Anforderungen an eine Auftragsdatenverarbeitung

Drei Jahre. Drei Jahre ist es her, dass eine der Novellen des Bundesdatenschutzgesetzes die Anforderungen an eine Auftragsdatenverarbeitung strenger fasste. Wer also personenbezogene Daten durch ein anderes Unternehmen verarbeiten lässt, ist seither gehalten, die in § 11 BDSG definierten Anforderungen einzuhalten. Spätestens! An Dritte ausgelagerte Datenverarbeitung ist heute fast eher die Regel denn die Ausnahme, so dass die Vorschrift eine umfassende praktische Bedeutung im Alltag praktisch jeden Unternehmens hat. Angefangen beim Steuerbüro, das die Lohnbuchhaltung erledigt, über das Rechenzentrum, das Server vermietet, bis zum Schreibdienst für Arztbriefe finden sich all überall Verhältnisse von Auftragsdatenverarbeitung, die dem § 11 BDSG unterliegen.

Klare Vorgaben

Der Gesetzestext des § 11 BDSG ist klar und deutlich gefasst und lässt wenig Spielraum für Interpretationen, was getan werden muss.

Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen.

Damit ist ausgeschlossen, ein Unternehmen zu beauftragen, ohne sich vorher wenigstens eine Liste mit technischen und organisatorischen Sicherheitsmaßnahmen vorlegen zu lassen.

Weiter heißt es:

Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:

1. der Gegenstand und die Dauer des Auftrags,

2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,

3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,

4. die Berichtigung, Löschung und Sperrung von Daten,

5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,

6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,

7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,

8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,

9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,

10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Liest man diesen Text, liegt eigentlich auf der Hand, dass die Regelung dieser Punkte schon im ureigenen Interesse des Auftraggebers liegen sollte. Bleibt doch der Auftraggeber für die dem Auftragnehmer überlassenen Daten verantwortlich. Auch die weitere Vorgabe,

der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.

sollte genau genommen im Interesse des Auftraggebers liegen.

Bekanntheitsgrad gegen Null

Warum nur ist drei Jahre nach Inkrafttreten dieser Regelegung in der Praxis davon immer noch so wenig bekannt?  Ich hatte in der letzten Woche allein gleich wieder drei Vorgänge auf dem Schreibtisch, die auf eine absolute Unkenntnis – und in einzelnen Fällen schlimmer noch, den Unwillen der Beteiligten schließen lassen.

Löschungsfristen? Bürokratie!

Ein Krankenhaus, das Patientendaten an einen externen Dienstleister übergeben will und meint, mit einer allgemeinen Erklärung, dass die Mitarbeiter des Dienstleisters zur Geheimhaltung verpflichtet seien, sei es ausreichend abgesichert. Durch den Dienstleister auf die Notwendigkeit einer umfassenden Regelung angesprochen, reagierte der im Krankenhaus für zuständig erklärte Mitarbeiter unwirsch: Das sei doch nun überflüssige Bürokratie. Die Vorgabe von Löschungsfristen für Patientendaten nach Abschluss eines Auftrags ist überflüssige Bürokratie? Auf die Idee muss man erst mal kommen.

Rechenzentrum

In einem anderen Fall fiel es einem Anbieter von Telekommunikationsdienstleistungen ein, dass vielleicht mit dem Rechenzentrum, in dem schon seit Jahren sämtliche Verbindungs- und Zahlungsdaten der Kunden verarbeitet wurden, doch mal ein Vertrag über Auftragsdatenverarbeitung geschlossen werden müsste. Die Verantwortlichen im Rechenzentrum waren überrascht ob dieses Ansinnens, aber vorbereitet. Sie legten eine umfassende Dokumentation über Sicherheitsmaßnahmen vor.

Lascher Umgang mit dem wertvollsten Kapital

Es ist mir unverständlich, warum Unternehmen mit ihrem wertvollsten Kapital – den Daten – so lasch umgehen. (Von den Persönlichkeitsrechten derer, die ihre Daten im Zweifel in der Öffentlichkeit wiederfinden, wollen wir ja noch mal gar nicht reden). Würde man sein Auto einer Werkstatt anvertrauen, von der man nicht weiß, ob das Personal überhaupt fachlich qualifiziert ist? Würde man einen Postboten, der nur Briefe abgeben soll, allein in der eigenen Wohnung lassen? Wohl kaum. Merkwürdig nur, dass manche Unternehmen genau das täglich tun.

Der gesamte Wortlaut des § 11 BDSG ist unter anderem hier erhältlich:

http://www.gesetze-im-internet.de/bdsg_1990/__11.html

Wichtig ist in diesem Zusammenhang auch § 9 BDSG, auf den in § 11 verwiesen wird

http://www.gesetze-im-internet.de/bdsg_1990/__9.html

Read More