Die zum 1. September 2009 in Kraft getretene Novelle des Bundesdatenschutzgesetzes (BDSG) hat eine Reihe von neuen Anforderungen für die in § 11 BDSG geregelte Auftragsdatenverarbeitung mit sich gebracht. Relativ schnell wurden im Internet verschiedene Musterverträge für Auftragsdatenverarbeitungen frei verfügbar gemacht. Deren ungeprüfte und unveränderte Verwendung ist jedoch nicht empfehlenswert. Schon aufgrund der Eigenart jeder Datenverarbeitung im Auftrag ist eine individuell ausgestaltete Vereinbarung erforderlich, wie es ja auch dem Gesetzgeber vorschwebte. Außerdem sind die jeweiligen Parteiinteressen angemessen zu berücksichtigen - was die Vorlagen nur eingeschränkt leisten können.

Nach dem neuen § 11 BDSG ist in Auftragdatenverarbeitungsverträgen im Einzelnen insbesondere festzulegen:

  • der Gegenstand und die Dauer des Auftrags (Nr. 1),
  • der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen (Nr. 2),
  • die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen (Nr. 3),
  • die Berichtigung, Löschung und Sperrung von Daten (Nr. 4),
  • die nach § 11 Absatz 4 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen (Nr. 5),
  • die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen (Nr. 6),
  • die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers (Nr. 7),
  • mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen (Nr. 8),
  • der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält (Nr. 9) sowie
  • die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags (Nr. 10).

Dieser Katalog an Mindestanforderungen geht weit über die ehemalige Gesetzeslage nach § 11 BDSG a.F. hinaus. Nach § 11 Abs. 2 Satz 2 BDSG a.F. war lediglich gefordert, den Auftrag schriftlich zu erteilen, wobei die Datenerhebung, -verarbeitung oder -nutzung sowie die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen waren. Aufgrund der seit dem 1. September 2009 geltenden erweiterten Anforderungen sollten alle laufenden Auftragsdatenverarbeitungsverträge überprüft und gegebenenfalls an die neuen Anforderungen des § 11 BDSG angepasst werden.

Um diese Anpassung zu erleichtern, wurden im Netz verschiedene Musterverträge für Auftragsdatenverarbeitungen nach dem neuen § 11 BDSG veröffentlicht. So hat unter anderem das Regierungspräsidium Darmstadt einen solchen Mustervertrag entworfen, der aber mittlerweile schon wieder aus dem Netz genommen wurde, da er in Bereichen als überarbeitungsbedürftig erkannt wurde. Daneben ist bei der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) ein auf Grundlage des neues § 11 BDSG erstellter Vertrag abrufbar. Schließlich hat auch der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) ein solches Muster veröffentlicht, das auch Übersetzungshilfen in englischer Sprache enthält.

Alle drei Vertragsmuster erfordern die Anpassung an die konkrete vertragliche Situation. Dies gilt insbesondere für die Anhänge hinsichtlich der vom Auftragsdatenverarbeiter vorzunehmenden technischen und organisatorischen Schutzmaßnahmen. Eine beispielhafte Aufzählung oder gar nur eine Auflistung der Schutzziele im Sinne der Anlage zu § 9 BDSG genügt den gesetzlichen Anforderungen nicht.

Daneben ist entscheidend, welche Partei den Vertragsentwurf vorlegt. Die Mustervereinbarungen des Regierungspräsidiums Darmstadt und der BITKOM sind eher auftraggeberfreundlich gestaltet. So sieht das Muster des Regierungspräsidiums Darmstadt beispielsweise eine eigenständige Haftungs- und Vertragsstraferegelung vor. Würde ein IT-Dienstleister dieses Muster unverändert beispielsweise bei einem Outsourcing-Projekt verwenden, würde er damit unter Umständen die im Vertrag vorgesehen Service Levels hinsichtlich datenschutzrechtlicher Aspekte verschärfen. Zudem würde eine differenzierte Haftungsregelung, wie sie in komplexen Verträgen in der Regel vereinbart wird, für Verstöße bei der Auftragsdatenverarbeitung wirkungslos.

Neben den haftungsrechtlichen Punkten sollte von beiden Vertragsparteien auch besonderes Augenmerk auf den Pflichtenkatalog gelegt werden. Die entsprechenden Regelungen in den Musterverträgen können hier allenfalls als Orientierungshilfe genutzt werden. Ungeprüft sollten die Parteien sie jedoch nicht verwenden. So kann die Pflicht des Auftragnehmers, die relevanten Daten getrennt von sonstigen Datenbeständen aufzubewahren, wie es das Muster des Regierungspräsidiums Darmstadt vorsieht, entweder gar nicht durchführbar oder nur nach erheblichen Investitionen in die IT erfüllbar sein. Auch die Frage des Zugangs zu den Geschäftsräumen des Auftragnehmers im Rahmen der Durchführung von Prüfungen gebietet eine differenzierte Ausgestaltung, je nachdem, ob es sich etwa um Systeme im Closed-Shop-Betrieb eines Rechenzentrums handelt, Geschäftsgeheimnisse des Dienstleisters betroffen sind, etc.

Schließlich sind alle drei Muster auf die klassische Auftragsdatenverarbeitung zugeschnitten, also Konstellationen, bei denen die Verarbeitung personenbezogener Daten wie beim klassischen Outsourcing Gegenstand der vertraglichen Hauptpflichten des Auftragnehmers ist. Nach § 11 Abs. 5 BDSG ist aber auch dann eine schriftliche Vereinbarung zur Auftragsdatenverarbeitung abzuschließen, wenn Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen im Auftrag vorgenommen wird und dabei ein Zugriff des Auftragnehmers auf personenbezogene Daten nicht ausgeschlossen werden kann. Der Datenzugriff bei solchen Serviceleistungen gestaltet sich jedoch grundsätzlich anders als bei der klassischen Auftragsdatenverarbeitung. Der Zugriff auf personenbezogene Daten ist ein bloßer Annex zur eigentlichen Vertragserfüllung. Dies hat insoweit Auswirkungen auf die Maßnahmen, die zur Gewährleistung der Datensicherheit zu ergreifen sind. Die Hauptverantwortlichkeit liegt hier häufig beim Auftraggeber, was die Einhaltung der datenschutzrechtlichen Anforderungen betrifft.

Bei der Vereinbarung von Vereinbarungen zur Auftragsdatenverarbeitung können die drei genannten Vertragsmuster als erste Orientierungshilfe für die Umsetzung des Anforderungskatalogs des neuen § 11 Abs. 2 BDSG dienen. Eine Anpassung auf den jeweiligen Sachverhalt, insbesondere auf die Regelungen des Hauptvertrages, ist jedoch unvermeidlich, um eine gesetzeskonforme und den Parteiinteressen gerecht werdende Vereinbarung zu erzielen.

Posted by Flemming Moos on Wednesday 31 Mar 2010