t3n News Software

Internetrecht: 15 Irrtümer bei der Auftragsdatenverarbeitung. Stopp! Wichtig! Bitte Lesen!

Internetrecht: 15 Irrtümer bei der Auftragsdatenverarbeitung. Stopp! Wichtig! Bitte Lesen!

© bilderbox - Fotolia.com

Der schreierische Titel kommt nicht von ungefähr. „Auftragsdatenverarbeitung“ ist ein so sperriges Wort, dass es sehr gerne überlesen wird. Dabei betreffen die gesetzlichen Regelungen zur Auftragsdatenverarbeitung sehr viele Onlineshop-Betreiber, Onlineplattformen, Werbetreibende, Programmierer, und andere IT-Dienstleister. Diese müssen eine Vielzahl strenger gesetzlicher Datenschutzvorschriften beachten oder riskieren sonst hohe Bußgelder und Schadensersatzzahlungen.

Daher sollten sie alle über das Wortungetüm hinweg sehen und sicherstellen, dass sie die nachfolgenden Fehler nicht begehen.

Irrtum 1: Ich bin von den Vorschriften zur Auftragsdatenverarbeitung nicht betroffen

Der Fehler beruht meistens darauf, dass die Auftragsdatenverarbeitung vielen schlichtweg unbekannt ist. Sie liegt vor, wenn ein Auftraggeber einen externen Auftragnehmer mit Erhebung, Verarbeitung oder Nutzung von Daten beauftragt (§ 3 Abs. 3-5 Bundesdatenschutzgesetz (BDSG)).

Das ist der Fall, wenn Datenverarbeitung ausgelagert wird (Stichwort „outsourcing“). Zum Beispiel in diesen Fällen:

  • Eine Marketingagentur verarbeitet Kundendaten für ein Unternehmen. Sei es, um Statistiken zu erstellen, Umfragen zur Kundenzufriedenheit einzuholen oder um Newsletter zu verschicken.
  • Eine Onlinecommunity beschäftigt externe Dienstleister für die Überwachung und Pflege der Communitymitglieder.
  • Ein Callcenter wird beauftragt Kunden anzuwerben oder ihnen zu helfen.
  • Ein Dienstleister wird mit der Lohnbuchhaltung oder Rechnungsbearbeitung beauftragt.

Nun werden viele denken, dass sie keine Auftragsdatenverarbeitung betreiben und daher nicht betroffen sind. Dabei wird jedoch allzu gerne der § 11 Abs. 5 BDSG übersehen. Dieser besagt, dass die Vorschriften auf Auftragsdatenverarbeitung auch im Rahmen von Prüfungs- & Wartungsverträgen anzuwenden sind, wenn dadurch der Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Und hierdurch wird eine riesige Anzahl an Aufträgen umfasst.

So sind zum Beispiel folgende Fälle inbegriffen:

  • Ein Onlineshop-Betreiber beauftragt einen Programmierer mit einem Softwareupdate, im Rahmen dessen der Programmierer Zugriff auf die Kundendaten hat.
  • Ein Webdesigner soll ein Blog einrichten und bekommt die Zugangsdaten für die Datenbank, auf der auch Kunden- oder Nutzerdaten liegen.
  • Ein IT- Dienstleister wartet einen Server/Computer, auf dem Nutzerdaten gespeichert sind.
  • Ein Unternehmen wird mit Aktenvernichtung beauftragt.

Im Ergebnis lässt sich daher grob sagen, dass sobald ein Dienstleister irgendeine Möglichkeit hat auf personenbezogene Daten zuzugreifen, zumindest eingehend zu prüfen ist, ob die Vorschriften über Auftragsdatenverarbeitun anzuwenden sind. Und angesichts dessen, dass heutzutage fast jeder auf der Festplatte oder dem Server Mitarbeiter-, Kunden-, Newsletterabonnenten oder Communitymitgliederdaten gespeichert hat, sollte jedem klar sein, wie viele Auftragsverhältnisse betroffen sind.

Irrtum 2: Es sind keine personenbezogenen Daten betroffen

„Personenbezogen“ wird oft mit „persönlich“ verwechselt, worunter viele nur sehr persönliche Daten wie Name, (Email)Adresse, Religion oder sexuelle Ausrichtung verstehen. Doch unter „personenbezogenen Daten“ im § 1 Abs. 1 BDSG versteht das Gesetz viel mehr.

