Auftragsdatenverarbeitung nach der Reform: Neue Vertragsinhalte

VORWORT

Das Ziel dieser Seminararbeit ist es, Lesern ohne weit reichende Vorkenntnisse auf dem Gebiet der Auftragsdatenverarbeitung, einen fundierten Einstieg in die Thematik zu ermöglichen.

Anhand von Vertragsgestaltungsmöglichkeiten und Klauselbeispielen werden Besonderheiten und Problematiken beleuchtet und aufgezeigt, dies geschieht vor allem vor dem Hintergrund des novellierten Datenschutzrechts. Im Besonderen wird deshalb auf die Neuerungen, die sich durch die Reform für die Auftragsdatenverarbeitung ergeben haben, eingegangen. Dabei wird stets der Bezug zur Praxis gewahrt, in Folge dessen sind die Klauselformulierungen in Englischer Sprache abgefasst.

Einen Einstieg in die Materie soll zunächst das Kapitel „Auftragsdatenverarbeitung“ ermöglichen. Ohne die grundlegende Begriffserklärung bzw. Definition der Auftragsdatenverarbeitung und dessen Anwendungsbereich, ist nur schwer darzustellen, welche Bedeutung diese für die Praxis hat.

II

ABKÜRZUNGSVERZEICHNIS

AGB Allgemeine Geschäftsbedingungen

BDSG Bundesdatenschutzgesetz

BGB Bürgerliches Gesetzbuch

bzgl. bezüglich

bzw. beziehungsweise

d.h. das heißt

EG Europäische Gemeinschaft

EU Europäische Union

f. folgende (Seite), folgend

ff. fortfolgend

gem. gemäß

i.S.d. im Sinne des / der

insb. insbesondere

Mrd. Milliarden

Rn. Randnummer

S. Satz / Seite

vgl. vergleiche

z.B. zum Beispiel

III

INHALTSVERZEICHNIS

  VORWORT  II

  ABKÜRZUNGSVERZEICHNIS  III

1  EINFÜHRUNG  1

2  AUFTRAGSDATENVERARBEITUNG  2

2.1  DEFINITION EINORDNUNG  2

2.2  ABGRENZUNG ZUR FUNKTIONSÜBERTRAGUNG  4

3  ÄNDERUNGEN DURCH DIE REFORM  6

4  NEUE VERTRAGSINHALTE  9

4.1  GESTALTUNGSHINWEISE  9

4.2  KLAUSELBEISPIELE  10

4.2.1  GEGENSTAND UND DAUER DES AUFTRAGES (MUSS INHALT)  11

4.2.2  UMFANG ART UND ZWECK DER VORGESEHENEN ERHEBUNG VERARBEITUNG  ODER

  NUTZUNG VON DATEN DIE ART DER DATEN UND DER KREIS DER BETROFFENEN  

  (MUSS INHALT)  12

4.2.3  TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN (MUSS INHALT)  13

4.2.4  BERICHTIGUNG LÖSCHUNG UND SPERRUNG VON DATEN (MUSS INHALT)  13

4.2.5  PFLICHTEN DES DIENSTLEISTERS (MUSS INHALT)  14

4.2.6  UNTERAUFTRAGSVERHÄLTNISSE (MUSS INHALT)  14

4.2.7  KONTROLLRECHTE DES AUFTRAGGEBERS (MUSS INHALT)  15

4.2.8  MITTEILUNG BEI VERSTÖßEN DES DIENSTLEISTERS (MUSS INHALT)  15

4.2.9  UMFANG DER WEISUNGSBEFUGNIS DES AUFTRAGGEBERS (MUSS INHALT)  15

4.2.10  RÜCKGABE ÜBERLASSENER DATENTRÄGER UND DIE LÖSCHUNG  BEIM

  DIENSTLEISTER GESPEICHERTER DATEN NACH BEENDIGUNG DES AUFTRAGES  

  (MUSS INHALT)  16

4.2.11  VERGÜTUNG KOSTEN (SOLL INHALT)  16

4.2.12  VERTRAGSSTRAFE (SOLL INHALT)  17

4.2.13  WAHRUNG DER BETROFFENENRECHTE (SOLL INHALT)  17

4.2.14  SCHLUSSBESTIMMUNGEN (SOLL INHALT)  18

5  FAZIT  18

  QUELLEN  A

IV

1 Einführung

Der IT – Sektor bekleidet in der Deutschen Wirtschaft eine wichtige Rolle, folglich werden immer wieder datenschutzrechtliche Fragen aufgeworfen, gerade auch im Bereich der Datenverarbeitung. Allein im Jahr 2007 waren 54.100 Unternehmen in der Deutschen IT – Branche tätig, mit 444.200 Beschäftigten. 11, 4 Prozent dieser Unternehmen bieten Datenverarbeitungsdienste an, diese allein erwirtschafteten im Jahr 2007 einen Umsatz von 14, 8 Mrd. Euro. Die Tendenz dieses Bereiches ist steigend 1 .

Die Auftragsdatenverarbeitung kommt in der Praxis sehr häufig vor, jedoch muss man leider immer wieder feststellen, dass recht oft die rechtlichen Voraussetzungen für eine Auftragsdatenverarbeitung nicht oder nicht vollständig eingehalten werden 2 . Dabei werden von den gesetzlichen Regelungen zur Auftragsdatenverarbeitung sehr viele Onlineshop – Betreiber, Onlineplattformen, Werbetreibende, Programmierer, Webdesigner und andere IT – Dienstleister tangiert. Bei der Nichtbeachtung der gesetzlichen Datenschutzvorschriften riskieren diese hohe Bußgelder und Schadensersatzzahlungen. Diese Bußgelder können bis zu einer Höhe von 50.000 Euro verhängt werden. Die Nichtbeachtung der gesetzlichen Vorschriften beruht meistens darauf, dass die Auftragsdatenverarbeitung Vielen schlichtweg unbekannt ist und Betroffene oft meinen nicht unter die Auftragsdatenverarbeitung zu fallen. Deshalb ist stets zu raten, sich mit der Materie vertieft auseinanderzusetzen, im Zweifel sollte ein

1 Strukturerhebung im Dienstleistungsbereich Datenverarbeitung und Datenbanken 2007, Statistisches Bundesamt unter: https://www- ec.destatis.de/csp/shop/sfg/bpm.html.cms.cBroker.cls?cmspath=struktur,vollanzei ge.csp&ID=1024853.

2 Hansen-Oest, Stephan unter: http://www.say-ho.com/auftragsdatenverarbeitung/.

1

Experte mit ausgewiesenen datenschutzrechtlichen Kenntnissen hinzugezogen werden 3 .

Im folgenden Kapitel wird dargestellt, wann eine Auftragsdatenverarbeitung vorliegt und wer von den gesetzlichen Regelungen betroffen ist.

2 Auftragsdatenverarbeitung

2.1 Definition / Einordnung

Bei der Auftragsdatenverarbeitung verarbeiten die Auftragnehmer auf eigenen Systemen Daten, die Personenbezug aufweisen, z.B. Kundendaten 4 . Die Auftragsdatenverarbeitung ist in § 11 BDSG geregelt. Auf der Grundlage der Auftragsdatenverarbeitung werden vor allem Outsourcing Geschäfte abgewickelt, beispielsweise lagern viele Unternehmen ihre Lohnbuchhaltung und Gehaltsabrechnung aus, weitere Beispiele sind am Ende dieses Abschnittes aufgeführt 5 . Auftraggeber ist das Unternehmen, das eine Leistung in Anspruch nehmen möchte, z.B. die Abwicklung der Lohnbuchhaltung. Auftragnehmer sind Dienstleister, diese würden dann die Abwicklung der Lohnbuchhaltung übernehmen. In der Praxis können dies auch Tochtergesellschaften des Auftraggebers sein 6 . Nach Auffassung der Rechtsprechung liegt eine Auftragsdatenverarbeitung nur dann vor, wenn der Auftraggeber „Herr der Daten“ bleibt und der Dienstleister den Weisungen des Auftraggebers unterworfen ist 7 . Dies ergibt sich aus § 11 (1) S. 1 und § 11 (3) S. 1 BDSG, danach ist der

3 Schwenke, Thomas, „15 Irrtümer bei der Auftragsdatenverarbeitung“ unter:

http://t3n.de/news/internetrecht-15-irrtumer-auftragsdatenverarbeitung-255133/.

4 Koch, S. 966.

5 Kahler / Werner, S. 198.

6 Koch, S. 966.

7 Moos, S. 97.

2

Auftraggeber für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften des Datenschutzrechts verantwortlich, außerdem darf der Dienstleister nur im Rahmen der Weisungen des Auftraggebers Daten erheben, verarbeiten oder nutzen.

Entscheidend ist also, dass der Dienstleister keine eigenen Nutzungsrechte an den übermittelten Daten erhält und nur die Funktion der reinen Datenverarbeitung einnimmt 8 . Der Dienstleister agiert also als „verlängerter Arm“ des Auftraggebers, die Daten können frei fließen, da Auftraggeber und Dienstleister eine Einheit bilden. Da bei der Auftragsdatenverarbeitung empfindliche personenbezogene Daten betroffen sind hat der Auftraggeber die Pflicht den Dienstleister sorgfältig auszuwählen, dies umfasst die Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen. Diese „Sorgfaltspflicht“ ergibt sich aus § 11 (2) S. 1 BDSG. Weiterhin ist gem. § 11 (2) S. 2 BDSG der Auftrag schriftlich zu erteilen, vor allem in diesem Punkt sind einige Neuerungen durch die BDSG Novelle hinzugekommen, diese werden speziell im nächsten Kapitel „Änderungen durch die Reform“ behandelt.

Hier eine vereinfachte Aufzählung von Merkmalen, die auf eine Auftragsdatenverarbeitung schließen können: 9

Keine Entscheidungsbefugnis des Dienstleisters.

Der Dienstleister unterliegt einem Nutzungsverbot bzgl. der Daten.

Der Dienstleister ist weisungsgebunden und wird von dem Auftraggeber unterstützt.

Keine vertragliche Beziehung zwischen den von der Datenverarbeitung Betroffenen und dem Dienstleister, sowie kein etwaiger Kontakt zwischen diesen Parteien.

8 Moos, S. 97.

9 Moos, S. 97.

3