bslider-kanzlei-rauschhofer-villa-sommer-text

Daten verarbeiten lassen

Wer Kundendaten auf fremden Servern laufen lässt, muss sich rechtlich absichern – Wenn Daten von Dienstleistern verarbeitet werden, haftet dennoch der Auftraggeber

Auftragsdatenverarbeitung – Was sind die Anforderungen, wie deren rechtliche Umsetzung?

Die jüngsten medienwirksamen Vorstöße der Landesdatenschutzbehörden, insbesondere was Fälle wie Facebook betrifft, haben bei Unternehmen zu einer erhöhten Wachsamkeit in Bezug auf Internet-Themen geführt. Zunehmend rückt dabei die Auftragsdatenverarbeitung (ADV) ins Blickfeld, die sich aus der Auslagerung von Daten ergibt, also Hosting, Software as a Service (SaaS) und Nutzung von Cloud Services. Die Besonderheit einer Auftragsdatenverarbeitung besteht darin, dass ein Auftragnehmer bestimmte Leistungen für einen Auftraggeber ausführt, bei denen er mit personenbezogenen Daten in Berührung kommt oder in Berührung kommen kann.

Bußgeld bis zu 50.000 Euro

Erfüllt der Auftraggeber bei einem solchen Umgang mit personenbezogenen Daten nicht die gesetzlichen Anforderungen an die Auftragsdatenverarbeitung gemäß Paragraf 11 Bundesdatenschutzgesetz (BDSG), droht ihm ein Bußgeld von bis zu 50.000 Euro. Die zuletzt gezeigte Praxis der Landesdatenschutzbehörden lässt vermuten, dass auch hier angesichts des erheblichen Bußgeldvolumens ein gesteigertes Augenmerk auf die Einhaltung gelegt wird. Ein nicht gesetzeskonformes Handeln ist also mit hohen Risiken verbunden.

Um diesen zu entgehen, bedarf es einer Vereinbarung über Auftragsdatenverarbeitung zwischen Auftraggeber und Dienstleister, in der zu den gesetz lichen Anforderungen die jeweiligen Rechte und Pflichten geregelt werden.

Kontroll- und Weisungsrechte

Eine solche Vereinbarung muss neben der konkreten Beschreibung des Gegenstands und des Zwecks der Datenverarbeitung sowie der Art der Daten auch umfangreiche Kontroll- und Weisungsrechte für den Auftraggeber zur Wahrung der datenschutzrechtlichen Pflichten enthalten. Darüber hinaus ist festzulegen und zu dokumentieren, dass der Dienstleister technisch-organisatorische Maßnahmen getroffen hat, die personenbezogene Daten, beispielsweise der Kunden des Auftraggebers, schützen.

Teilweise wurden früher in solchen Vereinbarungen pauschale Angaben über die möglichen Kontrollmaßnahmen verwendet. Das reicht heute nicht mehr aus. Erforderlich ist, dass der Auftragnehmer konkret angibt, welche Maßnahmen zur Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Verfügungs- und Trennungskontrolle er vorgesehen hat.

Der Auftraggeber ist verpflichtet, vor Beginn der ADV sowie in regelmäßigen Abstimmungen die Einhaltung der technisch-organisatorischen Maßnahmen und der vertraglichen Regelungen zu kontrollieren und dies zu dokumentieren.

In der Praxis sind anlassunabhängige Überprüfungen der ADV eher unüblich. Doch bei entsprechenden Anzeigen – etwa durch verärgerte Ex-Mitarbeiter, Kunden, Geschäftspartner oder Mitbewerber – werden die Behörden tätig. Erfüllt der Auftraggeber die Anforderung an Paragraf 11 BDSG nicht vollständig, kann es für ihn sehr teuer werden.

Internetworld Business Ausgabe 05 2013