print logo

Vorsicht Bußgeld - Vertrag zur Auftragsdatenverarbeitung oft zwingend erforderlich

Timo Schutt | 12.08.2013
In § 11 Bundesdatenschutzgesetz (BDSG) ist geregelt, dass zwingend dann ein schriftlicher Vertrag zu schließen ist, wenn personenbezogenen Daten im Auftrag von einem Dritten, also in der Regel einem Dienstleister, verarbeitet werden. In der Vorschrift wird überdies noch ein längerer Katalog an Pflichtinhalten für einen solchen Vertrag aufgeführt.

Kürzlich haben wir in einem Beitrag zu Cloud-Diensten gesehen, dass dort stets von einer solchen Auftragsdatenverarbeitung auszugehen ist. Dasselbe gilt aber beispielsweise auch dann, wenn Sie für Ihre Website ein Analyse-Tool nutzen, das die Daten nicht auf Ihrem Webserver ablegt, sondern beim Anbieter des Tools. Klassisches Beispiel ist hier Google Analytics. Auch hier müssen Sie zwingend einen schriftlichen Vertrag mit Google schließen.

Doch auch schon dann, wenn Sie beispielsweise eine Marketingaktion durchführen wollen und dafür ein Dienstleister den E-Mailverteiler, die Kundendatenbank oder die Daten der Lieferanten bekommen soll sind Sie verpflichtet, vorher schriftlich einen entsprechenden Vertrag zu schließen.

Außerdem sind Sie als Auftraggeber nach wie vor für die Daten verantwortlich, Sie sind „Verantwortliche Stelle“, wie es das Gesetz ausdrückt. Sie sind also auch verpflichtet, den Dienstleister sorgfältig auszuwählen, seine Zuverlässigkeit zu prüfen und die Umsetzung und Einhaltung der datenschutzrechtlichen Vorschriften vor Beginn der Auftragsdatenverarbeitung und sodann regelmäßig stichprobenartig zu prüfen. Diese Prüfung muss natürlich auch dokumentiert werden, weil Sie das im Zweifel – zum Beispiel gegenüber den Aufsichtsbehörden für den Datenschutz – nachweisen müssen.

Einmal mehr sind also viele rechtliche Anforderungen zu beachten. Tut man dies nicht, droht übrigens ein saftiges Bußgeld, da es sich um eine Ordnungswidrigkeit handelt, wenn die Vorgaben nicht eingehalten werden. eventuell kann das Ganze auch abgemahnt werden, wenn man nämlich der Meinung ist, dass es sich bei der Einhaltung der datenschutzrechtlichen Vorgaben auch um so genannte Marktverhaltensregeln handelt.

Wollen Sie hier auf der sicheren Seite sein, sollten Sie besser von Beginn an anwaltliche Hilfe in Anspruch nehmen. Rufen Sie uns gerne zu dem Thema an.

Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht