Software & Infrastruktur

Internetrecht: 15 Irrtümer bei der Auftragsdatenverarbeitung. Stopp! Wichtig! Bitte Lesen!

Lesezeit: 10 Min. Gerade keine Zeit? Jetzt speichern und später lesen

© bilderbox - Fotolia.com Der schreierische Titel kommt nicht von ungefähr. „Auftragsdatenverarbeitung“ ist ein so sperriges Wort, dass es sehr gerne überlesen wird. Dabei betreffen die gesetzlichen Regelungen zur Auftragsdatenverarbeitung sehr viele Onlineshop-Betreiber, Onlineplattformen, Werbetreibende, Programmierer, Webdesigner und andere IT-Dienstleister. Diese müssen eine Vielzahl strenger gesetzlicher Datenschutzvorschriften beachten oder riskieren sonst hohe Bußgelder und Schadensersatzzahlungen.

Daher sollten sie alle über das Wortungetüm hinweg sehen und sicherstellen, dass sie die nachfolgenden Fehler nicht begehen.

Irrtum 1: Ich bin von den Vorschriften zur Auftragsdatenverarbeitung nicht betroffen

Der Fehler beruht meistens darauf, dass die Auftragsdatenverarbeitung vielen schlichtweg unbekannt ist. Sie liegt vor, wenn ein Auftraggeber einen externen Auftragnehmer mit Erhebung, Verarbeitung oder Nutzung von Daten beauftragt (§ 3 Abs. 3-5 Bundesdatenschutzgesetz (BDSG)).

Das ist der Fall, wenn Datenverarbeitung ausgelagert wird (Stichwort „outsourcing“). Zum Beispiel in diesen Fällen:

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

  • Eine Marketingagentur verarbeitet Kundendaten für ein Unternehmen. Sei es, um Statistiken zu erstellen, Umfragen zur Kundenzufriedenheit einzuholen oder um Newsletter zu verschicken.
  • Eine Onlinecommunity beschäftigt externe Dienstleister für die Überwachung und Pflege der Communitymitglieder.
  • Ein Callcenter wird beauftragt Kunden anzuwerben oder ihnen zu helfen.
  • Ein Dienstleister wird mit der Lohnbuchhaltung oder Rechnungsbearbeitung beauftragt.

Nun werden viele denken, dass sie keine Auftragsdatenverarbeitung betreiben und daher nicht betroffen sind. Dabei wird jedoch allzu gerne der § 11 Abs. 5 BDSG übersehen. Dieser besagt, dass die Vorschriften auf Auftragsdatenverarbeitung auch im Rahmen von Prüfungs- & Wartungsverträgen anzuwenden sind, wenn dadurch der Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Und hierdurch wird eine riesige Anzahl an Aufträgen umfasst.

So sind zum Beispiel folgende Fälle inbegriffen:

  • Ein Onlineshop-Betreiber beauftragt einen Programmierer mit einem Softwareupdate, im Rahmen dessen der Programmierer Zugriff auf die Kundendaten hat.
  • Ein Webdesigner soll ein Blog einrichten und bekommt die Zugangsdaten für die Datenbank, auf der auch Kunden- oder Nutzerdaten liegen.
  • Ein IT- Dienstleister wartet einen Server/Computer, auf dem Nutzerdaten gespeichert sind.
  • Ein Unternehmen wird mit Aktenvernichtung beauftragt.

Im Ergebnis lässt sich daher grob sagen, dass sobald ein Dienstleister irgendeine Möglichkeit hat auf personenbezogene Daten zuzugreifen, zumindest eingehend zu prüfen ist, ob die Vorschriften über Auftragsdatenverarbeitun anzuwenden sind. Und angesichts dessen, dass heutzutage fast jeder auf der Festplatte oder dem Server Mitarbeiter-, Kunden-, Newsletterabonnenten oder Communitymitgliederdaten gespeichert hat, sollte jedem klar sein, wie viele Auftragsverhältnisse betroffen sind.

