Leseprobe zu. Plath (Hrsg.) BDSG

Transkript

1 Weitere Informationen unter Leseprobe zu Plath (Hrsg.) BDSG Kommentar zum BDSG sowie den Datenschutzbestimmungen des TMG und TKG 2013, 1296 Seiten, gebunden, Kommentar, 14,5 x 21cm ISBN ,00

2 BDSG 11 Allgemeine und gemeinsame Bestimmungen ber hinaus klar, dass Daten auch dann allgemein zugänglich sind, wenn sie von jedermann nach vorheriger Anmeldung, Zulassung oder Entgeltzahlung eingesehen werden können. Zugangshindernisse sind also unerheblich, sobald sie von jedermann ohne weiteres überwunden werden können. Die Ausnahme des Abs. 5 betrifft insbesondere öffentlich zugängliche Datenbanken und Register wie z.b. das Vereinsregister und das Handelsregister 1. Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag 11 (1) 1 Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. 2 Die in den 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen. (2) 1 Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. 2 Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 1 Ausführlich hierzu 28 Rz Plath

3 Erhebung, Verarbeitung oder Nutzung im Auftrag 11 BDSG 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. 3 Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. 4 Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. 5 Das Ergebnis ist zu dokumentieren. (3) 1 Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. 2 Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. (4) Für den Auftragnehmer gelten neben den 5, 9, 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3 sowie 44 nur die Vorschriften über die Datenschutzkontrolle oder die Aufsicht, und zwar für 1. a) öffentliche Stellen, b) nicht-öffentliche Stellen, bei denen der öffentlichen Hand die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle ist, die 18, 24 bis 26 oder die entsprechenden Vorschriften der Datenschutzgesetze der Länder, 2. die übrigen nicht-öffentlichen Stellen, soweit sie personenbezogene Daten im Auftrag als Dienstleistungsunternehmen geschäftsmäßig erheben, verarbeiten oder nutzen, die 4f, 4g und 38. (5) Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. I. Einführung... 1 II. Anwendungsbereich Sachlicher Anwendungsbereich Territorialer Anwendungsbereich a) Auftragnehmer im Ausland b) Auftraggeber im Ausland Zeitlicher Anwendungsbereich Verhältnis zu den Erlaubnisnormen des BDSG III. Auftragsverhältnis Begriff des Auftrags (Abs. 1 Satz 1) Plath 377

4 BDSG 11 Allgemeine und gemeinsame Bestimmungen 2. Eigeninteresse des Auftragnehmers Doppelfunktion des Auftragnehmers Funktionsübertragung a) Call Center b) Marktforschungsinstitute. 32 c) Letter-Shops d) Outsourcing IV. Verantwortlichkeitsverteilung im Rahmen des Auftragsverhältnisses (Abs. 1 Satz 1) V. Fallgruppen Konzerne Cloud Computing a) Rechtsnatur des Cloud Computings b) Auslandsbezug beim Cloud Computing c) Kontrollpflichten und Weisungsgebundenheit beim Cloud Computing d) Unterauftragsverhältnisse beim Cloud Computing Banken a) Vereinbarkeit mit dem KWG b) Vereinbarkeit mit dem StGB Versicherungen und Verrechnungsstellen Berufliche Geheimnisträger Beschäftigungsverhältnisse.. 86 VI. Auswahl des Auftragnehmers (Abs. 2 Satz 1) VII. Beauftragung des Auftragnehmers (Abs. 2 Satz 2) VIII. Inhalt des Auftragsdatenverarbeitungsvertrages (Abs. 2 Satz 2) Gegenstand und Dauer des Auftrags (Nr. 1) Umfang, Art und Zweck der Verwendung, Art der Daten und Kreis der Betroffenen (Nr.2) Technische und organisatorische Maßnahmen (Nr. 3) Berichtigung, Löschung und Sperrung (Nr. 4) Spezifische Pflichten des Auftragnehmers (Nr. 5) Unterauftragsverhältnisse (Nr.6) a) Deckungsgleiche Pflichten für Unterauftragnehmer b) Unterauftragnehmer im Ausland Kontrollrechte des Auftraggebers (Nr. 7) Mitteilungspflichten bei Verstößen (Nr. 8) Weisungsbefugnisse des Auftraggebers (Nr. 9) Pflichten bei Beendigung des Auftrags (Nr. 10) IX. Kontrolle des Auftragnehmers (Abs. 2 Satz 4) X. Durchführung des Auftrags (Abs. 3) Weisungsgebundenheit des Auftragnehmers (Abs. 3 Satz 1) Hinweispflicht des Auftragnehmers (Abs. 3 Satz 2) Gesetzliche Pflichten des Auftragnehmers (Abs. 4) XI. Prüfung und Wartung von Datenverarbeitungsanlagen (Abs. 5) XII. Rechtsfolgen/Sanktionen Schrifttum: Becker/Nikolaeva, Das Dilemma der Cloud-Anbieter zwischen US Patriot Act und BDSG, CR 2012, 170; Bierekoven, Auftragsdatenverarbeitung in der Cloud, DGRI Handbuch 2010, 95; Bongen/Kremer, Probleme der Abwicklung 378 Plath

