Auftragsdatenverarbeitung

Auslagerung von Funktionen auf Tochtergesellschaften

Aus der Reihe Fragen & Antworten mal wieder eine Frage, die mir häufiger so oder ähnlich gestellt wird:

Nehmen wir an die Mustermann GmbH möchte verschiedene Bereiche auslagern.

Dazu gründet sie diverse GmbHs wie z.B. die IT Service GmbH sowie die Lohnbuch GmbH

Die Arbeit aller Mitarbeiter und Abteilungen sowie deren Aufgaben bleibt gleich, nur sind es eigene GmbHs.

Gilt hier die Auftragsdatenverarbeitung?

Meine Antwort: Derzeit ja
Wenn Funktionen wie z.B. der Betrieb bzw. die Bereitstellung von IT-Systemen oder IT-Services oder die Lohnbuchhaltung auf Schwester- oder Tochterunternehmen ausgelagert wird, dann wird das im Rahmen des aktuell noch geltenden BDSG juristisch als Auftragsdatenverarbeitung abgebildet. Das führt in Unternehmensgruppen manchmal zu einem ganz schön komplizierten und verworrenen Geflecht von Auftragsdatenverarbeitungsverträgen. Und das mit verschiedenen Rollen. So wechseln die Funktionen von Auftraggeber und Auftragnehmer abhängig davon, ob nun eine Gesellschaft diese oder jene Services der Tochtergesellschaft in Anspruch nimmt und die Tochtergesellschaft wiederum andere Leistungen der jeweils anderen Firma.

Und es zeigt dann auch häufig, wie „abstrus“ das Thema Auftragsdatenverarbeitung in diesem Bereich der Datenflüsse in Konzernstrukturen ist.

Mit der DSGVO gibt es dann ab 25.05.2018 für derartige Konzerndatenflüsse ein sog. „Konzernprivileg light“. Denn nach Erwägungsgrund 48 kann Art. 6 Abs. 1 lit. f) DSGVO künftig auch als Rechtsgrundlage eine Übermittlung von Daten im Konzern dienen. So zumindest die Ausführungen in Erwägungsgrund 48:

Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.

Die bisherigen Besprechungen mit Mandanten haben bis dato allerdings ergeben, dass viele Mandanten aufgrund der noch nicht vorhandenen Erfahrungen mit dem „kleinen Konzernprivileg“ auch ab Geltung der DSGVO lieber auf „Nummer sicher“ gehen wollen. Das heißt, sie bleiben vorerst bei den wohl risikoärmeren Konstrukten der Auftragsdatenverarbeitung.

Erforderlichkeit einer Vor-Ort-Kontrolle bei Auftragsdatenverarbeitung in einem Rechenzentrum

Aus der Reihe Fragen & Antworten hier nun eine Frage, die mir häufiger so oder ähnlich gestellt wird:

Ist es im Rahmen der Vorabkontrolle unbedingt notwendig, ein Rechenzentrum (Zertifiziert nach ISO 27001) zu betreten? Diese Art der Kontrolle wurde uns nicht gewährt. Welche Möglichkeiten gibt es, unsere Auftraggeber dennoch von diesem Rechenzentrum zu überzeugen?

Die Fallkonstellation liegt hier offenbar so, dass der Fragesteller in einem Unternehmen arbeitet, das für Auftraggeber Daten im Auftrag verarbeitet und dabei selbst ein fremdes Rechenzentrum nutzt.

Ich kenne die Frage der Erforderlichkeit einer Vor-Ort-Kontrolle nur zu gut. Ich bin externer Datenschutzbeauftragter einer Reihe von Unternehmen, die für größere Unternehmen als Auftragsdatenverarbeiter tätig sind. Und hier werden auch professionelle Rechenzentren genutzt. Und nicht in jedes kommt man hinein. Sicher kann ich es nachvollziehen, dass Auftraggeber einer Auftragsdatenverarbeitung in manchen Fällen (z.B. bei sehr hohem Schutzbedarf der Daten) eine Vor-Ort-Kontrolle im Rechenzentrum für erforderlich halten. In vielen Fällen ist dies jedoch weder erforderlich noch sinnvoll. Merke: Ein Rechenzentrum wird nicht dadurch sicherer, dass jeden Tag Personen durch das Rechenzentrum marschieren und „Kontrollen“ durchführen. Dies ist in gerade in großen Rechenzentren nicht wirklich immer sinnvoll. Ich spreche da gerne mal von „Rechenzentrum-Tourismus“.

