Bei der Auftragsdatenverarbeitung (kurz „ADV“) verarbeitet ein Dienstleister für ein Unternehmen personenbezogene Daten nach vorgegebenen Regeln oder im Rahmen von Weisungen. Darüber muss gem. § 11 Abs. 2 BDSG eine schriftliche Vereinbarung mit einem gesetzlich vorgegebenen Inhalt abgeschlossen werden. Diese ADV-Vereinbarung stellt sicher, dass die Daten während der Verarbeitung in der Herrschaft des auftraggebenden Unternehmens verbleiben und angemessen gegen Verlust und Missbrauch gesichert sind.
Bei der ADV wird Dienstleister hinsichtlich der Daten des Auftraggebers rechtlich mehr oder weniger als verlängerter Arm des Auftraggebers behandelt. „Verantwortliche Stelle“ nach dem BDSG bleibt der Auftraggeber. Er muss regelmäßig kontrollieren, dass der Auftragnehmer seine Weisungen und die vereinbarten technisch-organisatorischen Maßnahmen einhält. Für die Bereitstellung der personenbezogenen Daten durch den Auftraggeber im Rahmen des Auftrags an den Auftragnehmer bedarf es keiner besonderen gesetzlichen Erlaubnis oder Einwilligung, da dies nicht als „Übermittlung“ im Sinne des BDSG gilt (sog. Privilegierung der Auftragsdatenverarbeitung).
Typische Fälle einer ADV sind alle Formen des IT-Outsourcings, von der Beauftragung eines Webanalyse-Dienstes (wie z.B. Google Analytics) bis hin zum Bezug von Rechenzentrumsleistungen. Auch bei der Wartung von IT und sogar bei der Datenträgerentsorgung durch Dritte ist regelmäßig eine Vereinbarung nach § 11 BDSG erforderlich.
Nach der von den Aufsichtsbehörden mehrheitlich vertretenen Auffassung – der sog. Funktionsübertragungstheorie – ist die Auftragsdatenverarbeitung von der „Funktionsübertragung“ abzugrenzen, bei der nicht nur die Datenverarbeitung, sondern die zugrundeliegende betriebliche Aufgabe selbst ausgelagert wird. Der Dienstleister hat bei der Funktionsübertragung größere Entscheidungsspielräume beim Umgang mit den Daten, als sie ein Auftragsdatenverarbeiter haben kann. Die Abgrenzung soll nach der Natur der Auslagerung erfolgen – praktisch ist diese allerdings oft schwer zu beurteilen, die Grenzen sind fließend. Deshalb stellt eine andere, im Vordringen befindliche Ansicht – die sog. Vertragstheorie – in erster Linie auf die Vereinbarung mit dem Dienstleister ab. Hat dieser sich den Weisungen des Auftraggebers und den Bedingungen von § 11 BDSG unterworfen, soll danach Auftragsdatenverarbeitung vorliegen.