Die Bedeutung des Datenschutzes steigt mit der fortwährenden Weiterentwicklung in der Digitaltechnik ständig an. Neue Möglichkeiten der Datenerfassung und -verarbeitung führen dazu, dass der Datenschutz und die datenschutzrechtlichen Regelungen für fast alle Unternehmen immer relevanter werden.
Seit dem 01.09.2009 gelten gemäß § 11 Bundesdatenschutzgesetz (BDSG) für die sogenannte „Auftragsdatenverarbeitung“ verschärfte Anforderungen, die – wie die Beratungspraxis zeigt – vielen betroffenen Unternehmen schlicht unbekannt geblieben ist.
Dies liegt nicht zuletzt an dem etwas sperrigen Begriff „Auftragsdatenverarbeitung“, dem nicht unmittelbar zu entnehmen ist, dass eine Vielzahl von weit verbreiteten Sachverhalten und damit auch die wohl meisten Unternehmen und Unternehmern betroffen sind. Der Gesetzgeber will mit den verschärften Vorgaben zur Auftragsdatenverarbeitung sicherstellen, dass durch eine entsprechende Verpflichtung des auftraggebenden Unternehmens der Umgang mit personenbezogene Daten auch bei einer Weitergabe („Outsourcing“ jeder Form der Datenverarbeitung) detailliert geregelt wird und diese entsprechend sicher sind. Von besonderer Relevanz ist dieses Thema vor allem deshalb, weil der Gesetzgeber als Sanktionen bei der Nichtbeachtung der einschlägigen Vorgaben empfindliche Bussgelder vorsieht.
Auftragsdatenverarbeitung liegt regelmäßig dann vor, wenn personenbezogene Daten (Definition „Personenbezogene Daten“ siehe hier) im Auftrag eines Unternehmens (sogenannter Auftraggeber) an Dritte (sogenannter Auftragnehmer) gegeben werden, damit diese die Daten erheben, verarbeiten oder nutzen (§ 11 Abs.1 BDSG). In all diesen Fällen ist der Auftraggeber verpflichtet, für die Einhaltung der datenschutzrechtlichen Vorschriften zu sorgen und einen schriftlichen Vertrag mit der verarbeitenden Stelle zu schließen, der zwingend die in § 11 Abs.2 BDSG vorgeschriebenen Mindestinhalte regelt.
Damit sind zahlreiche Fälle der Weitergabe von personenbezogenen Daten (insbesondere Kunden- und Mitarbeiterdaten) grundsätzlich betroffen. Auftragsdatenverarbitung greift ein bei Sachverhalten wie der Weitergabe von entsprechenden Kundendaten an die Marketingagentur, bei entsprechender Beauftragung eines E-Maildienstleisters oder eines Call-Centers, Speicherung oder Verarbeitung von personenbezogener Daten innerhalb eines Cloud Computing Systems, bei der Beauftragung von Dienstleistern zur Lohnbuchhaltung, Rechnungsabwicklung uvm. Noch komplexer wird es, wenn der Auftragnehmer eigene Subunternehmer in die weitere Datenverarbeitung einbindet (siehe Schaubild).
Manche Juristen sind der Auffassung, dass die Vorschriften zur Auftragsdatenverarbeitung sogar eingreifen, wenn Dritte zumindest theoretischen Zugriff auf personenbezogene Daten haben. Damit wären dann auch Verträge mit dem Dienstleister, der die IT Wartung durchführt, möglicherweise sogar die Reinigungsfirma erfasst. Hier wird sich zeigen, on die Datenschutzbehörden bzw. die Gerichte auch in diesen Fällen den Abschluss eines entsprechenden Auftragsdatenverarbeitungsvertrages als erforderlich ansehen.
Besondere Bedeutung erlangt die Einhaltung dieser Vorgaben für den Auftraggeber vor allem dadurch, dass dem Unternehmen (unter Umständen sogar dem Geschäftsführer oder dem Datenschutzbeauftragten persönlich) bei Nichtbefolgung (§43 Abs.1 Nr.2b BDSG) Bussgelder von bis zu 50.000 € und eine entsprechende Gewinnabschöpfung (§ 43 Abs.3 BDSG) drohen.
Nicht zuletzt in Anbetracht der ständig steigenden Bedeutung von Datenschutz und die wachsende Aufmerksamkeit der Datenschutzbehörden ist betroffenen Unternehmen zur Prüfung zu raten, welche (Vertrags-)verhältnisse unter die Auftragsdatenverarbeitung fallen, um zeitnah den Anforderungen des § 11 Abs.2 BDSG entsprechende Auftragsdatenverarbeitungs-Vereinbarungen zu schließen.
Die notwendigen vertraglichen Inhalte sollen im nachfolgenden Beitrag skizziert werden.