Frage nach TOMs durch DSB der Auftraggeberfirma erlaubt?

Ich biete ja seit kurzem die Möglichkeit an, Fragen zum Datenschutzrecht über ein Formular zu stellen. Das ersetzt keine individuelle Beratung, ist aber für mich Gelegenheit, diese Internetseite mit Inhalten zu füllen, die für Leser der Seite interessant sein könnten.

So erreicht mich neulich diese Frage:

Frage:

Darf ein Datenschutzbeauftragter der Firma A (Auftraggeber) von einer Firma B (Dienstleister/Auftragnehmer) die Abgabe eines TOMs-Fragebogens über die Firma B verlangen? Der Auftragnehmer hat einzig einen Remotezugang auf das zu betreuende System beim Auftraggeber.

Neue Website zur Auftragsdatenverarbeitung mit neuem Mustervertrag und Videos

Seit gestern ist meine neue Website zur Auftragsdatenverarbeitung online. Möglicherweise kennen Sie noch mein alte Website zur Auftragsdatenverarbeitung, auf der ein Mustervertrag für die Verarbeitung von Daten im Auftrag veröffentlicht und recht regelmäßig aktualisiert wurde. Damals erfolgte das noch unter meiner SAY-HO! Domain. Die alte Seite zur Auftragsdatenverarbeitung wird seit heute morgen auf meine neue Website zur Auftragsdatenverarbeitung umgeleitet. Die Website finden Sie hier: http://www.datenschutz-guru.de/auftragsdatenverarbeitung

Ich wollte meinen altes Auftragsdatenverarbeitungsvertrags-Muster schon seit geraumer Zeit aktualisieren und überarbeiten. Für meine Mandanten nutze ich schon mehrere Monate den neuen Vertrag in verschiedenen Variationen und Anpassungen. In meiner täglichen Praxis hat sich das Muster als gute Ausgangsbasis bewährt, und ich meine, dass es jetzt an der Zeit war, den Vertrag auch wie gewohnt kostenlos online zu veröffentlichen.

Ich habe mich dazu entschieden, jetzt nur noch das Word-Format anzubieten. Denn egal, ob Sie Word mögen oder nicht. Es ist in jedem Fall das Format, das Sie auch mit Produkten anderer Softwareanbieter leicht weiterverarbeiten können. Die Statistiken haben zudem gezeigt, dass in der Regel nur die Word-Version heruntergeladen wurde.

Um das Angebot etwas abzurunden und nicht nur einen „Auftragsdatenverarbeitungsvertrag“ als Mustervertrag anzubieten, habe ich mir gedacht, dass ich nun doch noch die fehlenden 2 Lektionen zur Auftragsdatenverarbeitung, die ich bereits im vergangenen Jahr im Sommer an der Ostsee gedreht habe, zu veröffentlichen.

Ich hatte das lange Zeit nicht vor, da leider wichtige Video mit der 2. Lektion eine abgrundtief schlechte Soundqualität hat, weil ich das Mikrofon sehr ungeschickt am Shirt befestigt hatte. Da die gesamten 3 Videos „freestyle“ und ohne Skript entstanden sind, hatte ich – ehrlich gesagt – weder Zeit noch Lust, das Ganze noch einmal aufzunehmen. Bevor ich aber die beiden Lektionen in den digitalen Mülleimer werfe, habe ich mich dazu durchgerungen, einfach alle Videos hier online zu stellen, auch wenn die 2. Lektion wirklich nur schwer benutzbar ist. Es hilft, wenn Sie ab und an einfach im Video nach vorne springen, um eine besser akustisch verstehbare Passage zu bekommen. Schade – ich kann es aber leider nicht ändern. Das Überarbeiten des Sounds hat nicht wirklich geholfen.

So dürfen Sie zumindest mich am Strand der Geltinger Bucht bei Vogelzwitschern und ruhiger See betrachten. Das hat dann zumindest – bei ausgeschaltetem Ton – vielleicht etwas leicht Meditatives…

Wie dem auch sei…ich freue mich, wenn Sie sich die Seite einmal ansehen: http://www.datenschutz-guru.de/auftragsdatenverarbeitung

Checkliste zur Prüfung eines Auftragsdatenverarbeitungsvertrages

Auftragsdatenverarbeitung ist in aller Munde und aus der Unternehmenspraxis nicht mehr wegzudenken. Ob es nun die Wartung von IT-Systemen oder die Durchführung komplexer Datenanalysen für den Auftraggeber ist….es muss nach § 11 BDSG neben der sorgfältigen Auswahl des Auftragnehmers unbedingt auch der Auftrag zur Verarbeitung der Daten schriftlich erteilt werden.

Mittlerweile haben viele Unternehmen Musterverträge für ihre eigenen Bedürfnisse erstellt. Und das betrifft sowohl Unternehmen als Auftraggeber als auch Unternehmen als Auftragnehmer.

Wenn Sie z.B. als Datenschutzbeauftragter, Justitiar oder sonstiger Verantwortlicher für die Prüfung eines Auftragsdatenverarbeitungsvertrages verantwortlich sind, stehen Sie regelmäßig vor der Herausforderung – und das meist auch noch schnell – eine Prüfung des Vertrages im Hinblick auf die Einhaltung der Vorgaben des § 11 BDSG, und insbesondere bzgl. § 11 Abs. 2 BDSG durchzuführen.

Natürlich können Sie jetzt ins Gesetz schauen und Punkt für Punkt prüfen, ob die Voraussetzungen vorliegen. Vielleicht geht es aber auch noch einfacher. Ich gebe zu: Ich bin ja normalerweise nicht so ein Checklisten-Fan, da ich eher nicht prozedural, sondern optional “programmiert” bin; gleichwohl hat mir die nachfolgende Checkliste in meiner anwaltlichen Praxis erheblich geholfen, die Vertragsprüfungen zu beschleunigen.

Die Checkliste ist eine Hilfestellung und ersetzt keine vollständige juristische Prüfung. Ich habe die Inhalte nach meinen persönlichen Vorlieben und Schwerpunkten gewählt. Bitte beachten Sie, dass Ihre Aufsichtsbehörde möglicherweise andere Punkte wichtig findet. Klären Sie die Vollständigkeit der Punkte daher unbedingt auch noch mal für Ihre Bedürfnisse ab.

So benutzen Sie die Checkliste:

  • Laden Sie sich die Checkliste herunter.
  • Öffnen Sie die Checkliste mit Microsoft Word oder einer anderen Textverarbeitung, die in der Lage ist, mit Formularfeldern zu arbeiten.
  • Legen Sie sich den zu prüfenden Auftragsdatenverarbeitungsvertrag zurecht.
  • Gehen Sie die Fragen der Checkliste durch.
  • Wenn Sie die jeweilige Frage mit “Ja” beantworten könnten, dann geben Sie die Fundstelle im Vertrag in dem betreffenden Feld an. Das ist für Sie ein idealer Nachweis der Prüfung und eine prima Gedankenstütze, wenn Sie den Vertrag noch einmal prüfen bzw. den Abschluss begründen sollen.
  • Wenn Sie Fragen mit “Nein” beantworten müssen, ist dies ein starkes Anzeichen dafür, dass der Vertrag überarbeitungsbedürftig ist. Klären Sie diesen Punkt am besten in Ihrem Unternehmen und vor allem mit dem Vertragspartner, um etwaige Zweifel an der Einhaltung der Voraussetzungen des § 11 Abs. 2 BDSG gar nicht erst entstehen zu lassen.
  • Wenn Sie mit der Prüfung fertig sind, können Sie als Prüfender die Checkliste für Nachweiszwecke unterzeichnen – müssen Sie aber nicht.
  • Belohnen Sie sich nach getaner Arbeit – Sie haben mit der Checkliste sicher Zeit eingespart. Die können Sie nutzen, z.B. für einen leckeren Milchkaffee, Bürosport oder einen Plausch mit den Kollegen.

 

Und wenn Sie die Checkliste gut finden, dann freue ich mich über ein Lob! Empfehlen Sie dann doch gerne anderen meinen kostenlosen Newsletter Datenschutz-Tipps für Unternehmen weiter. Denn Empfehlungen sind für mich ein großes Lob! Herzlichen Dank!

Wichtiger Hinweis zum Urheberrecht:
– Die Nutzung der Checkliste für eigene Zwecke ist kostenfrei.
– Der Verkauf der Checkliste ist untersagt.

Oder mit anderen Worten: Sie können die Checkliste für eigene Zwecke jederzeit gerne verwenden, insbesondere vervielfältigen und bearbeiten. Ich möchte lediglich nicht, dass ein Unternehmen die Checkliste dazu nutzt, um diese an Dritte zu verkaufen. Die Checkliste in dieser Fassung soll stets kostenfrei bleiben, und ich möchte nicht, dass dies durch Dritte umgangen wird.

