Durch die BDSG-Novelle II wurde unlängst § 11 BDSG geändert. Der Beitrag setzt sich mit der Frage auseinander, inwiefern die neu gefasste Vorschrift auf bereits laufende Verträge Anwendung findet und ob ein Verstoß gegen die Vorschrift, neben der Gefahr eines Bußgeldes, die Unwirksamkeit des Auftragsdatenverarbeitungsverhältnisses zur Folge hat.
§ 11 BDSG regelt die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag; die Vorschrift wurde mit Wirkung zum 1. September 2009 geändert. Während in der alten Fassung in § 11 Abs. 2 Satz 2 BDSG lediglich gefordert wurde, dass im Auftrag die Datenerhebung, -verarbeitung und –nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind, enthält die neue Fassung jetzt einen ausführlichen Katalog über die erforderlichen vertraglichen Bestimmungen. So werden z.B. explizite vertragliche Regelungen zur Berichtigung, Sperrung und Löschung von Daten, Kontrollrechte durch den Auftraggeber, Umfang der Weisungsbefugnisse etc. gefordert.
Der neu aufgenommene Katalog darf nicht darüber hinwegtäuschen, dass die Datenschutzbehörden schon vor der Gesetzesänderung nahezu identische Anforderungen an Auftragsdatenverarbeitungsverhältnisse gestellt haben. Da diese Forderungen allerdings nicht durch den Gesetzgeber normiert waren, schafft die neue Fassung des § 11 BDSG somit mehr Rechtssicherheit bei der Beauftragung von Auftragsdatenverarbeitern.
In diesem Zusammenhang zu beachten ist auch die neu eingeführte Pflicht des Auftraggebers, sich bereits vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen und dies zu dokumentieren (§ 11 Abs 2 Satz 4 und 5 BDSG).
Weiterhin zu beachten, ist der ebenfalls neu eingeführte Bußgeldtatbestand in § 43 Abs. 1 Nr. 2b BDSG. Die Bußgeldvorschrift sieht vor, dass ein nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilter Auftrag oder ein Verstoß gegen § 11 Abs. 2 Satz 4 BDSG mit Bußgeld bis zu einer Höhe EUR 50.000 bewehrt ist. Der Wortlaut des § 43 Abs. 1 Nr. 2b BDSG lässt darauf schließen, dass nur der Auftraggeber Verpflichteter ist.
Der neu eingeführte Bußgeldparagraph wirft zwei Fragen auf:
1. Wie verhält sich der neue § 11 BDSG zu Verträgen, die vor Inkrafttreten der Neufassung abgeschlossen wurden?
Das reformierte BDSG sieht keine Übergangsregeln in Bezug auf § 11 BDSG vor. Es ist daher fraglich, ob die betrieblichen Datenschutzbeauftragten fahrlässig oder gar vorsätzlich handeln, wenn sie nicht Altverträge auf Konformität mit dem neuen § 11 BDSG überprüfen. Die Landesdatenschutzbehörden neigen derzeit überwiegend der Auffassung zu, dass der neue § 11 BDSG auch auf Altverträge Anwendung findet. Um sich nicht dem Risiko eines Bußgeldes auszusetzen, sind betriebliche Datenschutzbeauftragte daher gehalten, Altverträge (insbesondere solche, in denen die jeweiligen Betriebe Auftraggeber sind) auf Konformität mit dem neuen § 11 Abs. 2 Satz 2 BDSG zu prüfen und gegebenenfalls auf Änderungen hinzuwirken.
2. Wie wirkt sich ein Verstoß gegen die Mindestanforderungen des § 11 Abs. 2 Satz 2 BDSG auf das Auftragsdatenverarbeitungsverhältnis aus?
Vor der Reform des BDSG durch die BDSG-Novelle II gingen die Datenschutzbehörden und weite Teile der Literatur davon aus, dass Verträge, die nicht den Voraussetzungen des § 11 BDSG und somit auch nicht den durch die Datenschutzbehörden aufgestellten Anforderungen genügten, nicht als Auftragsdatenverarbeitungsverhältnisse anzusehen und somit die Privilegierung einer Datenverarbeitung im Auftrag hinfällig waren. Dies hatte für den Auftragnehmer die Konsequenz, dass er die Pflichten einer verantwortlichen Stelle erfüllen müsste. Für den Auftraggeber war die Folge, dass die Übertragung der Daten als datenschutzrechtliche Übermittlung anzusehen waren. Somit war entweder eine Einwilligung durch die Betroffenen oder das Vorliegen eines Erlaubnistatbestandes nach § 28 BDSG erforderlich.
Der neu eingeführte Bußgeldtatbestand lässt allerdings die Auslegung zu, dass der Gesetzgeber diese Folge nicht beabsichtigt. Indem § 43 Abs. 1 Nr. 2b BDSG unter Verstoß gegen § 11 Abs. 2 BDSG zustande gekommene Auftragsdatenverarbeitungsverträge unter Strafe stellt, geht der Gesetzgeber gerade davon aus, dass es "mangelhafte" Auftragsdatenverarbeitungsverträge geben kann. Es wäre daher nicht verständlich, wieso die Parteien zusätzlich durch einen Wegfall ihrer Privilegierungen bestraft werden sollten. Das Bußgeld wirkt somit als aliud für diese für beide Parteien missliche Rechtsfolge. Es bleibt zu hoffen, dass sich die Datenschutzbehörden und Gerichte dieser Auffassung anschließen werden, da auch hier für mehr Rechtssicherheit gesorgt würde.