Hohes Bußgeld wegen Auftragsdatenverarbeitung

Datenschutzrecht, Privacy Law, Auftragsdatenverarbeitung, Bußgeld, technische und organisatorische Maßnahmen, Rechtsanwalt David Seiler, Cottbus, Leipzig, Dresden, Berlin, Brandenburg

Datenschutzrecht: Hohes Bußgeld wegen Auftragsdatenverarbeitung ohne richtigen Vertrag

Die bayrische Datenschutzaufsichtsbehörde hat in einer Pressemeldung am 20.08.2015 mitgeteilt, dass sie gegen ein Unternehmen, dass einen externen Dienstleister mit der Auftragsdatenverarbeitung (kurz ADV) ohne ausreichenden Vertrag beauftragt hat, ein Bußgeld in fünfstelliger Höhe verhängt hat.

Was ist eine Auftragsdatenverarbeitung?

Das Bundesdatenschutzgesetz (BDSG) regelt den Schutz von Daten natürlicher Personen (also nicht juristische Personen wie GmbH oder Aktiengesellschaften). Geschützt ist jede Information über eine natürliche Person (sogenannte personenbezogene Daten). Das Unternehmen, welches die Daten von Mitarbeitern, Kunden oder Lieferanten erfasst, erhebt diese, speichert und verarbeitet diese. Das Unternehmen wird im BDSG als verantwortliche Stelle bezeichnet. Wenn das Unternehmen diese Aufgabe jedoch auf einen externen Dienstleister outsourct, kommt hier das Rechtsinstitut der Auftragsdatenverarbeitung in Betracht, § 11 Abs. 2 BDSG.

Welche Vorteile hat eine Auftragsdatenverarbeitung?

Grundsätzlich bedarf jede Datenverarbeitung der vorherigen ausdrücklichen und schriftlichen Zustimmung der betroffenen Personen, deren Daten verarbeitet werden. Eine Zustimmung ist nicht erforderlich, wenn das Gesetz (BDSG oder ein anderes Gesetz) die Datenverarbeitung ausdrücklich erlaubt oder anordnet. Unter den Begriff der Datenverarbeitung fällt auch die Datenübermittlung an andere Unternehmen, die im Juristendeutsch Dritte genannt werden. Ein Unternehmen müsste erst alle Mitarbeiter, Kunden und sonstige Personen, deren Daten es durch einen externen Dienstleister verarbeiten lassen will, um deren schriftliche Zustimmung zu der Outsourcing-Maßnahme bitte. Dass dies eine völlig inpraktikable Forderung wäre, es aber andererseits ein berechtigtes Bedürfnis an der Nutzung externer IT-Unterstützung durch Spezialisten oder spezialisierte Unternehmen gibt und dies im Rahmen einer arbeitsteiligen Wirtschaft notwendig ist, hat auch der Gesetzgeber erkannt.

Daher hat er das Institut der Auftragsdatenverarbeitung (ADV) geschaffen. Dabei werden zwar faktisch Daten an ein anderes Unternehmen zur Verarbeitung gegeben, jedoch wird dies rechtlich nicht als Datenweitergabe gewertet. Allerdings erkauft sich das auslagernde Unternehmen dieses Privileg dadurch, dass es den Dienstleister durch einen Vertrag zur Auftragsdatenverarbeitung derart eng an sich binden und bestimmte gesetzlich vorgegebene Vertragsinhalte vorab schriftlich mit ihm vereinbaren muss, dass die mit der Auslagerung theoretisch erhöhte Gefährdung der Daten zumindest rechtlich ausgeschlossen ist.

Welche Leistungen fallen unter Auftragsdatenverarbeitung?

Es gibt keinen abschließenden Katalog an IT-Dienstleistungen, die unter die Auftragsdatenverarbeitung fallen. Entscheidend ist, ob der IT-Dienstleister streng weisungsgebunden und ohne eigene Entscheidungskompetenz die Daten für den Auftraggeber verarbeitet. Typische Beispiele hierfür sind u.a.

  • dv-technischen Arbeiten für die Lohn- und Gehaltsabrechnungen oder die Finanzbuchhaltung,
  • Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, Hosting-Leistungen
  • die Werbeadressenverarbeitung, Rechnungsversand durch einem Lettershop,
  • die Kontaktdatenerhebung durch ein Callcenter,
  • die Auslagerung eines Teils des eigenen Telekommunikationsanlagenbetriebs (soweit nicht TKG),
  • die Auslagerung der E-Mail-Verwaltung, Newsletter-Verteiler oder von sonstigen Datendiensten zu Webseiten,
  • die Datenerfassung, die Datenkonvertierung oder das Einscannen von Dokumenten,
  • die Backup-Sicherheitsspeicherung und andere Archivierungen,
  • die Datenträgerentsorgung,
  • die Aktenvernichtung

Keine Auftragsdatenverarbeitung sind fachlich-intellektuelle Leistungen, die eigenverantwortlich von Spezialisten erbracht werden und nicht weisungsgebunden sein können, z.B. Personalverwaltung, Beratungs- und Gutachtenleistungen.

IT-Installations- und Wartungsarbeiten, Fernwartung als ADV?

