57
(aktualisierte Fassung Vortrag GDD Infotag 2014) Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG – Praxishinweise zur Vertragsgestaltung

Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Embed Size (px)

DESCRIPTION

Vortrag zur Vertragsgestaltung bei der Auftragsdatenverarbeitung nach § 11 BDSG mit praktischen Hinweisen und Musterklauseln zur Vertragsgestaltung (Update zum Vortrag bei den Infotagen der GDD im Sommer 2014)

Citation preview

Page 1: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

(aktualisierte Fassung Vortrag GDD Infotag 2014)

Sascha Kremer:

Auftragsdatenverarbeitungnach § 11 BDSG – Praxishinweise zur Vertragsgestaltung

Page 2: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Überblick

Subunternehmer

Datenschutzkonzept

Auskunft, Prüfung & Kontrollen

Kosten

Haftung & Pönalen

Fazit

Was?

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 2

Page 3: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

ADV FÜ

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 3

Abgrenzung

Page 4: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 4

Abgrenzung

Grundsätzliches zur ADV

• Übermittlung personenbezogener Daten (pbD) setzt wegen des im BDSG statuierten Verbot mit Erlaubnisvorbehalt (§ 4 Abs. 1 BDSG) Gestattung voraus durch

• Rechtsvorschrift oder

• Einwilligung des Betroffenen

• Beachte: kein datenschutzrechtliches Konzernprivileg = jede Übermittlung zwischen Konzernunternehmen eine erlaubnispflichtige Übermittlung

Page 5: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 5

Abgrenzung

Privilegierung durch ADV

• ADV keine Rechtsvorschrift = kein Erlaubnistatbestand i.S.d. § 4 Abs. 1 BDSG

• Gesetzliche Fiktion

• Auftragnehmer (AN) ist eigentlich Dritter

• AN wird Auftraggeber (AG) als verantwortlicher Stelle zugerechnet

• keine erlaubnispflichtige Übermittlung i.S.d. § 3 Abs. 3 Nr. 3 BDSG

• AN handelt als verlängerter Arm des AG

Page 6: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

ADV

§ 11 BDSG

§ 80 SGB

X

§ 11 DSG-EKD

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 6

Gesetze

Page 7: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 7

Form

Schriftform

• § 11 Abs. 2 S. 2 BDSG ordnet die Schriftform i.S.v. § 126 BGB an

• Eigenhändige Unterzeichnung

• Nicht erforderlich ist körperliche Verbindung der einzelnen Blätter

• Ersetzung durch elektronische Form i.S.v. § 126a BGB möglich

Page 8: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 8

Inhalt

Inhalt, § 11 Abs. 2 S. 2 BDSG

• Gegenstand und Dauer des Auftrages

• Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung, Art der Daten und der Kreis der Betroffenen

• Technische und organisatorische Maßnahmen (TOM)

Page 9: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 9

Inhalt

Inhalt, § 11 Abs. 2 S. 2 BDSG (Fortsetzung)

• Berichtigung, Löschung und Sperrung von Daten

• Pflichten des Auftragnehmers nach § 11 Abs. 4 BDSG

• Unterauftragsverhältnisse

• Duldungs- und Mitwirkungspflichten

• Mitzuteilende Verstöße des Auftragnehmers

Page 10: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 10

Inhalt

Weiterer denkbarer Inhalt

• Kosten der Durchführung der ADV

• Mitwirkungen/Beistellungen des AG

• Kündigung/Laufzeit

• Sonstiges

Page 11: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Allgemeine Pflichten des AN

Geltung der ADV-Vereinbarung

Begriffe

Präambel

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 11

Struktur einer ADV-Vereinbarung: Beispiel(1)

Page 12: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Weisungsrecht des AG

Beauftragung von Subunternehmern

Gegenstand der ADV

Informationspflichten & Verhalten bei Störungen

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 12

Struktur einer ADV-Vereinbarung: Beispiel(2)

