Irrtum 10: Ich entziehe mich den Vorschriften und übertrage die ganze Datenverarbeitung auf externe Dienstleister
Ein Fehler wäre zu denken, dass die gesetzlichen Anforderungen an den Datenschutz hierdurch geringer würden. Wer sich nicht selbst um die Daten kümmern will oder kann, darf die ganze Datenverarbeitung auslagern. Zum Beispiel statt die Newsletterempfänger selbst zu verwalten, übernimmt alles ein Marketingunternehmen, das sich um die Erhebung der Daten, alle Anfragen und den Datenschutz kümmert. Allerdings handelt es sich dabei nicht mehr um eine Auftragsdatenverarbeitung, so dass andere gesetzliche Vorgaben zu erfüllen sind.
Das Datenschutzrecht erlaubt es nur dann Daten an andere Stellen zu übermitteln, wenn
- die betroffene Person (zu der die Daten gehören) vorher um Erlaubnis gefragt wurde und eingewilligt hat oder
- das Gesetz es erlaubt (vor allem § 28 BDSG) und die Person benachrichtigt wird (§ 33 BDSG) oder
- wenn es sich um Auftragsdatenverarbeitung handelt.
Das bedeutet, die Regeln zur Auftragsdatenverarbeitung ersparen eine Einwilligung oder eine gesetzliche Erlaubnis nebst einer Benachrichtigung der betroffenen Personen. Das erklärt auch, warum so hohe Anforderungen an ihre Ausgestaltung gestellt werden. Allerdings liegt keine Auftragsdatenverarbeitung vor, wenn der Auftraggeber die gesamte Verarbeitung der Daten auf jemand anderes überträgt und nicht mehr „Herr der Daten“ ist. Also nicht entscheidet wer Zugang zu den Daten hat, welche gelöscht werden, nicht mehr zuständig für Auskünfte ist, etc. (man spricht hier von einer Funktionsübertragung). In diesem Fall kann er nur nach obigen Punkten 1 und 2 verfahren.
Irrtum 11: Ich verlege die Datenverarbeitung ins Ausland, da sind die Vorschriften laxer
Wenn Daten im Inland erhoben werden, dürfen sie ohne Zustimmung der betroffenen Personen oder gesetzliche Erlaubnis nur dann ins Ausland abgeführt werden, wenn es sich um Mitgliedsstaaten der EU oder des Europäischen Wirtschaftsraumes handelt (§ 3 Abs.8, § 4b und § 4c BDSG). Wer zum Beispiel ein in den USA ansässiges Unternehmen mit der Wartung seines Systems oder Versand des Newsletters beauftragen will, braucht eine Zustimmung der Personen, denen die betroffenen Daten gehören.
Irrtum 12: Das ist mir zu kompliziert, ich achte nicht auf diese Vorschriften
Viele werden sich sicherlich diese Frage stellen. Und solange nichts passiert wird es auch kein Problem sein. Doch sollten auf irgendeine Art und Weise Datenschutzverstöße passieren, können die Folgen sowohl für den Auftragnehmer oder Auftraggeber sehr teuer werden.
Auch wenn diese Datenschutzverletzungen unverschuldet waren, können nach § 43 Abs.1 Nr.2b BDSG Bußgelder bis zu 50.000 Euro verhängt werden, wenn keine Vereinbarung über die Auftragsdatenverarbeitung bestand oder der Auftraggeber die Zuverlässigkeit des Auftraggebers nicht überprüft hat.
Ferner können die Personen, deren Daten betroffen sind, Schadensersatz vom Auftraggeber und Auftragnehmer verlangen. Dieser Schadensersatz kann das Bußgeld je nach Umständen um ein vielfaches übersteigen. Bestand keine Vereinbarung über die Auftragsdatenverarbeitung, wird es schwierig sein die eigene Unschuld nachzuweisen. Auch der Auftraggeber wird Schwierigkeiten haben vom Auftragnehmer Schadensersatz zu fordern, wenn er sich nicht auf eine solche Vereinbarung berufen kann, um Pflichtverletzungen zu begründen.
Irrtum 13: Ich habe bereits eine Vereinbarung über die Auftragsdatenverarbeitung
Wenn diese Vereinbarung bereits vor dem 1. September 2009 bestand, wäre es ein Fehler sie nicht genau zu überprüfen. Denn § 11 BDSG wurde an diesem Tag geändert und um einige Vorschriften ergänzt. Und „so gut wie kein Vertrag zur Auftragsdatenverarbeitung, der in der Praxis vorliegt, dürfte Regelungen zu allen Punkten enthalten, die das Gesetz jetzt vorschreibt“.
