Hohes Bußgeld wegen Auftragsdatenverarbeitung

Datenschutzrecht, Privacy Law, Auftragsdatenverarbeitung, Bußgeld, technische und organisatorische Maßnahmen, Rechtsanwalt David Seiler, Cottbus, Leipzig, Dresden, Berlin, Brandenburg

Datenschutzrecht: Hohes Bußgeld wegen Auftragsdatenverarbeitung ohne richtigen Vertrag

Die bayrische Datenschutzaufsichtsbehörde hat in einer Pressemeldung am 20.08.2015 mitgeteilt, dass sie gegen ein Unternehmen, dass einen externen Dienstleister mit der Auftragsdatenverarbeitung (kurz ADV) ohne ausreichenden Vertrag beauftragt hat, ein Bußgeld in fünfstelliger Höhe verhängt hat.

Was ist eine Auftragsdatenverarbeitung?

Das Bundesdatenschutzgesetz (BDSG) regelt den Schutz von Daten natürlicher Personen (also nicht juristische Personen wie GmbH oder Aktiengesellschaften). Geschützt ist jede Information über eine natürliche Person (sogenannte personenbezogene Daten). Das Unternehmen, welches die Daten von Mitarbeitern, Kunden oder Lieferanten erfasst, erhebt diese, speichert und verarbeitet diese. Das Unternehmen wird im BDSG als verantwortliche Stelle bezeichnet. Wenn das Unternehmen diese Aufgabe jedoch auf einen externen Dienstleister outsourct, kommt hier das Rechtsinstitut der Auftragsdatenverarbeitung in Betracht, § 11 Abs. 2 BDSG a. F..

(Update: seit 25.05.2018: Art. 28 DSGVO)

Welche Vorteile hat eine Auftragsdatenverarbeitung?

Grundsätzlich bedarf jede Datenverarbeitung (Art. 4 Nr. 2 DSGVO) der vorherigen ausdrücklichen und schriftlichen Zustimmung der betroffenen Personen, deren Daten verarbeitet werden. Eine Zustimmung ist nicht erforderlich, wenn das Gesetz (BDSG oder ein anderes Gesetz) die Datenverarbeitung ausdrücklich erlaubt oder anordnet. (Update: siehe Art. 6 DSGVO, Art. 9 DSGVO) Unter den Begriff der Datenverarbeitung fällt auch die Datenübermittlung an andere Unternehmen, die im Juristendeutsch Dritte genannt werden. Ein Unternehmen müsste erst alle Mitarbeiter, Kunden und sonstige Personen, deren Daten es durch einen externen Dienstleister verarbeiten lassen will, um deren schriftliche Zustimmung zu der Outsourcing-Maßnahme bitte. Dass dies eine völlig inpraktikable Forderung wäre, es aber andererseits ein berechtigtes Bedürfnis an der Nutzung externer IT-Unterstützung durch Spezialisten oder spezialisierte Unternehmen gibt und dies im Rahmen einer arbeitsteiligen Wirtschaft notwendig ist, hat auch der Gesetzgeber erkannt.

Daher hat er das Institut der Auftragsdatenverarbeitung (ADV) geschaffen (Update: DSGVO-Terminologie: Auftragsverarbeitung, AVV). Dabei werden zwar faktisch Daten an ein anderes Unternehmen zur Verarbeitung gegeben, jedoch wird dies rechtlich nicht als Datenweitergabe gewertet. Allerdings erkauft sich das auslagernde Unternehmen dieses Privileg dadurch, dass es den Dienstleister durch einen Vertrag zur Auftragsdatenverarbeitung derart eng an sich binden und bestimmte gesetzlich vorgegebene Vertragsinhalte vorab schriftlich mit ihm vereinbaren muss, dass die mit der Auslagerung theoretisch erhöhte Gefährdung der Daten zumindest rechtlich ausgeschlossen ist.

Welche Leistungen fallen unter Auftragsdatenverarbeitung?

Es gibt keinen abschließenden Katalog an IT-Dienstleistungen, die unter die Auftragsdatenverarbeitung fallen. Entscheidend ist, ob der IT-Dienstleister streng weisungsgebunden und ohne eigene Entscheidungskompetenz die personenbezogenen Daten für den Auftraggeber verarbeitet. Typische Beispiele (Update: siehe Bespiele für Auftragsverarbeitung nach DSGVO im Kurzpapier der DSK, dort im Anhang) hierfür sind u.a.

