Die Verarbeitung von Kundendaten im Call-Center als Auftragsdatenverarbeitung
1 Auftragsdatenverarbeitung - Rechtliche Privilegierung und (neue) Voraussetzungen ihrer Inanspruchnahme
Für die Erbringung von Dienstleistungen durch Call-Center ist die Übermittlung von Kundendaten des Auftraggebers sowie deren weitere Verarbeitung und Nutzung durch Call-Center-Mitarbeiter in der Regel unverzichtbar. Dabei werden in der Praxis allerdings oft die strengen gesetzlichen Vorgaben zum Datenschutz missachtet, die vom Gesetzgeber im vergangenen Jahr noch einmal weiter verschärft wurden. Dies kann - nicht nur für den Auftraggeber, sondern auch für das beauftragte Call-Center - einschneidende Konsequenzen zur Folge haben, wie insbesondere in Form von Bußgeldern und weiteren Maßnahmen durch die zuständigen Datenschutzbehörden. Dabei wäre eine rechtliche Absicherung des ausführenden Call-Centers über das Modell der Auftragsdatenverarbeitung oftmals schon mit verhältnismäßig geringem Aufwand möglich, was in der Praxis aber entweder gänzlich unbeachtet bleibt oder - im Hinblick auf die neuen gesetzlichen Anforderungen - vielfach nur mangelhaft umge-setzt wird.
2 Rechtlicher Hintergrund und Vorteile der Auftragsdatenverarbeitung
Das Bundesdatenschutzgesetz (BDSG) stellt strenge Anforderungen an den Umgang mit Kundendaten, so genannten „personenbezogenen Daten“: Grundsätzlich ist die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten nur mit einer entsprechenden schriftlichen Einwilligung des Kunden zulässig. Liegt eine solche nicht vor, muss jeweils im Einzelfall geprüft werden, ob für die jeweilige Art der Datenverarbeitung und in Bezug auf den jeweiligen Kunden ein Ausnahmetatbestand nach § 28 BDSG vorliegt, z.B. wenn die Datenverarbeitung zur Durchführung eines Vertrages mit dem Kunden erforderlich ist. Ein solches Vertragsverhältnis besteht aber in der Regel nur zwischen dem Kunden und dem Auftraggeber, nicht jedoch mit dem Call-Center selbst. Dies erschwert die Begründung der datenschutzrechtlichen Zulässigkeit in der Regel erheblich.
Als Lösungsmöglichkeit bietet das Gesetz den Tatbestand der Auftragsdatenverarbeitung an, § 11 BDSG: Liegen die Voraussetzungen für eine Auftragsdatenverarbeitung vor, dann ist das Call-Center rechtlich nicht als „Dritter“, sondern quasi als „verlängerter Arm“ des Auftraggebers anzusehen. Damit gilt die Datenweitergabe an das Call-Center nicht als rechtlich relevante „Übermittlung von Daten“ im Sinne des BDSG und der Auftraggeber bleibt im datenschutzrechtlichen Sinne allein verantwortlich. Damit entfallen für das Call-Center auch weitere lästige Pflichten, welche die so genannte „verantwortliche Stelle“ nach dem BDSG treffen, z. B. die Erfüllung des Auskunftsanspruchs gegenüber dem Kunden. Die Auftragsdatenverarbeitung stellt also eine rechtliche Privilegierung des Auftragnehmers, hier des Call-Centers, dar.
3 Voraussetzung der Auftragsdatenverarbeitung/ Abgrenzung zur Funktionsübertragung
Das Privileg der Auftragsdatenverarbeitung kann allerdings nur unter bestimmten Voraussetzungen in Anspruch genommen werden. Insbesondere liegt ein Fall der Auftragsdatenverarbeitung nur vor, wenn das Call-Center im Hinblick auf die Datenverarbeitung weisungsabhängig vom Auftraggeber ist und keinen eigenen Entscheidungsspielraum hat.