Umfasst sind alle Informationen oder Ereignisse, mit deren Hilfe eine Person bestimmbar ist. Das bedeutet, dass man die Information zu jemandem zurückverfolgen kann. So ist ein Login-Name ein personenbezogenes Datum, wenn er mit einem echten Namen oder der Emailadresse verknüpft ist. Ein personenbezogenes Datum ist auch der Umstand, dass jemand ein Buch online gekauft hat, sich eine Website angesehen oder einen Kommentar im Blog verfasst hat. Auch Fotografien der Person oder ihre Hobbies gehören dazu.

Irrtum 3: Der Auftrag bezieht sich nicht auf personenbezogene Daten

Wie beim Irrtum Nummer 1 ausgeführt reicht es vollkommen aus, dass der Auftragnehmer eine auch nur entfernte Möglichkeit hat die personenbezogenen Daten zu sehen. Zum Beispiel wird ein Auftragnehmer, der sich um die Technik eines Onlineshops kümmern soll, regelmäßig die Möglichkeit haben auf die Kundendaten zuzugreifen.

Irrtum 4: Es reicht auf die Verlässlichkeit der Auftragnehmers zu vertrauen

Das Gegenteil ist der Fall. Das Gesetz regelt im § 11 BDSG, dass bei allen Aufträgen, die personenbezogene Daten berühren, eine besondere schriftliche Vereinbarung über die Auftragsdatenverarbeitung zwischen Auftraggeber und Auftragnehmer vorliegen muss. Auch wenn der Hauptauftrag (z.B. Durchführung einer Kundenumfrage oder Systemwartung) mündlich geschlossen wird, muss eine zusätzliche, schriftliche Vereinbarung vorliegen. Das kann vor allem bei kleinen Aufträgen lästig sein. Hier kann man sich oft mit Vereinbarungen aushelfen, die auch künftige Arbeiten umfassen. Dazu mehr beim Irrtum Nummer 6.

Newsletter

Bleibe immer up-to-date. Sichere dir deinen Wissensvorsprung!

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
3 Antworten
  1. von nap am 24.09.2009 (15:59 Uhr)

    Auch die Nutzung von Google Analytics (wie sie auch von dieser Web-Seite verwendet wird) würde demnach in die Kategorie Auftragsdatenverarbeitung im Ausland fallen. Ob die Webseitenbetreiber diese Vorschriften ebenfalls einhalten?

    Antworten Teilen
  2. von Hans am 25.09.2009 (12:24 Uhr)

    Warum gibt's eigentich keine Druckansicht der Artikel? Gerade so einen wichtigen Artikel möchte man ja nicht nur online lesen können ....

    Antworten Teilen
  3. von Sascha Kuhrau am 07.06.2010 (09:14 Uhr)

    Tolle Aufstellung. Datenschutz in seinen Facetten ist bedauerlicherweise ein Fundus an Irrtümern. Bevorzugt in der Richtung, dass Datenschutz alle angeht, nur nicht einen selbst oder das eigene Unternehmen. Noch viel Aufklärung und Sensibilisierung notwendig. Dieser Beitrag ist ein wichtiger Schritt hierbei.

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Webdesign
Dieses Startup verwandelt euren Instagram-Account in einen Online-Shop
Dieses Startup verwandelt euren Instagram-Account in einen Online-Shop

Mit HeroZebra könnt ihr aus einem Instagram-Account ganz einfach einen Online-Shop machen. Wir verraten euch, wie das funktioniert. » weiterlesen

Bestellverbot im Online-Shop? Geht nicht, urteilt ein Gericht
Bestellverbot im Online-Shop? Geht nicht, urteilt ein Gericht

Ein Online-Händler darf unliebsamen Kunden das Bestellen in seinem Online-Shop nicht verbieten, ein virtuelles Hausrecht existiere nicht. Allerdings kann der Online-Händler Bestellungen ablehnen. » weiterlesen

Von Upselling bis Versandkostengrenze: 5 Tipps für vollere Warenkörbe im Online-Shop
Von Upselling bis Versandkostengrenze: 5 Tipps für vollere Warenkörbe im Online-Shop

Wenn der Kunde nicht nur ein Produkt, sondern gleich mehrere auf einmal kauft, hast du als Shop-Betreiber natürlich mehr davon. Aber wie lassen sich vollere Warenkörbe in der Praxis erreichen?  » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?