AK Datenschutz der DGRI - Neuregelungen zur Auftragsdatenverarbeitung -
description
Transcript of AK Datenschutz der DGRI - Neuregelungen zur Auftragsdatenverarbeitung -
Dr. Wulf Kamlah, Rechtsanwalt Berlin, den 27. November 2009
AK Datenschutz der DGRI
- Neuregelungen zur Auftragsdatenverarbeitung -
2
Wulf Kamlah
Of Counsel Chefsyndikus
SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November2009
3
• Innerhalb des Paketes „BDSG II“
• Anlass: Datenskandale
• Verschärfte Anforderungen an Auftragsverträge
• Kontrolldichte beim Dienstleister erhöht
Neuregelungen zur Auftragdatenverarbeitung
SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November 2009
4
Neuregelungen zur Auftragsdatenverarbeitung Begründung des Gesetzgebers zu Änderungen für die Auftragserteilung
• Bundesrat (BR-Drucksache 4/09B, S. 7 f):
→ § 11 Abs. 2 BDSG (alt) wird praktisch häufig nicht beachtet→ In der Praxis oft nur Verweis auf BDSG ohne nähere Festlegung→ Häufig kein Nachweis über Einwilligung des Betroffenen→ Nicht-öffentliche Stellen erkennen häufig nicht, was verlangt wird
• Bundestag (BT-Drucksache 16/13657, S. 28 f):
→ Übernimmt Vorschlag des Bundesrats→ Ergänzung soll gesetzliche Anforderungen an die Ausgestaltung des Auftrags
besser erkennbar machen
SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November 2009
5
Mindestinhalt („insbesondere“) des ADV-Vertrages dezidiert festgelegt, § 11 Abs. 1 Satz 2 BDSG – Teil 1
• Gegenstand und Dauer des Auftrags
• Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung und Nutzung der Daten, Art der Daten und der Kreis der Betroffenen
→Konkretisierung des Auftragsgegenstandes, Bezeichnung von Betroffenengruppen
• Die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen
→Verweis auf oder bloßes Abschreiben der Anlage zu § 9 BDSG reicht nicht
Neuregelungen zur Auftragsdatenverarbeitung
SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November 2009
6
Inhalt des ADV-Vertrages dezidiert festgelegt, § 11Abs. 1 Satz 2 BDSG – Teil 2
• Berichtigung, Löschung und Sperrung von Daten
→Konkretisierung der Weisung
• Die nach Absatz 4 bestehenden Pflichten des AN, insbes. die von ihm vorzunehmenden Kontrollen
→Verweis missglückt ? Gemeint sind offenbar § 5 BDSG und die Kontrollen nach § 9 BDSG
• Berechtigung zur Begründung von Unterauftragsverhältnissen
→schon bisher
Neuregelungen zur Auftragsdatenverarbeitung
SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November 2009
7
Inhalt des ADV-Vertrages dezidiert festgelegt, § 11 Abs. 1 Satz 2 BDSG – Teil 3
• Kontrollrechte des AG und die entsprechenden Duldungs- und Mitwirkungspflichten des AN
→dezidiert festzulegen (auch Auditrechte für Dritte)
• Mitzuteilende Verstöße des AN oder bei ihm beschäftigten Personen gegen Datenschutzvorschriften oder Auftragsinhalt
→relevant bei Datenpannen
• Umfang (sonstiger) Weisungsbefugnisse, die sich der AG vorbehält
Neuregelungen zur Auftragsdatenverarbeitung
SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November 2009
8
Inhalt des ADV-Vertrages dezidiert festgelegt, § 11 Abs. 1 Satz 2 BDSG – Teil 4
• Rückgabe überlassener Datenträger und die Löschung beim AN gespeicherter Daten nach Beendigung des Auftrags
→wesentliches Motiv der Novellierung (S. Stellungnahme Bundesrat)
Neuregelungen zur Auftragsdatenverarbeitung
SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November 2009
9
Anpassungsbedarf bestehender Verträge jetzt ?