Irrtum 2: Es sind keine personenbezogenen Daten betroffen

„Personenbezogen“ wird oft mit „persönlich“ verwechselt, worunter viele nur sehr persönliche Daten wie Name, (Email)Adresse, Religion oder sexuelle Ausrichtung verstehen. Doch unter „personenbezogenen Daten“ im § 1 Abs. 1 BDSG versteht das Gesetz viel mehr.

Umfasst sind alle Informationen oder Ereignisse, mit deren Hilfe eine Person bestimmbar ist. Das bedeutet, dass man die Information zu jemandem zurückverfolgen kann. So ist ein Login-Name ein personenbezogenes Datum, wenn er mit einem echten Namen oder der Emailadresse verknüpft ist. Ein personenbezogenes Datum ist auch der Umstand, dass jemand ein Buch online gekauft hat, sich eine Website angesehen oder einen Kommentar im Blog verfasst hat. Auch Fotografien der Person oder ihre Hobbies gehören dazu.

Irrtum 3: Der Auftrag bezieht sich nicht auf personenbezogene Daten

Wie beim Irrtum Nummer 1 ausgeführt reicht es vollkommen aus, dass der Auftragnehmer eine auch nur entfernte Möglichkeit hat die personenbezogenen Daten zu sehen. Zum Beispiel wird ein Auftragnehmer, der sich um die Technik eines Onlineshops kümmern soll, regelmäßig die Möglichkeit haben auf die Kundendaten zuzugreifen.

Irrtum 4: Es reicht auf die Verlässlichkeit der Auftragnehmers zu vertrauen

Das Gegenteil ist der Fall. Das Gesetz regelt im § 11 BDSG, dass bei allen Aufträgen, die personenbezogene Daten berühren, eine besondere schriftliche Vereinbarung über die Auftragsdatenverarbeitung zwischen Auftraggeber und Auftragnehmer vorliegen muss. Auch wenn der Hauptauftrag (z.B. Durchführung einer Kundenumfrage oder Systemwartung) mündlich geschlossen wird, muss eine zusätzliche, schriftliche Vereinbarung vorliegen. Das kann vor allem bei kleinen Aufträgen lästig sein. Hier kann man sich oft mit Vereinbarungen aushelfen, die auch künftige Arbeiten umfassen. Dazu mehr beim Irrtum Nummer 6.

Irrtum 5: Es reicht, dass der Auftragnehmer erklärt, er werde das Datenschutzrecht beachten

Eine Vereinbarung dieses Inhalts ist nicht ausreichend. § 11 Abs. 2 BDSG enthält einen Katalog von 10 Punkten, die in einer Vereinbarung zur Auftragsdatenvereinbarung enthalten sein müssen:

  1. der Gegenstand und die Dauer des Auftrags,
  2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die nach [§11] Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Zur Vertiefung dieser Punkte wird der Aufsatz von Elmar Busch „Die Auftragsdatenverarbeitung gem. §11 des Bundesdatenschutzgesetzes 2009 im nicht-öffentlichen Bereich. Änderungen, Entscheidungshilfen, Beispiele“ empfohlen.

Irrtum 6: Es reicht eine Standardvereinbarung zu nutzen

Es wäre sicherlich einfach eine solche Abrede zum Beispiel in die AGB aufzunehmen und immer wieder zu verwenden. Das ist jedoch unzulässig, da der Gesetzgeber eine gesonderte Vereinbarung für jeden Auftrag vorsieht. Insbesondere muss vereinbart werden, welche Arbeiten im Einzelnen durchgeführt werden oder wie lange sie dauern. Es ist aber möglich auf einen Standardvertrag zurück zu greifen, in dem nur diese Punkte gesondert vereinbart werden. Möglich ist auch ein Dauerauftragsverhältnis zu vereinbaren, wenn die Arbeiten gleichartig und wiederkehrend sind.

