Auftragsdatenverarbeitung – Teil VIII – Rahmenvertrag oder Erstvertrag


Aus gegebenem Anlass möchte ich einen Vertragbestandteil etwas näher beleuchten. Es geht um die Zulassung von Subunternehmen. Lassen wir mal die Fälle von MitarbeiterInnenbespitzlung weg und betrachten die öffentlich gewordenen Datenklaufälle. Im Wesentlichen geht es darum, dass in der Bearbeitungskette die personenbezogenen Daten weitergereicht werden und an der letzten Stelle ein Datenleck entsteht. Schaut man sich die ersten Verträge an, wo mit Subunternehmen gearbeitet werden darf, dann fällt auf, dass ganz schnell ein Haftungsausschluss eingebaut wird. Es wird auf juristischer Seite eine Absicherung durch den Auftraggeber geschaffen und gibt die Haftung weiter. So eine Vertragsklausel führt dazu, dass Auftraggeber und Erstauftragnehmer sich juristisch eine kleine Hängematte im Bezug des Schutzes der personenbezogenen Daten weben. Im Klartext, wenn Auftraggeber und Erstauftragnehmer alles entsprechend BDSG abwickeln, dann stehen die Chefs des Auftraggebers gut da. Sie habe ja alles getan, um die personenbezogenen Daten zu schützen, denn was sie prüfen müssen, sind im Wesentlichen die juristischen Verträge. Die Klausel könnte so aussehen:

„Die Beauftragung von Subunternehmen ist nur mit schriftlicher Zustimmung des Auftraggebers zugelassen. Der Auftragnehmer hat in diesem Falle vertraglich sicherzustellen, dass die vereinbarten Regelungen auch gegenüber Subunternehmern gelten. Er hat die Einhaltung dieser Pflichten regelmäßig zu überprüfen.
Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung schuldhaft verursachen. Für den Ersatz von Schäden, die einer Person wegen unzulässige oder unrichtige Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, ist der Auftraggeber gegenüber den Geschädigten verantwortlich. Soweit der Auftraggeber zum Schadensersatz gegenüber dem Geschädigten verpflichtet ist, bleibt ihm der Rückgriff beim Auftragnehmer vorbehalten.“


Kommt es zu einem Datenleck ist schon klar wer den Schwarzen Peter hat, wenn auch der Vertrag zwischen Erstauftraggeber und Subunternehmer mit entsprechenden Klauseln ausgestattet ist. Damit erreicht der §11 nicht mehr Sicherheit für die personenbezogenen Daten, er schafft aber eine klare Rechtsgrundlage, die Haftung und den Schadenersatz immer weiter von sich zu schieben und die alte Volksweisheit, den Letzten beißen die Hunde, hat sich bewahrheitet.

Einen Kommentar schreiben

Du mußt angemeldet sein, um kommentieren zu können.