Page 13: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Pflichten des AG

Erteilung von Auskünften

Prüf-, Zutritts und Auskunftsrechte des AG

Datensicherheitskonzept (TOM) des AN

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 13

Struktur einer ADV-Vereinbarung:Beispiel(3)

Page 14: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Schlussbestimmungen

Laufzeit der ADV-Vereinbarung

Kosten

Haftung der Parteien

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 14

Struktur einer ADV-Vereinbarung:Beispiel(4)

Page 15: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Zulässigkeit

Zustimmung

Mindeststandards

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 15

Sub-unternehmer

Page 16: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 16

Sub-unternehmer

Zulässigkeit

• § 11 BDSG: Unterbeauftragung grundsätzlich zulässig

• § 11 Abs. 2 S. 2 Nr. 6 BDSG verpflichtet die Parteien nur dazu, beim „ob“ Regelungen zum „wie“ zu treffen

• Unterbeauftragung kann ausgeschlossen werden (z.B. durch Nichtregelung)

Page 17: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 17

Sub-unternehmer

Zustimmung

• AG bleibt trotz Leistungskette wegen § 11 Abs. 1 S. 1 BDSG verantwortliche Stelle

• AN muss daher über Unterauftragsverhältnisse informieren

• AG-freundliche Verträge sehen Zustimmungsvorbehalt vor

• AN-freundliche Verträge bestimmen Verweigerungsrecht nur aus wichtigem Grund

Page 18: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 18

Sub-unternehmer

AG-freundliche Klausel (Muster)

• „Der AN ist zur Beauftragung eines Subunternehmers/Vorlieferanten nur berechtigt, wenn (a) der AG der Beauftragung des Subunternehmers/Vorlieferanten vor dessen erstmaligem Tätigwerden schriftlich zugestimmt hat, (b) dem AG im Verhältnis zum Subunternehmer/Vorlieferanten vergleichbare Prüf-, Auskunfts- und Zutrittsrechte wie gegenüber dem AN eingeräumt werden, und (c) der Subunternehmer/Vorlieferant seinen Sitz innerhalb von EU/EWR genommen hat, seine Leistungen als Subunternehmer/Vorlieferant des AN nur innerhalb von EU/EWR erbringt und den Anforderungen der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie den im jeweiligen Mitgliedsland getroffenen nationalen Regelungen zur Umsetzung der vorgenannten Richtlinie genügt.“

Page 19: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 19

Sub-unternehmer

AN-freundliche Klausel (Muster)

• „Der AN ist zur Beauftragung eines Subunternehmers/Vorlieferanten nur berechtigt, wenn (a) dem AG im Verhältnis zum Subunternehmer/Vorlieferanten mindestens den Anforderungen dieser Vereinbarung entsprechende Prüf-, Auskunfts- und Zutrittsrechte unmittelbar gegenüber dem Subunternehmer/Vorlieferanten eingeräumt werden, und (b) der Subunternehmer/Vorlieferant seinen Sitz innerhalb von EU/EWR genommen hat, seine Leistungen als Subunternehmer/Vorlieferant des AN nur innerhalb von EU/EWR erbringt und den Anforderungen der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie den im jeweiligen Mitgliedsland getroffenen nationalen Regelungen zur Umsetzung der vorgenannten Richtlinie genügt. Der AN wird auf Verlangen des AG diesem die beauftragten Subunternehmer/Vorlieferanten benennen.“

Page 20: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 20

Sub-unternehmer

Unter-Unterauftragnehmer

• Unter-Unterauftragsverhältnisse grundsätzlich zulässig

• Auch mehrstufig, aber Gefahr: Aushöhlung der Stellung des AG als „Herr der Daten“

• Mindestregelung: Durchgriff des AG durch Kotroll- und Weisungsbefugnisse auf Unter-Unterauftragnehmer

Page 21: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 21

Sub-unternehmer

AG-freundliche Klausel (Muster)