Sie können die Checkliste als Word-Datei (.docx) hier herunterladen:

Hinweis: Dieser Beitrag stammt aus meinem Newsletter Datenschutz-Tipps für Unternehmen, den Sie kostenlos abonnieren können:

Datenschutz-Tipp Nr. 3: Altverträge bei der Verarbeitung von Daten im Auftrag

Müssen Verträge, die vor dem 01.09.2009 geschlossen wurden, angepasst werden oder nicht? Wir bringen Licht ins Dunkel.

Das Problem

Durch die Novellierungen des Bundesdatenschutzgesetzes (BDSG) sind auch die Anforderungen an die Auftragsdatenverarbeitung (§ 11 BDSG) erheblich verschärft worden. Die gestiegenen Anforderungen dürften vielen von Ihnen bekannt sein. Unternehmen müssen vor Beginn einer Datenverarbeitung im Auftrag erheblich mehr Prüfungen vornehmen, und die vorherige Prüfung muss dokumentiert werden. Hinzu kommt, dass die Verpflichtung zur sorgfältigen Auswahl des Auftragnehmers nun bußgeldbewehrt ist.

Unternehmen, die vor einer Auftragsdatenverarbeitung den Auftragnehmer nicht bezüglich der Einhaltung der von diesem getroffenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten geprüft haben, riskieren ein Bußgeld von bis zu 50.000,00 € (§ 43 Abs. 2 BDSG i.V.m. § 43 Abs. 1 Nr. 2b BDSG).

Unsere Informationsgesellschaft ist so komplex, dass viele Unternehmen nicht mehr selbst Leistungen jenseits ihrer Kernkompetenzen erbringen, sondern durch spezialisierte Dienstleister übernommen werden. Outsourcing, Application Service Providing und – derzeit in aller Munde – Cloud Computing sind alltägliche Praxis vieler Unternehmen. Bei nahezu allen dieser Services liegt eine Auftragsdatenverarbeitung vor. § 11 BDSG als Rechtsgrundlage für die Verarbeitung von Daten im Auftrag wird daher zu Recht als praxisreleveanteste Norm des BDSG bezeichnet.

Die neuen gesetzlichen Anforderungen des § 11 BDSG einzuhalten – das ist bei neuen, bevorstehenden Projekten natürlich möglich, wenn man sich an die Anforderungen hält.

In der Praxis stellt sich aber regelmäßig die Frage:
Müssen Auftragsdatenverarbeitungsverträge oder -verhältnisse, die schon vor dem 01.09.2009 bestanden, auch an die neuen gesetzlichen Anforderungen angepasst werden?

Leider hat der Gesetzgeber es versäumt, eine klarere Regelung im Gesetz zu fassen. Zwar sind mit der BDSG-Novellierung Übergangsregelungen im BDSG geschaffen worden, die die Geltung neuer Regelungen betreffen. Leider ist in den Übergangsregelungen aber keine Regelung zur Geltung des neugefassten § 11 BDSG enthalten.

Wenn es keine Übergangsregelung gibt, dann gelten die Regelungen also auch für Altverträge – das könnte man zumindest meinen, und das liegt auch nahe. Allerdings ist es rechtlich immer bedenklich, wenn der Gesetzgeber Regelungen schafft, durch die rückwirkend in private Vertragsverhältnisse eingegriffen wird. Für die Vertragsparteien gilt schließlich "pacta sunt servanda" – Verträge sind einzuhalten.

Hat der Gesetzgeber eine Übergangsregelung möglicherweise vergessen? Wäre es nicht zumindest – wie in ähnlichen Fällen – üblich, eine Art "Schonfrist" in Form einer Übergangsregelung zu gewähren?

Meiner Meinung nach bestehen gewichtige verfassungrechtliche Bedenken gegen die gesetzliche Quasi-Rückwirkung für Altverträge über Datenverarbeitungen im Auftrag.

Als beratender Anwalt im Datenschutzrecht bin ich aber praktisch orientiert. Meinen Mandanten zu sagen, dass es verfassungsrechtliche Bedenken gegen die Regelung gibt…das hört sich toll und hochtrabend an. Geholfen ist damit jedoch keinem Mandanten. Unternehmen möchten wissen, wie sie mit dem Thema umgehen wollen, wollen ein Ergebnis haben. Und sie wollen wissen, welche Maßnahmen zu treffen sind, um zum gewünschten Ergebnis zu kommen. Und den Anspruch haben sie zu Recht. Sie sollen wissen, wie das Thema praktikabel zu lösen ist.