Irrtum 7: Mit einer Vereinbarung über die Auftragsdatenvereinbarung sind alle gesetzlichen Anforderungen erfüllt

Die schriftliche Vereinbarung reicht nicht aus, da der Auftraggeber zusätzlich verpflichtet ist sich davon zu überzeugen, dass der Auftragnehmer die datenschutzrechtlichen Vorgaben erfüllen wird. Dabei kann er sich an den Voraussetzungen in der Anlage zum § 9 BDSG orientieren.

Dazu kann er

  • Vor-Ort-Kontrollen durchführen,
  • Diese von Sachverständigen durchführen lassen,
  • oder auf eine schriftliche Beschreibung zurückgreifen.

Welche dieser Prüfungsmöglichkeiten in Frage kommen und wie weit sie reichen hängt vom Einzelfall ab. Es kommt auf die Anzahl und die Qualität der Daten, potentielle Gefahren und viele weitere Faktoren an.

Wenn ein Unternehmen einer Marketingagentur erlaubt auf Millionen von Kundendaten zuzugreifen, wird regelmäßig eine Vor-Ort-Kontrolle in den Räumen der Agentur statt finden müssen. Wird dagegen ein Webdesigner mit der Wartung eines kleinen Onlineshops mit ein paar hundert Kunden beauftragt, wird eine Prüfung auf dem Papier in der Regel ausreichen. Der Webdesigner wird zum Beispiel darlegen müssen, dass die Zugangsdaten sicher verwahrt werden, die aktuelle Virensoftware genutzt wird und keine Unberechtigten Zugang zu seinem Arbeitscomputer habe. Ferner ist es wichtig, dass das Ergebnis der Kontrolle dokumentiert wird.

Irrtum 8: Nur der Auftragnehmer muss sich um die Datensicherheit kümmern

Auch wenn eine Vereinbarung über die Auftragsdatenverarbeitung geschlossen wurde, bleibt der Auftraggeber weiterhin der Hauptverantwortliche für die Sicherheit der Daten. Er muss zum Beispiel je nach Einzelfall der Auftragnehmer überwachen und wenn ihm etwas verdächtig vorkommt eine Erklärung einfordern oder entsprechende Maßnahmen zum Schutz der Daten ergreifen.

Irrtum 9: Nur der Auftraggeber muss sich um die Datensicherheit kümmern

Gerade das wurde mit der geschlossenen Vereinbarung geändert. Der Auftragnehmer ist verpflichtet für die Sicherheit der Daten zu sorgen und vor allem den Auftraggeber zu informieren, sobald die Datensicherheit gefährdet ist.

Es kann sich auch die Pflicht ergeben einen Datenschutzbeauftragten zu bestellen. Ein solcher ist zu bestellen, wenn mindestens 20 Personen im Unternehmen mit der Verarbeitung  personenbezogener Daten in Verbindung kommen. Und dazu zählen auch Daten, die man im Auftrag bearbeitet. Das bedeutet, wenn eine Medienagentur 20 Mitarbeiter hat und alle mit personenbezogenen Daten von (verschiedenen) Kunden in Berührung kommen, muss die Agentur einen Datenschutzbeauftragten bestellen.

Irrtum 10: Ich entziehe mich den Vorschriften und übertrage die ganze Datenverarbeitung auf externe Dienstleister

Ein Fehler wäre zu denken, dass die gesetzlichen Anforderungen an den Datenschutz hierdurch geringer würden. Wer sich nicht selbst um die Daten kümmern will oder kann, darf die ganze Datenverarbeitung auslagern. Zum Beispiel statt die Newsletterempfänger selbst zu verwalten, übernimmt alles ein Marketingunternehmen, das sich um die Erhebung der Daten, alle Anfragen und den Datenschutz kümmert. Allerdings handelt es sich dabei nicht mehr um eine Auftragsdatenverarbeitung, so dass andere gesetzliche Vorgaben zu erfüllen sind.

Das Datenschutzrecht erlaubt es nur dann Daten an andere Stellen zu übermitteln, wenn

  1. die betroffene Person (zu der die Daten gehören) vorher um Erlaubnis gefragt wurde und eingewilligt hat oder
  2. das Gesetz es erlaubt (vor allem § 28 BDSG) und die Person benachrichtigt wird (§ 33 BDSG) oder
  3. wenn es sich um Auftragsdatenverarbeitung handelt.