• „Bedient sich der AN bei der Erbringung der Leistungen eines Subunternehmers/Vorlieferanten, wird der AN jederzeit auf Verlangen des AG diesem die Dokumentation der vom AN dort durchgeführten Erstkontrolle und regelmäßigen Kontrollen zugänglich machen. Der AN ist auf Verlangen des AG verpflichtet, die regelmäßigen Kontrollen bei den Subunternehmern/Vorlieferanten in angemessener Frist durchzuführen.“

Page 22: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 22

Datenschutz-konzept (TOM)

Page 23: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

TOM

Aktualisierungen

Nachweise

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 23

Datenschutz-konzept (TOM)

Page 24: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 24

Datenschutz-konzept (TOM)

TOM nach § 9 BDSG

• nicht zwingend in der Vereinbarung selbst aufzuführen

• Festlegung der TOM regelmäßig in Anlage „Datenschutzkonzept“

• Beachte: Schriftformerfordernis aus §11 Abs. 2 S. 2 BDSG gilt wegen § 11 Abs. 2 S. 2 Nr. 3 BDSG auch für Anlage TOM

Page 25: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 25

Datenschutz-konzept (TOM)

TOM - Standardklausel

• „Der AN stellt sicher, bei der Auftragsdatenverarbeitung die gemäß §9 BDSG und Anlage bzw. § 78a SGB X erforderlichen technischen und organisatorischen Maßnahmen [auf seine Kosten] zu treffen. Diese Maßnahmen sind in einem Datensicherheitskonzept des AN festgeschrieben, dass dieser Vereinbarung als Anlage beigefügt ist.“

Page 26: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 26

Datenschutz-konzept (TOM)

Aktualisierungen der TOM

• Vertrag sollte Änderungsklausel für AN enthalten, anderenfalls dauerhafte Festlegung auf bestimmte Maßnahmen

• Absicherung des AG durch Zusage des AN, dass Änderungen stets mindestens das Schutzniveau im Zeitpunkt des Vertragsschlusses erhalten müssen

• Beachte: Schriftformerfordernis aus § 11 Abs. 2 S. 2 BDSG gilt auch für Änderungen wegen § 11 Abs. 2 S. 2 Nr. 3 BDSG

Page 27: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 27

Datenschutz-konzept (TOM)

TOM - Aktualisierungen (Muster)

• „Das Datensicherheitskonzept des AN ist wegen Änderungen der gesetzlichen Rahmenbedingungen sowie zwingender gerichtlicher oder behördlicher Vorgaben gegenüber einer der Parteienfortzuschreiben. Im Übrigen ist der AN zur Fortschreibung des Datensicherheitskonzepts berechtigt, aber nicht verpflichtet. Der AN sichert zu, dass durch derartige Fortschreibungen das im Zeitpunkt der Unterzeichnung dieser Vereinbarungbestehende Sicherheitsniveau nicht unterschritten, sondern zumindest aufrechterhalten wird.“

Page 28: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 28

Nachweise über Einhaltung TOM

• Vernichtung und Löschung von Gegenständen auf Verlangen

• Vernichtung und Löschung von Gegenständen mit Vertragsbeendigung

• Problematisch: Sicherungsübereignung von Gegenständen mit pbD an den AG (z.B. auch Datenträger in Endgeräten)

Datenschutz-konzept (TOM)

Page 29: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 29

Herausgabe/Löschung von pbD (Muster)

• „Nicht mehr erforderliche pbD sind vom AN unverzüglich an den AG herauszugeben oder zu löschen. Auf jederzeitiges Verlangen des Auftraggebers, spätestens aber mit Beendigung des Hauptvertrags, wird der AN alle ihm von dem AG übergebenen und bis dahin noch nicht gelöschten pbD zurückgeben bzw. den Nachweis einer datenschutzgerechten Vernichtung führen, soweit nicht ausnahmsweise berechtigte Gründe des Auftragnehmers im Sinne von § 35 Abs. 3 BDSG bzw. §84 Abs. 3 SGB X einer Löschung entgegenstehen. Ein Zurückbehaltungsrecht des AN ist ausgeschlossen.“