Ihnen ist mit keiner noch so tollen Lösung geholfen, wenn die Lösung nicht im Einklang mit der Auffassung der Aufsichtsbehörde steht. Also ist der Punkt zunächst zu klären:

Die Meinung der Aufsichtsbehörden

Öffentliche Äußerungen der Aufsichtsbehörden zur Frage der Geltung der neuen Anforderungen des § 11 BDSG für Altverträge gibt es – soweit ich weiß – nicht. Von einigen Aufsichtsbehörden sind jedoch Meinungen durchgesickert, die offenbar auf direkten Anfragen durch Unternehmen, Anwälte oder Berater beruhen.

Wenn man dem juristischen Newsletter MMR-aktuell (MMR-Aktuell 2010, 301137) Glauben schenken darf, dann sind zumindest die Aufsichtsbehörden in Hamburg, Niedersachsen und Nordrhein-Westfalen der Auffassung, dass die strengeren Anforderungen des neuen § 11 BDSG auch für Altverträge gelten.

Ich persönlich habe Kenntnis von weiteren Auffassungen aus persönlichen Gesprächen mit Sachbearbeitern aus Aufsichtsbehörden, die ich jedoch nicht preisgeben möchte, da sie im Vertrauen geäußert wurden, dass sie nicht veröffentlicht werden. Daran halte ich mich stets.

Einige Aufsichtsbehörden haben mehr oder weniger offiziell Schonfristen eingeräumt. In Hamburg geisterte eine Schonfrist von einem halben Jahr durch die datenschutzrechtlichen Kanäle. Die ist allerdings nun schon geraume Zeit abgelaufen. In Nordrhein-Westfalen soll es innerhalb des ersten Jahres keine anlassunabhängigen Prüfungen von Auftragsdatenverarbeitungsvereinbarungen geben. In Niedersachsen will man angeblich keine Schonfrist gewähren, jedoch von der Verhängung eines Bußgeldes absehen, wenn das Unternehmen Bemühungen nachweisen kann, dass Altverträge angepasst werden.

Im Ergebnis kann man sicher sagen, dass die Aufsichtsbehörden grundsätzlich davon ausgehen, dass die neuen gesetzlichen Voraussetzungen auch für Altverträge geltend und entsprechende Verträge daher zu prüfen und ggf. an das geltende Recht anzupassen sind.

Was meinen die "Juristen"?

In der rechtswissenschaftlichen Literatur bzw. in juristischen Blogs ist das Meinungsbild sehr viel differenzierter. Von einer grundlegenden Annahme, dass die Regelungen auch für Altverträge gelten müssen, da es an einer Übergangsregelung fehlt, kann dort keine Rede sein.

Aufgrund der schon von mir angedeuteten rechtlichen Bedenken gegen den Eingriff in geltende Privatrechtsverhältnisse wird z.B. vertreten, dass die Wirksamkeit (und Zulässigkeit) eines Rechtsgeschäfts – wie z.B. einem Auftragsdatenverarbeitungsvertrag – sich nach dem Zeitpunkt zu richten habe, an dem es abgeschlossen wurde. Dabei müsste dann das damals geltende Recht für die Beurteilung herangezogen werden.

Anderenfalls müsste von einer sog. echten Rückwirkung eines Gesetzes ausgegangen werden, und diese sei grundsätzlich verfassungswidrig. Es müsse daher eine verfassungskonforme Auslegung erfolgen, deren Ergebnis wäre, dass Altverträge nach altem Recht bewertet werden müssten.

Andere Autoren sind der Auffassung, dass wegen der fehlenden Übergangsregelung eine Geltung der neuen Regelungen für Altverträge besteht.

Eine einheitliche Auffassung besteht unter den Juristen jedenfalls nicht.

Einigkeit dürfte aber zumindest bei sog. Rahmenvertragskonstellationen bestehen: Wenn Sie mit einem Dienstleister einen Rahmenvertrag über Leistungen geschlossen haben, der Regelungen für die Erbringung künftiger Auftragsdatenverarbeitungsleistungen in Einzelverträgen enthält, dann sind Sie jedenfalls verpflichtet, die künftigen Einzelverträge in einer den neuen Anforderungen des § 11 BDSG entsprechenden Weise zu regeln.

Wie Sie das Problem praktisch lösen…

Die Lösung des Problems: Als Anwalt…

…stecken Sie bei der Lösung des Problems bei Altverträgen zur Auftragsdatenverarbeitung entweder in einer bedauernswerten oder in einer bombigen Funktion. Und bombig verstehe ich dabei durchaus als positiv.

