Vorschriften zur Auftragsdaten-verarbeitung

(1.9.2009)

BDSG-Novellierung: Auftragsdatenverarbeitung

Am 1. September 2009 trat eine Novellierung des BDSG in Kraft.
Wir haben unsere Kunden in den letzten Wochen über die für sie jeweils wichtigen Änderungen informiert. Dabei sind die Vorschriften zur Ausgestaltung einer Auftragsdatenverarbeitung nach § 11 BDSG (im Folgenden ADV) immer ein wichtiges Thema gewesen. Wir fassen daher an dieser Stelle die Informationen noch einmal für Sie zusammen und stellen Ihnen die Unterlagen zur Verfügung, die Sie zur Umsetzung benötigen.

Wann liegt eine Auftragsdatenverarbeitung vor?
Von einer Auftragsdatendatenverarbeitung erfasst werden Dienstleister, die personenbezogene Daten für Sie verarbeiten bzw. die unter Umständen Zugriff auf personenbezogene Daten aus Ihrem Hause erhalten. Das sind zum Beispiel Verträge mit Lohnbüros, Rechenzentren, Systemhäusern, Aktenarchivaren oder Reisebüros.

Was müssen Sie bei der Vertragsgestaltung beachten?
Der Gesetzgeber wollte mit den am 01.September 2009 ohne Übergangsregelung in Kraft getretenen Vorschriften Datenschutzmängeln bei der Auftragserteilung und -kontrolle entgegenwirken.

Die Anforderungen an einen Vertrag gemäß § 11 BDSG sind gestiegen. Wie bisher ist der Auftrag im Detail schriftlich festzulegen. Die formalen Vorgaben sind dabei allerdings nun konkretisiert worden.

Folgende Punkte sind verbindlich im Einzelnen festzulegen:

  1. der Gegenstand und die Dauer des Auftrags,
  2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Was sind Ihre Pflichten?
Wichtig ist, dass sich der Auftraggeber als verantwortliche Stelle nach dem neuen Recht vor Beginn und während der Verarbeitung regelmäßig von der Einhaltung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen hat. Das Ergebnis ist zu dokumentieren.
Die Erfüllung dieser Forderungen kann in Abhängigkeit von den vorliegenden Umständen durch Prüfungen beim Auftragsdatenverarbeiter vor Ort oder auch durch andere Maßnahmen gewährleistet werden – beispielsweise durch Prüfung des Datenschutzkonzeptes bei Auswahl des Dienstleisters und weitere korrespondierende Maßnahmen. Sprechen Sie uns an, wenn Sie hierzu Detailfragen haben.

Sie können entweder unseren Mustervertrag nutzen oder die Vertragsvorlage Ihres Dienstleisters verwenden (nach einer Überprüfung durch Ihre Datenschutzbeauftragte) und sie jeweils um die relevanten Bestimmungen erweitern.
Bestandsverträge sollten mit einer entsprechenden Datenschutz-Vereinbarung ergänzt werden. Bitte senden Sie mir die Dokumente vorab zur Prüfung bzw. Kommentierung zu.