Datenverarbeitung im Auftrag
Stand: 12.04.2022
Klemmt`s an der IT-Infrastruktur der Hochschule oder ist ein Rechner kaputt, wird die Wartung und Reparatur oftmals von der jeweiligen Herstellerfirma übernommen. Sie greift möglicherweise sogar von der Ferne auf die Rechner zu oder eine beschädigte Festplatte wird an den Hersteller zur Reparatur geschickt. Dass sich auf Ihrer Festplatte diverse personenbezogene Daten befinden, die Sie damit aus der Hand geben, daran haben Sie gar nicht gedacht?
-- Nicht gut.
Sie haben daran gedacht, gehen aber davon aus, dass für einen rechtmäßigen Umgang mit den Daten die Reparaturfirma verantwortlich ist und die sich schon darum kümmern wird?
-- Nicht viel besser.
Denn werden beispielsweise Speichermedien und damit Daten zur Bearbeitung nach außen gegeben, so kann das ein Fall der so genannten "Auftragsverarbeitung" sein.
Unsere Beiträge
Allgemeine Ausführungen zur Auftragsverarbeitung, wann diese vorliegt und welche Dinge beim Vorliegen beachtet werden müssen finden Sie unter
Ein Muster für einen Vertrag zur Datenverarbeitung im Auftrag finden Sie unter
Nicht immer sind potentielle Auftragnehmer bereit, einen vorgegebenen Vertrag zu schließen, sondern legen ihren Vertrag vor.
In solchen Fällen steht man vor der (zeitintensiven) Aufgabe, deren Vertrag zu prüfen. Checklisten dazu finden Sie hier:
Insbesondere wenn Auftragsverarbeiter entsprechende Verträge vorlegen, sehen diese häufig für Unterstützungsleistungen und Kontrollen eine Entgeltpflicht vor. Das ist nicht ganz unproblematisch.
Oft enthalten von Vertragspartner verwendete Verträge über die Auftragsverarbeitung eine Regelung hinsichtlich der Unterbeauftragung, wonach bestimmte "Nebenleistung" wie insbesondere Wartung und Entsorgung von Datenträgern nicht als Auftragsverarbeitung im Sinne der jeweiligen Vorschrift verstanden werden sollen. Das sollte man sich aber näher ansehen, vor allem wenn man bei der Wahl des Auftragsverarbeiters besonderen Wert darauf gelegt hat, dass die Datenverarbeitung ausschließlich innerhalb der EU/des EWR sowie ggf. noch in einem Drittland mit Angemessenheitsbeschluss durchgeführt wird.
Bestandteil eines Vertrags über die Datenverarbeitung im Auftrag (wie im übrigen auch eines Verzeichnisses von Verarbeitungstätigkeiten) sind technische und organisatorische Maßnahmen. Welche hier spezifisch bei einer Fernwartung Anwendung finden müssen, hat ZENDAS in einem Dokument zusammengestellt.
Gemeinsam mit der Stabsstelle Informationssicherheit der Universität Stuttgart (RUS CERT) hat ZENDAS einen Katalog entwickelt, der die Anforderungen an ein Cloud-Dienstleistungsunternehmen enthält, die aus Sicht der Informationssicherheit und des Datenschutzes zu stellen sind. Da es eine Reihe von Anforderungen gibt, die aus beiden Gesichtspunkten heraus gestellt werden, können bei der Verwendung des Dokuments Synergieeffekte genutzt werden.
Das Dokument soll bei der Vergabe die Auswahl der anbietenden Stellen ermöglichen, kann aber auch bei jeder Beschaffung oder der (nachträglichen) Prüfung von Cloud-Dienstleistungsunternehmen als Checkliste verwendet werden.
Die Frage nach der Auftragsverarbeitung und damit auch die Frage nach der Verantwortlichkeit für die Datenverarbeitung stellt sich auch beim Bewerbungsverfahren ausländischer Studienbewerber, das über den uni-assist e.V. abgewickelt wird:
Bei Beauftragung von Rechtsanwälten und Steuerberatern durch Hochschulen können sich datenschutzrechtliche Fragen stellen:
Datenverarbeitung im Ausland ist nur in engen Grenzen zulässig. Bei der Beauftragung von Unternehmen mit Sitz im Ausland, vor allem in den USA, ist daher Vorsicht geboten:
Rechtliches zur Durchführung von Seminaren, Tagungen und Veranstaltungen mit Hilfe privater Dienstleister finden Sie hier:
Die Folien dazu finden Sie hier: Download (PDF-Version)