  • dv-technischen Arbeiten für die Lohn- und Gehaltsabrechnungen oder die Finanzbuchhaltung,
  • Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, Hosting-Leistungen
  • die Werbeadressenverarbeitung, Rechnungsversand durch einem Lettershop,
  • die Kontaktdatenerhebung durch ein Callcenter,
  • die Auslagerung eines Teils des eigenen Telekommunikationsanlagenbetriebs (soweit nicht TKG),
  • die Auslagerung der E-Mail-Verwaltung, Newsletter-Verteiler oder von sonstigen Datendiensten zu Webseiten,
  • die Datenerfassung, die Datenkonvertierung oder das Einscannen von Dokumenten,
  • die Backup-Sicherheitsspeicherung und andere Archivierungen,
  • die Datenträgerentsorgung,
  • die Aktenvernichtung

Keine Auftragsdatenverarbeitung sind fachlich-intellektuelle Leistungen, die eigenverantwortlich von Spezialisten erbracht werden und nicht weisungsgebunden sein können, z.B. Personalverwaltung, Beratungs- und Gutachtenleistungen, Leistungen von Berufsgeheimnisträgern, also z.B. ärztliche Tätigkeit.

IT-Installations- und Wartungsarbeiten, Fernwartung als ADV?

In der Praxis häufig übersehen wird, dass auch durch die Einschaltung externer IT-Dienstleister, die Installations- und Wartungsaufgaben, Support oder Softwaretests im Unternehmen durchführen, sei es vor Ort oder per Fernwartung (in der Praxis auf via Teamviewer), die Gefahr besteht, dass dabei Daten „abgezogen“ und unrechtmäßig verwendet werden. Daher hat der Gesetzgeber angeordnet, dass auch in den Fällen der IT-Wartung, bei denen die Möglichkeit der Kenntnisnahme personenbezogener Daten nicht ausgeschlossen ist, die gleichen strengen vertraglichen Regelung zu treffen sind, wie bei der (eigentlichen) Auftragsdatenverarbeitung, § 11 Abs. 5 BDSG a.F.. (Update: Diese Regelung gibt es in der DSGVO zwar nicht mehr,  jedoch ordnet die Datenschutzaufsicht diese Tätigkeiten aus Auftragsverarbeitung –  AVV – ein,  so dass ein Vertrag nach Art. 28 DSGVO mit der Definition von technisch/organisatorischen Maßnahmen nach Art. 32 DSGVO  – und bei Gesundheitsdaten nach § 22 Abs. 2 BSDG – erforderlich ist.)

Was muss bei einer Auftragsdatenverarbeitung vertraglich geregelt werden?

Zunächst steht vor dem Vertragsschluss die Pflicht, den Dienstleister (Auftragsdatenverarbeiter) sorgfältig auszuwählen und dabei insbesondere zu prüfen, ob er die erforderlichen technischen und organisatorischen Maßnahmen (toM – vgl. Art. 32 DSGVO) zum Schutz der Daten kennt und getroffen hat. Der Vertrag zur Auftragsdatenverarbeitung muss schriftlich (Papier mit Unterschriften beider Vertragsparteien) erfolgen (Update: Art. 28 Abs.  9 DSGVO ist auch ein „elektronisches Format“ zulässig). Fax, E-Mail oder Online-Beschaffungsplattform kommen bei ADV nicht in Betracht.

Inhaltlich schreibt § 11 Abs. 2 BDSG a.F. den Mindest-Vertragsinhalt vor:

  1. der Gegenstand und die Dauer des Auftrags,
  2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  3. die nach Anlage zu § 9 zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

(Update: seit 25.05.2018 gilt Art. 28 DSGVO)

Die nach Nr. 3 zu vereinbarenden technischen und organisatorischen Datenschutzmaßnahmen (toM) sind in der Anlage zu § 9 BDSG a.F. in 8 Punkten aufgelistet:

  1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
  2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
  3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
  4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
  5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
  6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
  8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

(Update: Seit 25.05.2018 gilt die DSGVO, zu technischen und organisatorischen Maßnahmen siehe Art. 32 DSGVO)

Bei Nr. 2 – 4 ist vom Gesetz als eine Maßnahme der Einsatz eines aktuellen Verschlüsselungsverfahrens genannt.