Je nachdem, welche Aufgaben dem Call-Center übertragen werden, bestehen ferner Meinungsverschiedenheiten darüber, inwiefern bzw. unter welchen Voraussetzungen bei der Übertragung von inhaltlich komplexeren Aufgaben noch von einer Auftragsdatenverarbeitung ausgegangen werden kann oder ob bzw. wann in solchen Fällen die Grenze zu einer Funktionsübertragung überschritten ist, die - so jedenfalls die bisher überwiegende Meinung - eine Auftragsdatenverarbeitung ausschließt. Insoweit gilt in jedem Fall die Empfehlung, dies durch einen Spezialisten im Einzelfall prüfen zu lassen.
Zudem müssen für das Eingreifen der Privilegierung die weiteren Voraussetzungen des § 11 Abs. 2 BDSG erfüllt sein, d. h. dass zwischen Auftraggeber und dem Call-Center ein schriftlicher Vertrag geschlossen werden muss, der Vorgaben zu sämtlichen zehn Punkten des im letzten Jahr eingeführten Regelungskatalogs des § 11 Abs. 2 Satz 2 BDSG trifft. Danach müssen umfangreiche und vor allem konkrete Regelungen getroffen werden, insbesondere zu Art, Umfang und Zweck der vorgesehenen Datenverarbeitung, zur Art der Daten, zum Kreis der Betroffenen, zu den zur Datensicherheit zu treffenden technischen und organisatorischen Maßnahmen, u.s.w.. Diese neuen, strengen Voraussetzungen werden nur von den wenigsten der in der Call-Center-Praxis bis zu diesem Zeitpunkt geschlossenen Datenschutzvereinbarungen erfüllt, die daher dringend überarbeitet werden sollten. Dies war sogar einer der Gründe für die umfassende Datenschutzreform im Jahr 2009. In der Gesetzesbegründung heißt es beispielsweise:
„ ... Anlass für das vorliegende Gesetzgebungsverfahren hat vor allem der rechtswidrige Umgang von Call-Center Mitarbeitern mit personenbezogenen Daten gegeben. (...) In der Praxis ist festzustellen, dass insbesondere § 11 Abs. 2 Satz 2 BDSG häufig nicht beachtet wird. So wird in vielen Fällen der Auftrag nicht schriftlich erteilt bzw. der schriftliche Auftrag enthält keine schriftlichen Regelungen hinsichtlich der Datenerhebung, -verarbeitung oder -nutzung, der technischen und organisatorischen Maßnahmen oder etwaiger Unterauftragsverhältnisse. Häufig beschränken sich die „Festlegungen“ auch auf den Satz, die Vorschriften des Bundesdatenschutzgesetzes seien vom Auftragnehmer zu beachten, bzw. auf eine Wiedergabe der gesetzlichen Regelungen. Mitunter wird vertraglich vereinbart; nähere Festlegungen erfolgen mündlich, was jedoch regelmäßig nicht geschieht. Schriftliche Regelungen zur Löschung der Daten bzw. deren Rückgabe nach Erledigung des Auftrags werden nur selten getroffen. ...“
4 Konsequenzen einer nicht ordnungsgemäßen Auftragserteilung
Die Konsequenzen einer nicht ordnungsgemäßen Auftragserteilung können nach dem neuen BDSG erheblich sein. Nach neuem Recht kann ein Bußgeld bis zu 50.000 EUR gegen denjenigen – gemeint ist i.d.R. der Auftraggeber – verhängt werden, der entgegen § 11 Abs. 2 Satz 2 BDSG einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt. Schon aus dem Servicegedanken heraus müsste daher eigentlich jedem Call-Center daran gelegen sein, die eigenen Auftraggeber durch die korrekte Gestaltung der Auftragserteilung vor diesem Risiko zu bewahren. Auch für das ausführende Call-Center selbst könnte die nicht ordnungsgemäße Auftragserteilung zukünftig aber weit reichende Konsequenzen haben: Sofern das Schriftformerfordernis in § 11 Abs. 2 Satz 2 BDSG konstitutiv zu verstehen ist - was von namhaften Vertretern der datenschutzrechtlichen Literatur vertreten wird - könnten Verträge, die den neuen Anforderungen nicht entsprechen, gemäß §§ 125, 139 BGB im Zweifel als insgesamt formnichtig anzusehen sein. In diesem Fall bestünde für den Auftragnehmer damit oftmals keine rechtliche Legitimation für die Auftragsdatenverarbeitung. Problematisch wäre in der Konsequenz insbesondere, dass die zuständigen Behörden für den Fall der unbefugten Verarbeitung von personenbezogenen Daten - abhängig von den Umständen des Einzelfalls - Geldbußen sogar bis zu EUR 300.000,00 verhängen könnten.
