logo logo
Meine Produkte: Bitte melden Sie sich an, um Ihre Produkte zu sehen. Anmelden
Menu Menu
MyIww MyIww
Jetzt testen

15.03.2010 |Aktuelle Gesetzgebung

Auftragsdatenverarbeitung nach § 11 BDSG: Die Novelle und das Forderungsmanagement

von Prof. Dr. Ralf B. Abel, Schleswig/Schmalkalden

Kurz vor Ende der Legislaturperiode hat der Gesetzgeber 2009 das Bundesdatenschutzgesetz (BDSG) in drei getrennten Gesetzen novelliert. Gesetzgeberisches Ziel waren mehr Rechtssicherheit und eine Verbesserung des Datenschutzes insgesamt. Eine der Veränderungen betrifft § 11 BDSG, der die Auftragsdatenverarbeitung regelt. Der Gesetzgeber hat die Anforderungen an die Vertragsgestaltung verschärft und präzisiert. Die neuen Bestimmungen gelten übergangslos bereits ab 1.9.09. Hierdurch besteht auch im Forderungsmanagement akuter Handlungsbedarf. 

 

Wann liegt Auftragsdatenverarbeitung vor?

Im BDSG hat der Begriff „Auftragsdatenverarbeitung“ eine teils andere und vor allem engere Bedeutung, als dies üblicherweise der Fall ist. Im kaufmännischen Sprachgebrauch wird unter „Auftrag“ oft ein Vertragsangebot verstanden, z.B. zum Abschluss eines Kauf- oder Dienstleistungsvertrags. Im Rechtssinne ist damit generell ein Vertrag gemeint, durch den sich jemand verpflichtet, ein ihm vom Auftraggeber übertragenes Geschäft für diesen unentgeltlich zu besorgen (§ 662 BGB). Wieder anders wird der Begriff oft etwa von Auskunfteien und Inkassounternehmen verwendet, nämlich als Antrag oder Abschluss eines Geschäftsbesorgungsvertrags.  

 

Demgegenüber versteht das Datenschutzrecht unter Auftragsverhältnis eine privilegierte Form der Auslagerung von Datenverarbeitungs-Prozessen auf eine andere rechtliche Einheit. Zwar enthält das BDSG keine Legaldefinition des Auftrags. Sie ergibt sich aber mittelbar aus § 3 Abs. 7, 8 BDSG, wonach ein Verarbeiter auch verantwortliche Stelle bleibt, wenn er Daten durch Dritte im Auftrag verarbeiten lässt. Der innerhalb der EU/des EWR ansässige Auftragnehmer ist hingegen kraft Gesetzes nicht Dritter. Die Besonderheit dieser Konstruktion besteht also darin, dass der Auftragnehmer im Sinne des BDSG nicht als „Dritter“ gilt und damit zwischen Auftraggeber und Auftragnehmer keine „Übermittlung“ stattfindet. Das hat zur Folge, dass die Datentransfers zwischen beiden Seiten so behandelt werden, wie ein rein innerbetrieblicher Datenaustausch und damit nicht an besondere Zulässigkeitsvoraussetzungen gebunden sind.  

 

Datenschutzrechtlich werden BDSG-Auftraggeber und Auftragnehmer als Einheit betrachtet, wobei die Verantwortlichkeit für die materiell-rechtliche Zulässigkeit des Verarbeitungsprozesses beim Auftraggeber verbleibt und der Auftragnehmer nur für die Einhaltung des jeweiligen Vertrags und für die Sicherung der ihm übergebenen Daten haftet. Unerheblich ist es, in welcher Rechtsform die Abmachungen getroffen werden.  

 

Zum Ausgleich für diese Privilegierung, Daten zwischen Auftraggeber und externem Dienstleister ohne weitere datenschutzrechtliche Voraussetzung so fließen zu lassen, als sei der Externe ein Teil der verantwortlichen Stelle, treffen den Auftraggeber besondere Pflichten bei Auswahl des Dienstleisters und Vertragsgestaltung. Dies wurde bisher häufig nicht oder nur unzureichend beachtet. Zahlreiche Verträge waren und sind als Service Level Agree-ments ausgestaltet und enthalten vor allem technische Spezifikationen, aber keine oder nur rudimentäre Bestimmungen zum Datenschutz. Dies hat der Gesetzgeber zum Anlass für seine Neuregelung genommen. 

 

Typische Auftragsverhältnisse im Sinne des BDSG bestehen z.B. im Forderungsmanagement zu Entsorgungsunternehmen, Hosting-Providern, Application-Service-Providern, Archivierungsdiensten, Back-up-Dienstleistern, Schreibbüros, Rechenzentren, Lettershops oder Adressendienstleistern. Erfasst werden auch Auftragnehmer, die auf Daten innerhalb des Systems des Auftraggebers zugreifen, z.B. Handelsvertreter, Auditoren, externe Administratoren, Konzernunternehmen oder Wartungsfirmen. 

