Auftragsdatenverarbeitung – Teil VI – Auftragnehmer

29. Oktober 2009


Wie im letzten Beitrag angesprochen, welche Dokumente muss jeder unabhängig der Mitarbeiteranzahl erarbeiten. Für den §9 gibt es eine eindeutige Anlage und die umfasst folgende Punkte:

• Zutrittskontrolle
Alle Schutzmaßnahmen zur Sicherung der betrieblichen Räume
• Zugangskontrolle
Schutzmaßnahmen der technischen Geräte
• Zugriffskontrolle
Berechtigung der Zugriffe auf die IT
• Weitergabekontrolle
Schutzmaßnahmen zur unberechtigten Weitergabe und Sicherung beim Transport der Daten
• Eingabekontrolle
Im Wesentlichen die Protokollierung und Nachvollziehbarkeit der Eingabe, Änderung und Löschung der Daten
• Auftragskontrolle
Arbeiten entsprechend der Weisungen des Auftraggebers
• Verfügbarkeitskontrolle
Schutz vor Verlust
• Zwecktrennungsgebot
die getrennte Verarbeitung


Diese Zusammenstellung wird auch „Verarbeitungsübersicht“ genannt. Schaut man sich die einzelnen Punkte an, wird man feststellen, dass im Bezug des §11 der ADV in der Vertragsgestaltung Dopplungen auftreten können (z.B. Auftragskontrolle) bzw. die Verantwortung neu geregelt wird. Gerade bei Portallösungen und der neuen Entwicklung der „Wolkenbildung“ wird es komplizierter. Die oben genannten Punkte in dieser Zusammenstellung finde ich auch altbackend. Denn in meinen Augen gehört auch das „Verfahrensverzeichnis“ dazu. Das Verfahrensverzeichnis ist nicht so eindeutig in seiner Gestaltung geklärt. Wie schon in meinen Ausführungen zur Vertragsgestaltung nach §11 und seiner Ausarbeitung, stelle ich mal eine sinnvolle Zusammenstellung beider Verzeichnisse vor.

1. Zutrittskontrolle bleibt erhalten
2. Zugangskontrolle bleibt erhalten
Diese beiden Punkte regeln die räumlichen Schutzmaßnahmen
Die nachfolgenden Punkte regeln den eigentlichen Raum der IT.
3. Netzstruktur
3.1 Darstellung
3.2 Protokolle
3.3 Server
3.4 Rechner am Arbeitsplatz
3.5 Software
3.6 Datensicherung und Datenschutz
4. Nutzerverwaltung
4.1 Administratoren
4.2 Nutzer
4.3 spezielle Nutzer, die von außerhalb auf das Netz zugreifen
5. spezielle Verfahren
Zu diesem Raum gehört auch der nachfoldende Punkt
6. Datenstruktur
6.1 Personenbezogene Daten
6.2 Sensible Daten
6.3 Sperrvermerke
6.4 Löschfristen
Dieser Teil ist nur für den internen Gebrauch bestimmt und dürfte nicht in die ADV einfließen.


Damit müsste sich jeder mit dem Thema Datenschutz und Datensicherheit beschäftigen. Dieser Komplex geht weit über die juristische Sichtweise hinaus und erfordert auch technisches Verständnis. Eine detaillierte Darstellung sprengt natürlich die Kommunikationsform eines Bloges.

Auftragsdatenverarbeitung – Teil V – Auftragnehmer

8. Oktober 2009


Was muss nun der Auftragnehmer, ein Lettershop ist immer der Auftragnehmer, beachten. Extra für uns wurde im BDSG folgendes aufgenommen.

§ 11
……
(3) Der Auftragnehmer darf die Daten nur im Rahmen der
Weisungen des Auftraggebers erheben, verarbeiten oder
nutzen. Ist er der Ansicht, dass eine Weisung des Auftraggebers
gegen dieses Gesetz oder andere Vorschriften über
den Datenschutz verstößt, hat er den Auftraggeber unverzüglich
darauf hinzuweisen.

(4) Für den Auftragnehmer gelten neben den §§ 5, 9, 43
Abs. 1, Nr. 2, 10 und 11, Abs. 2, Nr. 1 bis 3 und Abs. 3
sowie § 44 nur die Vorschriften über die Datenschutzkontrolle
oder die Aufsicht, und zwar für
….
2. die übrigen nicht-öffentlichen Stellen, soweit sie personenbezogene
Daten im Auftrag als Dienstleistungsunternehmen
geschäftsmäßig erheben, verarbeiten oder nutzen,
die §§ 4f , 4g und 38.

(5) Die Absätze 1 bis 4 gelten entsprechend, wenn die
Prüfung oder Wartung automatisierter Verfahren oder von
Datenverarbeitungsanlagen durch andere Stellen im Auftrag
vorgenommen wird und dabei ein Zugriff auf personenbezogene
Daten nicht ausgeschlossen werden kann.

