Auch Jahre nach ihrer Einführung sind die Regelungen des Bundesdatenschutzgesetzes in vielen Unternehmen nicht umgesetzt. Das gilt auch und insbesondere für die Bestimmungen zur Auftragsdatenverarbeitung. Was bislang oft genug als lässliche Sünde galt, kann allerdings mit Bußgeldern von bis zu 50.000 Euro geahndet werden. Zumindest die Bayerische Landesdatenschutzaufsicht macht nun insoweit ernst.

Wie die Behörde selbst mitteilte, hat sie in einem Fall ein Bußgeld im hohen fünfstelligen Bereich gegen ein Unternehmen verhängt. Dessen Vergehen: Vereinbarungen zur Auftragsdatenverarbeitung waren zwar geschlossen – allerdings genügten diese nicht den gesetzlichen Anforderungen. Wer sich bisher überhaupt keine Gedanken zu diesem Thema gemacht hat (und das sind sehr viele Unternehmen), sollte dies tunlichst nachholen.

Worum es geht? Auftragsdatenverarbeitung meint die Verarbeitung von personenbezogenen Daten durch einen Dritten. Klassische Anwendungsfälle sind z.B. die Auslagerung von Arbeiten für die Lohn- und Gehaltsabrechnungen oder die Finanzbuchhaltung, die Nutzung von Cloud-Diensten, die Kontaktdatenerhebung durch ein Callcenter, die Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten, die Datenerfassung, die Datenkonvertierung oder das Einscannen von Dokumenten durch einen Dienstleister, die Backup-Sicherheitsspeicherung und andere Archivierungen, IT-Wartungsleistungen oder die Datenträgerentsorgung.

In all diesen Fällen werden personenbezogene Daten von Kunden, Mitarbeitern oder Lieferanten von dem verantwortlichen Unternehmen an ein drittes Unternehmen, nämlich den jeweiligen Vertragspartner weitergegeben. Hierfür bedarf es datenschutzrechtlich einer Rechtfertigung. Und diese liefert die Auftragsdatenverarbeitung.

Um eine solche Auftragsdatenverarbeitung rechtskonform durchzuführen, bedarf es eines relativ umfangreichen Vertrags, dessen Inhalte weitgehend gesetzlich vorgegeben sind (§§ 9, 11 BDSG). Nur eine Vereinbarung, die diesen Vorgaben genügt, ist geeignet, die Datenweitergabe zu rechtfertigen. Kernstück der Regelungen sind die Weisungs- und Kontrollrechte des Auftraggebers gegenüber dem externen Datenverarbeiter. Denn datenschutzrechtlich wird dieser behandelt, als wäre er quasi eine eigene Abteilung des verantwortlichen Unternehmens. Weiterer wichtiger Eckpunkt sind die technischen und organisatorischen Maßnahmen zur Datensicherheit (TOM), deren Einhaltung der Datenverarbeiter zusagen und die der Auftraggeber kontrollieren muss. Denn nur so behält er die Kontrolle darüber, ob mit den Daten in rechtskonformer Art und Weise umgegangen wird.

Genau an diesem letztgenannten Punkt störte sich der Bayerische Landesdatenschutzbeauftragte in dem Bußgeld-Fall. Denn die TOM waren in diesem Falle nicht konkret beschrieben, sondern es war lediglich der Gesetzestext wiedergeben. Das reicht aber nicht aus. Vielmehr muss im einzelnen vertraglich festgehalten werden, welche Maßnahmen der Datenverarbeiter trifft.

Auftraggeber sollten zur Vermeidung von Haftungsrisiken prüfen, welche Auftragsdatenverarbeitungen sie beauftragt haben und auch die bislang getroffenen Vereinbarungen unter die Lupe nehmen.

Auftragnehmer, also Unternehmen, die geschäftsmäßig Daten für Dritte verarbeiten, sollten im eigenen Interesse dringend die im eigenen Unternehmen getroffenen TOM analysieren und fixieren. Im Übrigen empfiehlt es sich sehr, eigene Standardverträge für die Auftragsdatenverarbeitung vorzusehen. Denn zwar handelt es sich gesetzlich um eine Pflicht des jeweiligen Auftraggebers. Allerdings sind die eigenen Prozesse des Auftragsdatenverarbeiters erheblich leichter zu steuern, wenn möglichst in allen Vertragsverhältnissen dieselben Vorgaben gelten. Und das lässt sich nur über eigene Standardverträge zur Auftragsdatenverarbeitung steuern.