5 Erhebung, Verarbeitung oder Nutzung im Auftrag 11 BDSG ärztlicher Privatliquidationen durch externe Verrechnungsstellen, NJW 1990, 2911; Bräutigam, 203 StGB und der funktionale Unternehmensbegriff, CR 2011, 411; Conrad/Schneider, Einsatz von privater IT im Unternehmen, ZD 2011, 153; Engels, Datenschutz in der Cloud Ist hierbei immer eine Auftragsdatenverarbeitung anzunehmen?, K&R 2011, 548; Erd, Datenschutzrechtliche Probleme sozialer Netzwerke, NVwZ 2011, 19; Fisahn, Bankgeheimnis und informationelle Selbstbestimmung, CR 1995, 632; Freise, Erfahrungen mit der Umsetzung des neuen 11 BDSG nach einem Jahr in: Taeger (Hrsg.), Digitale Evolution Herausforderungen für das Informations- und Medienrecht, Tagungsband Herbstakademie 2010, Edewecht (OlWIR) 2010 S. 161; Gaul/Koehler, Mitarbeiterdaten in der Computer Cloud: Datenschutzrechtliche Grenzen des Outsourcings, BB 2011, 2229; Giesen, Zum Begriff des Offenbarens nach 203 StGB im Falle der Einschaltung privatärztlicher Verrechnungsstellen, NStZ 2012, 122. Grapentin, Haftung und anwendbares Recht im internationalen Datenverkehr EU-Standardvertragsklauseln und Binding Corporate Rules, CR 2011, 102; Heghmanns/ Niehaus, Outsourcing im Versicherungswesen und der Gehilfenbegriff des 203 III 2 StGB, NStZ 2008, 57; Heidrich/Wegener, Sichere Datenwolke Cloud Computing und Datenschutz, MMR 2010, 803; Heinrichs, Funktionsauslagerung (Outsourcing) bei Kreditinstituten, WM 2000, 1561; Hoenik/Hülsunk, Outsourcing im Versicherungs- und Gesundheitswesen ohne Einwilligung? MMR 2004, 788; Jahn/Palm, Outsourcing in der Kanzlei: Verletzung von Privatgeheimnissen?, AnwBl 2011, 613; Jandt/Roßnagel/Wilke, Outsourcing der Verarbeitung von Patientendaten Fragen des Daten- und Geheimnisschutzes, NZS 2011, 641; Kort, Strafbarkeitsrisiken des Datenschutzbeauftragten nach 203 StGB beim IT- Outsourcing, insbesondere in datenschutzrechtlich sichere Drittstaaten, NStZ 2011, 193; Lensdorf, Auftragsdatenverarbeitung in der EU/EWR und Unterauftragsdatenverarbeitung in Drittländern, CR 2010, 735; Lensdorf/Steger, IT-Compliance im Unternehmen, ITRB 2006, 206; Meyer/Steding, Outsourcing von Bankdienstleistungen: Bank- und datenschutzrechtliche Probleme der Aufgabenverlagerung von Kreditinstituten auf Tochtergesellschaften und sonstige Dritte, BB 2001, 1693; Moos, Die Entwicklung des Datenschutzrechts im Jahr 2010, K&R 2011, 145; Nägele/Jacobs, Rechtsfragen des Cloud Computings, ZUM 2010, 281; Niemann/Hennrich, Kontrolle in den Wolken?, CR 2010, 686; Otto, Strafrechtliche Konsequenzen aus der Ermöglichung der Kenntnisnahme von Bankgeheimnissen in einem öffentlich-rechtlichen Kreditinstitut durch Wartungsund Servicepersonal eines Computer-Netzwerks, Wistra 1999, 201; Pohle/Ammann, Über den Wolken Chancen und Risiken des Cloud Computings; Redeker, Datenschutz auch bei Anwälte aber gegenüber Datenschutzkontrollinstanzen gilt das Berufsgeheimnis, NJW 2209, 554; Rüpke, Das Anwaltsgeheimnis auf dem Prüfstand des Strafrechts ein quasi-datenschutzrechtliches Missverständnis zu 203 StGB?, NJW 2002, 2835; Scholz/Lutz, Standardvertragsklauseln für Auftragsverarbeiter und 11 BDSG, CR 2011, 424; Schulz, Die (un-)zulässigkeit von Datenübertragungen innerhalb verbundener Unternehmen, BB 2011, 2552; Schuster/Reichl, Cloud Computing & SaaS: Was sind die wirklich neuen Fragen? CR 2010, 38; Splittgerber/Rockstroh, Sicher durch die Cloud navigieren Vertragsgestaltung beim Cloud Computing, BB 2011, 2179; Wanagas, Ein Jahr BDSG-Novelle II Rückblick unter besonderer Berücksichtigung der Fragen der Auftragsdatenverarbeitung und der Informationspflichten, DStR 2010, 1908; We- Plath 379

