Auftragsdatenverarbeitung - § 11 BDSG

Lässt ein Unternehmen als verarbeitende Stelle Daten bei einem Drittunternehmen im Auftrag verarbeiten, so liegt in der Regel ein Auftragsdatenverearbeitungsverhältnis im Sinne von § 11 BDSG vor.

Nach den gesetzlichen Vorgaben ist in diesen Fällen zusätzlich zu dem zwischen der verantwortlichen Stelle und dem verarbeitenden Unternehmen in der Regel gegebenen Vertrag eine sogenannte Auftragsdatenvereinbarung abzuschließen.

Hat die verarbeitende Stelle ihren Sitz nicht in Deutschland, so ist zudem eine zweistufige Prüfung vorzunehmen:

1. Ist die Übermittlung der Daten nach nationalem Recht zulässig? Das ist in der Regel der Fall, wenn eine Einwilligung vorliegt oder eine gesetzliche Rechtfertigung gegeben ist.

2. Werden durch die Übermittlung der Daten ins Ausland keine schutzwürdigen Interessen des Betroffenen verletzt?
Eine Verletzung wird dabei regelmäßig angenommen, wenn das Schutzniveau in dem Drittland nicht angemessen gewährleistet ist.

Ein angemessenes Schutzland ist dabei immer bei Datenübermittlungen in die EU anzunehmen. Die EU hat zudem nach Artikel 25 Abs. 6 der EU-Datenschutzrichtlinie verbindlich festgestellt, dass für einige nicht-europäischen Länder eine hinreichendes Schutzniveau anzunehmen ist. Dies gilt unter Berücksichtigung der genauen Feststellungen der EU beispielsweise für die Schweiz und Kanada.

Wurde für ein Land keine entsprechende Feststellung durch die EU-Kommission getroffen, so kann eine Datenübermittlung je nach konkreter Ausgestaltung der Situation unter Verwendung der EU-Standardvertragsklauseln zum außereuropäischen Datentransfer umgesetzt werden.