Irrtum 5: Es reicht, dass der Auftragnehmer erklärt, er werde das Datenschutzrecht beachten

Eine Vereinbarung dieses Inhalts ist nicht ausreichend. § 11 Abs. 2 BDSG enthält einen Katalog von 10 Punkten, die in einer Vereinbarung zur Auftragsdatenvereinbarung enthalten sein müssen:

1. der Gegenstand und die Dauer des Auftrags,
2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
4. die Berichtigung, Löschung und Sperrung von Daten,
5. die nach [§11] Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Zur Vertiefung dieser Punkte wird der Aufsatz von Elmar Busch „Die Auftragsdatenverarbeitung gem. §11 des Bundesdatenschutzgesetzes 2009 im nicht-öffentlichen Bereich. Änderungen, Entscheidungshilfen, Beispiele“ empfohlen.

Irrtum 6: Es reicht eine Standardvereinbarung zu nutzen

Es wäre sicherlich einfach eine solche Abrede zum Beispiel in die AGB aufzunehmen und immer wieder zu verwenden. Das ist jedoch unzulässig, da der Gesetzgeber eine gesonderte Vereinbarung für jeden Auftrag vorsieht. Insbesondere muss vereinbart werden, welche Arbeiten im Einzelnen durchgeführt werden oder wie lange sie dauern. Es ist aber möglich auf einen Standardvertrag zurück zu greifen, in dem nur diese Punkte gesondert vereinbart werden. Möglich ist auch ein Dauerauftragsverhältnis zu vereinbaren, wenn die Arbeiten gleichartig und wiederkehrend sind.

Irrtum 7: Mit einer Vereinbarung über die Auftragsdatenvereinbarung sind alle gesetzlichen Anforderungen erfüllt

Die schriftliche Vereinbarung reicht nicht aus, da der Auftraggeber zusätzlich verpflichtet ist sich davon zu überzeugen, dass der Auftragnehmer die datenschutzrechtlichen Vorgaben erfüllen wird. Dabei kann er sich an den Voraussetzungen in der Anlage zum § 9 BDSG orientieren.

Dazu kann er

• Vor-Ort-Kontrollen durchführen,
• Diese von Sachverständigen durchführen lassen,
• oder auf eine schriftliche Beschreibung zurückgreifen.

Welche dieser Prüfungsmöglichkeiten in Frage kommen und wie weit sie reichen hängt vom Einzelfall ab. Es kommt auf die Anzahl und die Qualität der Daten, potentielle Gefahren und viele weitere Faktoren an.

Wenn ein Unternehmen einer Marketingagentur erlaubt auf Millionen von Kundendaten zuzugreifen, wird regelmäßig eine Vor-Ort-Kontrolle in den Räumen der Agentur statt finden müssen. Wird dagegen ein Webdesigner mit der Wartung eines kleinen Onlineshops mit ein paar hundert Kunden beauftragt, wird eine Prüfung auf dem Papier in der Regel ausreichen. Der Webdesigner wird zum Beispiel darlegen müssen, dass die Zugangsdaten sicher verwahrt werden, die aktuelle Virensoftware genutzt wird und keine Unberechtigten Zugang zu seinem Arbeitscomputer habe. Ferner ist es wichtig, dass das Ergebnis der Kontrolle dokumentiert wird.

Irrtum 8: Nur der Auftragnehmer muss sich um die Datensicherheit kümmern

Auch wenn eine Vereinbarung über die Auftragsdatenverarbeitung geschlossen wurde, bleibt der Auftraggeber weiterhin der Hauptverantwortliche für die Sicherheit der Daten. Er muss zum Beispiel je nach Einzelfall der Auftragnehmer überwachen und wenn ihm etwas verdächtig vorkommt eine Erklärung einfordern oder entsprechende Maßnahmen zum Schutz der Daten ergreifen.

Irrtum 9: Nur der Auftraggeber muss sich um die Datensicherheit kümmern

Gerade das wurde mit der geschlossenen Vereinbarung geändert. Der Auftragnehmer ist verpflichtet für die Sicherheit der Daten zu sorgen und vor allem den Auftraggeber zu informieren, sobald die Datensicherheit gefährdet ist.

Es kann sich auch die Pflicht ergeben einen Datenschutzbeauftragten zu bestellen. Ein solcher ist zu bestellen, wenn mindestens 20 Personen im Unternehmen mit der Verarbeitung  personenbezogener Daten in Verbindung kommen. Und dazu zählen auch Daten, die man im Auftrag bearbeitet. Das bedeutet, wenn eine Medienagentur 20 Mitarbeiter hat und alle mit personenbezogenen Daten von (verschiedenen) Kunden in Berührung kommen, muss die Agentur einen Datenschutzbeauftragten bestellen.