6 BDSG 11 Allgemeine und gemeinsame Bestimmungen ber/voigt, Internationale Auftragsdatenverarbeitung, ZD 2011, 74; Weichert, Datenschutz auch bei Anwälten?, NJW 2009, 550; Witzel, Organisatorische Pflichten beim Outsourcing im Bankenbereich Die Besonderheiten von 25a KWG im Überblick, ITRB 2006, 286. I. Einführung 1 Die Regelung des 11 ermöglicht es der verantwortlichen Stelle, Dritte mit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten zu betreuen, ohne dass es dazu einer gesetzlichen Erlaubnis oder einer Einwilligung der Betroffenen bedarf. Praktische Relevanz entfaltet die Regelung u.a. im Bereich des Hostings von Daten durch externe Dienstleister (insbesondere beim Cloud Computing), im Bereich des Outsourcings (z.b. von IT-Systemen oder Geschäftsprozessen) sowie in allen sonstigen Fällen, in denen Dienstleister durch die verantwortliche Stelle damit beauftragt werden, personenbezogene Daten weisungsgebunden für diese zu verarbeiten. 2 Die Konstruktion der Auftragsdatenverarbeitung basiert auf dem gesetzlichen Kunstgriff des 3 Abs. 8 Satz 3. Danach sind Personen und Stellen, die im räumlichen Anwendungsbereich der Norm als Auftragsdatenverarbeiter tätig sind, keine Dritten i.s.d. BDSG. Daraus folgt, dass die Übertragung der Daten an einen solchen Auftragnehmer keine Übermittlung i.s.d. BDSG darstellt mit der Konsequenz, dass die Übertragung der Daten sowie deren Verarbeitung und Nutzung durch den Auftragnehmer auch ohne Einwilligung oder gesetzliche Erlaubnis zulässig sind 1. Damit handelt es sich bei der Regelung des 11 auch nicht um einen Erlaubnistatbestand i.s.d. 4 Abs. 1. Der Gesetzgeber betrachtet den Auftragnehmer im Falle der Auftragsdatenverarbeitung vielmehr als verlängerten Arm des Auftraggebers und beide Parteien damit quasi als eine Einheit 2. 3 Bei der Auftragsdatenverarbeitung bleibt der Auftraggeber als verantwortliche Stelle für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich (Abs. 1 Satz 1). Er kann sich also nicht durch Einschaltung eines Dienstleisters von dieser Pflicht befreien 3. Allerdings eröffnet ihm die Regelung des 11 die Möglichkeit zur Einschal- 1 Ähnlich Taeger/Gabel/Gabel, 11 BDSG Rz. 3; Gola/Schomerus, 11 BDSG Rz. 4; Bergmann/Möhrle/Herb, 11 BDSG Rz. 3; Simitis/Petri, 11 BDSG Rz. 43; vgl. auch Scholz/Lutz, CR 2011, 424, Bergmann/Möhrle/Herb, 11 BDSG Rz Taeger/Gabel/Gabel, 11 BDSG Rz. 3; Simitis/Petri, 11 BDSG Rz Plath

