Datenschutz-Tipp Nr. 3: Altverträge bei der Verarbeitung von Daten im Auftrag

Datenschutz

Müssen Verträge, die vor dem 01.09.2009 geschlossen wurden, angepasst werden oder nicht? Wir bringen Licht ins Dunkel.

Das Problem

Durch die Novellierungen des Bundesdatenschutzgesetzes (BDSG) sind auch die Anforderungen an die Auftragsdatenverarbeitung (§ 11 BDSG) erheblich verschärft worden. Die gestiegenen Anforderungen dürften vielen von Ihnen bekannt sein. Unternehmen müssen vor Beginn einer Datenverarbeitung im Auftrag erheblich mehr Prüfungen vornehmen, und die vorherige Prüfung muss dokumentiert werden. Hinzu kommt, dass die Verpflichtung zur sorgfältigen Auswahl des Auftragnehmers nun bußgeldbewehrt ist.

Unternehmen, die vor einer Auftragsdatenverarbeitung den Auftragnehmer nicht bezüglich der Einhaltung der von diesem getroffenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten geprüft haben, riskieren ein Bußgeld von bis zu 50.000,00 € (§ 43 Abs. 2 BDSG i.V.m. § 43 Abs. 1 Nr. 2b BDSG).

Unsere Informationsgesellschaft ist so komplex, dass viele Unternehmen nicht mehr selbst Leistungen jenseits ihrer Kernkompetenzen erbringen, sondern durch spezialisierte Dienstleister übernommen werden. Outsourcing, Application Service Providing und – derzeit in aller Munde – Cloud Computing sind alltägliche Praxis vieler Unternehmen. Bei nahezu allen dieser Services liegt eine Auftragsdatenverarbeitung vor. § 11 BDSG als Rechtsgrundlage für die Verarbeitung von Daten im Auftrag wird daher zu Recht als praxisreleveanteste Norm des BDSG bezeichnet.

Die neuen gesetzlichen Anforderungen des § 11 BDSG einzuhalten – das ist bei neuen, bevorstehenden Projekten natürlich möglich, wenn man sich an die Anforderungen hält.

In der Praxis stellt sich aber regelmäßig die Frage:
Müssen Auftragsdatenverarbeitungsverträge oder -verhältnisse, die schon vor dem 01.09.2009 bestanden, auch an die neuen gesetzlichen Anforderungen angepasst werden?

Leider hat der Gesetzgeber es versäumt, eine klarere Regelung im Gesetz zu fassen. Zwar sind mit der BDSG-Novellierung Übergangsregelungen im BDSG geschaffen worden, die die Geltung neuer Regelungen betreffen. Leider ist in den Übergangsregelungen aber keine Regelung zur Geltung des neugefassten § 11 BDSG enthalten.

Wenn es keine Übergangsregelung gibt, dann gelten die Regelungen also auch für Altverträge – das könnte man zumindest meinen, und das liegt auch nahe. Allerdings ist es rechtlich immer bedenklich, wenn der Gesetzgeber Regelungen schafft, durch die rückwirkend in private Vertragsverhältnisse eingegriffen wird. Für die Vertragsparteien gilt schließlich "pacta sunt servanda" – Verträge sind einzuhalten.

Hat der Gesetzgeber eine Übergangsregelung möglicherweise vergessen? Wäre es nicht zumindest – wie in ähnlichen Fällen – üblich, eine Art "Schonfrist" in Form einer Übergangsregelung zu gewähren?

Meiner Meinung nach bestehen gewichtige verfassungrechtliche Bedenken gegen die gesetzliche Quasi-Rückwirkung für Altverträge über Datenverarbeitungen im Auftrag.

Als beratender Anwalt im Datenschutzrecht bin ich aber praktisch orientiert. Meinen Mandanten zu sagen, dass es verfassungsrechtliche Bedenken gegen die Regelung gibt…das hört sich toll und hochtrabend an. Geholfen ist damit jedoch keinem Mandanten. Unternehmen möchten wissen, wie sie mit dem Thema umgehen wollen, wollen ein Ergebnis haben. Und sie wollen wissen, welche Maßnahmen zu treffen sind, um zum gewünschten Ergebnis zu kommen. Und den Anspruch haben sie zu Recht. Sie sollen wissen, wie das Thema praktikabel zu lösen ist.

Ihnen ist mit keiner noch so tollen Lösung geholfen, wenn die Lösung nicht im Einklang mit der Auffassung der Aufsichtsbehörde steht. Also ist der Punkt zunächst zu klären:

Die Meinung der Aufsichtsbehörden

Öffentliche Äußerungen der Aufsichtsbehörden zur Frage der Geltung der neuen Anforderungen des § 11 BDSG für Altverträge gibt es – soweit ich weiß – nicht. Von einigen Aufsichtsbehörden sind jedoch Meinungen durchgesickert, die offenbar auf direkten Anfragen durch Unternehmen, Anwälte oder Berater beruhen.

