Auftragsdatenverarbeitung – Teil II – Auftraggeber

Nach dem BDSG ist die verantwortliche Stelle bzw. die werbende Firme immer die, die als Absender auf dem Brief steht. Für die Auftragsvergabe hat der Auftraggeber folgende Bestimmung nach dem neuen Datenschutzgesetz zu beachten:

….. § 11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag
(1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den §§ 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen.

(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im
Einzelnen festzulegen sind:

1. der Gegenstand und die Dauer des Auftrags,
2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
4. die Berichtigung, Löschung und Sperrung von Daten,
5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.
……
(5) Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene
Daten nicht ausgeschlossen werden kann.

Ich beziehe mich hier auf die Auswirkungen im Bezug der Briefdienstleistungen. Vorangestellt wird die Weisheit; Wo kein Kläger, da kein Richter. Die Meinungen gehen bei der Ausgestaltung des § 11 weit auseinander und es wird wohl eine Weile dauern, bis Gerichtsentscheidungen hier Klarheiten bringen werden. Weiterhin braucht es auch eine Zeit bis die Auftraggeber sich auf diese Gesetzeslage eingerichtet haben. Einige Bestandteile waren schon jetzt Bestandteil der Auftragsdatenverarbeitung und zwar in Hinblick der Zweckbindung der Verwendung der Adressen.

Die einfachste Beziehung ist die Auftragsvergabe in eine Richtung, zum Beispiel die Konsultierung (Druck, Kuvertierung und Einlieferung). Die verantwortliche Stelle bleibt auch erhalten, wenn ein dritter Partner im Spiel ist. Diese Fälle treten immer dann ein, wenn Adressen von Firmen angemietet werden. Deshalb ist bei Auftragsvergabe dies bei Punkt 6 zu beachten. Bei Punkt 10 sehe ich noch Klärungsbedarf, denn einerseits werden schon jetzt die Daten nach einer angemessenen Frist gelöscht und auf der anderen Seite sehe ich die neu geschaffene Dokumentationspflicht. Wenn in Punkt 4 die Berichtigung der Adressdaten enthalten ist, dann sehe ich als Lettershop immer die endgültige Aussendung. Eine Rückspielung ist kaum möglich, wenn die Datenbank eine 1:n Verbindung der Daten beinhaltet.

Auf weitere Besonderheiten gehe ich im nächsten Teil ein.

Einen Kommentar schreiben

Du mußt angemeldet sein, um kommentieren zu können.