Auftragsdatenverarbeitung oder Funktionsübertragung?
Im Unternehmensverkehr werden eine Vielzahl von (personenbezogenen) Daten an zur Aufgabenerledigung beauftragte Unternehmen (auch wenn diese im Konzern – oder Unternehmensverbund organisiert sind) übertragen. In diesen Fällen stellt sich datenschutzrechtlich stets die Frage, ob in diesen Fällen der Auftraggeber oder der Auftragnehmer für die Datenverarbeitung auch datenschutzrechtlich verantwortlich ist. Liegt ein Fall einer so genannten Funktionsübertragung und damit eine „normale“ Datenübermittlung gemäß § 3 Abs. 4 Nr. 3 BDSG vor, muss der Akt der Datenübermittlung datenschutzrechtlich gerechtfertigt werden. Liegt hingegen ein „privilegierter“ Fall einer Datenübermittlung – eine so genannte Auftragsdatenverarbeitung – vor, müssen die Regelungen des § 11 BDSG beachtet werden.
Vertrag zur Auftragsdatenverarbeitung gem. § 11 BDSG
Da in Fällen der Auftragsdatenverarbeitung der Auftraggeber für den Datenschutz bei dieser Datenverarbeitung in seinem Auftrag verantwortlich ist, sieht § 11 BDSG eine enge Bindung des Auftragnehmers an den Auftraggeber mittels konkreter Vereinbarungen vor. Eine solche Vereinbarung ist in der Praxis aufgrund der Vielzahl der Anforderungen des § 11 Abs. 2 BDSG nicht trivial, vielmehr fordert § 11 Abs. 2 BDSG folgende Inhalte einer solchen schriftlichen Vereinbarung:
- der Gegenstand und die Dauer des Auftrags,
- der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
- die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen,
- die Berichtigung, Löschung und Sperrung von Daten,
- die nach § 11 Abs. 4 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
- die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
- die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
- mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
- der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
- die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
Vertragsmängel bei der Auftragsdatenverarbeitung in der Praxis
In der Praxis ist zu beobachten, dass eine Vielzahl vorgefundener Vereinbarungen zur Auftragsdatenverarbeitung diesen doch recht umfangreichen Vorgaben des Gesetzes nicht gerecht werden. Ein oftmals zu bemängelnder Punkt sind auch die dieser Vereinbarung zur Auftragsdatenverarbeitung hinzuzufügenden so genannten technischen und organisatorischen Maßnahmen (TOMs) gemäß § 9 BDSG und Anlage zu § 9 BDSG. In vielen vorgefunden Verträgen fehlen entweder vollends diese Angaben oder es handelt sich um inhaltsleere allgemeine Formulierungen oder gar um die Wiederholung des Gesetzestextes zur Anlage zu § 9 BDSG. Erforderlich sind vielmehr konkrete Angaben zu den tatsächlich ergriffenen Maßnahmen zur Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und Maßnahmen zur Beachtung des Trennungsprinzips.
Gerade bei diesen Angaben muss in der Praxis das „gesunde Maß“ gefunden werden, denn zum einen müssen diese Angaben hinreichend konkret und nicht zu pauschal sein, damit der Auftraggeber die Sicherheit seiner Daten einschätzen kann. Andererseits sollten diesbezügliche Angaben nicht so weit gehen, dass detaillierte zur IT-Sicherheit getroffene und geheimhaltungsbedürftige Maßnahmen offenbart werden.
Sanktionen bei fehlerhaftem Auftragsdatenverarbeitungsvertrag – aktueller Fall in Bayern
Dass solche fehlenden oder unzureichenden Vereinbarungen zur Auftragsdatenverarbeitung nicht nur theoretisch gemäß § 43 Abs. 1 Nr. 2b BDSG eine Geldbuße bis zu 50.000 € nach sich ziehen können, sondern dass diese Bußgelder auch praktisch drohen zeigt eine aktuelle Pressemitteilungen des bayerischen Landesamts für Datenschutzaufsicht vom 20. August 2015. Danach hatte die bayerische Datenschutzaufsichtsbehörde bei einer Prüfung festgestellt, dass ein Unternehmen zwar schriftliche Vereinbarungen zur Auftragsdatenverarbeitung mit mehreren Auftragsdatenverarbeitern geschlossen hatte, diese Verträge aber unzureichend waren. Grund der Beanstandung war, dass die notwendigen technisch-organisatorischen Anlagen (TOMs) nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes enthielten. Dies war Grund für die bayerische Datenschutzaufsichtsbehörde, dem geprüften Unternehmen gemäß § 43 Abs. 1 Nr. 2 BDSG ein Bußgeld in fünfstelliger Höhe zu verhängen.