7 Erhebung, Verarbeitung oder Nutzung im Auftrag 11 BDSG tung externer Dienstleister, die ihm ansonsten nach dem BDSG u.u. verwehrt wäre, weil es an einer Einwilligung fehlt und die gesetzlichen Erlaubnistatbestände im Einzelfall nicht eingreifen (vgl. 4 Abs. 1). Dieses Privileg der Auftragsdatenverarbeitung hat allerdings auch seine Kehrseite. Denn das BDSG verpflichtet den Auftraggeber nicht nur zur sorgfältigen Auswahl und Überwachung des Auftragnehmers, sondern auch zur Einhaltung umfangreicher Mindestanforderungen bei der inhaltlichen Ausgestaltung des Auftragsdatenverarbeitungsvertrages (vgl. den sog. 10-Punkte-Katalog des Abs. 2 Satz 2 Nr. 1 bis 10). Über diese Verpflichtung soll nach der gesetzgeberischen Intention sichergestellt werden, dass die für den Auftraggeber geltenden Anforderungen auch bei der Einschaltung externer Dienstleister gewahrt werden 1. Es hat sich jedoch gezeigt, dass diese Anforderungen viele Unternehmen in der Praxis überfordern. Während es etwa im Rahmen eines komplexen IT-Outsourcings selbstverständlich sein dürfte, dass die von dem Dienstleister zu erfüllenden Sicherheitsstandards detailliert geregelt werden, finden sich in der Praxis diverse Konstellationen, bei denen administrativer Aufwand und Ertrag in keinem angemessenen Verhältnis stehen. Wenn sich zwei Unternehmen z.b. im Bereich der Werbewirtschaft ad hoc oder testweise zu einer Kooperation zusammenfinden wollen, die eine Datenverarbeitung im Auftrag beinhaltet, sind sie gezwungen, den 10-Punkte-Katalog des Abs. 2 vollständig abzuarbeiten, vertraglich im Detail auszuformulieren und die Einhaltung dieser Anforderungen vor Beginn der Datenverarbeitung und danach regelmäßig zu kontrollieren und zu dokumentieren (vgl. Abs. 2 Satz 4 und 5). Bei Aufträgen mit geringem Volumen, die in der Praxis häufig allein auf Zuruf erfolgen, ist der Gesetzesverstoß damit bereits vorprogrammiert, denn nur wenige dieser Verträge dürften den strengen gesetzlichen Vorgaben genügen. Bei derartigen Konstellationen ist daher zu überlegen, ob die Zusammenarbeit nicht alternativ auf die Regelung des 28 oder einen sonstigen Erlaubnistatbestand des BDSG gestützt werden kann, um den Anforderungen des 11 und dem damit verbundenen administrativen Aufwand zu entgehen. Ein vergleichbares Phänomen zeigt sich im Bereich des Cloud Computings (siehe Rz. 55 unten). Auch hier stößt die Regelung des 11 an ihre praktischen Grenzen, wenn der Auftraggeber z.b. verpflichtet sein soll, sich vor Ort wie teilweise gefordert wird von der Einhaltung der orga Taeger/Gabel/Gabel, 11 BDSG Rz. 1. Plath 381