Datenschutz-konzept (TOM)

Page 30: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 30

Verpflichtung nach § 5 BDSG (Muster)

• „Der AN setzt für den Umgang mit pbD nur solche Beschäftigte oder Subunternehmer/Vorlieferanten ein, die entsprechend § 5 BDSG unter Hinweis auf die ordnungswidrigkeits- und strafrechtlichen Folgen auf das das Datengeheimnis schriftlich verpflichtet worden sind. Auf Verlangen des AG wird der AN diese Verpflichtung nachweisen.“

Datenschutz-konzept (TOM)

Page 31: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Bestellung Meldepflicht

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 31

DSB

Page 32: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 32

Auskunft, Prüfung & Kontrollen

Page 33: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Art und Weise

Häufigkeit

Mitwirkungen

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 33

Auskunft, Prüfung & Kontrollen

Page 34: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 34

Auskunft, Prüfung & Kontrollen

Kontrolle durch unabhängige Dritte:

i.d.R. durch Zertifikate oder Testate, Nachweise vom AG auf Eignung, Plausibilität und Vollständigkeit zu prüfen (z.B. ISO 27001 Zertifizierung)

Selbstauskünfte:

i.d.R. durch vom AN ausgefüllte und dem AG übermittelte Fragebögen

Vor-Ort-Kontrolle:

Für AG und AN aufwändig und nicht zwingend erforderlich

Art und Weise

Page 35: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 35

Art und Weise - Musterklausel

• „Der Datenschutzbeauftragte des AG, die für den AG zuständigen Aufsichtsbehörden oder deren Vertreter oder ein sonst von dem AG beauftragter und von Berufs wegen zur Verschwiegenheit Verpflichteter nehmen bei dem AG die Erstkontrolle und die regelmäßigen Kontrollen vor. Erstkontrolle und regelmäßige Kontrollen können nach billigem Ermessen des AG (§ 315 BGB) durch eine Selbstauskunft des AN oder von dem AN nachgewiesene Testate und Zertifizierung Dritter (z.B. Datenschutzaudit, TÜV/ISO-Zertifizierung) ersetzt werden.“

Auskunft, Prüfung & Kontrollen

Page 36: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 36

Häufigkeit

• Bestimmte Häufigkeit der regelmäßigen Kontrollen nicht vorgeschrieben

• Vereinbarung der Parteien

• Abhängig vom Schutzbedürfnis der pbD

• LDA Bayern (4. Tätigkeitsbericht 2009/2010): Angemessen sind Prüfungen alle ein bis drei Jahre

• Wichtig: AG darf sich nicht der Möglichkeit zu unangekündigten oder gegebenenfalls häufigeren Kontrollen im Vertrag begeben, z.B. falls Unregelmäßigkeiten beim AN auftreten

Auskunft, Prüfung & Kontrollen

Page 37: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 37

Häufigkeit - Musterklausel

• „Die regelmäßigen Kontrollen finden in der Regel einmal jährlich zu den üblichen Betriebszeiten des AN, ohne Störung anderer Betriebsabläufe und nach einer Ankündigungszeit von mindestens einer Woche statt.“

Auskunft, Prüfung & Kontrollen

Page 38: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 38

Mitwirkungen - Musterklausel

• „Der AN verpflichtet sich, Erstkontrollen und regelmäßige Kontrollen zu dulden. Der AN räumt dem AG zu diesem Zweck das Recht ein, sich nach rechtzeitiger Anmeldung zur Prüfung des Betriebsablaufes von der Angemessenheit der vom AN getroffenen organisatorischen und technischen Maßnahmen zur Einhaltung der Erfordernisse der für die ADV einschlägigen Bestimmungen zu überzeugen sowie geschäftliche Unterlagen, für den AG verarbeitete personenbezogene Daten sowie die Datenverarbeitungseinrichtungen des AN einzusehen und zu diesem Zweck erforderliche Auskünfte in einem dem AN zumutbaren Umfang bei diesem einzuholen.“