 

Rechtsanwälte und Inkassounternehmen werden aufgrund von Geschäftsbesorgungsverträgen eigenverantwortlich tätig und sind daher in der Regel nicht Auftragnehmer im Sinne des BDSG. Sie können aber Auftraggeber sein, wenn sie externe Dienstleister nutzen, z.B. bei der Auslagerung von elektronischen Aktenbeständen oder der Telefonzentrale.  

 

Die neuen Bestimmungen

§ 11 Abs. 2 BDSG schreibt nun vor, dass der Auftrag schriftlich zu erteilen ist. Die Einzelheiten der abzuschließenden Vereinbarung werden in einem Katalog detailliert festgelegt. Dabei handelt es sich nicht einmal um eine abschließende Aufzählung, sondern um die „insbesondere“, also in aller Regel und in erster Linie festzulegenden Anforderungen. Damit lässt das Gesetz eine gewisse Flexibilität zu, denn die jeweiligen Anforderungen differieren naturgemäß nach Art und Größe des Unternehmens sowie nach Sensibilität und Bedeutung der verarbeiteten Daten. Ein kleiner Schreibdienst oder Druckereibetrieb muss i.d.R. an anderen Maßstäben gemessen werden als ein bedeutender Hosting-Provider oder ein Back-up-Dienstleister.  

 

Checkliste: Was ist zu regeln?

Zu bedenken und zu regeln ist damit der gesamte Prozessablauf bei der Auftragsdatenverarbeitung: 

 

  • Zunächst ist der Auftragnehmer sorgfältig auszuwählen. Dies bedeutet, dass dessen Angebot neben den allgemeinen technischen Spezifika auch ein Konzept für die Datensicherung nach § 9 BDSG und die angemessene Datensicherheit etwa nach Maßgabe des BSI-Grundschutzhandbuchs enthält. Dieses Konzept muss, sofern besonders sensible Daten im Sinne von § 42a BDSG verarbeitet werden, auch eine Notfallregelung für etwaige Datenpannen umfassen, damit der nach wie vor verantwortliche Auftraggeber seinen Pflichten nach § 42a BDSG zur Unterrichtung der Aufsichtsbehörde und der Betroffenen nachkommen kann. Ganz generell empfiehlt sich auch eine Überprüfung der Reputation des Auftragnehmers.

 

  • Nach der Auswahl des potenziellen Auftragnehmers sind die vertraglichen Bestimmungen schriftlich und nach Maßgabe des § 11 Abs. 2 BDSG festzulegen. In die Vertragsverhandlungen sollte der Datenschutzbeauftragte des Auftraggebers von Anfang an einbezogen werden.

 

  • Im nächsten Schritt hat sich der Auftraggeber gemäß § 11 Abs. 2 S. 3 BDSG noch vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen und das Ergebnis zu dokumentieren. Erst danach darf mit der Verarbeitung begonnen werden.

 

  • Die Kontrollen sind regelmäßig in Abhängigkeit von der Art der Verarbeitung und der Art der verarbeiteten Daten in regelmäßigen Abständen zu wiederholen. Wer diese Kontrollen vornimmt, bestimmt der Auftraggeber. Prüfkonzepte und durchgeführte Kontrollen sind zu dokumentieren und müssen unter Umständen bei Prüfungen der Aufsichtsbehörde vorgelegt werden. Daher ist es ratsam, diese Unterlagen an der entsprechenden Stelle oder zentral zur Verfügung zu stellen oder in die interne Verarbeitungsübersicht aufzunehmen.
 

Die Rechtsform des datenschutzrechtlichen Auftrags spielt für die Anwendbarkeit des § 11 BDSG keine Rolle. Entscheidend ist, dass der Zehn-Punkte-Katalog des § 11 Abs. 2 BDSG in entsprechenden Vertragsklauseln seinen Niederschlag findet. Oft werden Outsourcing- oder Dienstleistungsverträge in der Form abgeschlossen, dass eine Rahmenvereinbarung getroffen und durch Anlagen ergänzt wird, in denen die technischen Spezifikationen enthalten sind. Es ist erwägenswert, auch die datenschutzrechtlichen Anforderungen übersichtlich in einer derartigen Anlage zusammenzufassen. Dies macht den Vertrag übersichtlicher.  

 

Der Auftragsinhalt muss hinreichend konkretisiert sein. Nach Nr. 2 des Katalogs sind Umfang, Art und Zweck der Datenverwendung, Art der Daten und Kreis der Betroffenen aufzuführen. Dies ist bisher vielfach nicht der Fall. Der Auftraggeber muss sich daher über die näheren Einzelheiten der Beauftragung erst einmal Klarheit verschaffen. Dies reicht von einfachen Beschreibungen, z.B. „Aktenvernichtung, die Kunden, Schuldner und Mitarbeiter betreffen“, bis zu Rechenzentrums-Dienstleistungen, z.B. wenn die Datenbasen für die Beitreibung ausgelagert werden.  

