Neue Version des Mustervertrages Auftragsdatenverarbeitung

Wichtiger Hinweis:
Die jeweils aktuelle Fassung des Mustervertrages finden Sie stets auf dieser Internetseite: http://www.datenschutz-guru.de/auftragsdatenverarbeitung

ACHTUNG: Bitte beachten Sie, dass mittlerweile die neue Version erschienen ist. Die nachfolgenden Ausführungen sind daher veraltet.

Seit heute Morgen ist die Version 1.2 meines Musters für einen Vertrag über Verarbeitung von Daten im Auftrag i.S.d. § 11 BDSG online erhältlich.

Die Änderungen beinhalten kleinere sprachliche Korrekturen. Inhaltlich interessante Änderungen sind die besondere Berücksichtigung der Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten (§ 42a BDSG) und eine Ergänzung zu Verpflichtungen auf das Fernmeldegeheimnis im Falle einer Mitwirkung des Auftragnehmers an der geschäftsmäßigen Erbringung von Telekommunikationsdiensten.

Der Vertrag erfreut sich seiner Veröffentlichung im September 2009 großer Beliebtheit. Er ist schon kurz nach Veröffentlichung über 1.000 mehrere Tausend mal heruntergeladen worden.

Mustervertrag Auftragsdatenverarbeitung (verschiedene Formate)

Erfreulicherweise ist seit einigen Wochen nun auch die aktualisierte Fassung des BITKOM-Mustervertrags (bzw. Vertragsanlage) zur Auftragsdatenverarbeitung online erhältlich. Positiv an dem Muster ist, dass zusätzlich eine englische Übersetzungshilfe implementiert ist. Neben dem deutschen Text findet sich in der Spalte daneben eine englische Übersetzung des Textes.
Unter dem o.g. Link können Sie eine ZIP-Datei herunterladen, die Musterverträge zur Auftragsdatenverarbeitung in deutscher und englischer Sprache enthält.

Neben diesen beiden Mustern gibt es meiner Kenntnis nach derzeit noch zwei weitere frei erhältliche Musterverträge, bei denen die seit dem 01.09.2009 geltenden Änderungen des § 11 BDSG berücksichtigt sind:

  1. Mustervereinbarung der GDD zur Auftragsdatenverarbeitung gem. § 11 BDSG (.doc)
  2. Mustervereinbarung zum Datenschutz und zur Datensicherheit
 in Auftragsverhältnissen nach § 11 BDSG des Regierungspräsidiums Darmstadt (PDF) oder als Word-Dokument (.doc)

Jedes der Muster hat seine Stärken und Schwächen. Ich persönliche halte das Muster der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) für etwas zu „unjuristisch“. Ein Rechtsanwalt würde das stilistisch eher anders regeln. Das ist aber letztlich Geschmackssache. Entscheidend ist, das die Regeln verständlich bleiben und den gesetzlichen Anforderungen genügen.

Bei Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich ist das Muster des Regierungspräsidiums Darmstadt in der Regel bekannt und wird von diesen auch als wirksame Regelung einer Auftragsdatenverarbeitung anerkannt, sofern die im Dokument genannten erforderlichen Ergänzungen in hinreichender Weise vorgenommen werden.

Und bei diesem Punkt kommen wir dann auch zur Schwäche vieler Standard-Verträge zur Auftragsdatenverarbeitung in der täglichen Praxis. Häufig werden in diesen Verträgen die nach § 9 BDSG und der Anlage zu § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen nicht konkret geregelt, sondern lediglich die gesetzlichen Definitionen der Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und des Trennungsgebots wiedergegeben. Dies ist nach Auffassung vieler Aufsichtsbehörden aber nicht ausreichend, um die Voraussetzungen nach § 11 BDSG hinsichtlich der zu erteilenden Aufträge oder Weisungen zu erfüllen. Hier ist also Vorsicht und ggf. Nachbesserung geboten.

Wer Zeit hat, kann sicher exzellente Ergebnisse für seine individuelle Vereinbarung erzielen, wenn man alle Muster analysiert und sich die passenden Regelungen einzeln zusammenstellt.
Aber Achtung: die Zusammenstellung von Klauseln aus verschiedenen Mustern birgt juristische Risiken und sollte daher nur bei entsprechender Kenntnis der Materie vorgenommen werden.