5 Fazit
Die Abgrenzung, ob im Einzelfall der Anwendungsbereich der Auftragsdatenverarbeitung eröffnet ist, ist in der Praxis zwar häufig schwer zu treffen. Insoweit besteht aber regelmäßig ein gewisser vertraglicher Gestaltungsspielraum, den es im Hinblick auf die Vorteile des Status als Auftragsdatenverarbeiter auszunutzen gilt. Außerdem sollte bei der Umsetzung der weiteren Vorgaben des § 11 Abs. 2 BDSG sorgfältig gearbeitet werden. Zwar existieren hierzu mittlerweile diverse Vertragsmuster im Internet, vor deren unbedarfter Verwendung allerdings nur gewarnt werden kann. Zum einen sind diese größtenteils unvollständig und zum anderen werden derartige allgemeine Muster nur in den seltensten Fällen der konkreten Situation zwischen dem jeweiligen Call-Center und dem Auftraggeber gerecht. Dass nicht allgemeine und abstrakte, sondern vielmehr individuelle und konkrete Regelungen getroffen werden, ist jedoch von 11 Abs. 2 Satz 2 BDSG gerade vorausgesetzt. Das Risiko von Bußgeldern kann durch die Verwendung derartiger Muster daher nicht verhindert werden. Eine individuelle rechtliche Beratung bleibt daher insoweit unverzichtbar.
Dies ist ein Auszug des kostenlosen eBook „Erfolgreiches Callcenter 2011“.
Unter http://www.erfolgreiches-callcenter.de können Sie im „Download“-Bereich das komplette eBook mit allen Artikeln anfordern.
Hier geht es zur Veranstaltung "Erfolgreiches Callcenter":
http://www.marketing-boerse.de/Termin/details/Erfolgreiches-Callcenter
Für die Erbringung von Dienstleistungen durch Call-Center ist die Übermittlung von Kundendaten des Auftraggebers sowie deren weitere Verarbeitung und Nutzung durch Call-Center-Mitarbeiter in der Regel unverzichtbar. Dabei werden in der Praxis allerdings oft die strengen gesetzlichen Vorgaben zum Datenschutz missachtet, die vom Gesetzgeber im vergangenen Jahr noch einmal weiter verschärft wurden. Dies kann - nicht nur für den Auftraggeber, sondern auch für das beauftragte Call-Center - einschneidende Konsequenzen zur Folge haben, wie insbesondere in Form von Bußgeldern und weiteren Maßnahmen durch die zuständigen Datenschutzbehörden. Dabei wäre eine rechtliche Absicherung des ausführenden Call-Centers über das Modell der Auftragsdatenverarbeitung oftmals schon mit verhältnismäßig geringem Aufwand möglich, was in der Praxis aber entweder gänzlich unbeachtet bleibt oder - im Hinblick auf die neuen gesetzlichen Anforderungen - vielfach nur mangelhaft umge-setzt wird.
2 Rechtlicher Hintergrund und Vorteile der Auftragsdatenverarbeitung
Das Bundesdatenschutzgesetz (BDSG) stellt strenge Anforderungen an den Umgang mit Kundendaten, so genannten „personenbezogenen Daten“: Grundsätzlich ist die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten nur mit einer entsprechenden schriftlichen Einwilligung des Kunden zulässig. Liegt eine solche nicht vor, muss jeweils im Einzelfall geprüft werden, ob für die jeweilige Art der Datenverarbeitung und in Bezug auf den jeweiligen Kunden ein Ausnahmetatbestand nach § 28 BDSG vorliegt, z.B. wenn die Datenverarbeitung zur Durchführung eines Vertrages mit dem Kunden erforderlich ist. Ein solches Vertragsverhältnis besteht aber in der Regel nur zwischen dem Kunden und dem Auftraggeber, nicht jedoch mit dem Call-Center selbst. Dies erschwert die Begründung der datenschutzrechtlichen Zulässigkeit in der Regel erheblich.