Irrtum 14: Ich lade mir einen Mustervertrag aus dem Internet herunter
Hier ist Vorsicht geboten, denn viele Mustervereinbarungen sind auf einem veralteten Stand und genügen daher nicht mehr den gesetzlichen Anforderungen. Musterverträge gibt es bei dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) (im Zeitpunkt der Veröffentlichung dieses Artikels noch in Bearbeitung) oder bei Say-Ho! Ferner sollten die Musterverträge nie blind verwendet werden, denn sie sind zwar gute Wegweiser, müssen aber mit rechtlich hinreichenden Daten des Einzelfalls ausgefüllt werden.
Irrtum 15: Diese Regelungen zur Auftragsdatenverarbeitung sind nur eine Last
Das stimmt auf den ersten Blick. Aber man kann in Zeiten, in denen Daten zu einem immer wichtigeren Wirtschaftsgut werden und sich Datenskandale mehren nicht damit rechnen, dass diese Vorschriften einfacher werden.
Hier gilt es aber aus der Not eine Tugend zu machen. Wie oben ausgeführt ist der Datenschutz ein wichtiger Faktor für die Auftraggeber. Daher sollten Dienstleister die datenschutzrechtliche Zuverlässigkeit als Herausstellungsmerkmal nutzen und damit für sich werben. Zum Beispiel betonen wie sie für die Datensicherheit achten und eine Mustervereinbarung über den Datenschutz für die Auftraggeber bereithalten, so dass deren Aufwand minimiert wird. Mit der steigenden Datensensibilität wird es sich auszahlen über den Datenschutz Bescheid zu wissen.
Fazit
Dieser Beitrag zeigt wie viele Auftragskonstellationen von den Vorschriften für die Auftragsdatenverarbeitung umfasst sind. Jeder sollte sich daher diese drei Fragen stellen:
- Ist die Auftragsdatenverarbeitung einschlägig und falls ja,
- wurde eine gesonderte Vereinbarung nach § 11 BDSG abgeschlossen und
- wurde die Zuverlässigkeit des Auftragnehmers geprüft
Da die Anforderungen an die Auftragsdatenverarbeitung vom Einzelfall abhängig sind, kommen sowohl Auftraggeber wie Auftragnehmer nicht umhin sich mit der Materie vertieft auseinanderzusetzen. Im Zweifel wird empfohlen sich an einen Rechtsanwalt mit Kenntnis im Datenschutzrecht oder eine andere in diesem Bereich qualifizierte Person, zum Beispiel einen Datenschutzbeauftragten, zu werden. Diese können einen Mustervertrag ausarbeiten, der auf das eigene Unternehmen zugeschnitten ist.
Und im Übrigen kann man das sperrige Wort „Auftragsdatenverarbeitung“ mit der Abkürzung ADV vermeiden.
Über die Autoren
Rechtsanwalt Thomas Schwenke, LL.M. (University of Auckland), Dipl.FinWirt (FH) berät Unternehmen in Fragen des Onlinerechts sowie Datenschutzes und erklärt in regelmäßigen Publikationen sowie in seinem Blog auf Advisign.de einfach und verständlich schwierige Rechtsfragen.
Rechtsanwalt Sebastian Dramburg ,LL.M. (University of Auckland) ist als Rechtsanwalt in Berlin tätig mit einem Schwerpunkt im Internet- und Urheberrecht.
RSS-Feed
Twitter
[...] lange Rede, kurzer Sinn – Auf t3n ist nun der Artikel “15 Irrtümer bei der Auftragsdatenverarbeitung. Stopp! Wichtig! Bitte Lesen!” von mir und Kollegen Dramburg erschienen. Wie Ihr seht versuche ich mit dem Titel gegen die [...]
[...] es einen sehr gelungenen und äußerst zugänglichen Artikel zum Thema Auftragsdatenverarbeitung, zu finden hier. Ich kann das lesen nur empfehlen, insbesondere da der Autor auf den – für die Praxis [...]
[...] Internetrecht – 15 Irrtümer bei der Auftragsdatenverarbeitung. (t3n) [...]
[...] Wenn Sie jetzt konkrete Antworten und Infos zu diesen Irrtümern suchen/brauchen, kann ich Ihnen diese in sehr ausführlicher Form zur Verfügung stellen. Die Herrn Rechtsanwälte Thomas Schwenke und Sebastian Dramburg haben auf t3n.de alle oben erwähnten Irrtümer für Sie genau erklärt und geben erste Antworten zum Thema. Hier der Link zum sehr gelungenen und äußerst zugänglichen Artikel über die Auftragsdatenverarbe... [...]
[...] Hilfestellung zu geben, haben die Kollegen Thomas Schwenke und Sebastian Dramburg in ihrem Artikel „15 Irrtümer bei der Auftragsdatenverarbeitung“ die häufigsten Irrtümer und Fehler rund um die Auftragsdatenverarbeitung ausführlich [...]