Das bedeutet, die Regeln zur Auftragsdatenverarbeitung ersparen eine Einwilligung oder eine gesetzliche Erlaubnis nebst einer Benachrichtigung der betroffenen Personen. Das erklärt auch, warum so hohe Anforderungen an ihre Ausgestaltung gestellt werden. Allerdings liegt keine Auftragsdatenverarbeitung vor, wenn der Auftraggeber die gesamte Verarbeitung der Daten auf jemand anderes überträgt und nicht mehr „Herr der Daten“ ist. Also nicht entscheidet wer Zugang zu den Daten hat, welche gelöscht werden, nicht mehr zuständig für Auskünfte ist, etc. (man spricht hier von einer Funktionsübertragung). In diesem Fall kann er nur nach obigen Punkten 1 und 2 verfahren.

Irrtum 11: Ich verlege die Datenverarbeitung ins Ausland, da sind die Vorschriften laxer

Wenn Daten im Inland erhoben werden, dürfen sie ohne Zustimmung der betroffenen Personen oder gesetzliche Erlaubnis nur dann ins Ausland abgeführt werden, wenn es sich um Mitgliedsstaaten der EU oder des Europäischen Wirtschaftsraumes handelt (§ 3 Abs.8, § 4b und § 4c BDSG). Wer zum Beispiel ein in den USA ansässiges Unternehmen mit der Wartung seines Systems oder Versand des Newsletters beauftragen will, braucht eine Zustimmung der Personen, denen die betroffenen Daten gehören.

Irrtum 12: Das ist mir zu kompliziert, ich achte nicht auf diese Vorschriften

Viele werden sich sicherlich diese Frage stellen. Und solange nichts passiert wird es auch kein Problem sein. Doch sollten auf irgendeine Art und Weise Datenschutzverstöße passieren, können die Folgen sowohl für den Auftragnehmer oder Auftraggeber sehr teuer werden.

Auch wenn diese Datenschutzverletzungen unverschuldet waren, können nach § 43 Abs.1 Nr.2b BDSG Bußgelder bis zu 50.000 Euro verhängt werden, wenn keine Vereinbarung über die Auftragsdatenverarbeitung bestand oder der Auftraggeber die Zuverlässigkeit des Auftraggebers nicht überprüft hat.

Ferner können die Personen, deren Daten betroffen sind, Schadensersatz vom Auftraggeber und Auftragnehmer verlangen. Dieser Schadensersatz kann das Bußgeld je nach Umständen um ein vielfaches übersteigen. Bestand keine Vereinbarung über die Auftragsdatenverarbeitung, wird es schwierig sein die eigene Unschuld nachzuweisen.
Auch der Auftraggeber wird Schwierigkeiten haben vom Auftragnehmer Schadensersatz zu fordern, wenn er sich nicht auf eine solche Vereinbarung berufen kann, um Pflichtverletzungen zu begründen.

Irrtum 13: Ich habe bereits eine Vereinbarung über die Auftragsdatenverarbeitung

Wenn diese Vereinbarung bereits vor dem 1. September 2009 bestand, wäre es ein Fehler sie nicht genau zu überprüfen. Denn § 11 BDSG wurde an diesem Tag geändert und um einige Vorschriften ergänzt. Und „so gut wie kein Vertrag zur Auftragsdatenverarbeitung, der in der Praxis vorliegt, dürfte Regelungen zu allen Punkten enthalten, die das Gesetz jetzt vorschreibt“.

Irrtum 14: Ich lade mir einen Mustervertrag aus dem Internet herunter

Hier ist Vorsicht geboten, denn viele Mustervereinbarungen sind auf einem veralteten Stand und genügen daher nicht mehr den gesetzlichen Anforderungen. Musterverträge gibt es bei dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) (im Zeitpunkt der Veröffentlichung dieses Artikels noch in Bearbeitung) oder bei Say-Ho! Ferner sollten die Musterverträge nie blind verwendet werden, denn sie sind zwar gute Wegweiser, müssen aber mit rechtlich hinreichenden Daten des Einzelfalls ausgefüllt werden.