Als Lösungsmöglichkeit bietet das Gesetz den Tatbestand der Auftragsdatenverarbeitung an, § 11 BDSG: Liegen die Voraussetzungen für eine Auftragsdatenverarbeitung vor, dann ist das Call-Center rechtlich nicht als „Dritter“, sondern quasi als „verlängerter Arm“ des Auftraggebers anzusehen. Damit gilt die Datenweitergabe an das Call-Center nicht als rechtlich relevante „Übermittlung von Daten“ im Sinne des BDSG und der Auftraggeber bleibt im datenschutzrechtlichen Sinne allein verantwortlich. Damit entfallen für das Call-Center auch weitere lästige Pflichten, welche die so genannte „verantwortliche Stelle“ nach dem BDSG treffen, z. B. die Erfüllung des Auskunftsanspruchs gegenüber dem Kunden. Die Auftragsdatenverarbeitung stellt also eine rechtliche Privilegierung des Auftragnehmers, hier des Call-Centers, dar.
3 Voraussetzung der Auftragsdatenverarbeitung/ Abgrenzung zur Funktionsübertragung
Das Privileg der Auftragsdatenverarbeitung kann allerdings nur unter bestimmten Voraussetzungen in Anspruch genommen werden. Insbesondere liegt ein Fall der Auftragsdatenverarbeitung nur vor, wenn das Call-Center im Hinblick auf die Datenverarbeitung weisungsabhängig vom Auftraggeber ist und keinen eigenen Entscheidungsspielraum hat.
Je nachdem, welche Aufgaben dem Call-Center übertragen werden, bestehen ferner Meinungsverschiedenheiten darüber, inwiefern bzw. unter welchen Voraussetzungen bei der Übertragung von inhaltlich komplexeren Aufgaben noch von einer Auftragsdatenverarbeitung ausgegangen werden kann oder ob bzw. wann in solchen Fällen die Grenze zu einer Funktionsübertragung überschritten ist, die - so jedenfalls die bisher überwiegende Meinung - eine Auftragsdatenverarbeitung ausschließt. Insoweit gilt in jedem Fall die Empfehlung, dies durch einen Spezialisten im Einzelfall prüfen zu lassen.
Zudem müssen für das Eingreifen der Privilegierung die weiteren Voraussetzungen des § 11 Abs. 2 BDSG erfüllt sein, d. h. dass zwischen Auftraggeber und dem Call-Center ein schriftlicher Vertrag geschlossen werden muss, der Vorgaben zu sämtlichen zehn Punkten des im letzten Jahr eingeführten Regelungskatalogs des § 11 Abs. 2 Satz 2 BDSG trifft. Danach müssen umfangreiche und vor allem konkrete Regelungen getroffen werden, insbesondere zu Art, Umfang und Zweck der vorgesehenen Datenverarbeitung, zur Art der Daten, zum Kreis der Betroffenen, zu den zur Datensicherheit zu treffenden technischen und organisatorischen Maßnahmen, u.s.w.. Diese neuen, strengen Voraussetzungen werden nur von den wenigsten der in der Call-Center-Praxis bis zu diesem Zeitpunkt geschlossenen Datenschutzvereinbarungen erfüllt, die daher dringend überarbeitet werden sollten. Dies war sogar einer der Gründe für die umfassende Datenschutzreform im Jahr 2009. In der Gesetzesbegründung heißt es beispielsweise:
„ ... Anlass für das vorliegende Gesetzgebungsverfahren hat vor allem der rechtswidrige Umgang von Call-Center Mitarbeitern mit personenbezogenen Daten gegeben. (...) In der Praxis ist festzustellen, dass insbesondere § 11 Abs. 2 Satz 2 BDSG häufig nicht beachtet wird. So wird in vielen Fällen der Auftrag nicht schriftlich erteilt bzw. der schriftliche Auftrag enthält keine schriftlichen Regelungen hinsichtlich der Datenerhebung, -verarbeitung oder -nutzung, der technischen und organisatorischen Maßnahmen oder etwaiger Unterauftragsverhältnisse. Häufig beschränken sich die „Festlegungen“ auch auf den Satz, die Vorschriften des Bundesdatenschutzgesetzes seien vom Auftragnehmer zu beachten, bzw. auf eine Wiedergabe der gesetzlichen Regelungen. Mitunter wird vertraglich vereinbart; nähere Festlegungen erfolgen mündlich, was jedoch regelmäßig nicht geschieht. Schriftliche Regelungen zur Löschung der Daten bzw. deren Rückgabe nach Erledigung des Auftrags werden nur selten getroffen. ...“
