Software & Infrastruktur

Internetrecht: 15 Irrtümer bei der Auftragsdatenverarbeitung. Stopp! Wichtig! Bitte Lesen!

Seite 3 / 3

Irrtum 10: Ich entziehe mich den Vorschriften und übertrage die ganze Datenverarbeitung auf externe Dienstleister

Ein Fehler wäre zu denken, dass die gesetzlichen Anforderungen an den Datenschutz hierdurch geringer würden. Wer sich nicht selbst um die Daten kümmern will oder kann, darf die ganze Datenverarbeitung auslagern. Zum Beispiel statt die Newsletterempfänger selbst zu verwalten, übernimmt alles ein Marketingunternehmen, das sich um die Erhebung der Daten, alle Anfragen und den Datenschutz kümmert. Allerdings handelt es sich dabei nicht mehr um eine Auftragsdatenverarbeitung, so dass andere gesetzliche Vorgaben zu erfüllen sind.

Das Datenschutzrecht erlaubt es nur dann Daten an andere Stellen zu übermitteln, wenn

  1. die betroffene Person (zu der die Daten gehören) vorher um Erlaubnis gefragt wurde und eingewilligt hat oder
  2. das Gesetz es erlaubt (vor allem § 28 BDSG) und die Person benachrichtigt wird (§ 33 BDSG) oder
  3. wenn es sich um Auftragsdatenverarbeitung handelt.

Das bedeutet, die Regeln zur Auftragsdatenverarbeitung ersparen eine Einwilligung oder eine gesetzliche Erlaubnis nebst einer Benachrichtigung der betroffenen Personen. Das erklärt auch, warum so hohe Anforderungen an ihre Ausgestaltung gestellt werden. Allerdings liegt keine Auftragsdatenverarbeitung vor, wenn der Auftraggeber die gesamte Verarbeitung der Daten auf jemand anderes überträgt und nicht mehr „Herr der Daten“ ist. Also nicht entscheidet wer Zugang zu den Daten hat, welche gelöscht werden, nicht mehr zuständig für Auskünfte ist, etc. (man spricht hier von einer Funktionsübertragung). In diesem Fall kann er nur nach obigen Punkten 1 und 2 verfahren.

Irrtum 11: Ich verlege die Datenverarbeitung ins Ausland, da sind die Vorschriften laxer

Wenn Daten im Inland erhoben werden, dürfen sie ohne Zustimmung der betroffenen Personen oder gesetzliche Erlaubnis nur dann ins Ausland abgeführt werden, wenn es sich um Mitgliedsstaaten der EU oder des Europäischen Wirtschaftsraumes handelt (§ 3 Abs.8, § 4b und § 4c BDSG). Wer zum Beispiel ein in den USA ansässiges Unternehmen mit der Wartung seines Systems oder Versand des Newsletters beauftragen will, braucht eine Zustimmung der Personen, denen die betroffenen Daten gehören.

Irrtum 12: Das ist mir zu kompliziert, ich achte nicht auf diese Vorschriften

Viele werden sich sicherlich diese Frage stellen. Und solange nichts passiert wird es auch kein Problem sein. Doch sollten auf irgendeine Art und Weise Datenschutzverstöße passieren, können die Folgen sowohl für den Auftragnehmer oder Auftraggeber sehr teuer werden.

Auch wenn diese Datenschutzverletzungen unverschuldet waren, können nach § 43 Abs.1 Nr.2b BDSG Bußgelder bis zu 50.000 Euro verhängt werden, wenn keine Vereinbarung über die Auftragsdatenverarbeitung bestand oder der Auftraggeber die Zuverlässigkeit des Auftraggebers nicht überprüft hat.

Ferner können die Personen, deren Daten betroffen sind, Schadensersatz vom Auftraggeber und Auftragnehmer verlangen. Dieser Schadensersatz kann das Bußgeld je nach Umständen um ein vielfaches übersteigen. Bestand keine Vereinbarung über die Auftragsdatenverarbeitung, wird es schwierig sein die eigene Unschuld nachzuweisen.
Auch der Auftraggeber wird Schwierigkeiten haben vom Auftragnehmer Schadensersatz zu fordern, wenn er sich nicht auf eine solche Vereinbarung berufen kann, um Pflichtverletzungen zu begründen.

Irrtum 13: Ich habe bereits eine Vereinbarung über die Auftragsdatenverarbeitung

Wenn diese Vereinbarung bereits vor dem 1. September 2009 bestand, wäre es ein Fehler sie nicht genau zu überprüfen. Denn § 11 BDSG wurde an diesem Tag geändert und um einige Vorschriften ergänzt. Und „so gut wie kein Vertrag zur Auftragsdatenverarbeitung, der in der Praxis vorliegt, dürfte Regelungen zu allen Punkten enthalten, die das Gesetz jetzt vorschreibt“.