Wenn man dem juristischen Newsletter MMR-aktuell (MMR-Aktuell 2010, 301137) Glauben schenken darf, dann sind zumindest die Aufsichtsbehörden in Hamburg, Niedersachsen und Nordrhein-Westfalen der Auffassung, dass die strengeren Anforderungen des neuen § 11 BDSG auch für Altverträge gelten.

Ich persönlich habe Kenntnis von weiteren Auffassungen aus persönlichen Gesprächen mit Sachbearbeitern aus Aufsichtsbehörden, die ich jedoch nicht preisgeben möchte, da sie im Vertrauen geäußert wurden, dass sie nicht veröffentlicht werden. Daran halte ich mich stets.

Einige Aufsichtsbehörden haben mehr oder weniger offiziell Schonfristen eingeräumt. In Hamburg geisterte eine Schonfrist von einem halben Jahr durch die datenschutzrechtlichen Kanäle. Die ist allerdings nun schon geraume Zeit abgelaufen. In Nordrhein-Westfalen soll es innerhalb des ersten Jahres keine anlassunabhängigen Prüfungen von Auftragsdatenverarbeitungsvereinbarungen geben. In Niedersachsen will man angeblich keine Schonfrist gewähren, jedoch von der Verhängung eines Bußgeldes absehen, wenn das Unternehmen Bemühungen nachweisen kann, dass Altverträge angepasst werden.

Im Ergebnis kann man sicher sagen, dass die Aufsichtsbehörden grundsätzlich davon ausgehen, dass die neuen gesetzlichen Voraussetzungen auch für Altverträge geltend und entsprechende Verträge daher zu prüfen und ggf. an das geltende Recht anzupassen sind.

Was meinen die "Juristen"?

In der rechtswissenschaftlichen Literatur bzw. in juristischen Blogs ist das Meinungsbild sehr viel differenzierter. Von einer grundlegenden Annahme, dass die Regelungen auch für Altverträge gelten müssen, da es an einer Übergangsregelung fehlt, kann dort keine Rede sein.

Aufgrund der schon von mir angedeuteten rechtlichen Bedenken gegen den Eingriff in geltende Privatrechtsverhältnisse wird z.B. vertreten, dass die Wirksamkeit (und Zulässigkeit) eines Rechtsgeschäfts – wie z.B. einem Auftragsdatenverarbeitungsvertrag – sich nach dem Zeitpunkt zu richten habe, an dem es abgeschlossen wurde. Dabei müsste dann das damals geltende Recht für die Beurteilung herangezogen werden.

Anderenfalls müsste von einer sog. echten Rückwirkung eines Gesetzes ausgegangen werden, und diese sei grundsätzlich verfassungswidrig. Es müsse daher eine verfassungskonforme Auslegung erfolgen, deren Ergebnis wäre, dass Altverträge nach altem Recht bewertet werden müssten.

Andere Autoren sind der Auffassung, dass wegen der fehlenden Übergangsregelung eine Geltung der neuen Regelungen für Altverträge besteht.

Eine einheitliche Auffassung besteht unter den Juristen jedenfalls nicht.

Einigkeit dürfte aber zumindest bei sog. Rahmenvertragskonstellationen bestehen: Wenn Sie mit einem Dienstleister einen Rahmenvertrag über Leistungen geschlossen haben, der Regelungen für die Erbringung künftiger Auftragsdatenverarbeitungsleistungen in Einzelverträgen enthält, dann sind Sie jedenfalls verpflichtet, die künftigen Einzelverträge in einer den neuen Anforderungen des § 11 BDSG entsprechenden Weise zu regeln.

Wie Sie das Problem praktisch lösen…

Die Lösung des Problems: Als Anwalt…

…stecken Sie bei der Lösung des Problems bei Altverträgen zur Auftragsdatenverarbeitung entweder in einer bedauernswerten oder in einer bombigen Funktion. Und bombig verstehe ich dabei durchaus als positiv.

Denn wenn Sie nicht nur an die Auftraggeber, sondern auch an die Auftragnehmerperspektive denken, dann ergeben sich dadurch manchmal ganz wunderbare Perspektiven.

Ein Beispiel: Nehmen wir einmal – rein fiktiv natürlich – folgenden Fall: Ich habe einen Auftragsdatenverarbeiter vertreten, der Auftragnehmer in einem Auftragsdatenverarbeitungsverhältnis war. Der Auftraggeber hat sich an diesen gewandt, da er Vertragsänderungen wünschte, um das Vertragsverhältnis an die seit dem 01.09.2009 geltende Rechtslage anzupassen.

