zukunft medien - Press & More GmbH
zukunft medien - Press & More GmbH
zukunft medien - Press & More GmbH
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
34 <strong>zukunft</strong> <strong>medien</strong> 3/2011<br />
recht<br />
Auftragsdatenverarbeitung<br />
Lästige gesetzliche<br />
Notwendigkeit oder<br />
Marketingchance?<br />
Mit der Datenschutznovelle 2009 wurden<br />
auch die Bestimmungen zur sog. Auftragsdatenverarbeitung<br />
im BDSG neu<br />
strukturiert. Ausgangspunkt dieser Neuregelung<br />
war eine Initiative des Bundesrates,<br />
mit welcher der damaligen Befürchtung<br />
begegnet werden sollte, dass<br />
Callcenter mit ihren Auftraggebern in zu<br />
loser Verbindung stünden und daher eine<br />
hinreichende Kontrolle der Einhaltung<br />
des BDSG nicht gewährleistet sei. Es<br />
erfolgte dann in § 11 BDSG eine Festschreibung<br />
von verbindlichen Voraussetzungen,<br />
die im Falle einer Auftragsdatenverarbeitung<br />
einzuhalten sind.<br />
Verantwortung des<br />
Auftraggebers bleibt<br />
Was aber fällt unter die Auftragsdatenverarbeitung?<br />
Ausgangspunkt ist, dass sich ein<br />
Auftraggeber im Zusammenhang mit der<br />
Datennutzung und Datenverarbeitung fremder<br />
Hilfe bedient. Dies kann sowohl Dienstleistungsunternehmen<br />
wie Callcenter und<br />
Lettershops, als auch Servicerechenzentren<br />
sowie die Fernwartung von Daten betreffen.<br />
Nach dem Gesetzgeber soll in solchen Fällen<br />
der Auftraggeber, der als verantwortliche Stelle<br />
die Datenverwendung nicht selbst durchführt,<br />
sondern sich hierzu Dritter bedient,<br />
selbst für den Datenschutz verantwortlich<br />
bleiben. Die Verantwortung soll nicht auf den<br />
Dritten/Dienstleister verlagert werden. Der<br />
Auftraggeber bleibt „Herr der Daten“. Entsprechend<br />
kann der Betroffene auch seine Rechte<br />
nach § 6 BDSG (Auskunft, Löschung, Sperrung<br />
usw.) und Schadensersatz nach § 7<br />
BDSG gegen den Auftraggeber als verantwortliche<br />
Stelle geltend machen.<br />
Sorgfaltspflicht nachkommen<br />
Das heißt: Der Auftraggeber muss dafür Sor-<br />
ge tragen, dass beim Auftragnehmer diejenigen<br />
Datenschutzvorkehrungen getroffen werden,<br />
die er selbst vornehmen müsste, wenn<br />
er die Daten in eigener Regie verarbeiten<br />
würde. Überträgt er nun die Datenverarbeitung<br />
auf einen Dritten, muss er diesen sorgfältig<br />
unter Berücksichtigung der Eignung des<br />
dort eingesetzten Datensicherheitskonzeptes<br />
auswählen, ihn durch entsprechende Weisungen<br />
binden sowie die Einhaltung der erforderlichen<br />
technischen und betriebsorganisatorischen<br />
Maßnahmen schon vor Beginn der<br />
Datenverarbeitung und im weiteren Verlauf<br />
kontrollieren und diese Kontrolle auch dokumentieren,<br />
wenn er sich nicht einem Bußgeld<br />
aussetzen will.<br />
Entsprechendes gilt ausdrücklich auch nach<br />
§ 11 Abs. 5 BDSG für die Wartung oder Fernwartung<br />
von Daten.<br />
Die Nichteinhaltung der gesetzlich<br />
genannten Mindestkriterien<br />
nach § 43 BDSG kann als Ordnungs -<br />
widrigkeit mit einer Geldbuße<br />
bis zu 50.000 Euro geahndet werden!<br />
Vertragliche Regelung notwendig<br />
Das Gesetz schreibt zur Regelung des<br />
geschilderten Problemkreises eine schriftliche<br />
Vereinbarung vor, d.h., ein Vertrag zwischen<br />
Auftraggeber und Auftragnehmer. § 11 Abs. 2<br />
BDSG gibt als eine Art „Mustervertrag“ die<br />
grundsätzlich erforderlichen Regelungsinhalte<br />
vor. Darüber hinaus können weitere Regelungen<br />
erforderlich sein, insbesondere:<br />
● Gegenstand und Dauer des Auftrages,<br />
● Umfang, Art und Zweck der vorgesehenen<br />
Erhebung, Verarbeitung oder Nutzung von<br />
Daten sowie die Art der Daten und der<br />
Kreis der Betroffenen,<br />
● die nach § 9 zu treffenden technischen und<br />
organisatorischen Maßnahmen zur<br />
Gewährleistung der Datensicherheit,<br />
● die Berichtigung, Löschung und Sperrung<br />
von Daten,<br />
● die nach § 11 Abs. 4 BDSG bestehenden<br />
Pflichten des Auftragnehmers, insbesondere<br />
die von ihm vorzunehmenden Kontrollen<br />
(Bestellung eines Datenschutzbeauftragten,<br />
soweit gesetzlich erforderlich usw.),<br />
● die etwaige Berechtigung zur Begründung<br />
von Unterauftragsverhältnissen,<br />
● die Kontrollrechte des Auftraggebers und<br />
die entsprechenden Duldungs- und Mitwirkungspflichten<br />
des Auftragnehmers,<br />
● mitzuteilende Verstöße des Auftragnehmers<br />
oder der bei ihm beschäftigten Personen<br />
gegen Vorschriften zum Schutz personenbezogener<br />
Daten oder gegen die im Auftrag<br />
getroffenen Festlegungen,