Jetzt gleich anschließend die Einzelbestimmungen

§ 5 Datengeheimnis
Den bei der Datenverarbeitung beschäftigten Personen ist
untersagt, personenbezogene Daten unbefugt zu erheben,
zu verarbeiten oder zu nutzen (Datengeheimnis). Diese
Personen sind, soweit sie bei nicht-öffentlichen Stellen
beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf
das Datengeheimnis zu verpflichten. Das Datengeheimnis
besteht auch nach Beendigung ihrer Tätigkeit fort.

Und

§ 9 Technische und organisatorische Maßnahmen
Öffentliche und nicht-öffentliche Stellen, die selbst oder im
Auftrag personenbezogene Daten erheben, verarbeiten
oder nutzen, haben die technischen und organisatorischen
Maßnahmen zu treffen, die erforderlich sind, um die Ausführung
der Vorschriften dieses Gesetzes, insbesondere die
in der Anlage zu diesem Gesetz genannten Anforderungen,
zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn
ihr Aufwand in einem angemessenen Verhältnis zu dem
angestrebten Schutzzweck steht.

Und die Strafmaßnahmen nach §43 folgend und die sollen ja nicht zur Anwendung kommen.


Aber der erste Schritt ist die Paragraphen §4f, §4g. In der Hektik der Gesetzesnovelle ist wohl der §4d vergessen worden, dieser muss natürlich mit beachtet werden. Es geht hier um die Frage, bin ich verpflichtet einen Datenschutzbeauftragten zu bestellen und bin ich meldepflichtig gegenüber den Behörden, die mit ihren Befugnissen in §38 geregelt sind. Diese Prüfung ist schnell erledigt nach dem Prinzip a. größer 9 Mitarbeiter – Meldpflichtig und b. größer 20 (öffentliche Stelle), größer 9 (Firmen) muss ich einen Datenschutzbeauftragten bestellen. Auf den Eiertanz laut §4d (3) würde ich mich nicht einlassen wollen, denn jeder Buchhalter, jeder Administrator der IT, jeder Kundenbetreuer, … nutzt personenbezogenen Daten.
Bin ich verpflichtet einen Datenschutzbeauftragten zu bestellen, dann stellt sich die Frage, intern oder extern. Na klar – extern – aber nicht weil ein interner schlecht kündbar ist, sondern weil ich die Haftung bei dem schwierigen Thema auslagern möchte.
Habe ich einen Datenschutzbeauftragten, dann liegen die Dokumente vor die bei der ADV nach §11 gefordert werden.
Bin ich meldepflichtig, so sind diese Dokumente auch schon erarbeitet worden und können bei der ADV nach §11 genutzt werden.
Jetzt die Kleinen, die beides nicht haben, dann ist Handlungsbedarf angesagt. Dies aber im nächsten Teil.

Auftragsdatenverarbeitung – Teil IV – Auftraggeber

1. Oktober 2009

Der § 11 entfaltet seine Wirkung in mehreren Richtungen. Einerseits beinhaltet er Elemente die vom Auftraggeber vorgegeben werden und andererseits der Auftragnehmer einbringen muss. Es gibt globale Elemente, die den gesetzlichen Rahmen umfassen und objektbezogene Elemente, allgemeingültige und veränderliche. Die ersten Musterverträge liegen im Internet wie in der Praxis vor. Ich möchte gleich vorweg nehmen, dass die Musterverträge im Internet den Eindruck erwecken, der Auftraggeber gibt dies vor. Hier werden aus meiner Sicht sogar einige Elemente vergessen. Ein zweckgebundener Auftrag beinhaltet nicht nur die Datenschutzrechtlichen Aspekte sondern regelt auch die Vergütung. Die ersten Verträge die ich gesehen habe, beinhaltet dies gar nicht. Ok, wer spricht schon in Krisenzeiten über Geld, aber über Haftung und Haftungsausschlüsse. Deshalb bin ich der Meinung, vergesst die jetzigen Lösungen im Internet und überlegt eine bessere Lösung. Aus meiner Sicht, wie in der Vergangenheit den Teil der Auftragbezogenheit (Teil 2), den Rahmenvertrag (Teil 1) über den Datenschutz und nicht zu vergessen, die technischen und organisatorischen Maßnahmen (Teil 3). Nur die Gestaltung der Rahmenverträge ist geeignet über einen Mustervertrag zu regeln, die Spezifika nicht. Welches Element wo soll die weitere Auflistung zeigen.