 In der Praxis häufig übersehen wird, dass auch durch die Einschaltung externer IT-Dienstleister, die Installations- und Wartungsaufgaben, Support oder Softwaretests im Unternehmen durchführen, sei es vor Ort oder per Fernwartung, die Gefahr besteht, dass dabei Daten „abgezogen“ und unrechtmäßig verwendet werden. Daher hat der Gesetzgeber angeordnet, dass auch in den Fällen der IT-Wartung, bei denen die Möglichkeit der Kenntnisnahme personenbezogener Daten nicht ausgeschlossen ist, die gleichen strengen vertraglichen Regelung zu treffen sind, wie bei der (eigentlichen) Auftragsdatenverarbeitung, § 11 Abs. 5 BDSG.

Was muss bei einer Auftragsdatenverarbeitung vertraglich geregelt werden?

Zunächst steht vor dem Vertragsschluss die Pflicht, den Dienstleister (Auftragsdatenverarbeiter) sorgfältig auszuwählen und dabei insbesondere zu prüfen, ob er die erforderlichen technischen und organsiatorischen Maßnahmen (toM) zum Schutz der Daten kennt und getroffen hat. Die  Der Vertrag zur Auftragsdatenverarbeitung muss schriftlich (Papier mit Unterschriften beider Vertragsparteien) erfolgen. Fax, E-Mail oder Online-Beschaffungsplattform kommen bei ADV nicht in Betracht.

Inhaltlich schreibt § 11 Abs. 2 BDSG den Mindest-Vertragsinhalt vor:

  1. der Gegenstand und die Dauer des Auftrags,
  2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Die nach Nr. 3 zu vereinbarenden technischen und organisatorischen Datenschutzmaßnahmen (toM) sind in der Anlage zu § 9 BDSG in 8 Punkten aufgelistet

  1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
  2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
  3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
  4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
  5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
  6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
  8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Bei Nr. 2 – 4 ist vom Gesetz als eine Maßnahme der Einsatz eines aktuellen Verschlüsselungsverfahrens genannt.

Schon die Liste der 18 zwingend zu regelnden Vertragspunkte lässt den Umfang des Regelungsbedarfes erahnen. Zudem bedarf es einiger it-technischer und vor allem rechtlicher Kenntnisse, um auch nur einen der von Verbänden und Aufsichtsbehörden im Internet zugänglich gemachten Musterverträge richtig zu gestalten bzw. auszufüllen. In der Praxis fängt es schon bei der Frage an, ob die konkret zu regelnde Leistung eine Auftragsdatenverarbeitung ist oder nicht. Dann gibt es Vertragsklauseln die nur festhalten, dass der Auftragnehmer „den Datenschutz einhält und zur Verschwiegenheit verpflichtet ist“, was keinesfalls genügt. Auch Formulierungen wonach der Auftragsdatenverarbeiter die in der Anlage zu § 9 BDSG genannten Datenschutzmaßnahmen ergreift, genügen der gesetzlichen Pflicht zur konkreten Vereinbarung nicht. Folglich genügt auch nicht die Wiedergabe des Gesetzestextes, z.B. dass der Auftragnehmer Maßnahmen zur Zutrittskontrolle ergriffen hat. Vielmehr muss im Einzelfall und ganz konkret die Maßnahme beschrieben werden, z.B. Drehkreuz am Eingang und Chip-basierter Mitarbeiterausweis. Ein Schild „Zutritt für Unbefugte verboten“ würde nicht genügen.

Mit dem Abschluss des Vertrages ist es aber nicht getan. Vielmehr muss regelmäßig, also zumindest alle 1 – 3 Jahre eine Einhaltungsprüfung durchgeführt werden. Der Auftraggeber muss sich davon überzeugen, dass der Auftragsdatenverarbeiter die vereinbarten technischen und organisatorischen Maßnahmen auch tatsächlich einhält. Das Ergebnis der Prüfung ist zu dokumentieren, also aufzuschreiben.

Wie hoch ist das Bußgeld bei einem Verstoß gegen die gesetzlichen Vertragspflichten?

Nach § 43 Abs. 1 Nr. 2b handelt ordnungswidrig, wer

„entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder entgegen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt,“

Diese Ordnungswidrigkeit kann mit einer Geldbuße bis zu 50.000 Euro sanktioniert werden. Dass dies keine leere Drohung ist, zeigt die aktuelle Pressemeldung der bayrischen Datenschutzaufsicht, die eine fünfstellige Geldbuße verhängt hat. Auch wenn Ihr Unternehmen seinen Sitz nicht in Bayern hat, könnte Ihnen das gleiche passieren. Die Datenschutzaufsichtsbehörden der sechzehn Bundesländer stimmen sich bundesweit im sogenannten Düsseldorfer Kreis und seinen Unterarbeitsgruppen ab. Hat eine Aufsichtsbehörde eine systematische Schwachstelle entdeckt, tauscht sie sich hierüber mit den anderen Aufsichtsbehörden aus. Zwar sind die Aufsichtsbehörden personell zu schwach besetzt, um auch nur annähernd jedes Unternehmen prüfen zu können, doch ein anonymer Hinweis eines gekündigten Mitarbeiters oder Dienstleisters genügt …

Beratung bei Verträge zur Auftragsdatenverarbeitung

Beugen Sie der Gefahr von Bußgeldern vor und lassen Sie Ihre Verträge mit Dienstleistern, die Daten für Sie verarbeiten, daraufhin überprüfen, ob sie den gesetzlichen Anforderungen der Auftragsdatenverarbeitung genügen und falls nicht – bessern Sie schnellstmöglich nach. Rechtsanwalt David Seiler berät und unterstützt Sie dabei gerne mit seiner langjährigen Erfahrung in diesem Bereich.