Denn wenn Sie nicht nur an die Auftraggeber, sondern auch an die Auftragnehmerperspektive denken, dann ergeben sich dadurch manchmal ganz wunderbare Perspektiven.

Ein Beispiel: Nehmen wir einmal – rein fiktiv natürlich – folgenden Fall: Ich habe einen Auftragsdatenverarbeiter vertreten, der Auftragnehmer in einem Auftragsdatenverarbeitungsverhältnis war. Der Auftraggeber hat sich an diesen gewandt, da er Vertragsänderungen wünschte, um das Vertragsverhältnis an die seit dem 01.09.2009 geltende Rechtslage anzupassen.

Nur war es so, dass der Auftragnehmer schon länger nicht mit der Vergütung zufrieden war, der Vertrag aber keine Preisänderungsmöglichkeiten – mit Ausnahme von kostenpflichtigen Change Requests – vorsah. Da der Auftraggeber nicht sonderlich "sympathisch" war und ein Neuverhandeln der Preise kategorisch ablehnte, bin ich beauftragt worden, dieses neue datenschutzrechtliche Änderungsgesuch des Auftraggebers dahingehend zu prüfen, ob man es zum Anlass für Preiserhöhungen machen könnte.

Und in der Tat: ich durfte etwas finden. Der Vertrag sah nämlich in einer Klausel vor, dass die Regelungen in dem Vertrag abschließend sein sollten, und ergänzende Regelungen der Vereinbarung und Schriftform bedurften. Der wichtige Punkt: Diese Klausel nahm dem Auftraggeber die Möglichkeit, einseitige ergänzende Weiseungen an den Auftragnehmer nach § 11 BDSG zu richten. Im Ergebnis durfte der Auftragnehmer annehmen, dass es sich bei den vom Auftraggeber gewünschten zusätzlich schriftlich festzulegenden Sicherheitsmaßnahmen um einen Change Request handelte, der entsprechend kostenpflichtig ist. Die Parteien konnten sich so auf eine neue Vergütungsregelung einigen, die auch den Vergütungsinteressen des Auftragnehmers gerecht wurden. Das war eine bombige Situation – für den Auftragnehmer.

Wenn Sie die andere Seite betrachten, dann dürfen Sie annehmen, dass allerdings die Weigerung eines Auftragnehmers, datenschutzrechtliche zwingend gebotene technische und organisatorische Maßnahmen durchzuführen und zu vereinbaren, einen außerordentlichen Kündigungsgrund darstellen könnte.

Als Auftraggeber einer Auftragsdatenverarbeitung sind Sie verantwortlich für die Einhaltung der datenschutzrechtlichen Vorschriften. Um den gesetzlichen Änderungen Rechnung zu tragen, sollten Sie tätig werden.

Diese Maßnahmen sollten Sie treffen:

  • Prüfen Sie die Verträge oder Vertragsbedingungen (AGB etc.) sämtlicher bestehender Auftragsdatenverarbeitungsverhältnisse.
  • Sind keine Verträge vorhanden (häufig bei Wartung von IT-Systemen, Telefonanlagen, Multifunktionsgeräten), dann verhandeln Sie neue Verträge nach den neuen Anforderungen des § 11 BDSG.
  • Sind Verträge vorhanden, dann gleichen Sie ab, ob alle Anforderungen aus § 11 Abs. 2 Nr. 1 – 10 BDSG erfüllt werden.
  • Wenn die Verträge nicht dem neuen Recht entsprechen, dann versuchen Sie die Verträge mit dem Vertragspartner neu zu verhandeln.
  • Ist ein Neuverhandeln nicht möglich oder taktisch nicht gewünscht, dann sehen Sie im Vertrag nach, ob der Vertrag abschließenden Charakter hat, oder ob für einseitige ergänzende Weisungen Raum ist.
  • Wenn der Vertrag abschließend sein sollte, dann werden Sie nicht umhin kommen, das Thema mit dem Vertragspartner neu zu verhandeln. Scheitert dies, sollten Sie zumindest die Bemühungen nachweisen können, um ggf. gegenüber der Aufsichtsbehörde darlegen zu können, dass Versuche unternommen wurden. Sie könnten dann immer noch versuchen, sich auf den Standpunkt zu stellen, dass die Neuregelung des § 11 BDSG nicht für Altverträge gilt.
  • Wenn Raum für ergänzende Weisungen ist, dann sollten Sie genau die Anforderungen aus § 11 Abs. 2 Nr. 1 – 10 BDSG, die bis dato nicht erfüllt sind, durch sog. einseitige Weisungen des Auftraggebers zum Umgang mit den personenbezogenen Daten in Schriftform an den Auftragnehmer erteilen. So können Sie die erweiterten Anforderungen des § 11 BDSG ebenfalls erfüllen.