Auskunft, Prüfung & Kontrollen

Page 39: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 39

Mitteilungspflichten des AN

• § 11 Abs. 2 S. 2 Nr. 8 BDSG verlangt Festlegung, welche Verstöße des AN Mitteilungspflichten gegenüber dem AG auslösen sollen

• Einfache Lösung: alle Verstöße

Auskunft, Prüfung & Kontrollen

Page 40: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 40

Mitteilungspflichten – Muster (1)

• „Alle Verstöße des AN, der bei ihm beschäftigten Personen und der für ihn tätigen Subunternehmer/Vorlieferanten einschließlich etwaiger Unter-Unterauftragnehmer gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen sind dem AG mitzuteilen.“

Auskunft, Prüfung & Kontrollen

Page 41: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 41

Mitteilungspflichten – Muster (2)• „Über Maßnahmen der Aufsichtsbehörde nach § 38 Abs. 5

BDSG sowie über Ermittlungsmaßnahmen nach §§ 43, 44 BDSG bzw. §§ 85, 85a SGB X wird der AN den AG unaufgefordert in Kenntnis setzen, sofern hierdurch die ADV wegen personenbezogener Daten aus dem Geschäftsbereich des AG betroffen ist. Dem AN ist bekannt, dass nach § 42a BDSG bzw. § 83a SGB X Informationspflichten bei unrechtmäßiger Kenntniserlangung von Daten durch Dritte bestehen können. Stellt der AN fest, dass die Voraussetzungen einer solchen Informationspflicht wegen der Datenverarbeitung für den AG vorliegen könnten, teilt der AN dies dem AG unverzüglich mit.“

Auskunft, Prüfung & Kontrollen

Page 42: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 42

Weisungsbefugnis des AG

• § 11 Abs. 2 S. 2 Nr. 9 BDSG sieht die Pflicht zur Festlegung des Umfangs von Weisungsbefugnissen vor

• Weisungsbefugnisse sind tatsächlich nicht verhandelbar, da AN nur „verlängerter Arm“ des AG ist

• Einschränkungen der Weisungsbefugnisse lassen Privilegierung der ADV vollständig entfallen

• Beachte: auftragsbezogene Weisungen sind wegen § 11 Abs. 2 S. 2 BDSG schriftlich zu erteilen

Auskunft, Prüfung & Kontrollen

Page 43: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 43

Weisungsbefugnisse – Muster (1)

• „Hinsichtlich der Verfahren der im Auftrag durchzuführenden Datenverarbeitungen behält sich der AG ein vollumfängliches Weisungsrecht vor.“

Auskunft, Prüfung & Kontrollen

Page 44: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 44

Weisungsbefugnisse – Muster (2)• „Der AN verpflichtet sich, die ADV ausschließlich im Rahmen des

Vertrags und der Weisungen des AG durchzuführen. Weisungen für die ADV hat der AG dem AN schriftlich mitzuteilen. Mündlich durch den AG erteilte Weisungen bedürfen der späteren schriftlichen Bestätigung. Der AN hat den AG unverzüglich darauf hinzuweisen, wenn eine Weisung des AG nach Ansicht des AN gegen das BDSG oder andere gesetzliche Vorschriften verstößt. Der AN ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis der AG die Weisung überprüft und gegenüber dem AN als auszuführende Weisung bestätigt hat. [Entstehen dem AN durch die Weisung des AG Kosten oder Aufwendungen für die Erbringung von Leistungen, die nicht mehr Gegenstand des Vertrags sind und über diesen vergütet werden, kann der AN diese Kosten oder Aufwendungen dem AG entsprechend der Regelungen im Vertrag, im Übrigen nach Maßgabe des im Zeitpunkt der Leistungserbringung gültigen Preisverzeichnisses des AN, in Rechnung stellen.]“