I. Mindestinhalte eines Auftragsdatenverarbeitungsvertrages
Gemäß §11 Abs.2 BDSG hat der Auftraggeber mit dem Auftragnehmer einen schriftlichen Vertrag zu schließen, der zwingend folgende Inhalte in den notwendigen Details regelt:
1. der Gegenstand und die Dauer des Auftrags,
2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
Bei Auftragsverhältnisse, die über eine längere Laufzeit reichen und sich deshalb oft erst im Laufe des Projekts entsprechend konkretisieren, ist zu raten, die entsprechenden Datenmodelle erst einmal abstrakt festzulegen, um sie später (z.B. über entsprechende Service Level Agreements) näher zu spezifizieren.
3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
Hier sind die von § 9 BDSG geforderten Datensicherheitsmaßnahmen festzulegen.
4. die Berichtigung, Löschung und Sperrung von Daten,
Gemeint ist die Festlegung der Verfahren, die bei „Fehlern“ die Umsetzung der Berichtigungs- und Löschungsansprüche etwaiger Betroffener (§ 35 BDSG) regeln.
5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
§ 11 Abs. 4 BDSG verweist im wesentlichen auf die Pflichten zur Bestellung eines Datenschutzbeauftragten und dessen Aufgabenprofil (§ 4 f unf g BDSG).
6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
Um eine die gesetzlich geforderte Kontrolle über die Datennutzung ausüben zu könne, sind dem Auftraggeber hier spezifische Kontrollrecht (wie z.B. Weisungsbefugnisse) aber auch Einsichtsrechte einzuräumen.
8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
Wie den eingefügten Kommentaren zu entnehmen ist, sind für die einzelnen Unterpunkte detaillierte Regelungen zu treffen, die eine ordnungsgemäße Datenverwendung des Auftragnehmers sicherstellen und dem Auftraggeber auch entsprechende Überwachungs- und Kontrollrechte einräumen sollen. Anders wären die rigiden Strafvorschriften bei Nichteinhaltung gegenüber dem Auftraggeber auch nicht zu rechtfertigen.
Im Internet angebotene Vertragsmuster können als weitergehende Orientierungshilfe herangezogen werden, erfordern aber erfahrungsgemäß die Anpassung an die konkrete vertragliche Situation. Nachdem sich manche Muster eher als auftrageber-, andere aber als auftragnehmerfreundlich darstellen, sollte außerdem danach gewählt werden, wer den Vertrag der anderen Partei zur Verfügung stellt. Schließlich unterscheiden sich die Entwürfe auch qualitativ, wie das als überarbeitsungsbedürftig erkannte und deshalb schon wieder zurück gezogene Vertragsmuster des Regierungspräsidiums Darmstadt zeigt.
Besonderheiten beim Datentransfer ins Ausland
Nicht selten wird der Auftragnehmer seinen Sitz im Ausland haben oder dort die Speicherung oder weitergehende Verarbeitung der Daten vornehmen. Solange sich der Datentransfer innerhalb der EU abspielt gibt es gemäß § 4b Abs. 1 BDSG keine wesentlichen Besonderheiten. Bei der Übertragung der Daten außerhalb der EU – wie z.b. auch die USA – (sogenannte Drittländer) ist vom Auftraggeber ein entsprechendes Datenschutzniveau sicherzustellen, sonst drohen Bussgelder (§§ 43, 44 BDSG). Für manche Länder ist bereits ein entsprechendes Datenschutzniveau offiziell festgestellt worden. Ansonsten ist eine Übermittlung auch zulässig, wenn eine entsprechende Genehmigung der Aufsichtsbehörde vorliegt und wenn – wohl am relevantesten – sich aus den Vertragsklauseln oder Unternehmensregelungen ein angemessenes Datenschutzniveau ergibt.
II. Zusammenfassung Auftragsdatenverarbeitung:
Auch wenn die dargestellten Vorgaben bereits 01.09.2009 gelten, sollten Unternehmen, die ihre Vertragslage nicht entsprechend geprüft und nachgebessert haben, nunmehr zeitnah tätig werden, da die Datenschutzbehörden der Länder zum Ausdruck gebracht haben, dass sie nunmehr keine Schonfristen mehr gewähren.
In diesem Zusammenhang ist auch darauf hinzuweisen, dass auch Altverträge entsprechend überarbeitet und den zwingenden Vorgaben des § 11 BDSG, die weit über das hinausgehen, was auf Grundlage der alten Fassung des BDSG an Anforderungen ein Auftragsdatenverarbeitungsverhältnis gestellt wurden, anzupassen sind.
Auch wenn sicherlich diskutiert werden kann, ob solch weitreichenden Verpflichtungen der Unternehmen (gerade auch im internationalen Umfeld) angemessen sind, ist betroffenen Unternehmen angesichts der eindeutigen gesetzlichen Vorgaben, den erheblichen Bussgelder und auch Gewinnabschöpfungsregelungen zu raten, nun so schnell wie möglich entsprechend tätig zu werden, die einschlägigen (Vertrags-)verhältnisse zu analysieren und gegebenenfalls auf eine entsprechende vertragliche Grundlage zu stellen.
Sehr gute Zusammenstellung und Übersicht der Fakten. Die Irrtümer zu diesem Thema sind vielfältig und weit verbreitet. Dieser Beitrag hilft sicher, diese zu reduzieren.