1. der Gegenstand und die Dauer des Auftrags, ( Bitte hier auch die Vergütung )
steht im Teil 2

2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
steht im Teil 2

3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
Diese werden in den Musterverträgen ausführlich aufgelistet (dies muss immer der Auftragnehmer bringen und nicht umgekehrt), wobei dies in den meisten Fällen nicht notwendig ist. In den Fällen, wo Datenschutzbeauftragte berufen sind und diese richtig arbeiten, liegen die Verzeichnisse vor und können ohne weiteres ausgetauscht werden. Selbst dann wenn der Auftragnehmer nicht meldepflichtig und nicht verpflichtet ist einen Datenschutzbeauftragten zu berufen, würde ich dieses Verzeichnis separat erstellen. Aus Kundenfreundlichkeit und vertrauensbildend von beiden Seiten. Diese stehen im Teil 3 und im Teil 1 muss nur geregelt werden, dass Veränderungen dieser mitzuteilen sind und bei Mängeln eine angemessene Frist zur Behebung festgelegt wird.

4. die Berichtigung, Löschung und Sperrung von Daten,
steht im Teil 2

5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
steht im Teil 1

6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
steht global im Teil 1 und wenn ausgeschlossen im Teil 2

7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
steht im Teil 1

8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
steht im Teil1 aber bitte, weil dies in den ersten Verträgen, die ich gesehen habe, fehlt. Neben den Vertragspartner ist bitte auch die verantwortliche Stelle zu nennen, damit eine schnelle Kommunikation erfolgen kann.

9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
steht im Teil 1

10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
steht im Teil 2

_________________________________
Eine kleine Anmerkung noch, da ich gefragt worden bin, ob diese Meinungen veröffentlicht werden können. Na klar und wie es für einen langjährigen Internetnutzer verständlich —-
Creative Commons
Namensnennung-Nicht kommerzielle Nutzung-Weitergabe unter gleichen Bedingungen

Auftragsdatenverarbeitung – Teil III – Auftraggeber

10. September 2009

Jetzt möchte ich auf einige Punkte eingehen.
In (1) wird dem Auftraggeber klar aufgegeben, dass er im Bezug des Datenschutzes verantwortlich ist. Dies geht sogar so weit, dass bevor er den Auftrag erteilt, eine Prüfung und Auswahl des Auftragnehmers vornehmen soll.
Diese Vorfeldprüfung sehe ich etwas kritisch. Das mit Auftragserteilung eine Prüfung und dessen Dokumentation erfolgen kann, steht für mich außer Frage. Bei einer Prüfung im Vorfeld muss in meinem Sinne eine Güterabwägung erfolgen. Meine Schutzmaßnahmen im Bezug der Daten ist ein wichtiges Gut und unterliegt natürlich auch einer Geheimhaltung. So ohne weiteres würde ich diese nicht preisgeben. Für mich ist es schwierig ob eine Anfrage vertrauenswürdig ist oder ob es nur eine Anfrage zur Vorratsspeicherung ist. Ich habe lange gerungen und mich jetzt dazu entschlossen, wenn kein Auftrag erteilt wird, eine Aufwandentschädigung zu verlangen. Im Zeitalter der Globalisierung ist die Auftragsvergabe nicht ortsgebunden und Auftraggeber wie Auftragsnehmer können räumlich weit auseinander liegen. Eine Vorortüberprüfung wird sich im Zuge einer langen Zusammenarbeit ergeben. Bei Einzelaufträgen wohl eher eine Anfrage der entsprechenden Dokumente und hier speziell das Verfahrensverzeichnis. Wobei hier das BDSG eine Grenze gesetzt hat, was die Meldepflicht (§4d) und die Bestellung des Datenschutzbeauftragten (§4f) belangt; es müssen mehr wie 9 Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt sein. Kleinstfirmen werden diese Grenze nicht schaffen und sie wissen bestimmt auch nicht die Vorgehensweise. Größere Unternehmen können ohne weiteres die Kommunikation über die Datenschutzbeauftragten laufen lassen, im Bezug zwischen Groß- und Kleinstunternehmen wird dies schon eher schwieriger. Die praktische Erfahrung läuft eher bei dem letztgenannten Beispiel auf Knebelverträgen hinaus.

Bei (2) wird es schon richtig spannend. Die Deutsche Post, die PIN AG und weitere Firmen bieten über das Internet die Leistung an, mittels der personenbezogenen Daten (Anschrift) den Versand vornehmen zu wollen. Damit gelten die Bestimmungen des Auftragnehmers und nicht die eventuellen des Auftraggebers. Denn der Auftraggeber ist laut BDSG gebunden, den Auftrag laut Katalog schriftlich auslösen zu müssen, denn er steht in der Haftung. Wenn da mal was Schief geht, dann stehen beide richtig tief in der ….. . Weiterhin möchte ich mal die Gesichter erleben, wenn ein kleiner Auftraggeber z.B. bei der Deutschen Post AG eine Vorfeldprüfung vornehmen will.

Im nächsten Teil gehe ich auf die einzelnen Punkte ein.