8 BDSG 11 Allgemeine und gemeinsame Bestimmungen nisatorischen und technischen Maßnahmen bei einem international agierenden Anbieter entsprechender Cloud Services zu überzeugen. 6 Im Ergebnis ist in diesem Bereich der Gesetzgeber gefordert, der Regelungen bereitzustellen hat, welche die Interessen der Wirtschaft einerseits und der Betroffenen andererseits in einen angemessenen und vor allem der technischen Entwicklung entsprechenden Ausgleich bringen. Solange jedoch keine entsprechende Neuregelung des 11 verabschiedet worden ist, muss sich die Praxis an dem aktuellen Regelungstext messen lassen. II. Anwendungsbereich 1. Sachlicher Anwendungsbereich 7 Die Regelung des 11 gilt sowohl für den öffentlichen wie auch für den nicht-öffentlichen Bereich 1. 8 Die Anforderungen des 11 gelten nicht, wenn die zu verarbeitenden Daten keine personenbezogenen Daten i.s.d. 3 Abs. 1 darstellen. In diesem Fall findet das BDSG schon keine Anwendung (vgl. 1 Abs. 1). Allerdings kann es in Zweifelsfällen, z.b. wenn IP-Adressen verarbeitet werden (zur Rechtsnatur von IP-Adressen vgl. 3 Rz. 20) angezeigt sein, den Vertrag vorsorglich im Einklang mit den Vorgaben des 11 auszugestalten, um Bußgelder und weitere negative Konsequenzen zu vermeiden. 9 Die Regelungen des 11 sind darüber hinaus auch dann nicht einschlägig, wenn zwar personenbezogene Daten vorliegen, der Auftragnehmer jedoch keine Erhebung, Verarbeitung oder Nutzung dieser Daten vornimmt. Dies ist z.b. beim sog. Server-Housing der Fall, also dem Fall, dass der verantwortlichen Stelle von dem Auftragnehmer lediglich eine reine Rechenzentrumsfläche zur Verfügung gestellt wird, innerhalb derer sie ihre Server selbst betreibt und auf diesen die personenbezogenen Daten selbst verarbeitet Territorialer Anwendungsbereich 10 In territorialer Hinsicht ist zu unterscheiden zwischen der Konstellation, bei der ein deutscher Auftraggeber seine Daten durch einen im Ausland ansässigen Auftragsdatenverarbeiter verarbeiten lässt, und der Kon- 1 So auch Gola/Schomerus, 11 BDSG Rz So im Ergebnis auch Gola/Schomerus, 11 BDSG Rz. 8; Simitis/Petri, 11 BDSG Rz Plath

9 Erhebung, Verarbeitung oder Nutzung im Auftrag 11 BDSG stellation, bei der der Auftraggeber selbst seinen Sitz im Ausland hat und sich eines deutschen Auftragnehmers bedient. a) Auftragnehmer im Ausland Soweit ein Auftragnehmer im Ausland von einem deutschen Auftraggeber im Wege der Auftragsdatenverarbeitung beauftragt werden soll, gilt folgende Unterscheidung 1 : Erfolgt die Datenverarbeitung im Geltungsbereich der EG-Datenschutzrichtlinie, also in einem anderen Mitgliedstaat der EU oder einem anderen Vertragsstaat des EWR, ist eine Auftragsdatenverarbeitung nach Maßgabe des 11 möglich, da nur in diesem Fall der Auftragnehmer als Nicht-Dritter angesehen werden kann (vgl. 3 Abs. 8) 2. Erfolgt die Datenverarbeitung hingegen in einem Drittstaat außerhalb der genannten Gebiete, findet 11 grundsätzlich keine Anwendung 3. Dies ergibt sich im Umkehrschluss aus 3 Abs. 8, wonach Stellen außerhalb der EU bzw. des EWR grundsätzlich als Dritte anzusehen sind 4. Damit wird durch 3 Abs. 8 die Auftragsdatenverarbeitung nur für die genannten Gebiete privilegiert. Eine Übertragung von Daten an Unternehmen in außereuropäische Drittstaaten stellt dagegen grundsätzlich eine Übermittlung dar und ist demnach nur im Rahmen der allgemeinen Erlaubnistatbestände möglich. Wegen der Einzelheiten wird auf die Kommentierung zu 4b verwiesen, dort Rz. 16. Unter Umständen kann jedoch eine Berücksichtigung der Kriterien des 11 für die Zulässigkeit einer Übermittlung nach 28 ausschlaggebend sein 5. Fraglich ist allerdings, ob in analoger Anwendung des 3 Abs. 8 eine Datenverarbeitung im nicht-europäischen Ausland ausnahmsweise gleichwohl zulässig sein kann 6. Der teleologische Hintergrund dieser Norm liegt darin, die Privilegierung des 11 nur dann zuzulassen, wenn der Sicherheits- und Schutzstandard der EG-Datenschutzrichtlinie gewährleistet ist (vgl. 4b Abs. 3), was in den EU- und EWR-Mitgliedstaa Zu Unterauftragsverhältnissen zwischen dem Auftragnehmer und einem weiteren Unterauftragnehmer siehe Rz. 105 ff. 2 So auch Gola/Schomerus, 11 BDSG Rz. 16; Bergmann/Möhrle/Herb, 11 BDSG Rz. 14; Weber/Voigt, ZD 2011, 74, Taeger/Gabel/Gabel, 11 BDSG Rz. 25; Bergmann/Möhrle/Herb, 11 BDSG Rz. 15; Simitis/Petri, 11 BDSG Rz Scholz/Lutz, CR 2011, 424, Vgl. auch Gola/Schomerus, 11 BDSG Rz So zutreffend Weber/Voigt, ZD 2011, 74, 77 f. Plath 383

