Auftragsdatenverarbeitung – Teil V – Auftragnehmer


Was muss nun der Auftragnehmer, ein Lettershop ist immer der Auftragnehmer, beachten. Extra für uns wurde im BDSG folgendes aufgenommen.

§ 11
……
(3) Der Auftragnehmer darf die Daten nur im Rahmen der
Weisungen des Auftraggebers erheben, verarbeiten oder
nutzen. Ist er der Ansicht, dass eine Weisung des Auftraggebers
gegen dieses Gesetz oder andere Vorschriften über
den Datenschutz verstößt, hat er den Auftraggeber unverzüglich
darauf hinzuweisen.

(4) Für den Auftragnehmer gelten neben den §§ 5, 9, 43
Abs. 1, Nr. 2, 10 und 11, Abs. 2, Nr. 1 bis 3 und Abs. 3
sowie § 44 nur die Vorschriften über die Datenschutzkontrolle
oder die Aufsicht, und zwar für
….
2. die übrigen nicht-öffentlichen Stellen, soweit sie personenbezogene
Daten im Auftrag als Dienstleistungsunternehmen
geschäftsmäßig erheben, verarbeiten oder nutzen,
die §§ 4f , 4g und 38.

(5) Die Absätze 1 bis 4 gelten entsprechend, wenn die
Prüfung oder Wartung automatisierter Verfahren oder von
Datenverarbeitungsanlagen durch andere Stellen im Auftrag
vorgenommen wird und dabei ein Zugriff auf personenbezogene
Daten nicht ausgeschlossen werden kann.

Jetzt gleich anschließend die Einzelbestimmungen

§ 5 Datengeheimnis
Den bei der Datenverarbeitung beschäftigten Personen ist
untersagt, personenbezogene Daten unbefugt zu erheben,
zu verarbeiten oder zu nutzen (Datengeheimnis). Diese
Personen sind, soweit sie bei nicht-öffentlichen Stellen
beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf
das Datengeheimnis zu verpflichten. Das Datengeheimnis
besteht auch nach Beendigung ihrer Tätigkeit fort.

Und

§ 9 Technische und organisatorische Maßnahmen
Öffentliche und nicht-öffentliche Stellen, die selbst oder im
Auftrag personenbezogene Daten erheben, verarbeiten
oder nutzen, haben die technischen und organisatorischen
Maßnahmen zu treffen, die erforderlich sind, um die Ausführung
der Vorschriften dieses Gesetzes, insbesondere die
in der Anlage zu diesem Gesetz genannten Anforderungen,
zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn
ihr Aufwand in einem angemessenen Verhältnis zu dem
angestrebten Schutzzweck steht.

Und die Strafmaßnahmen nach §43 folgend und die sollen ja nicht zur Anwendung kommen.


Aber der erste Schritt ist die Paragraphen §4f, §4g. In der Hektik der Gesetzesnovelle ist wohl der §4d vergessen worden, dieser muss natürlich mit beachtet werden. Es geht hier um die Frage, bin ich verpflichtet einen Datenschutzbeauftragten zu bestellen und bin ich meldepflichtig gegenüber den Behörden, die mit ihren Befugnissen in §38 geregelt sind. Diese Prüfung ist schnell erledigt nach dem Prinzip a. größer 9 Mitarbeiter – Meldpflichtig und b. größer 20 (öffentliche Stelle), größer 9 (Firmen) muss ich einen Datenschutzbeauftragten bestellen. Auf den Eiertanz laut §4d (3) würde ich mich nicht einlassen wollen, denn jeder Buchhalter, jeder Administrator der IT, jeder Kundenbetreuer, … nutzt personenbezogenen Daten.
Bin ich verpflichtet einen Datenschutzbeauftragten zu bestellen, dann stellt sich die Frage, intern oder extern. Na klar – extern – aber nicht weil ein interner schlecht kündbar ist, sondern weil ich die Haftung bei dem schwierigen Thema auslagern möchte.
Habe ich einen Datenschutzbeauftragten, dann liegen die Dokumente vor die bei der ADV nach §11 gefordert werden.
Bin ich meldepflichtig, so sind diese Dokumente auch schon erarbeitet worden und können bei der ADV nach §11 genutzt werden.
Jetzt die Kleinen, die beides nicht haben, dann ist Handlungsbedarf angesagt. Dies aber im nächsten Teil.

Einen Kommentar schreiben

Du mußt angemeldet sein, um kommentieren zu können.