Auskunft, Prüfung & Kontrollen

Page 45: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 45

Kosten

Page 46: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

TOM

Auskunft

Audits

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 46

Kosten

Page 47: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 47

Kosten

Überblick

• Ergreifen und kontinuierliches Aufrechterhalten der TOM und Mitwirkungen verursachen Arbeitsaufwand beim AN

• Regelungen über Kosten sollten vertraglich vereinbart werden

• Ohne Vereinbarung: AN kann Anspruch auf Aufwendungsersatz (z.B. aus § 670 BGB analog) zustehen

Page 48: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 48

Kosten

Kosten - Musterklausel

• „Kosten, die dem AN durch die Erfüllung seiner Pflichten aus dieser Vereinbarung entstehen, trägt der AN vorbehaltlich einer abweichenden Regelung in dieser Vereinbarung selbst. Die Kosten sind im Zweifelsfall mit der im Hauptvertrag vereinbarten Vergütung des AG abgegolten.“

Page 49: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 49

Haftung

Page 50: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Mängel

Freistellung

Pönalen

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 50

Haftung

Page 51: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 51

Haftung

Überblick

• Haftung des AN beschränkt sich auf Innenverhältnis zum AG

• Gegenüber Betroffenen haftet AG als verantwortliche Stelle

• Absicherung Pflichten aus Vereinbarung ADV durch AG ggf. über Vertragsstrafen

Page 52: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 52

Haftung

Haftung - Musterklausel

• „Die Haftung des AN erstreckt sich auch auf eine Verletzung der Pflichten durch die Beschäftigten des AN sowie dessen Subunternehmer/Vorlieferanten einschließlich derer Unter-Unterauftragnehmer. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach dem BDSG oder anderen Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung durch den AN nach dieser Vereinbarung erleidet, bleibt der AG gegenüber dem Betroffenen als verantwortliche Stelle im Sinne des BDSG verantwortlich. Soweit der AG zum Schadenersatz gegenüber dem Betroffenen verpflichtet ist, bleibt der Rückgriff auf den AN nach Maßgabe dieser Vereinbarung oder des Hauptvertrags, hilfsweise nach den gesetzlichen Bestimmungen, vorbehalten.“

Page 53: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 53

Haftung

Vertragsstrafe – AG-freundliches Muster

• Für jeden einzelnen Fall der Verletzung der Verpflichtungen des AN aus dieser Vereinbarung verpflichtet sich der AN zur Zahlung einer Vertragsstrafe von XXXX,- Euro (in Worten: XXXX Euro) an den AG. Die Verpflichtung zur Zahlung einer Vertragsstrafe gilt nicht, wenn der AN die Pflichtverletzung nicht zu vertreten hat. Die Vertragsstrafe wird auf etwaige Schadensersatzansprüche vom AG aus der Verletzung dieser Vereinbarung angerechnet. Die weitere Erfüllung der Verpflichtungen aus dieser Vereinbarung durch den AN sowie die Geltendmachung anderer oder weitergehender Ansprüche durch den AG bleibt von der Verpflichtung zur Zahlung einer Vertragsstrafe unberührt.“

Page 54: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 54

Fazit

Page 55: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 55

Fazit

erheblicher Gestaltungsspielraum für beide Parteien

Erstellung einer ADV-Vereinbarung nach Mustern gefährlich

Gestaltung maßgeblich von Stellung AN/AG abhängig

Kosten- und Aufwandsfolgen sind zu berücksichtigen

Page 56: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Sascha Kremer: Auftragsdatenverarbeitung nach § 11 BDSG 56

Fragen? Fragen!

Page 57: Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung

Vielen Dank für Ihre Aufmerksamkeit!

Sascha Kremer

Fachanwalt für Informationstechnologie-Recht

externer Datenschutzbeauftragter

Tel: +49(221)55400170

Mail: [email protected]