Es ist jedem Unternehmen dringend zu empfehlen, zu prüfen, ob in bestehenden Auftragsdatenverarbeitungsfällen auch schriftliche Vereinbarungen entsprechend den Anforderungen nach § 11 BDSG vorhanden sind und ob diese auch bestimmt genug sind und insbesondere auch ausreichend konkrete Ausführungen zu den technischen und organisatorischen Maßnahmen (Anlage zu § 9 BDSG) enthalten.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe
Anbei wird die Pressemitteilungen des Bayerischen Landesamts für Datenschutzaufsicht vom 20. August 2015 wiedergegeben:
„Auftragsdatenverarbeitung ohne richtigen Vertrag kann teuer werden“
Wer andere für sich mit personenbezogenen Daten arbeiten lässt, muss darüber Kraft Gesetzes einen ziemlich detaillierten Vertrag schließen. Wird so ein Vertrag nicht oder unzureichend abgeschlossen, droht ein Bußgeld. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat kürzlich im Fall einer unzureichenden Auftragserteilung eine Geldbuße in fünfstelliger Höhe festgesetzt.
Wer einen externen Dienstleister als so genannten Auftragsdatenverarbeiter mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt, muss mit diesem einen schriftlichen Vertrag abschließen. Das Gesetz schreibt eine Reihe von Einzelheiten vor, die zum Schutz der personenbezogenen Daten darin ausdrücklich festgelegt werden müssen. Von besonderer Bedeutung sind dabei die technischen und organisatorischen Maßnahmen (Datensicherheitsmaßnahmen), die der Auftragsdatenverarbeiter zum Schutz der Daten treffen muss. Diese Maßnahmen müssen im schriftlichen Auftrag konkret und spezi-fisch festgelegt werden. Fehlen konkrete Festlegungen hierzu, stellt dies eine Ordnungswidrigkeit dar, die mit Geldbuße von bis zu 50.000,- € geahndet werden kann.
Das BayLDA hat kürzlich gegen ein Unternehmen eine Geldbuße in fünfstelliger Höhe festgesetzt. Das Unternehmen hatte in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine kon-kreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt. Stattdessen enthielten die Aufträge nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes. Dies reicht keinesfalls aus. Denn die datenschutzrechtliche Verantwortung trägt auch im Falle der Einschaltung von Auftragsdatenverarbeitern nach wie vor der Auftraggeber. Dieser muss daher beurteilen können, ob der Auftragsdatenverarbeiter in der Lage ist, für die Sicherheit der Daten zu sorgen. Auch muss der Auftraggeber die Einhaltung der technisch-organisatorischen Maßnahmen bei seinem Auftragnehmer kontrollieren. Hierfür ist es unerlässlich, dass die beim Auftragsdatenverarbeiter zum Schutz der Daten zu treffenden technisch-organisatorischen Maßnahmen in dem abzuschließenden schriftlichen Auftrag spezifisch festge-legt werden. Nur so kann der Auftraggeber beurteilen, ob die personenbezogenen Daten bei seinem Auf-tragnehmer z. B. gegen Auslesen oder Kopieren durch Unbefugte, gegen Verfälschung oder sonstige unberechtigte Abänderung oder gegen zufällige Zerstörung geschützt sind.
Welche vertraglichen Festlegungen zu den technisch-organisatorischen Maßnahmen getroffen werden müssen, kann nicht pauschal beantwortet werden, sondern richtet sich nach dem Datensicherheitskonzept des jeweiligen Dienstleisters und den von diesem zum Einsatz gebrachten spezifischen Datenverarbei-tungssystemen. Den gesetzlichen Maßstab für die festzulegenden technisch-organisatorischen Maßnahmen bildet jedenfalls die Anlage zu § 9 BDSG, die Maßnahmen in den Bereichen Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle verlangt. Grundsätz-lich muss der schriftliche Auftrag daher spezifische Festlegungen zu diesen Fragen enthalten.
„Augen auf beim Einbinden von Dienstleistern. Jeder Auftraggeber muss wissen und gegebenenfalls auch prüfen, was sein Auftragnehmer mit den Daten macht.“, appelliert Thomas Kranig, der Präsident des BayLDA an die Auftraggeber. „Die Datensicherheitsmaßnahmen müssen konkret und spezifisch im Vertrag festgelegt werden. Unspezifische oder pauschale Beschreibungen reichen nicht aus. Wir werden auch künftig in geeigneten Fällen Verstöße in diesem Bereich mit Geldbußen ahnden.“
Quelle: Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 20. August 2015