Datenschutzrechtliche Anforderungen bei der Auftragsdatenverarbeitung nach § 11 BDSG…

Am 01.09.2009 ist – aufgrund erheblicher datenschutzrechtlicher Mängel bei der Auftragsdatenverarbeitung von personenbezogenen Daten – eine Gesetztesänderung in Kraft getreten. § 11 BDSG bestimmt nunmehr, dass der Auftraggeber für die Einhaltung der datenschutzrechtlichen Vorgaben bei einer Auftragsdatenverarbeitung verantwortlich bleibt und welche Regelungen im Einzelnen bei einer Auftragsdatenverarbeitung mit dem Auftragnehmer vereinbart werden müssen.

Gemäß § 11 BDSG ist der Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:

  1. der Gegenstand und die Dauer des Auftrags,
  2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Zudem hat sich der Auftraggeber vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.

Diese Regelungen gelten gemäß § 11 Abs. 5 BDSG auch für Fernwartungssysteme, bei denen ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

Die Gesellschaft für Datenschutz & Datensicherung e.V. (GDD) hat kürzlich ein Muster „Auftrag gemäß § 11 BDSG“ für die erste Orientierungshilfe für die Vertragsgestaltung mit Dienstleistern veröffentlicht. Das Muster können Sie sich hier herunterladen.

Unternehmen, die Datenverarbeitung an unabhängige Dienstleister vergeben bzw. Fernwartungsverträge geschlossen haben, sollten ihre Verträge überprüfen und notfalls an die  geänderten rechtlichen Vorgaben anpassen. Wer entgegen § 11 BDSG Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder entgegen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt, begeht eine Ordnungswidrigkeit. Hier drohen Bußgelder bis zu 50.000,00 EUR. Bei der Übermittlung von personenbezogenen Daten ins Ausland – insbesondere sofern die Übermittlung in Drittländer erfolgt – sind zudem weitere, teils sehr umfangreiche, gesetzliche Vorgaben zu beachten.