Mit der BDSG Novelle 2009 ist das Thema Auftragsdatenverarbeitung noch einmal erhebliche stärker geregelt worden. Unternehmen sollte daher dafür Sorge tragen, dass alle Verantwortlichen Bereiche informiert sind. Als erste Maßnahme kann das z.B. wie folgt geschehen:
Eine Anforderung des Datenschutzes ist es, dass für Verträge mit Dienstleistern bestimmte Rahmenbedingungen gelten. Das Bundesdatenschutzgesetz (BDSG) enthält hierzu Regelungen, die für den Umgang mit Dienstleistern des Unternehmens zu beachten sind.
Welche Verträge sind betroffen?
Von den Regelungen des BDSG erfasst werden Dienstleister, die mit personenbezogenen Daten in Berührung kommen, d.h. die persönliche Informationen übermittelt bekommen oder, z.B. im Rahmen von Wartungszugriffen, die Möglichkeit der Kenntnisnahme auf solche Daten haben. Personenbezogene Informationen sich auch Informationen, die aus Sicht des Dienstleister auf eine Person zurückführen lassen. Betroffen ist auch der Austausch innerhalb eines Konzerns, sofern hierbei ein Austausch zwischen unterschiedlichen juristischen Personen und nicht nur unselbstständigen Unternehmensteilen erfolgt (ein „Konzernprivileg“ gibt es im Datenschutz derzeit nicht). Es handelt sich in allen diesen Fällen grundsätzlich um Auftragsdatenverarbeitung im Sinne von § 11 BDSG.
Welche Anforderungen sind zu beachten?
Der deutsche und europäische Gesetzgeber hat für die Auftragsdatenverarbeitung vorgesehen, dass ein schriftlicher Vertrag mit dem Auftragnehmer /Konzernunternehmen zu schließen ist, der die Anforderungen des § 11 BDSG erfüllt. Für die Übermittlung außerhalb der EU gelten noch gesonderte Anforderungen. Die Verpflichtung eine schriftliche Vereinbarung zu schließen ist obligatorisch und deren Fehlen bußgeldbewehrt. Bei allen bestehenden Verträgen ist daher zu prüfen, ob die Anforderungen eingehalten wurden. Bevor neue Verträge zur Auftragsdatenverarbeitung abgeschlossen werden, ist der Datenschutzbeauftragte zu informieren. Der Datenschutzbeauftragte kann dann entscheiden, ob die Verträge datenschutzrechtlich in Ordnung sind und in welcher Form die gesetzlich vorgeschriebene Datenschutzkontrolle des Dienstleisters durchgeführt werden muss.
