Irrtum 5: Es reicht, dass der Auftragnehmer erklärt, er werde das Datenschutzrecht beachten
Eine Vereinbarung dieses Inhalts ist nicht ausreichend. § 11 Abs. 2 BDSG enthält einen Katalog von 10 Punkten, die in einer Vereinbarung zur Auftragsdatenvereinbarung enthalten sein müssen:
- der Gegenstand und die Dauer des Auftrags,
- der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
- die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
- die Berichtigung, Löschung und Sperrung von Daten,
- die nach [§11] Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
- die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
- die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
- mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
- der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
- die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
Zur Vertiefung dieser Punkte wird der Aufsatz von Elmar Busch „Die Auftragsdatenverarbeitung gem. §11 des Bundesdatenschutzgesetzes 2009 im nicht-öffentlichen Bereich. Änderungen, Entscheidungshilfen, Beispiele“ empfohlen.
Irrtum 6: Es reicht eine Standardvereinbarung zu nutzen
Es wäre sicherlich einfach eine solche Abrede zum Beispiel in die AGB aufzunehmen und immer wieder zu verwenden. Das ist jedoch unzulässig, da der Gesetzgeber eine gesonderte Vereinbarung für jeden Auftrag vorsieht. Insbesondere muss vereinbart werden, welche Arbeiten im Einzelnen durchgeführt werden oder wie lange sie dauern. Es ist aber möglich auf einen Standardvertrag zurück zu greifen, in dem nur diese Punkte gesondert vereinbart werden. Möglich ist auch ein Dauerauftragsverhältnis zu vereinbaren, wenn die Arbeiten gleichartig und wiederkehrend sind.
Irrtum 7: Mit einer Vereinbarung über die Auftragsdatenvereinbarung sind alle gesetzlichen Anforderungen erfüllt
Die schriftliche Vereinbarung reicht nicht aus, da der Auftraggeber zusätzlich verpflichtet ist sich davon zu überzeugen, dass der Auftragnehmer die datenschutzrechtlichen Vorgaben erfüllen wird. Dabei kann er sich an den Voraussetzungen in der Anlage zum § 9 BDSG orientieren.
Dazu kann er
- Vor-Ort-Kontrollen durchführen,
- Diese von Sachverständigen durchführen lassen,
- oder auf eine schriftliche Beschreibung zurückgreifen.
Welche dieser Prüfungsmöglichkeiten in Frage kommen und wie weit sie reichen hängt vom Einzelfall ab. Es kommt auf die Anzahl und die Qualität der Daten, potentielle Gefahren und viele weitere Faktoren an.
Wenn ein Unternehmen einer Marketingagentur erlaubt auf Millionen von Kundendaten zuzugreifen, wird regelmäßig eine Vor-Ort-Kontrolle in den Räumen der Agentur statt finden müssen. Wird dagegen ein Webdesigner mit der Wartung eines kleinen Onlineshops mit ein paar hundert Kunden beauftragt, wird eine Prüfung auf dem Papier in der Regel ausreichen. Der Webdesigner wird zum Beispiel darlegen müssen, dass die Zugangsdaten sicher verwahrt werden, die aktuelle Virensoftware genutzt wird und keine Unberechtigten Zugang zu seinem Arbeitscomputer habe. Ferner ist es wichtig, dass das Ergebnis der Kontrolle dokumentiert wird.
Irrtum 8: Nur der Auftragnehmer muss sich um die Datensicherheit kümmern
Auch wenn eine Vereinbarung über die Auftragsdatenverarbeitung geschlossen wurde, bleibt der Auftraggeber weiterhin der Hauptverantwortliche für die Sicherheit der Daten. Er muss zum Beispiel je nach Einzelfall der Auftragnehmer überwachen und wenn ihm etwas verdächtig vorkommt eine Erklärung einfordern oder entsprechende Maßnahmen zum Schutz der Daten ergreifen.
Irrtum 9: Nur der Auftraggeber muss sich um die Datensicherheit kümmern
Gerade das wurde mit der geschlossenen Vereinbarung geändert. Der Auftragnehmer ist verpflichtet für die Sicherheit der Daten zu sorgen und vor allem den Auftraggeber zu informieren, sobald die Datensicherheit gefährdet ist.
Es kann sich auch die Pflicht ergeben einen Datenschutzbeauftragten zu bestellen. Ein solcher ist zu bestellen, wenn mindestens 20 Personen im Unternehmen mit der Verarbeitung personenbezogener Daten in Verbindung kommen. Und dazu zählen auch Daten, die man im Auftrag bearbeitet. Das bedeutet, wenn eine Medienagentur 20 Mitarbeiter hat und alle mit personenbezogenen Daten von (verschiedenen) Kunden in Berührung kommen, muss die Agentur einen Datenschutzbeauftragten bestellen.
RSS-Feed
Twitter
[...] lange Rede, kurzer Sinn – Auf t3n ist nun der Artikel “15 Irrtümer bei der Auftragsdatenverarbeitung. Stopp! Wichtig! Bitte Lesen!” von mir und Kollegen Dramburg erschienen. Wie Ihr seht versuche ich mit dem Titel gegen die [...]
[...] es einen sehr gelungenen und äußerst zugänglichen Artikel zum Thema Auftragsdatenverarbeitung, zu finden hier. Ich kann das lesen nur empfehlen, insbesondere da der Autor auf den – für die Praxis [...]
[...] Internetrecht – 15 Irrtümer bei der Auftragsdatenverarbeitung. (t3n) [...]
[...] Wenn Sie jetzt konkrete Antworten und Infos zu diesen Irrtümern suchen/brauchen, kann ich Ihnen diese in sehr ausführlicher Form zur Verfügung stellen. Die Herrn Rechtsanwälte Thomas Schwenke und Sebastian Dramburg haben auf t3n.de alle oben erwähnten Irrtümer für Sie genau erklärt und geben erste Antworten zum Thema. Hier der Link zum sehr gelungenen und äußerst zugänglichen Artikel über die Auftragsdatenverarbe... [...]
[...] Hilfestellung zu geben, haben die Kollegen Thomas Schwenke und Sebastian Dramburg in ihrem Artikel „15 Irrtümer bei der Auftragsdatenverarbeitung“ die häufigsten Irrtümer und Fehler rund um die Auftragsdatenverarbeitung ausführlich [...]