Auftragsdatenverarbeitung: Hinter diesem langen Wort verbirgt sich eine in Unternehmen gängige Praxis, bei der beauftragte Dienstleister personenbezogene Daten erheben, verarbeiten und oder nutzen. Das klingt jetzt erst einmal ziemlich abstrakt. Was es mit dieser Form der Auftragsarbeit auf sich hat, wann Sie einen Vertrag zur Auftragsdatenverarbeitung benötigen und wie ein ADV-Vertrag gestaltet ist, erfahren Sie hier.
Hinweis: Dieser Artikel ist veraltet, dennoch mit wichtigen Inhalten versehen.
Was ist ein ADV-Vertrag und wann wird er eingesetzt?
Folgende Situation: Ihr Unternehmen plant interne Umstrukturierungsmaßnahmen. Eine Online-Befragung der Mitarbeiter soll Aufschluss darüber geben, wie die Teams zukünftig aufgestellt werden. Für die Befragung suchen Sie sich einen externen Dienstleister, der die technischen Voraussetzungen erfüllt und mit dessen Hilfe Sie Ihre Befragung online durchführen. Laut Paragraf §11 des Bundesdatenschutzgesetzes (BDSG) führt der nun von Ihnen beauftragte Dienstleister eine Auftragsdatenverarbeitung durch, da er personenbezogene Daten, nämlich die Ihrer Mitarbeiter, für die Online-Befragung verarbeitet.
Ein an dieser Stelle aufgesetzter Vertrag regelt schriftlich, wie Ihre Daten zum Dienstleister übertragen werden dürfen und welche weiteren Rechte und Pflichten zwischen Auftraggeber und Dienstleister bestehen. Dieser Vertrag nennt sich ADV-Vertrag. Grundsätzlich gilt: Der Auftraggeber, also Sie, bleiben trotz ADV-Vertrag in der Verantwortung für die richtige Verarbeitung der Daten.
Was sollte im ADV-Vertrag stehen?
Folgende Punkte sollten im ADV-Vertrag festgehalten werden:
- Gegenstand und Dauer des Auftrages
- Umfang, Art und Zweck der Dienstleistung
- Art der Daten
- Kreis der Betroffenen
- konkrete Festlegung der zu treffenden technischen und organisatorischen Maßnahmen
- Sicherstellung, dass gewährleistet ist, dass personenbezogene Daten berichtigt, gelöscht oder gesperrt werden können
- Pflichten des Auftragnehmers, insbesondere welche Kontrollen er vorzunehmen hat
- Berechtigung zur Begründung von Unterauftragsverhältnissen
- Kontrollrechte des Auftraggebers
- Duldungs- und Mitwirkungspflichten bei diesen Kontrollen
- Mitteilungspflicht des Auftragnehmers bei Verstößen gegen das BDSG oder den Vertrag
- Weisungsbefugnisse
- Verfahrensweise mit Datenträgern und Unterlagen bei Ende der Dienstleistung.
Quelle: Datenschutz-Wiki /BDSG
Was passiert, wenn Sie den ADV-Vertrag für die Auftragsdatenverarbeitung nicht abschließen?
Sollten Sie keinen ADV-Vertrag beziehungsweise nur einen unvollständigen Vertrag abschließen, sind Sie als Auftraggeber im Falle eines Hacks- oder eines Datenlecks des Dienstleisters haftbar. Im Sinne des Paragrafen 11 des BDSG begehen Sie eine Ordnungswidrigkeit, die mit einem Bußgeld geahndet wird.
Wie sieht ein ADV-Vertrag aus?
Datenschutz spielt bei LamaPoll eine übergeordnete Rolle. Unternehmen und Auftraggeber, die ihre Umfragen mit LamaPoll umsetzen wollen, sollten, sofern Sie personenbezogen Daten erheben und verarbeiten, einen ADV-Vertrag abschließen. Damit Sie jetzt nicht erst Ihre Rechtsabteilung beauftragen müssen, einen Vertrag für Sie aufzusetzen oder sich online durch Foren durchrecherchieren müssen, bietet Ihnen LamaPoll einen fertigen Vertragsentwurf gemäß Paragraf 11 des BDSG zum Download an. Dieser Vertrag, Ihr ADV-Vertrag, hat einen Umfang von 12 Seiten und besteht aus drei Teilen.
Teil 1: Regelt Umfang, Zweck und Pflichten und Rechte des Auftragnehmers und -gebers
Im ersten Teil (Seite 2 – 7) halten Sie unter anderem als Auftraggeber Gegenstand und Dauer des Auftrages sowie Umfang, Art und Zweck der Dienstleistung fest. Neben der Angabe der Geschäftskontakte schlüsseln Sie hier auf, was für Daten Sie erheben oder verarbeiten und vor allem zu welchem Zweck.
Ebenfalls regeln Sie im ersten Teil des ADV-Vertrages Ihre sowie die Pflichten und Rechte des Auftragnehmers, in diesem Fall LamaPoll. Das betrifft unter anderem Kontrollpflichten des Auftragnehmers, Unterauftragsverhältnisse oder Ihre Kontrollrechte. Weisungsbefugnisse, Mitteilungen bei Verstößen des Auftragnehmers sowie Haftungs- und Schadensersatzansprüche werden ebenso im ersten Teil festgehalten. Mit Ihrer finalen Unterschrift willigen Sie in die Auftragsdatenverarbeitung ein.
Teil 2: Anlage 1 regelt technische und organisatorische Maßnahmen
Der zweite Teil gibt dazu Auskunft, welche technischen und organisatorischen Maßnahmen der Auftragnehmer, sprich LamaPoll, bereithält, um den Schutz nach Paragraf 11 des BDSG für die Auftragsverarbeitung zu gewährleisten. Hierunter fallen unter anderem neben der Auskunft zu Zutritts- und Zugangskontrollen, die Kontrolle zur Weitergabe und Eingabe.
Teil 3: Anlage 2 regelt technische und organisatorische Sicherheitsmaßnahmen des Unterauftragnehmers
Sind Unterauftragnehmer mit involviert, können diese, wie bei LamaPoll, aus Transparenzgründen im ADV-Vertrag mit aufgenommen werden.
Praxis-Tipp für Eilige: Downloaden Sie hier den ADV-Mustervertrag von LamaPoll.
Weiterführende Informationen finden Sie auch hier.