Schon die Liste der 18 zwingend zu regelnden Vertragspunkte lässt den Umfang des Regelungsbedarfes erahnen. Zudem bedarf es einiger it-technischer und vor allem rechtlicher Kenntnisse, um auch nur einen der von Verbänden und Aufsichtsbehörden im Internet zugänglich gemachten Musterverträge richtig zu gestalten bzw. auszufüllen. In der Praxis fängt es schon bei der Frage an, ob die konkret zu regelnde Leistung eine Auftragsdatenverarbeitung ist oder nicht. Dann gibt es Vertragsklauseln die nur festhalten, dass der Auftragnehmer „den Datenschutz einhält und zur Verschwiegenheit verpflichtet ist“, was keinesfalls genügt. Auch Formulierungen wonach der Auftragsdatenverarbeiter die in der Anlage zu § 9 BDSG genannten Datenschutzmaßnahmen ergreift, genügen der gesetzlichen Pflicht zur konkreten Vereinbarung nicht. Folglich genügt auch nicht die Wiedergabe des Gesetzestextes, z.B. dass der Auftragnehmer Maßnahmen zur Zutrittskontrolle ergriffen hat. Vielmehr muss im Einzelfall und ganz konkret die Maßnahme beschrieben werden, z.B. Drehkreuz am Eingang und Chip-basierter Mitarbeiterausweis. Ein Schild „Zutritt für Unbefugte verboten“ würde nicht genügen.

Mit dem Abschluss des Vertrages ist es aber nicht getan. Vielmehr muss regelmäßig, also zumindest alle 1 – 3 Jahre eine Einhaltungsprüfung durchgeführt werden. Der Auftraggeber muss sich davon überzeugen, dass der Auftragsdatenverarbeiter die vereinbarten technischen und organisatorischen Maßnahmen auch tatsächlich einhält. Das Ergebnis der Prüfung ist zu dokumentieren, also aufzuschreiben.

Wie hoch ist das Bußgeld bei einem Verstoß gegen die gesetzlichen Vertragspflichten?

Nach § 43 Abs. 1 Nr. 2b handelt ordnungswidrig, wer

„entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder entgegen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt,“

Diese Ordnungswidrigkeit kann mit einer Geldbuße bis zu 50.000 Euro sanktioniert werden (Update: nach Art. 83 Abs. 4 DSGVO ist der Bußgeldrahmen auf bis zu 10 Mio.  Euro oder 2%  des Jahresumsatzes angehoben werden). Dass dies keine leere Drohung ist, zeigt die aktuelle Pressemeldung der bayrischen Datenschutzaufsicht, die eine fünfstellige Geldbuße verhängt hat. Auch wenn Ihr Unternehmen seinen Sitz nicht in Bayern hat, könnte Ihnen das gleiche passieren. Die Datenschutzaufsichtsbehörden der sechzehn Bundesländer stimmen sich bundesweit im sogenannten Düsseldorfer Kreis und seinen Unterarbeitsgruppen ab. Hat eine Aufsichtsbehörde eine systematische Schwachstelle entdeckt, tauscht sie sich hierüber mit den anderen Aufsichtsbehörden aus. Zwar sind die Aufsichtsbehörden personell zu schwach besetzt, um auch nur annähernd jedes Unternehmen prüfen zu können, doch ein anonymer Hinweis eines gekündigten Mitarbeiters oder Dienstleisters genügt …

Arztgeheimnis und sonstige  mitwirkende Personen

Update: Bei Ärzten  ist – wie bei anderen Berufsgeheimnisträgern auch – zusätzlich und parallel zum Datenschutzrecht  die strafrechtliche Verpflichtung auf das Berufsgeheimnis, § 203 StGB, zu beachten. Nach einer Neuregelung des § 203 StGB im Herbst 2017 darf nun externes IT-Personal als „sonstige (an der ärztlichen Tätigkeit) mitwirkende Person“ im erforderlichen Umfang auch Patientendaten einsehen, ohne dass sich der Arzt strafbar macht. Voraussetzung hierfür ist aber, dass der Arzt zuvor die sonstige  mitwirkende Person auf deren neue, eigene Strafbarkeit nach § 203 StGB – und in diesem Zusammenhang auch das Zeugnisverweigerungsrecht und den Beschlagnahmeschutz  – aufmerksam gemacht hat.  Diese Verpflichtung des IT-Personals auf das Arztgeheimnis sollte entweder bereits in der Auftragsverarbeitungsvereinbarung (AVV) mit geregelt  sein (was in der Praxis noch sehr selten anzutreffen ist) oder in einer Anlage zur AVV gesondert geregelt werden.

Beratung bei Verträge zur Auftragsdatenverarbeitung

Beugen Sie der Gefahr von Bußgeldern vor und lassen Sie Ihre Verträge mit Dienstleistern, die Daten für Sie verarbeiten, daraufhin überprüfen, ob sie den gesetzlichen Anforderungen der Auftragsdatenverarbeitung genügen und falls nicht – bessern Sie schnellstmöglich nach. Rechtsanwalt David Seiler berät und unterstützt Sie dabei gerne mit seiner langjährigen Erfahrung in diesem Bereich.