Auftragsdatenverarbeitung nach der Reform: Neue Vertragsinhalte

INHALTSVERZEICHNIS

VORWORT

ABKÜRZUNGSVERZEICHNIS

1 Einführung

2 Auftragsdatenverarbeitung
2.1 Definition / Einordnung
2.2 Abgrenzung zur Funktionsübertragung

3 Änderungen durch die Reform

4 Neue Vertragsinhalte
4.1 Gestaltungshinweise
4.2 Klauselbeispiele
4.2.1 Gegenstand und Dauer des Auftrages (Muss – Inhalt)
4.2.2 Umfang, Art und Zweck der vorgesehenen, Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen (Muss – Inhalt)
4.2.3 Technische und organisatorische Maßnahmen (Muss – Inhalt)
4.2.4 Berichtigung, Löschung und Sperrung von Daten (Muss – Inhalt)
4.2.5 Pflichten des Dienstleisters (Muss – Inhalt)
4.2.6 Unterauftragsverhältnisse (Muss – Inhalt)
4.2.7 Kontrollrechte des Auftraggebers (Muss – Inhalt)
4.2.8 Mitteilung bei Verstößen des Dienstleisters (Muss – Inhalt)
4.2.9 Umfang der Weisungsbefugnis des Auftraggebers (Muss – Inhalt)
4.2.10 Rückgabe überlassener Datenträger und die Löschung beim Dienstleister gespeicherter Daten nach Beendigung des Auftrages (Muss – Inhalt)
4.2.11 Vergütung / Kosten (Soll – Inhalt)
4.2.12 Vertragsstrafe (Soll – Inhalt)
4.2.13 Wahrung der Betroffenenrechte (Soll – Inhalt)
4.2.14 Schlussbestimmungen (Soll – Inhalt)

5 Fazit

QUELLEN

VORWORT

Das Ziel dieser Seminararbeit ist es, Lesern ohne weit reichende Vorkenntnisse auf dem Gebiet der Auftragsdatenverarbeitung, einen fundierten Einstieg in die Thematik zu ermöglichen.

Anhand von Vertragsgestaltungsmöglichkeiten und Klauselbeispielen werden Besonderheiten und Problematiken beleuchtet und aufgezeigt, dies geschieht vor allem vor dem Hintergrund des novellierten Datenschutzrechts. Im Besonderen wird deshalb auf die Neuerungen, die sich durch die Reform für die Auftragsdatenverarbeitung ergeben haben, eingegangen. Dabei wird stets der Bezug zur Praxis gewahrt, in Folge dessen sind die Klauselformulierungen in Englischer Sprache abgefasst.

Einen Einstieg in die Materie soll zunächst das Kapitel „Auftragsdatenverarbeitung“ ermöglichen. Ohne die grundlegende Begriffserklärung bzw. Definition der Auftragsdatenverarbeitung und dessen Anwendungsbereich, ist nur schwer darzustellen, welche Bedeutung diese für die Praxis hat.

ABKÜRZUNGSVERZEICHNIS

Abbildung in dieser Leseprobe nicht enthalten

1 Einführung

Der IT – Sektor bekleidet in der Deutschen Wirtschaft eine wichtige Rolle, folglich werden immer wieder datenschutzrechtliche Fragen aufgeworfen, gerade auch im Bereich der Datenverarbeitung. Allein im Jahr 2007 waren 54.100 Unternehmen in der Deutschen IT – Branche tätig, mit 444.200 Beschäftigten. 11, 4 Prozent dieser Unternehmen bieten Datenverarbeitungsdienste an, diese allein erwirtschafteten im Jahr 2007 einen Umsatz von 14, 8 Mrd. Euro. Die Tendenz dieses Bereiches ist steigend^[1].

Die Auftragsdatenverarbeitung kommt in der Praxis sehr häufig vor, jedoch muss man leider immer wieder feststellen, dass recht oft die rechtlichen Voraussetzungen für eine Auftragsdatenverarbeitung nicht oder nicht vollständig eingehalten werden^[2]. Dabei werden von den gesetzlichen Regelungen zur Auftragsdatenverarbeitung sehr viele Onlineshop – Betreiber, Onlineplattformen, Werbetreibende, Programmierer, Webdesigner und andere IT – Dienstleister tangiert. Bei der Nichtbeachtung der gesetzlichen Datenschutzvorschriften riskieren diese hohe Bußgelder und Schadensersatzzahlungen. Diese Bußgelder können bis zu einer Höhe von 50.000 Euro verhängt werden. Die Nichtbeachtung der gesetzlichen Vorschriften beruht meistens darauf, dass die Auftragsdatenverarbeitung Vielen schlichtweg unbekannt ist und Betroffene oft meinen nicht unter die Auftragsdatenverarbeitung zu fallen. Deshalb ist stets zu raten, sich mit der Materie vertieft auseinanderzusetzen, im Zweifel sollte ein Experte mit ausgewiesenen datenschutzrechtlichen Kenntnissen hinzugezogen werden^[3].

Im folgenden Kapitel wird dargestellt, wann eine Auftragsdatenverarbeitung vorliegt und wer von den gesetzlichen Regelungen betroffen ist.

2 Auftragsdatenverarbeitung

2.1 Definition / Einordnung

Bei der Auftragsdatenverarbeitung verarbeiten die Auftragnehmer auf eigenen Systemen Daten, die Personenbezug aufweisen, z.B. Kundendaten^[4]. Die Auftragsdatenverarbeitung ist in § 11 BDSG geregelt. Auf der Grundlage der Auftragsdatenverarbeitung werden vor allem Outsourcing Geschäfte abgewickelt, beispielsweise lagern viele Unternehmen ihre Lohnbuchhaltung und Gehaltsabrechnung aus, weitere Beispiele sind am Ende dieses Abschnittes aufgeführt^[5]. Auftraggeber ist das Unternehmen, das eine Leistung in Anspruch nehmen möchte, z.B. die Abwicklung der Lohnbuchhaltung. Auftragnehmer sind Dienstleister, diese würden dann die Abwicklung der Lohnbuchhaltung übernehmen. In der Praxis können dies auch Tochtergesellschaften des Auftraggebers sein^[6]. Nach Auffassung der Rechtsprechung liegt eine Auftragsdatenverarbeitung nur dann vor, wenn der Auftraggeber „Herr der Daten“ bleibt und der Dienstleister den Weisungen des Auftraggebers unterworfen ist^[7]. Dies ergibt sich aus § 11 (1) S. 1 und § 11 (3) S. 1 BDSG, danach ist der Auftraggeber für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften des Datenschutzrechts verantwortlich, außerdem darf der Dienstleister nur im Rahmen der Weisungen des Auftraggebers Daten erheben, verarbeiten oder nutzen. Entscheidend ist also, dass der Dienstleister keine eigenen Nutzungsrechte an den übermittelten Daten erhält und nur die Funktion der reinen Datenverarbeitung einnimmt^[8]. Der Dienstleister agiert also als „verlängerter Arm“ des Auftraggebers, die Daten können frei fließen, da Auftraggeber und Dienstleister eine Einheit bilden. Da bei der Auftragsdatenverarbeitung empfindliche personenbezogene Daten betroffen sind hat der Auftraggeber die Pflicht den Dienstleister sorgfältig auszuwählen, dies umfasst die Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen. Diese „Sorgfaltspflicht“ ergibt sich aus § 11 (2) S. 1 BDSG. Weiterhin ist gem. § 11 (2) S. 2 BDSG der Auftrag schriftlich zu erteilen, vor allem in diesem Punkt sind einige Neuerungen durch die BDSG Novelle hinzugekommen, diese werden speziell im nächsten Kapitel „Änderungen durch die Reform“ behandelt.

Hier eine vereinfachte Aufzählung von Merkmalen, die auf eine Auftragsdatenverarbeitung schließen können:^[9]

- Keine Entscheidungsbefugnis des Dienstleisters.
- Der Dienstleister unterliegt einem Nutzungsverbot bzgl. der Daten.
- Der Dienstleister ist weisungsgebunden und wird von dem Auftraggeber unterstützt.
- Keine vertragliche Beziehung zwischen den von der Datenverarbeitung Betroffenen und dem Dienstleister, sowie kein etwaiger Kontakt zwischen diesen Parteien.
- Der Dienstleister geht nur mit Daten um, die der Auftraggeber zur Verfügung stellt.
- Der Auftrag ist allein auf die praktisch – technische Durchführung einer Datenverarbeitung gerichtet, die nach Außen hin vom Auftraggeber vertreten wird.
Abschließend noch ein paar Beispiele aus der Praxis für eine typische Auftragsdatenverarbeitung:^[10]
- Externe Datenhaltung, insb. beim teilweisen oder gesamten Outsourcing eines Rechenzentrums.
- Papier- / Aktenvernichtung, Vernichtung von Datenträgern.
- Archivierungsservice durch bestimmte Dienstleister.
- Formen des Direktmarketings, die das Unternehmen selbst nicht durchführt (z.B. das typische Telefonmarketing).
- Eine Besonderheit ergibt sich aus § 11 (5) BDSG, danach gelten die Vorschriften bzgl. der Auftragsdatenverarbeitung entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen ist. Dies ist z.B. dann der Fall, wenn eine Installation oder Wartung von Netzwerken oder Software nötig ist.

2.2 Abgrenzung zur Funktionsübertragung

Sind die oben genannten Voraussetzungen für eine Auftragsdatenverarbeitung nicht gegeben oder erfüllt, so kann eine Funktionsübertragung, auch Funktionsverlagerung genannt, vorliegen. Dies ist dann der Fall, wenn der Empfänger der Daten Dritter im Sinne des § 3 (8) BDSG ist, d.h. jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dies hat zur Folge, dass die Weiterleitung an diesen Dritten, sowie die Verarbeitung oder Nutzung der Daten eben durch diesen Dritten, nur mit Einwilligung des Betroffenen oder aufgrund einer gesetzlichen Regelung geschehen darf. Die Einwilligung muss den Anforderungen des § 4a BDSG genügen, d.h. sie muss vor allem spezifisch sein und bedarf der Schriftform^[11]. Hier zeigt sich der große Vorteil einer Auftragsdatenverarbeitung, wie bereits erwähnt können bei dieser Daten zwischen dem Auftraggeber und Dienstleister frei fließen. Läge nämlich keine Auftragsdatenverarbeitung vor, so müsste bei jeder Weitergabe von Daten vom Unternehmen an den Dritten bzw. Dienstleister geprüft werden, ob eine Rechtsgrundlage für die Übermittlung besteht. Dies kann entweder nur durch die Einwilligung des Betroffenen nach § 4a BDSG erfolgen, sofern dies nicht gegeben ist kommt nur noch eine Rechtfertigung nach § 28 BDSG in Betracht. Außerdem hätte der Dritte bzw. Dienstleister eine Benachrichtigungspflicht gegenüber dem Betroffenen gem. § 33 (1) BDSG, dies ist dann zu beachten, wenn der Dritte bzw. Dienstleister erstmals Daten von einer Person speichert, ohne dass die Person hiervon Kenntnis hat. Aufgrund dieser Verpflichtungen, die bei der Auftragsdatenverarbeitung nicht bestehen spricht man gemeinhin von einer Privilegierung. Die Datenweitergabe von dem Auftraggeber an den Dienstleister im Rahmen einer Auftragsdatenverarbeitung, stellt damit keine Übermittlung i.S.d. § 3 (4) S. 2 Nr. 3 BDSG dar, da der Dienstleister nicht als Dritter nach § 3 (8) BDSG zu qualifizieren ist^[12].

[...]

^[1] Strukturerhebung im Dienstleistungsbereich Datenverarbeitung und Datenbanken 2007, Statistisches Bundesamt unter: https://www-ec.destatis.de/csp/shop/sfg/bpm.html.cms.cBroker.cls?cmspath=struktur,vollanzeige.csp&ID=1024853.

^[2] Hansen-Oest, Stephan unter: http://www.say-ho.com/auftragsdatenverarbeitung/.

^[3] Schwenke, Thomas, „15 Irrtümer bei der Auftragsdatenverarbeitung“ unter: http://t3n.de/news/internetrecht-15-irrtumer-auftragsdatenverarbeitung-255133/.

^[4] Koch, S. 966.

^[5] Kahler / Werner, S. 198.

^[6] Koch, S. 966.

^[7] Moos, S. 97.

^[8] Moos, S. 97.

^[9] Moos, S. 97.

^[10] Mustervertragsanlage zur Auftragsdatenverarbeitung S. 13 vom Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. unter: http://www.bitkom.org/de/publikationen/38336_45940.aspx.

^[11] Kaib, S. 305.

^[12] Kühling / Sivridis / Seidel, S. 203.