4 Konsequenzen einer nicht ordnungsgemäßen Auftragserteilung
Die Konsequenzen einer nicht ordnungsgemäßen Auftragserteilung können nach dem neuen BDSG erheblich sein. Nach neuem Recht kann ein Bußgeld bis zu 50.000 EUR gegen denjenigen – gemeint ist i.d.R. der Auftraggeber – verhängt werden, der entgegen § 11 Abs. 2 Satz 2 BDSG einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt. Schon aus dem Servicegedanken heraus müsste daher eigentlich jedem Call-Center daran gelegen sein, die eigenen Auftraggeber durch die korrekte Gestaltung der Auftragserteilung vor diesem Risiko zu bewahren. Auch für das ausführende Call-Center selbst könnte die nicht ordnungsgemäße Auftragserteilung zukünftig aber weit reichende Konsequenzen haben: Sofern das Schriftformerfordernis in § 11 Abs. 2 Satz 2 BDSG konstitutiv zu verstehen ist - was von namhaften Vertretern der datenschutzrechtlichen Literatur vertreten wird - könnten Verträge, die den neuen Anforderungen nicht entsprechen, gemäß §§ 125, 139 BGB im Zweifel als insgesamt formnichtig anzusehen sein. In diesem Fall bestünde für den Auftragnehmer damit oftmals keine rechtliche Legitimation für die Auftragsdatenverarbeitung. Problematisch wäre in der Konsequenz insbesondere, dass die zuständigen Behörden für den Fall der unbefugten Verarbeitung von personenbezogenen Daten - abhängig von den Umständen des Einzelfalls - Geldbußen sogar bis zu EUR 300.000,00 verhängen könnten.
5 Fazit
Die Abgrenzung, ob im Einzelfall der Anwendungsbereich der Auftragsdatenverarbeitung eröffnet ist, ist in der Praxis zwar häufig schwer zu treffen. Insoweit besteht aber regelmäßig ein gewisser vertraglicher Gestaltungsspielraum, den es im Hinblick auf die Vorteile des Status als Auftragsdatenverarbeiter auszunutzen gilt. Außerdem sollte bei der Umsetzung der weiteren Vorgaben des § 11 Abs. 2 BDSG sorgfältig gearbeitet werden. Zwar existieren hierzu mittlerweile diverse Vertragsmuster im Internet, vor deren unbedarfter Verwendung allerdings nur gewarnt werden kann. Zum einen sind diese größtenteils unvollständig und zum anderen werden derartige allgemeine Muster nur in den seltensten Fällen der konkreten Situation zwischen dem jeweiligen Call-Center und dem Auftraggeber gerecht. Dass nicht allgemeine und abstrakte, sondern vielmehr individuelle und konkrete Regelungen getroffen werden, ist jedoch von 11 Abs. 2 Satz 2 BDSG gerade vorausgesetzt. Das Risiko von Bußgeldern kann durch die Verwendung derartiger Muster daher nicht verhindert werden. Eine individuelle rechtliche Beratung bleibt daher insoweit unverzichtbar.
Dies ist ein Auszug des kostenlosen eBook „Erfolgreiches Callcenter 2011“.
Unter http://www.erfolgreiches-callcenter.de können Sie im „Download“-Bereich das komplette eBook mit allen Artikeln anfordern.
Hier geht es zur Veranstaltung "Erfolgreiches Callcenter":
http://www.marketing-boerse.de/Termin/details/Erfolgreiches-Callcenter