Irrtum 14: Ich lade mir einen Mustervertrag aus dem Internet herunter

Hier ist Vorsicht geboten, denn viele Mustervereinbarungen sind auf einem veralteten Stand und genügen daher nicht mehr den gesetzlichen Anforderungen. Musterverträge gibt es bei dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) (im Zeitpunkt der Veröffentlichung dieses Artikels noch in Bearbeitung) oder bei Say-Ho! Ferner sollten die Musterverträge nie blind verwendet werden, denn sie sind zwar gute Wegweiser, müssen aber mit rechtlich hinreichenden Daten des Einzelfalls ausgefüllt werden.

Irrtum 15: Diese Regelungen zur Auftragsdatenverarbeitung sind nur eine Last

Das stimmt auf den ersten Blick. Aber man kann in Zeiten, in denen Daten zu einem immer wichtigeren Wirtschaftsgut werden und sich Datenskandale mehren nicht damit rechnen, dass diese Vorschriften einfacher werden.

Hier gilt es aber aus der Not eine Tugend zu machen. Wie oben ausgeführt ist der Datenschutz ein wichtiger Faktor für die Auftraggeber. Daher sollten Dienstleister die datenschutzrechtliche Zuverlässigkeit als Herausstellungsmerkmal nutzen und damit für sich werben. Zum Beispiel betonen wie sie für die Datensicherheit achten und eine Mustervereinbarung über den Datenschutz für die Auftraggeber bereithalten, so dass deren Aufwand minimiert wird. Mit der steigenden Datensensibilität wird es sich auszahlen über den Datenschutz Bescheid zu wissen.

Fazit

Dieser Beitrag zeigt wie viele Auftragskonstellationen von den Vorschriften für die Auftragsdatenverarbeitung umfasst sind. Jeder sollte sich daher diese drei Fragen stellen:

  • Ist die Auftragsdatenverarbeitung einschlägig und falls ja,
  • wurde eine gesonderte Vereinbarung nach § 11 BDSG abgeschlossen und
  • wurde die Zuverlässigkeit des Auftragnehmers geprüft

Da die Anforderungen an die Auftragsdatenverarbeitung vom Einzelfall abhängig sind, kommen sowohl Auftraggeber wie Auftragnehmer nicht umhin sich mit der Materie vertieft auseinanderzusetzen. Im Zweifel wird empfohlen sich an einen Rechtsanwalt mit Kenntnis im Datenschutzrecht oder eine andere in diesem Bereich qualifizierte Person, zum Beispiel einen Datenschutzbeauftragten, zu werden. Diese können einen Mustervertrag ausarbeiten, der auf das eigene Unternehmen zugeschnitten ist.

Und im Übrigen kann man das sperrige Wort „Auftragsdatenverarbeitung“ mit der Abkürzung ADV vermeiden.

Über die Autoren

Rechtsanwalt Thomas Schwenke, LL.M. (University of Auckland), Dipl.FinWirt (FH) berät Unternehmen in Fragen des Onlinerechts sowie Datenschutzes und erklärt in regelmäßigen Publikationen sowie in seinem Blog auf Advisign.de einfach und verständlich schwierige Rechtsfragen.

Rechtsanwalt Sebastian Dramburg ,LL.M. (University of Auckland) ist als Rechtsanwalt in Berlin tätig mit einem Schwerpunkt im Internet- und Urheberrecht.

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

12 Kommentare
nap
nap

Auch die Nutzung von Google Analytics (wie sie auch von dieser Web-Seite verwendet wird) würde demnach in die Kategorie Auftragsdatenverarbeitung im Ausland fallen. Ob die Webseitenbetreiber diese Vorschriften ebenfalls einhalten?

Antworten
Hans
Hans

Warum gibt’s eigentich keine Druckansicht der Artikel? Gerade so einen wichtigen Artikel möchte man ja nicht nur online lesen können ….

Antworten
Sascha Kuhrau

Tolle Aufstellung. Datenschutz in seinen Facetten ist bedauerlicherweise ein Fundus an Irrtümern. Bevorzugt in der Richtung, dass Datenschutz alle angeht, nur nicht einen selbst oder das eigene Unternehmen. Noch viel Aufklärung und Sensibilisierung notwendig. Dieser Beitrag ist ein wichtiger Schritt hierbei.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung