Auftragsdatenverarbeitung – Teil X – Rahmenvertrag oder Erstvertrag

16. April 2010


Gerade im Lettershop werden Aufträge gerne über Ausschreibungen vergeben. In den meisten Fällen entscheidet dann der günstigste Preis. Jetzt haben wir plötzlich durch das BDSG ein weiches aber zwingendes Kriterium, das in den meisten Ausschreibungsunterlagen nicht vorkommt. Der Auftraggeber begibt sich in große Schwierigkeiten. Die Auftragsvergabe erfolgt ohne vorherige Prüfung und wird kaum schnell nachzuholen sein, weil in der Praxis dann alles sehr schnell gehen muss. Selbst wenn dies in den Ausschreibungsunterlagen steht, ist dies keine Gewähr. Er müsste vor der Vergabe eine Prüfung vornehmen oder sofort nach Zuschlag. §11 und Ausschreibungen sind wie Feuer und Wasser.

Auftragsdatenverarbeitung – Teil IX – Rahmenvertrag oder Erstvertrag

25. Februar 2010

In der gegenwärtigen Diskussion zu den Steuersünderdaten ist es notwendig zwischen der umgangssprachlichen und der juristischen Definition des „Datendiebstahls“ zu unterscheiden. Betrachten wir die juristische Begriffsbestimmung:

§§ 242 Diebstahl
(1) Wer eine fremde bewegliche Sache einem anderen in der Absicht wegnimmt, die Sache sich oder einem Dritten rechtswidrig zuzueignen, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.
§§ 259 Hehlerei
(1) Wer eine Sache, die ein anderer gestohlen oder sonst durch eine gegen fremdes Vermögen gerichtete rechtswidrige Tat erlangt hat, ankauft oder sonst sich oder einem Dritten verschafft, sie absetzt oder absetzen hilft, um sich oder einen Dritten zu bereichern, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft.

Der Diebstahl oder auch die Hehlerei ist immer an eine Sache gebunden. Daten selbst sind keine Sache und können deshalb nicht gestohlen werden. Um dies zu verdeutlichen, möchte ich zwei Fallbeispiele nehmen:
1. Der Mitarbeiter bringt eine CD mit und brennt die Daten zur Mitnahme nach Hause. Formal kein Diebstahl.
2. Der Mitarbeiter nimmt eine CD aus dem Arbeitsregal und brennt die Daten. Dann wäre es Diebstahl, denn die CD ist eine Sache.
Nun sind die Daten natürlich geschützt und werden bei entwenden durch eine Vielzahl von Straftatbeständen in unterschiedlichen Gesetzen benannt. An erster Stelle wäre das UWG und hier speziell –

§ 17 Verrat von Geschäfts- und Betriebsgeheimnissen
(1) Wer als eine bei einem Unternehmen beschäftigte Person ein Geschäfts- oder Betriebsgeheimnis, das ihr im Rahmen des Dienstverhältnisses anvertraut worden oder zugänglich geworden ist, während der Geltungsdauer des Dienstverhältnisses unbefugt an jemand zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber des Unternehmens Schaden zuzufügen, mitteilt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Ebenso wird bestraft, wer zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber des Unternehmens Schaden zuzufügen,
1. sich ein Geschäfts- oder Betriebsgeheimnis durch
a)Anwendung technischer Mittel,
b)Herstellung einer verkörperten Wiedergabe des Geheimnisses oder
c)Wegnahme einer Sache, in der das Geheimnis verkörpert ist,
unbefugt verschafft oder sichert oder
2. ein Geschäfts- oder Betriebsgeheimnis, das er durch eine der in Absatz 1 bezeichneten Mitteilungen oder durch eine eigene oder fremde Handlung nach Nummer 1 erlangt oder sich sonst unbefugt verschafft oder gesichert hat, unbefugt verwertet oder jemandem mitteilt.
(3) Der Versuch ist strafbar.
(4) In besonders schweren Fällen ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter
1. gewerbsmäßig handelt,
2. bei der Mitteilung weiß, dass das Geheimnis im Ausland verwertet werden soll, oder
3. eine Verwertung nach Absatz 2 Nr. 2 im Ausland selbst vornimmt.
(5) Die Tat wird nur auf Antrag verfolgt, es sei denn, dass die Strafverfolgungsbehörde wegen des besonderen öffentlichen Interesses an der Strafverfolgung ein Einschreiten von Amts wegen für geboten hält.
(6) § 5 Nr. 7 des Strafgesetzbuches gilt entsprechend.

Der Schutzzweck des Gesetzes liegt aber im Wettbewerbsrecht und benennt damit Wirtschaftsstraftaten. Geschützt werden Mitbewerber, Verbraucher und andere Marktteilnehmer vor unlauteren geschäftlichen Handlungen.
Dann natürlich wenn sie ausgespäht werden:

§§ 202a Ausspähen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.
§§ 202b Abfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

oder Datenmissbrauch nach dem BDSG.

§ 44 Strafvorschriften
(1) Wer eine in § 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind der Betroffene, die verantwortliche Stelle, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die Aufsichtsbehörde.

Die Tatbestände aus dem Urheberrecht lasse ich mal weg. Bewusst habe ich diese Reihenfolge gewählt. Betrachtet man die Sanktionsmöglichkeiten, dann wäre beim Diebstahl immerhin 5 Jahre Haft drin und beim entwenden von personenbezogenen Daten gerade Mal 2. Nichts zeigt deutlicher wie bei Straftatbeständen, wo personenbezogene Daten entschwinden, eine wirkungsvolle Sanktion nicht erfolgt.
Der schlimmste Datengau wäre, wenn ein Mitarbeiter aus versehen Gesundheitsdaten an eine falsche Stelle übermittelt und dieser Empfänger diese Daten ins Internet stellt. Dann würde keine dieser Straftatbestände greifen, der Schaden für die betroffenen Personen könnte umso größer ausfallen. Da hilft selbst der § 11 nicht weiter.

Auftragsdatenverarbeitung – Teil VIII – Rahmenvertrag oder Erstvertrag

13. Februar 2010


Aus gegebenem Anlass möchte ich einen Vertragbestandteil etwas näher beleuchten. Es geht um die Zulassung von Subunternehmen. Lassen wir mal die Fälle von MitarbeiterInnenbespitzlung weg und betrachten die öffentlich gewordenen Datenklaufälle. Im Wesentlichen geht es darum, dass in der Bearbeitungskette die personenbezogenen Daten weitergereicht werden und an der letzten Stelle ein Datenleck entsteht. Schaut man sich die ersten Verträge an, wo mit Subunternehmen gearbeitet werden darf, dann fällt auf, dass ganz schnell ein Haftungsausschluss eingebaut wird. Es wird auf juristischer Seite eine Absicherung durch den Auftraggeber geschaffen und gibt die Haftung weiter. So eine Vertragsklausel führt dazu, dass Auftraggeber und Erstauftragnehmer sich juristisch eine kleine Hängematte im Bezug des Schutzes der personenbezogenen Daten weben. Im Klartext, wenn Auftraggeber und Erstauftragnehmer alles entsprechend BDSG abwickeln, dann stehen die Chefs des Auftraggebers gut da. Sie habe ja alles getan, um die personenbezogenen Daten zu schützen, denn was sie prüfen müssen, sind im Wesentlichen die juristischen Verträge. Die Klausel könnte so aussehen:

„Die Beauftragung von Subunternehmen ist nur mit schriftlicher Zustimmung des Auftraggebers zugelassen. Der Auftragnehmer hat in diesem Falle vertraglich sicherzustellen, dass die vereinbarten Regelungen auch gegenüber Subunternehmern gelten. Er hat die Einhaltung dieser Pflichten regelmäßig zu überprüfen.
Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung schuldhaft verursachen. Für den Ersatz von Schäden, die einer Person wegen unzulässige oder unrichtige Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, ist der Auftraggeber gegenüber den Geschädigten verantwortlich. Soweit der Auftraggeber zum Schadensersatz gegenüber dem Geschädigten verpflichtet ist, bleibt ihm der Rückgriff beim Auftragnehmer vorbehalten.“


Kommt es zu einem Datenleck ist schon klar wer den Schwarzen Peter hat, wenn auch der Vertrag zwischen Erstauftraggeber und Subunternehmer mit entsprechenden Klauseln ausgestattet ist. Damit erreicht der §11 nicht mehr Sicherheit für die personenbezogenen Daten, er schafft aber eine klare Rechtsgrundlage, die Haftung und den Schadenersatz immer weiter von sich zu schieben und die alte Volksweisheit, den Letzten beißen die Hunde, hat sich bewahrheitet.

Auftragsdatenverarbeitung – Teil VII – Auftragserteilung

29. Oktober 2009


Die Auftragserteilung bildet Grundlage der Kalkulation und beschreibt die einzelnen Bestandteile. Diese sind erstmal unabhängig von den speziellen datenschutzrechtlichen Bestimmungen. Wir bleiben jetzt beim Lettershop.
Was muss konkret in der Beauftragung stehen:

1. Müssen Adressen angereichert werden?
Wer ist dann der Auftraggeber bei den jeweiligen Adresseignern und welcher Datenbestand hat das Primat? Wie soll der Druck aussehen, u.s.w.
2. In welchem Format liegen die Daten vor?
3. Region des Versandes?
Soll zum Beispiel auch ein Versand ins Ausland zugelassen werden?
4. Zusammenführung der Datenbestände?
Dies kommt sogar oft vor. Firmeneigener Bestand in Excel und der Chef bringt noch so spezifische Adressen ans Tageslicht in einem Word-Dokument.
5. Soll die Adressen um Dubletten bereinigt werden?
6. Abgleich mit Umzugsdatenbank?
7. Abgleich mit Robinsonliste?
8. Prüfen auf postalische Richtigkeit?
Und jetzt neu die Frage nach Speicherung zu Auskunftszwecken im Sinne von § 34 Abs. 1a Satz 1 BDSG und zwar wenn angereichert wird und der Auftraggeber nicht die Adressen sieht, die von einem Adresseigner geliefert werden.
9. Dokumentationspflicht
10. Stückzahl – hier exakt die eingehende (Kalkulationgrundlage für Punkt 1..4)
11. Vergütung
12. Löschfristen (Beachte den neuen Punkt 9)


Diese Fragen werden meistens dann von mir gestellt und manch ein Auftraggeber wundert sich, dass die mögliche Datenbereinigung teurer wird als die eigentliche Direktadressierung und Kuvertierung. Natürlich hat der Auftraggeber die Möglichkeit zu sagen, OK machen wir nicht, es geht raus, so wie die Daten vorliegen. Dann aber bitte mit einer Freistellung.
Gehen wir hier noch einmal zurück auf den gesamten Prozess der ADV, dann erfüllen die meisten Musterverträge diese Spezifika nicht, wie gesagt, eine sinnvolle Trennung der Bestandteile ist nur zu empfehlen.