10 BDSG 11 Allgemeine und gemeinsame Bestimmungen ten kraft Gesetzes der Fall ist. Im Hinblick auf diesen Sinn und Zweck scheint es nach der hier vertretenen Ansicht jedoch gerechtfertigt, eine Auftragsdatenverarbeitung im nicht-europäischen Ausland in Abweichung vom zuvor dargestellten Grundsatz dann als zulässig anzusehen, wenn die Einhaltung des Schutzniveaus der EG-Datenschutzrichtlinie anderweitig garantiert ist. Dies sollte insbesondere dann der Fall sein, wenn eine Zertifizierung des Auftragnehmers, z.b. nach dem Safe-Harbour-Prinzip vorliegt (ausführlich hierzu 4b Rz. 30 ff.), oder eine Verwendung der Standardvertragsklauseln der EU-Kommission 1 vereinbart ist 2. Zu beachten ist, dass die EU-Kommission einige Drittstaaten (u.a. Argentinien, Kanada und die Schweiz) als sicher eingestuft hat, mit der Folge, dass eine Datenübermittlung in diese Länder grundsätzlich zulässig ist Maßgeblich ist bei der Auftragsdatenverarbeitung im Ausland grundsätzlich, wo die tatsächliche Handlung erfolgt, also z.b., wo der Server installiert ist, auf dem die Datenverarbeitung vorgenommen wird. Irrelevant ist es dagegen, wo der Auftragnehmer seinen Sitz hat 4. Dies folgt ebenfalls aus dem Wortlaut des 3 Abs. 8, der an dem Ort der Erhebung, Verarbeitung und Nutzung anknüpft 5. Dies kann zu Problemen führen, wenn der Auftragnehmer verschiedene Rechenzentren betreibt, die in unterschiedlichen Ländern belegen sind. Befinden sich sämtliche dieser Rechenzentren innerhalb der EU bzw. des EWR, so ist den Anforderungen des 11 insoweit genüge getan. Befinden sich einzelne der Rechenzentren jedoch in einem Drittland, bedarf es entweder einer vertraglichen Beschränkung auf die Datenverarbeitung allein innerhalb der in der EU bzw. des EWR belegenen Rechenzentren, oder die Parteien ergreifen eine der in vorstehender Rz. 14 dargestellten Maßnahmen. 1 Beschluss der EU-Kommission vom über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländer nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates, Nr. 2010/87/EU, K(2010) 593, ABl. L 39 vom , S. 5; ausführlich hierzu Grapentin, CR 2011, 102, 103 f. sowie Moos, K&R 2011, 145, Ebenso Leupold/Glossner/Stögmüller, Anwaltshandbuch IT-Recht, Teil 5 Rz. 354; Weber/Voigt, ZD 2011, 74, 75; so im Ergebnis auch Erd, NVwZ 2011, 19, 21; vgl. auch Schulz, BB 2011, 2552, 2554 f. bezüglich der Ermöglichung eines konzerninternen Datenumgangs; a.a. Scholz/Lutz, CR 2011, 424, 427 f. 3 Vgl. 4b Rz. 29; Bierekoven, DGRI Jahrbuch 2010, 95, Taeger/Gabel/Gabel, 11 BDSG Rz Simitis/Dammann, 3 BDSG Rz. 230; Schaffland/Wiltfang, 3 BDSG Rz Plath

