicht bloß „im Auftrag“ handelt, erbringt der Dienstleister als Auftragnehmer lediglich sog. Hilfsleistungen und verfügt über keinen eigenen Entscheidungsspielraum.
Typische Auftragsdatenverarbeitungen betreffen
- Mitarbeiterdaten, die zur Lohnabrechnung durch ein externes Steuer- oder Buchhaltungsunternehmen verarbeitet werden
- Daten von Privatpatientendaten, die zum Zwecke der Honorarabrechnungen durch eine Verrechnungsstelle verarbeitet werden
- Entsorgung von Datenträgern durch spezialisierte Dienstleister
Liegt eine Auftragsverarbeitung vor, ist der Abschluss eines entsprechenden Vertrages zwingend vorgeschrieben, dessen Inhalt gesetzlich vorgeschrieben ist und keine Vertragsfreiheit durch die Parteien zulässt.
Wir unterstützen Sie in sämtlichen Belangen der Auftragsdatenverarbeitung.