6. April 2009 - Budget für Bußgelder planen?

Auftragsdatenverarbeitung im Visier des Gesetzgebers

Haben Sie sich bereits mit den geplanten Änderungen im BDSG beschäftigt? Noch ist nicht alles in trockenen Tüchern. Sollten jedoch die im § 43 BDSG genannten Verschärfungen der Bußgeldvorschriften für fehlende Verträge mit Auftragsdatenverarbeitern übernommen werden, wird es Zeit zu handeln – oder Sie legen sich ein Budget für Ordnungswidrigkeiten an …

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Die Änderungsvorschläge für die Novellierung des BDSG erfordern wie immer ein gründliches Studium des Textes. Unter der Nummer 9 findet sich der unscheinbare Satz:

„§ 43 wird wie folgt geändert:

2b. entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht, nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt,“

Weiter ist zu lesen

„c) Absatz 3 wird wie folgt geändert:

aa) Das Wort „fünfundzwanzigtausend“ wird durch das Wort „fünfzigtausend“ und das Wort „zweihundertfünfzigtausend“ wird durch das Wort „dreihunderttausend“ ersetzt.“

Ah ja, alles klar …

Sollten Sie die Auswirkungen der Änderungen noch nicht so richtig verstanden haben, hilft Ihnen sicherlich die Begründung weiter. Diese wird dem Entwurf beigefügt und soll die Gesetzesänderungen kommentieren.

Die Begründung für die Verschärfung

Die Verschärfung zur Kontrolle der Auftragsdatenverarbeiter ist danach wie folgt begründet:

„Nach Nummer 2b handelt der Auftraggeber ordnungswidrig, wenn er entgegen § 11 Absatz 2 Satz 2 den Auftrag nicht schriftlich erteilt oder nicht die vorgegebenen Festlegungen hinsichtlich der Datenerhebung oder -verwendung sowie die technischen und organisatorischen Maßnahmen und Unterauftragsverhältnisse festlegt. Die Aufsichtspraxis weist darauf hin, dass ein vollständiger schriftlicher Auftrag die Ausnahme ist.“

Läuten die Alarmglocken?

Und, läuten bei Ihnen die Alarmglocken, wenn Sie lesen: „schriftlicher Auftrag die Ausnahme“?

Wann haben Sie in Ihrem Verantwortungsbereich als DSB zuletzt geprüft, ob wirklich für alle Verfahren ein schriftlicher Auftrag vorhanden ist, sofern Auftragsdatenverarbeiter eingesetzt werden?

Versäumtes nachholen

Nach wie vor gilt § 11 Abs. 2 BDSG, nach dem der Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen ist.

Spätestens bei den vertraglichen Regelungen ein Wörtchen mitreden!

Aber Hand aufs Herz – sind Sie bei der Auswahl eines geeigneten Auftragsdatenverarbeiters wirklich involviert? Ihr Part sollte jedoch spätestens ab der vertraglichen Regelung beginnen.

Dringen Sie auf Schriftlichkeit

In § 11 Abs. 2 Satz 2 heißt es weiter:

„Der Auftrag ist schriftlich zu erteilen, wobei die Datenerhebung, -verarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind.“

Hier müssen Sie auf jeden Fall das Zepter in die Hand nehmen. Eine schriftliche Auftragserteilung mit entsprechenden Weisungen für die Verarbeitung der personenbezogenen Daten ist in Zukunft unabdingbar.

Gibt es überhaupt einen Vertrag?

Als externer Datenschutzbeauftragter erlebt man allzu oft, dass sich keine Verträge ausgraben lassen.

Entweder findet die externe Datenverarbeitung seit Jahren statt, und keiner hat sich je um schriftliche Regelungen gekümmert. Dann sollten Sie schleunigst dafür sorgen, dass ein schriftlicher Vertag abgeschlossen wird.

Wenn ja, was steht drin?

Oder der Vertrag kümmert sich lediglich um kaufmännische Daten nach dem Motto „was kostet was“. Für den Datenschutz reicht dies nicht – und in Zukunft kann das Fehlen eindeutiger Weisungen noch dazu teuer werden!

Nachverhandlungen sind angesagt

Gibt es einen rein kaufmännischen Vertrag, sind auf jeden Fall Erweiterungen zum Thema Datenschutz zu vereinbaren.

Erfahrungsgemäß ist es oft nicht möglich, einen bestehenden Altvertrag neu zu verfassen. Empfehlenswert ist daher, Zusatzvereinbarungen zum Datenschutz festzuschreiben.

In der Regel werden keine Rechtsanwälte mehr eingeschaltet, sodass sich das Genehmigungsprozedere in Grenzen hält. Als Anhang zum Hauptvertrag beginnt diese Vereinbarung nachträglich zu wirken.

Zusatzvereinbarung zum Datenschutz

Diese Zusatzvereinbarung

  1. legt fest, dass der Auftragnehmer ausschließlich nach § 5 BDSG verpflichtetes Personal einsetzt.
  2. schreibt die Regeln für eventuelle Datenvernichtung nach DIN 32575 Stufe 3 vor.
  3. erlaubt eine Vor-Ort-Kontrolle durch einen DSB.
  4. verpflichtet den Auftragsdatenverarbeiter zur Unterstützung bei der Wahrung des Auskunftsrechts eines Betroffenen.
  5. schreibt verbindlich fest, dass Datenschutzverstöße beim Auftragnehmer in Verbindung mit Ihren Daten an Sie gemeldet werden.
  6. lässt sich Namen und Kontaktdaten des Auftragnehmers nennen.
  7. vereinbart Regelungen beim Einsatz von weiteren Unterauftragsnehmern (Subunternehmen).
  8. vereinbart eventuell sogar Vertragsstrafen für Verstöße gegen Vertragsbestimmungen.
  9. und besonders wichtig: legt die Datenübergabe oder Datenlöschung bei Beendigung der Vertragsbeziehung fest.

Eine Vertragsprüfung ist unabdingbar

Diese Grundregeln müssen in jedem Vertrag vorhanden sein. Bestehende Vereinbarungen sind nach diesen Gesichtspunkten zu prüfen, um als datenschutzkonform zu gelten.

Fehlen wesentliche Teile davon, sollten Sie auf jeden Fall nachverhandeln und Zusatzvereinbarungen abschließen.

Machen Sie eine Vor-Ort-Kontrolle

Ist der vertragliche Teil abgeschlossen, empfiehlt sich eine Vor-Ort-Kontrolle beim Vertragspartner.

Das aktuelle BDSG schreibt dazu im § 11 BDSG Abs. 2 Satz 4: „Der Auftraggeber hat sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.“

Vertrauen ist gut – Kontrolle ist besser

Die geforderten Kontrollen wurden im Regierungsentwurf des BDSG also nicht abgeschafft. Wann haben Sie Ihre letzte Außenprüfung durchgeführt?

Nicht viel Neues und trotzdem brisant

Einem gewissenhaften DSB sollte die Neuregelung im § 43 2b BDSG keine Schweißausbrüche verursachen.

Die Anmerkung der Aufsichtsbehörden, „dass ein vollständiger schriftlicher Auftrag die Ausnahme ist“, trifft hoffentlich bei Ihnen nicht zu.

50.000 Euro Reisekosten

Zukünftig wird bei einer nicht ordnungsgemäßen Beauftragung und Kontrolle von Auftragsdatenverarbeitern ein Bußgeld von bis zu 50.000 Euro fällig. Dafür können Sie einige Ihrer Dienstleister vor Ort prüfen!

Hermann Keck
Hermann Keck ist externer Datenschutzbeauftragter (http://www.keck-dsb.de).

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln