Der schreierische Titel kommt nicht von ungefähr. „Auftragsdatenverarbeitung“ ist ein so sperriges Wort, dass es sehr gerne überlesen wird. Dabei betreffen die gesetzlichen Regelungen zur Auftragsdatenverarbeitung sehr viele Onlineshop-Betreiber, Onlineplattformen, Werbetreibende, Programmierer, Webdesigner und andere IT-Dienstleister. Diese müssen eine Vielzahl strenger gesetzlicher Datenschutzvorschriften beachten oder riskieren sonst hohe Bußgelder und Schadensersatzzahlungen.
Daher sollten sie alle über das Wortungetüm hinweg sehen und sicherstellen, dass sie die nachfolgenden Fehler nicht begehen.
Irrtum 1: Ich bin von den Vorschriften zur Auftragsdatenverarbeitung nicht betroffen
Der Fehler beruht meistens darauf, dass die Auftragsdatenverarbeitung vielen schlichtweg unbekannt ist. Sie liegt vor, wenn ein Auftraggeber einen externen Auftragnehmer mit Erhebung, Verarbeitung oder Nutzung von Daten beauftragt (§ 3 Abs. 3-5 Bundesdatenschutzgesetz (BDSG)).
Das ist der Fall, wenn Datenverarbeitung ausgelagert wird (Stichwort „outsourcing“). Zum Beispiel in diesen Fällen:
- Eine Marketingagentur verarbeitet Kundendaten für ein Unternehmen. Sei es, um Statistiken zu erstellen, Umfragen zur Kundenzufriedenheit einzuholen oder um Newsletter zu verschicken.
- Eine Onlinecommunity beschäftigt externe Dienstleister für die Überwachung und Pflege der Communitymitglieder.
- Ein Callcenter wird beauftragt Kunden anzuwerben oder ihnen zu helfen.
- Ein Dienstleister wird mit der Lohnbuchhaltung oder Rechnungsbearbeitung beauftragt.
Nun werden viele denken, dass sie keine Auftragsdatenverarbeitung betreiben und daher nicht betroffen sind. Dabei wird jedoch allzu gerne der § 11 Abs. 5 BDSG übersehen. Dieser besagt, dass die Vorschriften auf Auftragsdatenverarbeitung auch im Rahmen von Prüfungs- & Wartungsverträgen anzuwenden sind, wenn dadurch der Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Und hierdurch wird eine riesige Anzahl an Aufträgen umfasst.
So sind zum Beispiel folgende Fälle inbegriffen:
- Ein Onlineshop-Betreiber beauftragt einen Programmierer mit einem Softwareupdate, im Rahmen dessen der Programmierer Zugriff auf die Kundendaten hat.
- Ein Webdesigner soll ein Blog einrichten und bekommt die Zugangsdaten für die Datenbank, auf der auch Kunden- oder Nutzerdaten liegen.
- Ein IT- Dienstleister wartet einen Server/Computer, auf dem Nutzerdaten gespeichert sind.
- Ein Unternehmen wird mit Aktenvernichtung beauftragt.
Im Ergebnis lässt sich daher grob sagen, dass sobald ein Dienstleister irgendeine Möglichkeit hat auf personenbezogene Daten zuzugreifen, zumindest eingehend zu prüfen ist, ob die Vorschriften über Auftragsdatenverarbeitun anzuwenden sind. Und angesichts dessen, dass heutzutage fast jeder auf der Festplatte oder dem Server Mitarbeiter-, Kunden-, Newsletterabonnenten oder Communitymitgliederdaten gespeichert hat, sollte jedem klar sein, wie viele Auftragsverhältnisse betroffen sind.
Irrtum 2: Es sind keine personenbezogenen Daten betroffen
„Personenbezogen“ wird oft mit „persönlich“ verwechselt, worunter viele nur sehr persönliche Daten wie Name, (Email)Adresse, Religion oder sexuelle Ausrichtung verstehen. Doch unter „personenbezogenen Daten“ im § 1 Abs. 1 BDSG versteht das Gesetz viel mehr.
Umfasst sind alle Informationen oder Ereignisse, mit deren Hilfe eine Person bestimmbar ist. Das bedeutet, dass man die Information zu jemandem zurückverfolgen kann. So ist ein Login-Name ein personenbezogenes Datum, wenn er mit einem echten Namen oder der Emailadresse verknüpft ist. Ein personenbezogenes Datum ist auch der Umstand, dass jemand ein Buch online gekauft hat, sich eine Website angesehen oder einen Kommentar im Blog verfasst hat. Auch Fotografien der Person oder ihre Hobbies gehören dazu.
Irrtum 3: Der Auftrag bezieht sich nicht auf personenbezogene Daten
Wie beim Irrtum Nummer 1 ausgeführt reicht es vollkommen aus, dass der Auftragnehmer eine auch nur entfernte Möglichkeit hat die personenbezogenen Daten zu sehen. Zum Beispiel wird ein Auftragnehmer, der sich um die Technik eines Onlineshops kümmern soll, regelmäßig die Möglichkeit haben auf die Kundendaten zuzugreifen.
Irrtum 4: Es reicht auf die Verlässlichkeit der Auftragnehmers zu vertrauen
Das Gegenteil ist der Fall. Das Gesetz regelt im § 11 BDSG, dass bei allen Aufträgen, die personenbezogene Daten berühren, eine besondere schriftliche Vereinbarung über die Auftragsdatenverarbeitung zwischen Auftraggeber und Auftragnehmer vorliegen muss. Auch wenn der Hauptauftrag (z.B. Durchführung einer Kundenumfrage oder Systemwartung) mündlich geschlossen wird, muss eine zusätzliche, schriftliche Vereinbarung vorliegen. Das kann vor allem bei kleinen Aufträgen lästig sein. Hier kann man sich oft mit Vereinbarungen aushelfen, die auch künftige Arbeiten umfassen. Dazu mehr beim Irrtum Nummer 6.
RSS-Feed
Twitter
[...] lange Rede, kurzer Sinn – Auf t3n ist nun der Artikel “15 Irrtümer bei der Auftragsdatenverarbeitung. Stopp! Wichtig! Bitte Lesen!” von mir und Kollegen Dramburg erschienen. Wie Ihr seht versuche ich mit dem Titel gegen die [...]
[...] es einen sehr gelungenen und äußerst zugänglichen Artikel zum Thema Auftragsdatenverarbeitung, zu finden hier. Ich kann das lesen nur empfehlen, insbesondere da der Autor auf den – für die Praxis [...]
[...] Internetrecht – 15 Irrtümer bei der Auftragsdatenverarbeitung. (t3n) [...]
[...] Wenn Sie jetzt konkrete Antworten und Infos zu diesen Irrtümern suchen/brauchen, kann ich Ihnen diese in sehr ausführlicher Form zur Verfügung stellen. Die Herrn Rechtsanwälte Thomas Schwenke und Sebastian Dramburg haben auf t3n.de alle oben erwähnten Irrtümer für Sie genau erklärt und geben erste Antworten zum Thema. Hier der Link zum sehr gelungenen und äußerst zugänglichen Artikel über die Auftragsdatenverarbe... [...]
[...] Hilfestellung zu geben, haben die Kollegen Thomas Schwenke und Sebastian Dramburg in ihrem Artikel „15 Irrtümer bei der Auftragsdatenverarbeitung“ die häufigsten Irrtümer und Fehler rund um die Auftragsdatenverarbeitung ausführlich [...]