Ich hoffe, das hilft Ihnen dabei, etwas Licht ins Dunkel zu bringen.

Letzter Aktualitätscheck: 28.05.2016 – Der Beitrag dürfte aktuell nicht mehr relevant sein. Eine ähnliche Situation wird es aber wieder beim Übergang zur DSGVO ergeben.

Kostenloser Mustervertrag Auftragsdatenverarbeitung jetzt in Version 1.4 erhältlich

Wichtiger Hinweis:
Die jeweils aktuelle Fassung des Mustervertrages finden Sie stets auf dieser Internetseite: http://www.datenschutz-guru.de/auftragsdatenverarbeitung/
Dort haben Sie auch die Möglichkeit, sich für einen kostenlosen E-Mail-Kurs „Auftragsdatenverarbeitung – was Sie bei der Umsetzung rechtlich beachten müssen“ anzumelden.

Der – das darf ich sagen – sehr beliebte Mustervertrag Auftragsdatenverarbeitung liegt seit ein paar Tagen in Version 1.41.5 vor. Es gab im Vergleich zu Version 1.3 (und Version nur 1.4) nur eine kleine Fehlerteufelbereinigung bei der Beschreibung der technischen und organisatorischen Maßnahmen und in § 3 Abs. 5.

Den Vertrag erhalten Sie in den Dateiformaten (PDF, Word, Pages 09) Sie wie immer hier:

http://www.datenschutz-guru.de/auftragsdatenverarbeitung/

Kostenloser Mustervertrag zur Auftragsdatenverarbeitung in Version 1.3 erschienen

Wichtiger Hinweis:
Die jeweils aktuelle Fassung des Mustervertrages finden Sie stets auf dieser Internetseite: http://www.datenschutz-guru.de/auftragsdatenverarbeitung/
Dort haben Sie auch die Möglichkeit, sich für einen kostenlosen E-Mail-Kurs „Auftragsdatenverarbeitung – was Sie bei der Umsetzung rechtlich beachten müssen“ anzumelden.

ACHTUNG: Bitte beachten Sie, dass mittlerweile die neue Version 1.4 erschienen ist. Weitere Hinweise dazu finden Sie hier.

Mein Mustervertrag für die Verarbeitung von Daten im Auftrag erfreut sich nach wie vor großer Beliebtheit.

Ich habe heute die Version 1.3 veröffentlicht. Änderungen im Vergleich zur Version 1.2 bestehen lediglich darin, dass das Trennungsgebot i.S.d. Nr. 8 der Anlage zu § 9 Satz 1 BDSG (sicherheitshalber) aufgenommen wurde.

Im Übrigen kann ich auf die Ausführungen im Hinblick auf die letzte Aktualisierung verweisen.

Hier ist der Vertrag im PDF-Format:

Weitere Dateiformate (Word, Pages 09) finden Sie wie immer hier:

http://www.say-ho.com/auftragsdatenverarbeitung

Neue Version des Mustervertrages Auftragsdatenverarbeitung

Wichtiger Hinweis:
Die jeweils aktuelle Fassung des Mustervertrages finden Sie stets auf dieser Internetseite: http://www.datenschutz-guru.de/auftragsdatenverarbeitung

ACHTUNG: Bitte beachten Sie, dass mittlerweile die neue Version erschienen ist. Die nachfolgenden Ausführungen sind daher veraltet.

Seit heute Morgen ist die Version 1.2 meines Musters für einen Vertrag über Verarbeitung von Daten im Auftrag i.S.d. § 11 BDSG online erhältlich.

Die Änderungen beinhalten kleinere sprachliche Korrekturen. Inhaltlich interessante Änderungen sind die besondere Berücksichtigung der Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten (§ 42a BDSG) und eine Ergänzung zu Verpflichtungen auf das Fernmeldegeheimnis im Falle einer Mitwirkung des Auftragnehmers an der geschäftsmäßigen Erbringung von Telekommunikationsdiensten.

Der Vertrag erfreut sich seiner Veröffentlichung im September 2009 großer Beliebtheit. Er ist schon kurz nach Veröffentlichung über 1.000 mehrere Tausend mal heruntergeladen worden.