 

Wichtig ist ferner die individuelle Festlegung der von Auftragnehmer zu garantierenden technisch-organisatorischen Maßnahmen nach § 9 BDSG. Wegen der Komplexität empfiehlt es sich auch hier im Interesse der Übersichtlichkeit, diesen Teil in einer gesonderten Anlage oder z.B. innerhalb eines Service-Level-Agreements zu regeln. Maßstab für die inhaltlichen Anforderungen ist wie bisher der Sicherheitsbedarf, der wiederum von Art und Sensibilität der verarbeiteten Daten abhängt.  

 

Dreh- und Angelpunkt des Auftragsverhältnisses ist die Weisungsbefugnis des Auftraggebers, die gemäß Nr. 9 des Katalogs ausdrücklich in den Vertrag aufzunehmen und zu spezifizieren ist. Diese Weisungsbefugnis muss sich sowohl auf die Modalitäten des Gesamtvorgangs als auch auf einzelne Aspekte beziehen. Dazu zählt auch die Regelung, dass der Dienstleister bei entsprechendem Anlass auf Weisung des Auftraggebers Daten berichtigen, sperren und löschen muss (Nr. 4 des Katalogs). Dies kann etwa der Fall sein, wenn der Betroffene entsprechende Ansprüche geltend macht, z.B. wenn er die Forderung bestreitet, oder wenn er die Richtigkeit einer Forderung in Abrede stellt und weder die Richtigkeit noch die Unrichtigkeit zu beweisen ist. 

 

Auf die Kontrollrechte des Auftraggebers und die korrespondierende Pflicht des Dienstleisters, sich kontrollieren zu lassen, kann im Rahmen dieses Beitrags nur hingewiesen werden. Entscheidend ist, dass derartige Pflichten vertraglich verankert und nachweisbar gelebt werden müssen. Die Aufsichtsbehörden können - und werden - entsprechende Nachweise verlangen. Dies liegt auch im Interesse des Auftraggebers, da dieser nach außen für die Datenverarbeitung und damit auch für etwaige Fehler und Mängel verantwortlich bleibt. Welche Informationspflichten bestehen, ist abhängig von der Art der verarbeiteten Daten. Besonderes Augenmerk ist in dieser Hinsicht auf die Mitteilungspflicht bei „Datenpannen“ zu richten. Der Auftraggeber unterliegt als verantwortliche Stelle den Informationspflichten des § 42a BDSG, deren Verletzung mit einem Bußgeld bis zu 300.000 EUR geahndet werden kann. Schon aus diesem Grunde muss der Auftraggeber daran interessiert sein, die Zuständigkeiten und Verfahrensweisen für den „Fall des Falles“ im Vornherein klar zu regeln.  

 

Entsprechende Bestimmungen und Einschränkungen sind für eventuelle Unterauftragsverhältnisse vorzusehen (Nr. 6 des Katalogs). Zwar verlangt das Gesetz nicht ausdrücklich die explizite Benennung einzelner Unterauftragnehmer, sondern nur das „Ob“ und das „Wie“ einer Unterbeauftragung. Allerdings kann es je nach Art und Umfang der dem Dienstleister überlassenen Daten geboten sein, die Einschaltung von Subunternehmern von einer Genehmigung und der Auferlegung derselben Pflichten abhängig zu machen, die den Auftragnehmer selbst treffen. Eine „Flucht in Unterauftragsverhältnisse“ ist nicht statthaft. 

 

Sanktionen

Die nicht richtige, nicht vollständige oder nicht in vorgeschriebener Weise erfolgte Erteilung eines Auftrags kann nach § 43 Abs. 1 Nr. 2b BDSG mit einem Bußgeld bis zu 50.000 EUR geahndet werden. Ein entsprechendes Bußgeld droht dem Auftraggeber auch, wenn er sich nicht vor Beginn der Datenverarbeitung über die Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt. Der Rahmen dieser Bußgelder kann überschritten werden, wenn die durch das pflichtwidrige Unterlassen erzielte Ersparnis größer als 50.000 EUR ist. 

 

Konsequenzen

Die Erfahrung lehrt, dass die wenigsten Verträge den neuen Anforderungen des § 11 Abs. 2 BDSG entsprechen. Die Bestimmungen sind jedoch bereits in Kraft. Zwar ist auch den Aufsichtsbehörden bewusst, dass nicht sämtliche Verträge ad hoc geändert werden können. Es ist aber damit zu rechnen, dass nach Ablauf spätestens eines halben Jahrs entsprechende Prüfungen vorgenommen und Beanstandungen ausgesprochen werden können. Hier ist je nach Unternehmensgröße das Vertragsmanagement gefragt.  

 

Erste Hinweise für Mustervereinbarungen finden Sie im „Datenschutz-Berater“ 09, 10, in der Sonderbeilage von „Recht der Datenverarbeitung“ Ausgabe 5/09, ggf. zu beziehen über die GDD e.V., Bonn, und auf der Website des Regierungspräsidiums Darmstadt unter „Sicherheit und Ordnung/ Datenschutz/Auftragsdatenverarbeitung“ (www.rp-darmstadt.hessen.de). 

Quelle: Ausgabe 03 / 2010 | Seite 39 | ID 134296