+49 30 285 058 56 berlin@res-media.net
Fachanwälte in Kooperation

Cloud Computing – Fehlerhafte Auftragsdatenverarbeitungsverträge können teuer werden

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat kürzlich ein Bußgeld in fünfstelliger Höhe wegen eines unzureichenden Vertrags zur Auftragsdatenverarbeitung verhängt, wie es in einer Pressemitteilung bekannt gab. Das betroffene Unternehmen hatte mehrere Aufträge zur Datenverarbeitung erteilt, blieb in den Verträgen allerdings zu vage. Das BayLDA monierte, dass die Verträge lediglich den Gesetzestext wiedergeben und dem Datenschutz nicht gerecht wurden und verhängte ein Bußgeld. Doch fangen wir Vorn an:

  • Was ist die Auftragsdatenverarbeitung?

Die Auftragsdatenverarbeitung ist in § 11 BDSG (Bundesdatenschutzgesetz) geregelt. Dort heißt es: „Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich.“ Mit anderen Worten: Immer dann, wenn Sie sich eines Externen bedienen, der in Ihrem Auftrag und nach Ihren Weisungen Daten Ihrer Kunden erhebt, verarbeitet oder sonst nutzt, liegt ein Fall der Auftragsdatenverarbeitung vor und Sie sind für den Datenschutz beim Externen verantwortlich.
Hierunter fallen zum Beispiel:
•    Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing
•    Werbeadressenverarbeitung
•    Kontaktdatenerhebung (durch ein Callcenter)
•    Auslagerung von E-Mail-Verwaltung
•    Backup/Sicherheitsspeicherung/Archivierung von personenbezogenen Daten
•    Datenträgerentsorgung
Auftragsdatenverarbeitung liegt also bei einer Vielzahl von Handlungen vor, die zum Alltagsgeschäft einer Onlineplattform, wie einem Onlineshop, gehören vor.
Bei der Auftragsdatenverarbeitung ist der Auftragnehmer vom Auftraggeber abhängig und an die Weisungen des Auftraggebers gebunden. Aufgrund dieser Weisungsabhängigkeit werden die Datenbewegungen zwischen Auftraggeber und -nehmer auch nicht wie Datenübermittlungen zwischen Unternehmen gehandelt, sondern werden als interne Nutzung angesehen.
Aus der Weisungsgebundenheit ergibt sich auch, dass keine Auftragsdatenverarbeitung vorliegt, wenn der Umgang mit personenbezogenen Daten nur eine Nebenerscheinung neben der eigentlich in Anspruch genommenen Tätigkeit ist. So sind beispielsweise
•    Transportleistungen der Post
•    Bankdienstleistungen
•    Bewachungsdienste
•    Handwerkeinsätze im Unternehmen
keine Fälle der Auftragsdatenverarbeitung. Hier werden zwar auch Kundendaten weitergegeben (bspw. die Anschrift an die Post), dies ist jedoch nicht der Hauptzweck des Auftrages.

  • Was muss bei der Auftragsdatenverarbeitung beachtet werden?

Der Auftraggeber hat als Verantwortlicher bei der Auftragsdatenverarbeitung eine Vielzahl von Pflichten zu beachten. Neben der sorgfältigen Auswahl eines geeigneten Auftragnehmers, muss der Auftrag schriftlich erteilt werden (§ 11 Abs. 2 Satz 1 BDSG).
Der schriftliche Auftrag muss dabei genaue Regelungen enthalten, so dass der Auftragnehmer entsprechend weisungsgebunden ist. Unter anderem sind in diesem Vertrag Regelungen über
•    der Gegenstand und die Dauer des Auftrags,
•    der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen
•    die technischen und organisatorischem Maßnahmen zum Schutz der Daten
•    die Berichtigung, Löschung und Sperrung von Daten
•    die Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen
•    die etwaige Berechtigung zur Begründung von Unteraufträgen
•    die Kontrollrechte des Auftraggebers und Duldungs- und Mitwirkungspflichten des Auftragnehmers
•    mitzuteilende Verstöße des Auftragnehmers
•    den Umfang der Weisungsbefugnisse
•    die Rückgabe überlassener Datenträge und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
Wie der Fall des BayLDA zeigt, reicht es hier nicht aus, die Voraussetzungen des Gesetzes im Vertrag wiederzugeben oder lediglich auf Standartformulierungen zurückzugreifen. Viel mehr muss der Vertrag genaue Regelungen, die auf den einzelnen Auftrag angepasst sind enthalten.
Zudem muss der Auftraggeber sich vor Beginn und während der Datenverarbeitung von der Einhaltung der erforderlichen Sicherheitsmaßnahmen durch den Auftragnehmer überzeugen. Hierfür sind regelmäßige Kontrollen nötig, deren Ergebnisse zu dokumentieren sind.
Fazit
Verträge zur Auftragsdatenverarbeitung müssen äußerst genau und auf den Einzelfall zugeschnitten formuliert sein. Sind sie es nicht, drohen Bußgelder bis zu einer Höhe von 50.000€. Sie sollten daher überprüfen, ob Sie entsprechende Verträge abgeschlossen haben, sofern Sie Teile Ihrer Datenverarbeitung an externe Stellen vergeben haben. Sollten Sie teile Ihrer Datenverarbeitung outsourcen wollen, können wir für Sie rechtssichere Verträge ausarbeiten oder bestehende Verträge überprüfen.

  • Das könnte Sie auch interessieren:
Kostenloses Booklet "Cloud Computing" - Rechtliche Herausforderungen für den datenschutz im Unternehmen
Kostenloses Booklet „Cloud Computing“
 
Jetzt kostenlos auf unserer Kanzleiwebseite herunterladen unter

 
 
 

An den Anfang scrollen