Software & Infrastruktur

Internetrecht: 15 Irrtümer bei der Auftragsdatenverarbeitung. Stopp! Wichtig! Bitte Lesen!

Seite 2 / 3

Irrtum 5: Es reicht, dass der Auftragnehmer erklärt, er werde das Datenschutzrecht beachten

Eine Vereinbarung dieses Inhalts ist nicht ausreichend. § 11 Abs. 2 BDSG enthält einen Katalog von 10 Punkten, die in einer Vereinbarung zur Auftragsdatenvereinbarung enthalten sein müssen:

  1. der Gegenstand und die Dauer des Auftrags,
  2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die nach [§11] Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Zur Vertiefung dieser Punkte wird der Aufsatz von Elmar Busch „Die Auftragsdatenverarbeitung gem. §11 des Bundesdatenschutzgesetzes 2009 im nicht-öffentlichen Bereich. Änderungen, Entscheidungshilfen, Beispiele“ empfohlen.

Irrtum 6: Es reicht eine Standardvereinbarung zu nutzen

Es wäre sicherlich einfach eine solche Abrede zum Beispiel in die AGB aufzunehmen und immer wieder zu verwenden. Das ist jedoch unzulässig, da der Gesetzgeber eine gesonderte Vereinbarung für jeden Auftrag vorsieht. Insbesondere muss vereinbart werden, welche Arbeiten im Einzelnen durchgeführt werden oder wie lange sie dauern. Es ist aber möglich auf einen Standardvertrag zurück zu greifen, in dem nur diese Punkte gesondert vereinbart werden. Möglich ist auch ein Dauerauftragsverhältnis zu vereinbaren, wenn die Arbeiten gleichartig und wiederkehrend sind.

Irrtum 7: Mit einer Vereinbarung über die Auftragsdatenvereinbarung sind alle gesetzlichen Anforderungen erfüllt

Die schriftliche Vereinbarung reicht nicht aus, da der Auftraggeber zusätzlich verpflichtet ist sich davon zu überzeugen, dass der Auftragnehmer die datenschutzrechtlichen Vorgaben erfüllen wird. Dabei kann er sich an den Voraussetzungen in der Anlage zum § 9 BDSG orientieren.

Dazu kann er

  • Vor-Ort-Kontrollen durchführen,
  • Diese von Sachverständigen durchführen lassen,
  • oder auf eine schriftliche Beschreibung zurückgreifen.

Welche dieser Prüfungsmöglichkeiten in Frage kommen und wie weit sie reichen hängt vom Einzelfall ab. Es kommt auf die Anzahl und die Qualität der Daten, potentielle Gefahren und viele weitere Faktoren an.

Wenn ein Unternehmen einer Marketingagentur erlaubt auf Millionen von Kundendaten zuzugreifen, wird regelmäßig eine Vor-Ort-Kontrolle in den Räumen der Agentur statt finden müssen. Wird dagegen ein Webdesigner mit der Wartung eines kleinen Onlineshops mit ein paar hundert Kunden beauftragt, wird eine Prüfung auf dem Papier in der Regel ausreichen. Der Webdesigner wird zum Beispiel darlegen müssen, dass die Zugangsdaten sicher verwahrt werden, die aktuelle Virensoftware genutzt wird und keine Unberechtigten Zugang zu seinem Arbeitscomputer habe. Ferner ist es wichtig, dass das Ergebnis der Kontrolle dokumentiert wird.

Irrtum 8: Nur der Auftragnehmer muss sich um die Datensicherheit kümmern

Auch wenn eine Vereinbarung über die Auftragsdatenverarbeitung geschlossen wurde, bleibt der Auftraggeber weiterhin der Hauptverantwortliche für die Sicherheit der Daten. Er muss zum Beispiel je nach Einzelfall der Auftragnehmer überwachen und wenn ihm etwas verdächtig vorkommt eine Erklärung einfordern oder entsprechende Maßnahmen zum Schutz der Daten ergreifen.

Irrtum 9: Nur der Auftraggeber muss sich um die Datensicherheit kümmern

Gerade das wurde mit der geschlossenen Vereinbarung geändert. Der Auftragnehmer ist verpflichtet für die Sicherheit der Daten zu sorgen und vor allem den Auftraggeber zu informieren, sobald die Datensicherheit gefährdet ist.

Es kann sich auch die Pflicht ergeben einen Datenschutzbeauftragten zu bestellen. Ein solcher ist zu bestellen, wenn mindestens 20 Personen im Unternehmen mit der Verarbeitung  personenbezogener Daten in Verbindung kommen. Und dazu zählen auch Daten, die man im Auftrag bearbeitet. Das bedeutet, wenn eine Medienagentur 20 Mitarbeiter hat und alle mit personenbezogenen Daten von (verschiedenen) Kunden in Berührung kommen, muss die Agentur einen Datenschutzbeauftragten bestellen.

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

12 Kommentare
nap
nap

Auch die Nutzung von Google Analytics (wie sie auch von dieser Web-Seite verwendet wird) würde demnach in die Kategorie Auftragsdatenverarbeitung im Ausland fallen. Ob die Webseitenbetreiber diese Vorschriften ebenfalls einhalten?

Antworten
Hans
Hans

Warum gibt’s eigentich keine Druckansicht der Artikel? Gerade so einen wichtigen Artikel möchte man ja nicht nur online lesen können ….

Antworten
Sascha Kuhrau

Tolle Aufstellung. Datenschutz in seinen Facetten ist bedauerlicherweise ein Fundus an Irrtümern. Bevorzugt in der Richtung, dass Datenschutz alle angeht, nur nicht einen selbst oder das eigene Unternehmen. Noch viel Aufklärung und Sensibilisierung notwendig. Dieser Beitrag ist ein wichtiger Schritt hierbei.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung