BDSG-NovellenAchtung: sofort handeln!

Ein Kurzüberblick über die rechtlichen Änderungen zur Auftragsdatenverarbeitung.

AUFTRAGSDATEN-VERARBEITUNG (ADV)

§ 11 BDSG

Was ist Auftragsdatenverarbeitung (ADV)

• Privileg der ADV• Das Datenschutzrecht kennt kein Konzernprivileg (Problem

gemeinsam genutzter Kundendatenbanken im Konzern)• Das Datenschutzrecht ist „subsidiär“• Keine ADV mit Drittstaaten (angemessenes Datenschutzniveau)

pb Daten

Typische ADVs

• Rechenzentren,• Druckereien,• Schreibbüros,• Marktforscher,• Entsorger,• Inkassounternehmen,• Application-Service-Provider,• Archivierungsdienste,• Backup-Dienstleister,• Adressdienstleister,• Lettershops,

• Call-Center,• Heimarbeiter (nicht

Telearbeiter),• Konzernunternehmen,• Unternehmensberater,• Handelsvertreter,• Wartungstechniker,• Prüfer, Auditoren,• externe Administratoren

Achtung: immer Einzelfallbetrachtung!

Abgrenzung(Quelle: LfD Niedersachsen)

Auftragsdatenverarbeitung• fehlende

Entscheidungsbefugnis des Auftragnehmers

• weisungsgebundene Unterstützung

• fehlende (vertragliche) Beziehung des Auftragnehmers zum Betroffenen

• Umgang nur mit Daten, die der Auftraggeber zur Verfügung stellt

Funktionsübertragung• Überlassung von

Nutzungsrechten an den Daten

• eigenverantwortliche Sicherstellung von Zulässigkeit und Richtigkeit der Daten durch den Dienstleister

• Sicherstellen der Rechte von Betroffenen (Benachrichtigungspflicht, Auskunftsanspruch)

Das Unternehmen als Auftraggeber

Altverträge• Altverträge unterliegen ebenfalls den Neuregelungen zur ADV (a.A.

Hanloser, MMR 2009, 594, 597)

Vorgehensmodell

Quelle: GDD, Neue Anforderungen an die Auftragsdatenverarbeitung nach § 11 BDSG, 2009

Exkurs: technisch-organisatorische Maßnahmen

• technisch-organisatorische Maßnahmen: § 9 BDSG undAnlage zu § 9 Satz 1 BDSG

• Acht Kontrollmaßnahmen

Quelle: IT Governance Institute, CoBiT Mapping, 2. Aufl., S. 71

Vorgehensmodell

Quelle: GDD, Neue Anforderungen an die Auftragsdatenverarbeitung nach § 11 BDSG, 2009

Arbeitshilfen

Musterverträge:• Mustervertrag der GDD

www.gdd.de• Aufsichtsbehörden: Regierungspräsidium Darmstadt,

Datenschutzaufsichtsbehörde für den nicht öffentlichen Bereichhttp://cdl.niedersachsen.de/blob/images/C58779124_L20.pdf

• Bergmann/Möhrle/Herb, Datenschutzrecht, § 11 Anlage 1• Mustervertrag des Deutschen Dialogmarketing Verbandes e.V

(DDV)

§ 11 Abs. 2 Satz 2 BDSG[…] insbesondere im Einzelnen festzulegen sind:1.der Gegenstand und die Dauer des Auftrags,2.der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,3.die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen4.die Berichtigung, Löschung und Sperrung von Daten,5.die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,6.die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,7.die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,8.mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,9.der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,10.die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Vorgehensmodell

Quelle: GDD, Neue Anforderungen an die Auftragsdatenverarbeitung nach § 11 BDSG, 2009

Gesetzestext: § 11 Abs. 2 Satz 4, 5 BDSG

„[…] Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.“

Prüfungen

Achtung: Nicht zwangsläufig Vor-Ort-Prüfungen!• „Abgesehen wird davon, dass sich der Auftraggeber unmittelbar

beim Auftragnehmer vor Ort oder selbst in Person überzeugt. Dies wäre regelmäßig nicht angemessen und mit einem Verlust an Flexibilität verbunden, z. B. wenn der Auftraggeber ein Testat eines Sachverständigen einholen möchte oder wenn eine schriftliche Auskunft des Auftragnehmers ausreicht.“BT-Druck 16/13657

• Hinweis: Ein Sachverständiger kann ein DSB oder auch ein WP sein.

• Problem: Prüfungsumfang und Gegenstand der Prüfung

Prüfungen

Prüfungsintervall:• „Eine starre Frist, z. B. eine jährliche Kontrolle, würde der in der

Praxis vorkommenden Bandbreite an Auftragsdatenverarbeitungen nicht gerecht.“BT-Druck 16/13657

Umfang der Dokumentation• „Nur durch eine Dokumentation lässt sich der Handlungszeitpunkt

nachweisen und kann sich der Auftraggeber z. B. gegenüber der Aufsichtsbehörde entlasten. Eine nähere Ausgestaltung der Art und des Umfangs der Dokumentation erscheint nicht erforderlich und würde wiederum der Bandbreite an Auftragsdatenverarbeitungen nicht gerecht werden.“BT-Druck 16/13657

Prüfungen

Dokumentationsumfang (Vorschlag der GDD):– Angaben zu den Beteiligten (Verfahrensverantwortlicher, konkreter

Prüfer, DSB, CIO)– Angaben zur betroffenen ADV (AN, Beginn/Ende, Art der ADV,

Kritikalität, Angaben wo der ADV Vertrag vorgehalten wird)– Angaben zur Kontrolle (Wann, Wo, Prüfer, Erstkontrolle/ laufende

Kontrolle, Zeitpunkt der letzten Kontrolle)– Art und Umfang der Kontrolle (vor Ort, schriftlich, vollständig,

Schwerpunktprüfung)– Feststellungen (vertragliche, gesetzliche, techn.-organisatorische

Anforderungen eingehalten/nicht eingehalten; sonstige Verstöße; Verfahrensmeldung aktuell/zu überarbeiten)

– Weitere Maßnahmen (Zeitpunkt der nächsten Kontrolle/Nachkontrolle)– Unterschrift des Prüfers

Vorgehensmodell

Quelle: GDD, Neue Anforderungen an die Auftragsdatenverarbeitung nach § 11 BDSG, 2009

Bußgeld(§ 43 Abs. 1 Nr. 2b BDSG)

Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

• einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder

• entgegen § 11 Absatz 2 Satz 4 BDSG sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt

Auftragsdatenverarbeitung (§ 11 BDSG)

Handlungsempfehlungen• Vertragsgestaltung:

– Anpassung der Altverträge– Vorgabe zur Nutzung eines konformen Vertragsmusters im

Unternehmen• Prozessgestaltung:

– Einführung von Erstkontrollen– Laufende Kontrollen– Erarbeitung eines Prüfkonzepts– Verantwortlichkeiten festlegen

Kontakt

scope & focusService-Gesellschaft Freie Berufe mbH

Dipl.-Ök. Stephan RehfeldZeppelinstr. 8

30175 Hannover

Telefon: (0511) 8 11 21 62Fax: (0511) 3 07 62 40

E-Mail: information@scope-and-focus.comInternet: www.scope-and-focus.com