Auftragsdatenverarbeitung – Warum Dienstleisterkontrollen?

daten 26
Fachbeitrag

Was bei der Auftragsdatenverarbeitung oft vergessen wird:
Die schönsten § 11-Verträge nützen nichts, wenn sich der Auftraggeber nicht über den Stand des Datenschutzes beim Auftragnehmer versichert.

Gesetzliche Regelung

§ 11 Abs. 2 BDSG regelt, dass der Auftragnehmer anhand der Datenschutzstandards sorgfältig auszuwählen ist. Diese Auswahl kann nur sinnvoll erfolgen, wenn der Auftraggeber überhaupt weiß, dass die geltenden Datenschutzstandards eingehalten werden.

Daher bestimmt § 11 Abs.2 Satz 4 BDSG, dass der Auftragnehmer vorab (sog. Erstkontrolle) und dann regelmäßig für die Dauer des Vertrages den Dienstleister entsprechend kontrolliert. Tut er das nicht, bringen dem Auftraggeber die besten Auftragsdatenverarbeitungsverträge nichts – denn bereits die Verletzung der Kontrollpflicht kann gemäß § 43 I Nr. 2b Alt. 2 BDSG mit einem Bußgeld von 50.000 Euro belegt werden.

Wie weit geht die Kontrollpflicht?

Wie weit die Kontrollpflicht geht, ist vom Gesetzgeber bewusst offen gelassen worden. Klar ist aber, dass nicht in jedem Fall eine Überprüfung vor Ort erfolgen muss. Zwar sollte sich der Auftraggeber diese Option vertraglich vorbehalten, um die Kontrolle im Ernstfall schnell durchführen zu können. In den meisten Fällen wäre eine solche Pflicht aber eine unangemesse Belastung – sowohl für den Auftraggeber als auch für den Auftragnehmer, der ja meist eine Vielzahl an Kunden hat.

Ausreichend sind daher – sofern keine besonderen Umstände ersichtlich sind – regelmäßig

  • Testat eines Sachverständigen
  • Datenschutzaudit
  • Schriftliche Auskunft des Auftragnehmers anhand von Fragebögen
  • Unabhängige Zertifikate

In jedem Fall muss aus diesen Unterlagen ersichtlich sein, dass der Auftragnehmer in der Lage und willens ist, die Anforderungen zu erfüllen, die auch der Auftraggeber erfüllen müsste, wenn er die Daten selbst verarbeiten würde!

Und die Unterlagen müssen auch wirklich eingesehen werden – der bloße Hinweis des Auftragnehmers, dass eine Zertifizierung erfolgt ist, genügt den gesetzlichen Anforderungen nicht.

Wann ist zu kontrollieren?

Klar ist, dass durch die zusätzlich vorgesehene „regelmäßige“ Kontrolle insbesondere bei längerfristigen Auftragsdatenverarbeitungen eine einmalige Kontrolle nicht ausreicht. Bewusst hat der Gesetzgeber aber keine strengen Fristen ins Gesetz eingeführt, da diese

der in der Praxis vorkommenden Bandbreite an Auftragsdatenverarbeitungen nicht gerecht (würde)

so der der Bericht des Innenausschusses zur Neufassung des § 11 BDSG – BT16/13657, S.18

Eine Pflicht zur Kontrolle besteht jedenfalls dann, wenn der Auftraggeber Hinweise auf Probleme beim Auftragnehmer erhalten hat. In diesem Fall muss der Auftraggeber massiv auf Einhaltung der Datenschutzstandards drängen. Hier ist schnelles Handeln geboten und regelmäßig eine Kontrolle vor Ort beim Auftragnehmer erforderlich – auf bloße Zusicherungen oder (veraltete) Zertifikate darf der Auftraggeber jedenfalls nicht mehr vertrauen.

Eine bewusste Duldung von Sicherheitslücken ist unter keinem Umstand zulässig. Zulässig wäre wohl allenfalls der Einwand, dass gerade eine parallele Prüfung durch einen neutralen und anerkannten Sachverständigten stattfindet.

Keine Kontrolle ohne Mitwirkung!

Da das Gesetz selbst keine Duldungspflicht des Auftragnehmers vorschreibt, taucht immer wieder der Fall auf, dass der Auftragnehmer die Kontrolle verweigert. Hier muss der Auftraggeber im Zweifel den Vertrag kündigen, da er ja seinerseits gesetzlich zur Kontrolle verpflichtet ist und im Zweifel ein Bußgeld droht. Um diesem Szenario zu entgehen, sollten Art und Umfang der Kontrollrechte bereits weitgehend im Vertrag festgeschrieben werden.

Keine Kontrolle ohne Protokolle!

Den Auftraggebern muss bewusst sein, dass eine Kontrolle unbedingt zu protokollieren ist. Zum einen ist dies in § 11 Abs. 2 Satz 5 BDSG gesetzlich vorgeschrieben. Zum anderen kann der Nachweis, dass eine Kontrolle stattgefunden hat, nur geführt werden, wenn dies auch ausreichend dokumentiert worden ist. Nur durch eine solche Dokumentation lässt sich der Handlungszeitpunkt belegen und kann sich der Auftraggeber z.B. gegenüber der Aufsichtsbehörde entlasten.

Merke

  • Der Auftragnehmer ist regelmäßig auf Einhaltung der Datenschutzstandards zu kontrollieren – sonst droht ein Bußgeld bis zu 50.000 EUR
  • Es gibt keine feste Frist – je sensibler die Datenverarbeitung desto schneller müssen die Kontrollen erfolgen
  • Die Kontrollen müssen nicht notwendigerweise vor Ort erfolgen – Zertifikate oder Fragebögen können ausreichen
  • Bei Kenntnis von Schutzlücken ist Vor-Ort-Kontrolle erforderlich – im Zweifel ist der Vertrag zu kündigen
  • Kontrollrechte sollten detailliert in den § 11-Vertrag aufgenommen werden
  • Die Kontrolle ist zu protokollieren

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.