Irrtum 15: Diese Regelungen zur Auftragsdatenverarbeitung sind nur eine Last

Das stimmt auf den ersten Blick. Aber man kann in Zeiten, in denen Daten zu einem immer wichtigeren Wirtschaftsgut werden und sich Datenskandale mehren nicht damit rechnen, dass diese Vorschriften einfacher werden.

Hier gilt es aber aus der Not eine Tugend zu machen. Wie oben ausgeführt ist der Datenschutz ein wichtiger Faktor für die Auftraggeber. Daher sollten Dienstleister die datenschutzrechtliche Zuverlässigkeit als Herausstellungsmerkmal nutzen und damit für sich werben. Zum Beispiel betonen wie sie für die Datensicherheit achten und eine Mustervereinbarung über den Datenschutz für die Auftraggeber bereithalten, so dass deren Aufwand minimiert wird. Mit der steigenden Datensensibilität wird es sich auszahlen über den Datenschutz Bescheid zu wissen.

Fazit

Dieser Beitrag zeigt wie viele Auftragskonstellationen von den Vorschriften für die Auftragsdatenverarbeitung umfasst sind. Jeder sollte sich daher diese drei Fragen stellen:

  • Ist die Auftragsdatenverarbeitung einschlägig und falls ja,
  • wurde eine gesonderte Vereinbarung nach § 11 BDSG abgeschlossen und
  • wurde die Zuverlässigkeit des Auftragnehmers geprüft

Da die Anforderungen an die Auftragsdatenverarbeitung vom Einzelfall abhängig sind, kommen sowohl Auftraggeber wie Auftragnehmer nicht umhin sich mit der Materie vertieft auseinanderzusetzen. Im Zweifel wird empfohlen sich an einen Rechtsanwalt mit Kenntnis im Datenschutzrecht oder eine andere in diesem Bereich qualifizierte Person, zum Beispiel einen Datenschutzbeauftragten, zu werden. Diese können einen Mustervertrag ausarbeiten, der auf das eigene Unternehmen zugeschnitten ist.

Und im Übrigen kann man das sperrige Wort „Auftragsdatenverarbeitung“ mit der Abkürzung ADV vermeiden.

Über die Autoren

Rechtsanwalt Thomas Schwenke, LL.M. (University of Auckland), Dipl.FinWirt (FH) berät Unternehmen in Fragen des Onlinerechts sowie Datenschutzes und erklärt in regelmäßigen Publikationen sowie in seinem Blog auf Advisign.de einfach und verständlich schwierige Rechtsfragen.

Rechtsanwalt Sebastian Dramburg ,LL.M. (University of Auckland) ist als Rechtsanwalt in Berlin tätig mit einem Schwerpunkt im Internet- und Urheberrecht.

Meistgelesen

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

12 Kommentare
nap
nap

Auch die Nutzung von Google Analytics (wie sie auch von dieser Web-Seite verwendet wird) würde demnach in die Kategorie Auftragsdatenverarbeitung im Ausland fallen. Ob die Webseitenbetreiber diese Vorschriften ebenfalls einhalten?

Antworten
Hans
Hans

Warum gibt’s eigentich keine Druckansicht der Artikel? Gerade so einen wichtigen Artikel möchte man ja nicht nur online lesen können ….

Antworten
Sascha Kuhrau
Sascha Kuhrau

Tolle Aufstellung. Datenschutz in seinen Facetten ist bedauerlicherweise ein Fundus an Irrtümern. Bevorzugt in der Richtung, dass Datenschutz alle angeht, nur nicht einen selbst oder das eigene Unternehmen. Noch viel Aufklärung und Sensibilisierung notwendig. Dieser Beitrag ist ein wichtiger Schritt hierbei.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 70 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Luca Caracciolo (Chefredakteur t3n) & das gesamte t3n-Team

Anleitung zur Deaktivierung