BDSG-Novellen Achtung: sofort handeln! Ein Kurzüberblick über die rechtlichen Änderungen zur Auftragsdatenverarbeitung.

Auftragsdaten-verarbeitung (ADV) § 11 BDSG Auftragsdaten-verarbeitung (ADV)

Was ist Auftragsdatenverarbeitung (ADV) pb Daten Privileg der ADV Das Datenschutzrecht kennt kein Konzernprivileg (Problem gemeinsam genutzter Kundendatenbanken im Konzern) Das Datenschutzrecht ist „subsidiär“ Keine ADV mit Drittstaaten (angemessenes Datenschutzniveau)

Typische ADVs Rechenzentren, Druckereien, Schreibbüros, Marktforscher, Entsorger, Inkassounternehmen, Application-Service-Provider, Archivierungsdienste, Backup-Dienstleister, Adressdienstleister, Lettershops, Call-Center, Heimarbeiter (nicht Telearbeiter), Konzernunternehmen, Unternehmensberater, Handelsvertreter, Wartungstechniker, Prüfer, Auditoren, externe Administratoren Achtung: immer Einzelfallbetrachtung!

Abgrenzung (Quelle: LfD Niedersachsen) Auftragsdatenverarbeitung Funktionsübertragung fehlende Entscheidungsbefugnis des Auftragnehmers weisungsgebundene Unterstützung fehlende (vertragliche) Beziehung des Auftragnehmers zum Betroffenen Umgang nur mit Daten, die der Auftraggeber zur Verfügung stellt Überlassung von Nutzungsrechten an den Daten eigenverantwortliche Sicherstellung von Zulässigkeit und Richtigkeit der Daten durch den Dienstleister Sicherstellen der Rechte von Betroffenen (Benachrichtigungspflicht, Auskunftsanspruch)

Das Unternehmen als Auftraggeber Altverträge Altverträge unterliegen ebenfalls den Neuregelungen zur ADV (a.A. Hanloser, MMR 2009, 594, 597) 1. Erhebung, welche bestehenden Verträge der ADV unterliegen. Praxistipp: Mitarbeiter befragen! 2. Anpassung der Altverträge an die neue Rechtslage.

Vorgehensmodell 1 Vorlage der technisch-organisatorischen Maßnahmen durch den potenziellen Auftragnehmer 2 Auswahl des Auftragnehmers unter Berücksichtigung der technisch-organisatorischen Maßnahmen 3 Schriftlicher Auftrag mit Festlegung der technisch-organisatorischen Maßnahmen (Anforderungen des Auftraggebers, ggf. unter Berücksichtigung eines vom Auftragnehmer vorgelegten Datensicherheitskonzepts) 4 Erstmalige Prüfung der Umsetzung der technisch-organisatorischen Maßnahmen durch den Auftraggeber 5 Dokumentation des Ergebnisses der Prüfung der technisch-organisatorischen Maßnahmen/ Beginn der Datenverarbeitung 6 Festlegung und Durchführung der regelmäßigen Kontrolle der Umsetzung der technisch-organisatorischen Maßnahmen Quelle: GDD, Neue Anforderungen an die Auftragsdatenverarbeitung nach § 11 BDSG, 2009

Exkurs: technisch-organisatorische Maßnahmen technisch-organisatorische Maßnahmen: § 9 BDSG und Anlage zu § 9 Satz 1 BDSG Acht Kontrollmaßnahmen Quelle: IT Governance Institute, CoBiT Mapping, 2. Aufl., S. 71

Vorgehensmodell 1 Vorlage der technisch-organisatorischen Maßnahmen durch den potenziellen Auftragnehmer 2 Auswahl des Auftragnehmers unter Berücksichtigung der technisch-organisatorischen Maßnahmen 3 Schriftlicher Auftrag mit Festlegung der technisch-organisatorischen Maßnahmen (Anforderungen des Auftraggebers, ggf. unter Berücksichtigung eines vom Auftragnehmer vorgelegten Datensicherheitskonzepts) 4 Erstmalige Prüfung der Umsetzung der technisch-organisatorischen Maßnahmen durch den Auftraggeber 5 Dokumentation des Ergebnisses der Prüfung der technisch-organisatorischen Maßnahmen/ Beginn der Datenverarbeitung 6 Festlegung und Durchführung der regelmäßigen Kontrolle der Umsetzung der technisch-organisatorischen Maßnahmen Quelle: GDD, Neue Anforderungen an die Auftragsdatenverarbeitung nach § 11 BDSG, 2009

Arbeitshilfen Musterverträge: Mustervertrag der GDD www.gdd.de Aufsichtsbehörden: Regierungspräsidium Darmstadt, Datenschutzaufsichtsbehörde für den nicht öffentlichen Bereich http://cdl.niedersachsen.de/blob/images/C58779124_L20.pdf Bergmann/Möhrle/Herb, Datenschutzrecht, § 11 Anlage 1 Mustervertrag des Deutschen Dialogmarketing Verbandes e.V (DDV)

§ 11 Abs. 2 Satz 2 BDSG […] insbesondere im Einzelnen festzulegen sind: der Gegenstand und die Dauer des Auftrags, der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen die Berichtigung, Löschung und Sperrung von Daten, die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Vorgehensmodell 1 Vorlage der technisch-organisatorischen Maßnahmen durch den potenziellen Auftragnehmer 2 Auswahl des Auftragnehmers unter Berücksichtigung der technisch-organisatorischen Maßnahmen 3 Schriftlicher Auftrag mit Festlegung der technisch-organisatorischen Maßnahmen (Anforderungen des Auftraggebers, ggf. unter Berücksichtigung eines vom Auftragnehmer vorgelegten Datensicherheitskonzepts) 4 Erstmalige Prüfung der Umsetzung der technisch-organisatorischen Maßnahmen durch den Auftraggeber 5 Dokumentation des Ergebnisses der Prüfung der technisch-organisatorischen Maßnahmen/ Beginn der Datenverarbeitung 6 Festlegung und Durchführung der regelmäßigen Kontrolle der Umsetzung der technisch-organisatorischen Maßnahmen Quelle: GDD, Neue Anforderungen an die Auftragsdatenverarbeitung nach § 11 BDSG, 2009

Gesetzestext: § 11 Abs. 2 Satz 4, 5 BDSG „[…] Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.“

Prüfungen Achtung: Nicht zwangsläufig Vor-Ort-Prüfungen! „Abgesehen wird davon, dass sich der Auftraggeber unmittelbar beim Auftragnehmer vor Ort oder selbst in Person überzeugt. Dies wäre regelmäßig nicht angemessen und mit einem Verlust an Flexibilität verbunden, z. B. wenn der Auftraggeber ein Testat eines Sachverständigen einholen möchte oder wenn eine schriftliche Auskunft des Auftragnehmers ausreicht.“ BT-Druck 16/13657 Hinweis: Ein Sachverständiger kann ein DSB oder auch ein WP sein. Problem: Prüfungsumfang und Gegenstand der Prüfung

Prüfungen Prüfungsintervall: „Eine starre Frist, z. B. eine jährliche Kontrolle, würde der in der Praxis vorkommenden Bandbreite an Auftragsdatenverarbeitungen nicht gerecht.“ BT-Druck 16/13657 Umfang der Dokumentation „Nur durch eine Dokumentation lässt sich der Handlungszeitpunkt nachweisen und kann sich der Auftraggeber z. B. gegenüber der Aufsichtsbehörde entlasten. Eine nähere Ausgestaltung der Art und des Umfangs der Dokumentation erscheint nicht erforderlich und würde wiederum der Bandbreite an Auftragsdatenverarbeitungen nicht gerecht werden.“ BT-Druck 16/13657

Prüfungen Dokumentationsumfang (Vorschlag der GDD): Angaben zu den Beteiligten (Verfahrensverantwortlicher, konkreter Prüfer, DSB, CIO) Angaben zur betroffenen ADV (AN, Beginn/Ende, Art der ADV, Kritikalität, Angaben wo der ADV Vertrag vorgehalten wird) Angaben zur Kontrolle (Wann, Wo, Prüfer, Erstkontrolle/ laufende Kontrolle, Zeitpunkt der letzten Kontrolle) Art und Umfang der Kontrolle (vor Ort, schriftlich, vollständig, Schwerpunktprüfung) Feststellungen (vertragliche, gesetzliche, techn.-organisatorische Anforderungen eingehalten/nicht eingehalten; sonstige Verstöße; Verfahrensmeldung aktuell/zu überarbeiten) Weitere Maßnahmen (Zeitpunkt der nächsten Kontrolle/Nachkontrolle) Unterschrift des Prüfers

Vorgehensmodell 1 Vorlage der technisch-organisatorischen Maßnahmen durch den potenziellen Auftragnehmer 2 Auswahl des Auftragnehmers unter Berücksichtigung der technisch-organisatorischen Maßnahmen 3 Schriftlicher Auftrag mit Festlegung der technisch-organisatorischen Maßnahmen (Anforderungen des Auftraggebers, ggf. unter Berücksichtigung eines vom Auftragnehmer vorgelegten Datensicherheitskonzepts) 4 Erstmalige Prüfung der Umsetzung der technisch-organisatorischen Maßnahmen durch den Auftraggeber 5 Dokumentation des Ergebnisses der Prüfung der technisch-organisatorischen Maßnahmen/ Beginn der Datenverarbeitung 6 Festlegung und Durchführung der regelmäßigen Kontrolle der Umsetzung der technisch-organisatorischen Maßnahmen Quelle: GDD, Neue Anforderungen an die Auftragsdatenverarbeitung nach § 11 BDSG, 2009

Bußgeld (§ 43 Abs. 1 Nr. 2b BDSG) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder entgegen § 11 Absatz 2 Satz 4 BDSG sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt

Auftragsdatenverarbeitung (§ 11 BDSG) Handlungsempfehlungen Vertragsgestaltung: Anpassung der Altverträge Vorgabe zur Nutzung eines konformen Vertragsmusters im Unternehmen Prozessgestaltung: Einführung von Erstkontrollen Laufende Kontrollen Erarbeitung eines Prüfkonzepts Verantwortlichkeiten festlegen

Kontakt scope & focus Service-Gesellschaft Freie Berufe mbH Dipl.-Ök. Stephan Rehfeld Zeppelinstr. 8 30175 Hannover Telefon: (0511) 8 11 21 62 Fax: (0511) 3 07 62 40 E-Mail: information@scope-and-focus.com Internet: www.scope-and-focus.com