Datenschutz für Start-ups: Leitfaden zur Auftragsdatenverarbeitung (ADV)

Nicht alle Start-ups oder kleinen Unternehmen verfügen von Anfang an über eine betriebliche Datenschutzabteilung. Diese würde sich beispielsweise um Vereinbarungen zur Auftragsdatenverarbeitung (ADV) kümmern. Für Quereinsteiger – was es zu beachten gilt

Für wen gilt ADV?
Wenn ein Unternehmen als Auftragnehmer personenbezogene Daten technisch (nicht fachlich-intellektuell) erfasst, verarbeitet oder nutzt – und das weisungsgebunden –, muss mit dem Auftraggeber eine Vereinbarung zur Auftragsdatenverarbeitung (ADV) schriftlich festgehalten werden (vgl. §11 Absatz 2 Satz 1 und 2 BDSG). Diese regelt Rechte und Pflichten der jeweiligen Parteien.

Beispiele für datenverarbeitende Dienstleistungen im Sinne von § 11 BDSG:

• Cloud-Computing (Produktivsysteme, aber auch Back-up-Lösungen)
• Wartung von IT-Systemen oder Telekommunikationsanlagen (soweit nicht TKG)
• externer Support
• datenverarbeitungstechnische Arbeiten für Lohn- und Gehaltsabrechnungen oder die Finanzbuchhaltung
• Werbeadressenverarbeitung in einem Lettershop
• Kontaktdatenerhebung durch ein Callcenter

Datenschutz in Unternehmen – Sache von Bund oder Länder?

Für privatrechtliche Unternehmen – wie GmbH, AG, OHG – gilt das Bundesdatenschutzgesetz (§ 11 BDSG) und nicht das jeweilige Landesdatenschutzgesetz (LDSG). 

Wer trägt Verantwortung?

Die alleinige Verantwortung über personenbezogene Daten (und deren Erfassung, Verarbeitung oder Nutzung) trägt der Auftraggeber. Dieser kann aber von seinem Auftragnehmer bzw. Dienstleister verlangen, sich vor Vertragsschluss und später in regelmäßigen Abständen Prüfungen oder externen Audits zu unterziehen. Ziel ist die Gewährleistung technischer und organisatorischer Sicherheitsvorkehrungen. Diese Kontrollen müssen dokumentiert werden.

ADV oder Funktionsübertragung?
Die Grenze zwischen ADV und Funktionsübertragung (§ 3 Abs. 4 Nr. 3 BDSG) scheint manchmal nicht ganz trennscharf – ein Indiz ist etwa die Entscheidungsbefugnis. Im Sinne der ADV beschränkt sich der Auftragnehmer rein auf den technischen Umgang mit personenbezogenen Daten– weisungsgebunden und ohne Entscheidungsspielraum, niemals zum eigenen Zweck. Der Auftragnehmer erbringt darüber hinaus keine materiellen vertraglichen Leistungen. Wird hingegen die gesamte Aufgabe selbst ausgelagert, etwa mit Entscheidungsbefugnis oder der inhaltlichen Organisation des gesamten Geschäftsablaufs, gilt die Funktionsübertragung.

ADV oder Funktionsübertragung?

Inhalte einer Auftragsdatenverarbeitung

• Gegenstand und Dauer der Vereinbarung
• Umfang, Art und Zweck der Dienstleistung (Erhebung, Verarbeitung oder Nutzung von Daten)
• Betroffene Personengruppen der Datenerhebungen, -verarbeitung oder -nutzung
• Verpflichtung zur Umsetzung technischer und organisatorischer Maßnahmen
• Klauseln zur Berichtigung, Löschung und Sperrung von Daten
• Kontrollrechte und -pflichten sowie Dokumentationspflicht
• Weisungsbefugnisse
• Mitteilungspflicht bei Verstößen
• Regelungen zur Vorgehensweise nach Beendigung des Vertrages
• Gegebenenfalls: Regelung von Unterauftragsverhältnissen

Wichtig für digitale Unternehmen in Deutschland

Auch billwerk ist als Subscription-Management-Plattform verpflichtet, mit Kunden eine ADV-Vereinbarung zu schließen. Für Subscription-Unternehmen, die auf dem deutschen Markt tätig sind, ist es ebenso empfehlenswert, eine ADV-konforme Plattform zu wählen. Verglichen mit US-Anbietern schneiden hier deutsche Plattformen meist besser ab.

Weitere Quellen:

https://www.lda.bayern.de/media/info_adv.pdf

http://www.it-rechtsanwalt.com/datenschutz/auftragsdatenverarbeitung-vs-funktionsuebertragung-teil-2-unterscheidungskriterien-3377.php

Formulierungshilfe auf datenschutz.hessen.de