AK Datenschutz der DGRI - Neuregelungen zur Auftragsdatenverarbeitung -

Dr. Wulf Kamlah, Rechtsanwalt Berlin, den 27. November 2009

AK Datenschutz der DGRI

- Neuregelungen zur Auftragsdatenverarbeitung -

2

Wulf Kamlah

Of Counsel Chefsyndikus

SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November2009

3

• Innerhalb des Paketes „BDSG II“

• Anlass: Datenskandale

• Verschärfte Anforderungen an Auftragsverträge

• Kontrolldichte beim Dienstleister erhöht

Neuregelungen zur Auftragdatenverarbeitung

SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November 2009

4

Neuregelungen zur Auftragsdatenverarbeitung Begründung des Gesetzgebers zu Änderungen für die Auftragserteilung

• Bundesrat (BR-Drucksache 4/09B, S. 7 f):

→ § 11 Abs. 2 BDSG (alt) wird praktisch häufig nicht beachtet→ In der Praxis oft nur Verweis auf BDSG ohne nähere Festlegung→ Häufig kein Nachweis über Einwilligung des Betroffenen→ Nicht-öffentliche Stellen erkennen häufig nicht, was verlangt wird

• Bundestag (BT-Drucksache 16/13657, S. 28 f):

→ Übernimmt Vorschlag des Bundesrats→ Ergänzung soll gesetzliche Anforderungen an die Ausgestaltung des Auftrags

besser erkennbar machen


5

Mindestinhalt („insbesondere“) des ADV-Vertrages dezidiert festgelegt, § 11 Abs. 1 Satz 2 BDSG – Teil 1

• Gegenstand und Dauer des Auftrags

• Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung und Nutzung der Daten, Art der Daten und der Kreis der Betroffenen

→Konkretisierung des Auftragsgegenstandes, Bezeichnung von Betroffenengruppen

• Die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen

→Verweis auf oder bloßes Abschreiben der Anlage zu § 9 BDSG reicht nicht

Neuregelungen zur Auftragsdatenverarbeitung


6

Inhalt des ADV-Vertrages dezidiert festgelegt, § 11Abs. 1 Satz 2 BDSG – Teil 2

• Berichtigung, Löschung und Sperrung von Daten

→Konkretisierung der Weisung

• Die nach Absatz 4 bestehenden Pflichten des AN, insbes. die von ihm vorzunehmenden Kontrollen

→Verweis missglückt ? Gemeint sind offenbar § 5 BDSG und die Kontrollen nach § 9 BDSG

• Berechtigung zur Begründung von Unterauftragsverhältnissen

→schon bisher



7

Inhalt des ADV-Vertrages dezidiert festgelegt, § 11 Abs. 1 Satz 2 BDSG – Teil 3

• Kontrollrechte des AG und die entsprechenden Duldungs- und Mitwirkungspflichten des AN

→dezidiert festzulegen (auch Auditrechte für Dritte)

• Mitzuteilende Verstöße des AN oder bei ihm beschäftigten Personen gegen Datenschutzvorschriften oder Auftragsinhalt

→relevant bei Datenpannen

• Umfang (sonstiger) Weisungsbefugnisse, die sich der AG vorbehält



8

Inhalt des ADV-Vertrages dezidiert festgelegt, § 11 Abs. 1 Satz 2 BDSG – Teil 4

• Rückgabe überlassener Datenträger und die Löschung beim AN gespeicherter Daten nach Beendigung des Auftrags

→wesentliches Motiv der Novellierung (S. Stellungnahme Bundesrat)



9

Anpassungsbedarf bestehender Verträge jetzt ?

• Kein verschobenes Inkrafttreten des neuen § 11 BDSG

• Keine Übergangsvorschrift für § 11 BDSG

• Daher sind

→Neuverträge sofort nach Maßgabe der neuen Bestimmungen abzuschließen

→auch Altverträge umzustellen ?

– „nur" fehlerhafte Auftragserteilung künftig bußgeldbewehrt

– Problem: Neue Aufträge unter altem Rahmenvertrag

– Jedenfalls schon nach altem Recht mangelhafte Verträge umstellen



10


Begründung des Gesetzgebers für Prüfungen und Dokumentation

• Bundesrat (BR-Drucksache 4/09B, S. 8 f):

→ Missbrauchsgefahr durch Verknüpfung von Daten beim Auftragnehmer→ Verantwortlicher Auftraggeber prüft nur „sehr zurückhaltend“→ Häufigkeit und Dokumentation der Prüfungen zur Gewährleistung der Einhaltung

der gesetzlichen Vorgaben durch den Auftragnehmer

• Bundestag (BT-Drucksache 16/13657, S. 28 f):

→ Bestimmtheit für Bußgeldbedrohung notwendig→ Prüfungshäufigkeit bewusst offen gelassen→ Bewusst keine nähere Regelung von Prüfungsart (etwa „vor Ort“) und von Details

der Dokumentation


11

Prüfungen und Dokumentation des Auftraggebers • Kontrollpflicht bzgl. beim AN getroffener technischer und organisatorischer

Maßnahmen der Datenverarbeitung• Prüfung vor Beginn der Datenverarbeitung• Danach regelmäßig

→ reicht „Bestätigung“ oder Prüfbericht DSB des AN (Präsenskontrolle)?

→ sind (unabhängige) Zertifikate geeignet?

→ Prüfungsintervalle?• Dokumentationspflicht der Kontrollen, § 11 Abs. 1 Satz 4 a.E. BDSG

→ nähere Ausgestaltung hinsichtlich Art und Umfang der Dokumentation nicht vorgeschrieben



12

Handlungsbedarf zur Vorab-Prüfung und Dokumentation jetzt ?• Vorab-Prüfung ist Pflicht,

→ bei Neuaufträgen, aber wohl auch bei Aufträgen, die vor dem 1. September 2009 erteilt wurden, sofern eine wesentliche Änderung "alter" Auftragsdatenverarbeitung (Neuinhalte oder Verfahren), vorliegt

→ fehlende vorherige Kontrolle ist bußgeldbewehrt• Verstoß gegen nachträgliche regelmäßige Kontrolle ist dagegen nicht

bußgeldbewehrt• Prüfungsgegenstand sind Vorkehrungen gegen Datenschutzverstöße, nicht

ordnungsgemäße Auftragsdurchführung• Dokumentation der Prüfungen ist Pflicht



13

Neuregelungen zur AuftragsdatenvereinbarungBußgeldandrohung - Neuer § 43 Absatz 1 Nr. 2b BDSG:

Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

… entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder

nicht in der vorgeschriebenen Weise erteilt oder entgegen § 11 Absatz 2 Satz

4 sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim

Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen

überzeugt

Bußgeld: bis 50.000,00 EUR (mit Erhöhung zur Vorteilsabschöpfung)


14

Kontakt

Dr. Wulf Kamlah

SKW Schwarz Rechtsanwälte

Mörfelder Landstraße 117

60598 Frankfurt am Main

Tel. 069 / 63 00 01 - 65

[email protected]

www.skwschwarz.de


mailto:[email protected]

http://www.skwschwarz.de/

AK Datenschutz der DGRI - Neuregelungen zur Auftragsdatenverarbeitung -

Documents

Transcript of AK Datenschutz der DGRI - Neuregelungen zur Auftragsdatenverarbeitung -