• Kein verschobenes Inkrafttreten des neuen § 11 BDSG
• Keine Übergangsvorschrift für § 11 BDSG
• Daher sind
→Neuverträge sofort nach Maßgabe der neuen Bestimmungen abzuschließen
→auch Altverträge umzustellen ?
– „nur" fehlerhafte Auftragserteilung künftig bußgeldbewehrt
– Problem: Neue Aufträge unter altem Rahmenvertrag
– Jedenfalls schon nach altem Recht mangelhafte Verträge umstellen
Neuregelungen zur Auftragsdatenverarbeitung
SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November 2009
10
Neuregelungen zur Auftragsdatenverarbeitung
Begründung des Gesetzgebers für Prüfungen und Dokumentation
• Bundesrat (BR-Drucksache 4/09B, S. 8 f):
→ Missbrauchsgefahr durch Verknüpfung von Daten beim Auftragnehmer→ Verantwortlicher Auftraggeber prüft nur „sehr zurückhaltend“→ Häufigkeit und Dokumentation der Prüfungen zur Gewährleistung der Einhaltung
der gesetzlichen Vorgaben durch den Auftragnehmer
• Bundestag (BT-Drucksache 16/13657, S. 28 f):
→ Bestimmtheit für Bußgeldbedrohung notwendig→ Prüfungshäufigkeit bewusst offen gelassen→ Bewusst keine nähere Regelung von Prüfungsart (etwa „vor Ort“) und von Details
der Dokumentation
SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November 2009
11
Prüfungen und Dokumentation des Auftraggebers • Kontrollpflicht bzgl. beim AN getroffener technischer und organisatorischer
Maßnahmen der Datenverarbeitung• Prüfung vor Beginn der Datenverarbeitung• Danach regelmäßig
→ reicht „Bestätigung“ oder Prüfbericht DSB des AN (Präsenskontrolle)?
→ sind (unabhängige) Zertifikate geeignet?
→ Prüfungsintervalle?• Dokumentationspflicht der Kontrollen, § 11 Abs. 1 Satz 4 a.E. BDSG
→ nähere Ausgestaltung hinsichtlich Art und Umfang der Dokumentation nicht vorgeschrieben
Neuregelungen zur Auftragsdatenverarbeitung
SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November 2009
12
Handlungsbedarf zur Vorab-Prüfung und Dokumentation jetzt ?• Vorab-Prüfung ist Pflicht,
→ bei Neuaufträgen, aber wohl auch bei Aufträgen, die vor dem 1. September 2009 erteilt wurden, sofern eine wesentliche Änderung "alter" Auftragsdatenverarbeitung (Neuinhalte oder Verfahren), vorliegt
→ fehlende vorherige Kontrolle ist bußgeldbewehrt• Verstoß gegen nachträgliche regelmäßige Kontrolle ist dagegen nicht
bußgeldbewehrt• Prüfungsgegenstand sind Vorkehrungen gegen Datenschutzverstöße, nicht
ordnungsgemäße Auftragsdurchführung• Dokumentation der Prüfungen ist Pflicht
Neuregelungen zur Auftragsdatenverarbeitung
SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November 2009
13
Neuregelungen zur AuftragsdatenvereinbarungBußgeldandrohung - Neuer § 43 Absatz 1 Nr. 2b BDSG:
Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
… entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder
nicht in der vorgeschriebenen Weise erteilt oder entgegen § 11 Absatz 2 Satz
4 sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim
Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen
überzeugt
Bußgeld: bis 50.000,00 EUR (mit Erhöhung zur Vorteilsabschöpfung)
SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November 2009
14
Kontakt
Dr. Wulf Kamlah
SKW Schwarz Rechtsanwälte
Mörfelder Landstraße 117
60598 Frankfurt am Main
Tel. 069 / 63 00 01 - 65
www.skwschwarz.de
SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November 2009