Auftragsdatenverarbeitungs-Verhältnisse liegen immer dann vor, wenn ein Unternehmen nach bestimmten Weisungen personenbezogene Daten für ein anderes verarbeitet. Zu den personenbezogenen Daten zählen nicht nur persönliche Daten, sondern sämtliche Informationen, die einer bestimmten oder bestimmbaren Person zugeordnet werden können, so zum Beispiel Mitarbeiterdaten wie Name, Position, Lebenslauf oder Gehalt.
Die neuen Anforderungen sind zum Beispiel relevant für Verträge über die Auslagerung der Lohnbuchhaltung und Gehaltsabrechnung sowie Verträge mit Archivierungs-Dienstleistern und externen HR-Beratern oder sonstige Vereinbarungen, welche die Bereitstellung von IT-Ressourcen regeln.
Wer ist nun von den neuen Regeln betroffen? Alle Vertragsparteien – vom Einzelkaufmann bis zum internationalen Unternehmen; übrigens auch explizit konzerninterne Vertragspartner. Ein Beispiel: Eine Muttergesellschaft betreibt ein zentrales HR-System oder eine Bewerberdatenbank, in der auch Daten von Angestellten beziehungsweise Bewerbern der Tochtergesellschaften gespeichert sind. Mutter- und Tochtergesellschaften müssen dann konzernintern Verträge schließen, die den neuen Regeln entsprechen.
Das neue Recht verschärft die Gestaltung der vor dem 31. August 2009 geltenden Mindestanforderungen: Das Bundesdatenschutzgesetz verlangt nun zwingend Klauseln über die Benachrichtigung bei Datenschutzverstößen, Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers sowie die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Auch die Einschaltung von Unterauftragnehmern muss – wie schon nach alter Rechtslage – schriftlich geregelt werden.