Mustervertrag Auftragsdatenverarbeitung (verschiedene Formate)

Erfreulicherweise ist seit einigen Wochen nun auch die aktualisierte Fassung des BITKOM-Mustervertrags (bzw. Vertragsanlage) zur Auftragsdatenverarbeitung online erhältlich. Positiv an dem Muster ist, dass zusätzlich eine englische Übersetzungshilfe implementiert ist. Neben dem deutschen Text findet sich in der Spalte daneben eine englische Übersetzung des Textes.
Unter dem o.g. Link können Sie eine ZIP-Datei herunterladen, die Musterverträge zur Auftragsdatenverarbeitung in deutscher und englischer Sprache enthält.

Neben diesen beiden Mustern gibt es meiner Kenntnis nach derzeit noch zwei weitere frei erhältliche Musterverträge, bei denen die seit dem 01.09.2009 geltenden Änderungen des § 11 BDSG berücksichtigt sind:

  1. Mustervereinbarung der GDD zur Auftragsdatenverarbeitung gem. § 11 BDSG (.doc)
  2. Mustervereinbarung zum Datenschutz und zur Datensicherheit
 in Auftragsverhältnissen nach § 11 BDSG des Regierungspräsidiums Darmstadt (PDF) oder als Word-Dokument (.doc)

Jedes der Muster hat seine Stärken und Schwächen. Ich persönliche halte das Muster der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) für etwas zu „unjuristisch“. Ein Rechtsanwalt würde das stilistisch eher anders regeln. Das ist aber letztlich Geschmackssache. Entscheidend ist, das die Regeln verständlich bleiben und den gesetzlichen Anforderungen genügen.

Bei Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich ist das Muster des Regierungspräsidiums Darmstadt in der Regel bekannt und wird von diesen auch als wirksame Regelung einer Auftragsdatenverarbeitung anerkannt, sofern die im Dokument genannten erforderlichen Ergänzungen in hinreichender Weise vorgenommen werden.

Und bei diesem Punkt kommen wir dann auch zur Schwäche vieler Standard-Verträge zur Auftragsdatenverarbeitung in der täglichen Praxis. Häufig werden in diesen Verträgen die nach § 9 BDSG und der Anlage zu § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen nicht konkret geregelt, sondern lediglich die gesetzlichen Definitionen der Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und des Trennungsgebots wiedergegeben. Dies ist nach Auffassung vieler Aufsichtsbehörden aber nicht ausreichend, um die Voraussetzungen nach § 11 BDSG hinsichtlich der zu erteilenden Aufträge oder Weisungen zu erfüllen. Hier ist also Vorsicht und ggf. Nachbesserung geboten.

Wer Zeit hat, kann sicher exzellente Ergebnisse für seine individuelle Vereinbarung erzielen, wenn man alle Muster analysiert und sich die passenden Regelungen einzeln zusammenstellt.
Aber Achtung: die Zusammenstellung von Klauseln aus verschiedenen Mustern birgt juristische Risiken und sollte daher nur bei entsprechender Kenntnis der Materie vorgenommen werden.

Auftragsdatenverarbeitung – Mustervertrag

Wichtiger Hinweis:
Die jeweils aktuelle Fassung des Mustervertrages finden Sie stets auf dieser Internetseite: http://www.datenschutz-guru.de/auftragsdatenverarbeitung/

Die „Mutter“-Seite des Datenschutz-Guru Magazins ist SAY-HO! Seit ich dort vor einigen Wochen aufgrund der Änderungen im Bundesdatenschutzgesetz (BDSG) zum 01.09.2009 eine an den Gesetzesstand angepassten Mustervertrag zur kostenfreien Verwendung veröffentlicht habe, sind innerhalb von wenigen Tagen mehr als 600 Zugriffe auf diese Seite erfolgt. Der Bedarf scheint also vorhanden gewesen zu sein.

Daher auch an dieser Stelle noch einmal der Hinweis auf die Extra-Seite von SAY-HO! zum Thema Auftragsdatenverarbeitung: http://www.datenschutz-guru.de/auftragsdatenverarbeitung/

GDD: neue Mustervereinbarung zur Auftragsdatenverarbeitung

Die GDD hat nun auch ein Muster für einen Vereinbarung zur Auftragsdatenvereinbarung i.S.d. § 11 BDSG vorgelegt, die als Word-Datei zum Download zur Verfügung steht.

Die entsprechende Meldung der GDD ist hier zu finden.

Das Muster ist als Orientierungsanfang sicher geeignet. Ein etwas „juristischeres“ Vertragsmuster (von meiner Wenigkeit) findet man hier:

http://www.datenschutz-guru.de/auftragsdatenverarbeitung/