Nur war es so, dass der Auftragnehmer schon länger nicht mit der Vergütung zufrieden war, der Vertrag aber keine Preisänderungsmöglichkeiten – mit Ausnahme von kostenpflichtigen Change Requests – vorsah. Da der Auftraggeber nicht sonderlich "sympathisch" war und ein Neuverhandeln der Preise kategorisch ablehnte, bin ich beauftragt worden, dieses neue datenschutzrechtliche Änderungsgesuch des Auftraggebers dahingehend zu prüfen, ob man es zum Anlass für Preiserhöhungen machen könnte.

Und in der Tat: ich durfte etwas finden. Der Vertrag sah nämlich in einer Klausel vor, dass die Regelungen in dem Vertrag abschließend sein sollten, und ergänzende Regelungen der Vereinbarung und Schriftform bedurften. Der wichtige Punkt: Diese Klausel nahm dem Auftraggeber die Möglichkeit, einseitige ergänzende Weiseungen an den Auftragnehmer nach § 11 BDSG zu richten. Im Ergebnis durfte der Auftragnehmer annehmen, dass es sich bei den vom Auftraggeber gewünschten zusätzlich schriftlich festzulegenden Sicherheitsmaßnahmen um einen Change Request handelte, der entsprechend kostenpflichtig ist. Die Parteien konnten sich so auf eine neue Vergütungsregelung einigen, die auch den Vergütungsinteressen des Auftragnehmers gerecht wurden. Das war eine bombige Situation – für den Auftragnehmer.

Wenn Sie die andere Seite betrachten, dann dürfen Sie annehmen, dass allerdings die Weigerung eines Auftragnehmers, datenschutzrechtliche zwingend gebotene technische und organisatorische Maßnahmen durchzuführen und zu vereinbaren, einen außerordentlichen Kündigungsgrund darstellen könnte.

Als Auftraggeber einer Auftragsdatenverarbeitung sind Sie verantwortlich für die Einhaltung der datenschutzrechtlichen Vorschriften. Um den gesetzlichen Änderungen Rechnung zu tragen, sollten Sie tätig werden.

Diese Maßnahmen sollten Sie treffen:

  • Prüfen Sie die Verträge oder Vertragsbedingungen (AGB etc.) sämtlicher bestehender Auftragsdatenverarbeitungsverhältnisse.
  • Sind keine Verträge vorhanden (häufig bei Wartung von IT-Systemen, Telefonanlagen, Multifunktionsgeräten), dann verhandeln Sie neue Verträge nach den neuen Anforderungen des § 11 BDSG.
  • Sind Verträge vorhanden, dann gleichen Sie ab, ob alle Anforderungen aus § 11 Abs. 2 Nr. 1 – 10 BDSG erfüllt werden.
  • Wenn die Verträge nicht dem neuen Recht entsprechen, dann versuchen Sie die Verträge mit dem Vertragspartner neu zu verhandeln.
  • Ist ein Neuverhandeln nicht möglich oder taktisch nicht gewünscht, dann sehen Sie im Vertrag nach, ob der Vertrag abschließenden Charakter hat, oder ob für einseitige ergänzende Weisungen Raum ist.
  • Wenn der Vertrag abschließend sein sollte, dann werden Sie nicht umhin kommen, das Thema mit dem Vertragspartner neu zu verhandeln. Scheitert dies, sollten Sie zumindest die Bemühungen nachweisen können, um ggf. gegenüber der Aufsichtsbehörde darlegen zu können, dass Versuche unternommen wurden. Sie könnten dann immer noch versuchen, sich auf den Standpunkt zu stellen, dass die Neuregelung des § 11 BDSG nicht für Altverträge gilt.
  • Wenn Raum für ergänzende Weisungen ist, dann sollten Sie genau die Anforderungen aus § 11 Abs. 2 Nr. 1 – 10 BDSG, die bis dato nicht erfüllt sind, durch sog. einseitige Weisungen des Auftraggebers zum Umgang mit den personenbezogenen Daten in Schriftform an den Auftragnehmer erteilen. So können Sie die erweiterten Anforderungen des § 11 BDSG ebenfalls erfüllen.

Ich hoffe, das hilft Ihnen dabei, etwas Licht ins Dunkel zu bringen.

Letzter Aktualitätscheck: 28.05.2016 – Der Beitrag dürfte aktuell nicht mehr relevant sein. Eine ähnliche Situation wird es aber wieder beim Übergang zur DSGVO ergeben.
Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.