11 Erhebung, Verarbeitung oder Nutzung im Auftrag 11 BDSG b) Auftraggeber im Ausland Befindet sich der Sitz des Auftraggebers im Ausland, stellt sich stets die Frage, ob deutsches Recht und damit 11 anzuwenden ist, wenn der Auftragnehmer im Inland tätig wird. Maßgeblich ist insoweit ebenfalls nicht der Sitz des Auftragnehmers, sondern ob die Erhebung, Verarbeitung oder Nutzung in Deutschland stattfindet (siehe oben Rz. 15). Grundsätzlich richtet sich die Anwendbarkeit des BDSG nach 1 Abs. 5. Nach Satz 1 dieser Vorschrift hängt es zunächst davon ab, ob sich der Sitz einer verantwortlichen Stelle (hier der Auftraggeber) innerhalb oder außerhalb des EWR befindet. Hat der Auftraggeber seinen Sitz in einem Drittstaat, der nicht Vertragsstaat des EWR ist, findet das deutsche Recht grundsätzlich Anwendung, sobald der Auftraggeber personenbezogene Daten in Deutschland erhebt, verarbeitet oder nutzt, 1 Abs. 5 Satz 2. Erteilt er zu diesem Zweck einen Auftrag an einen die Daten in Deutschland verarbeitenden oder nutzenden Dienstleister, unterliegt dieser Auftrag folglich zwar der Privilegierung, aber auch den Anforderungen des Anders liegt es dagegen, wenn sich der Sitz des Auftraggebers innerhalb des EWR befindet. In diesen Fällen muss gemäß 1 Abs. 5 Satz 1 zunächst danach differenziert werden, ob die Datenverarbeitung durch eine in Deutschland ansässige Niederlassung erfolgt. Nur in diesem Fall findet deutsches Recht Anwendung, 1 Abs. 5 Satz 1 Halbs. 2. Damit kann ein im EWR Ausland sitzender Auftraggeber beeinflussen, ob deutsches Recht Anwendung findet oder nicht. Erteilt er den Auftrag zur Datenverarbeitung über eine Niederlassung in Deutschland, unterliegt der Auftrag dem BDSG. Erteilt er den Auftrag vom Hauptsitz des Unternehmens aus, ist auf den Auftrag das Recht des jeweiligen Mitgliedsbzw. Vertragsstaats anzuwenden. Zu den Besonderheiten i.r.d. Cloud Computings vgl. Rz. 51 ff. Im Übrigen wird auf die Kommentierung zu 1 Abs. 5 verwiesen ( 1 Rz. 45 ff.) Zeitlicher Anwendungsbereich Der 10-Punkte-Katalog wie auch einige weitere Verschärfungen sind im Rahmen des BDSG 2009 in das Gesetz aufgenommen worden. Damit einhergehend wurden in 43 Abs. 1 Nr. 2b Bußgeldtatbestände für den Fall der schuldhaften Verletzungen bestimmter Pflichten im Zusammenhang mit der Beauftragung des Auftragnehmers eingeführt. Dies hat 19 1 So auch Gola/Schomerus, 11 BDSG Rz. 16a. Plath 385

12 BDSG 11 Allgemeine und gemeinsame Bestimmungen zu der Frage geführt, ob die Neuregelung des BDSG 2009 auch für Altverträge gilt, die vor dem Inkrafttreten der Novellierung zum geschlossen worden sind. Da das Gesetz keine Rückwirkungs- bzw. Übergangsregelung vorsieht, ist nach der hier vertretenen Auffassung davon auszugehen, dass keine Pflicht zur Anpassung von Altverträgen besteht. Teilweise wird jedoch empfohlen, Altverträge vorbeugend der neuen Rechtslage anzupassen 1. Werden solche Verträge allerdings neu geschlossen oder durch aktives Handeln verlängert oder werden unter bestehenden Rahmenverträgen neue Einzelaufträge abgeschlossen, sind die Anforderungen des 11 in der Fassung des BDSG 2009 zu beachten Verhältnis zu den Erlaubnisnormen des BDSG 20 Fraglich ist schließlich, ob im Fall einer missglückten Auftragsdatenverarbeitung der Rückgriff auf die allgemeinen Erlaubnisnormen des BDSG zulässig bleibt. Denkbar ist diese Konstellation z.b. dann, wenn die Parteien beabsichtigten, die Übermittlung von personenbezogenen Daten an einen Dienstleister im Wege der Auftragsdatenverarbeitung zu regeln, es jedoch an einer wirksamen Auftragsdatenverarbeitung mangelt, da bestimmte Anforderungen des 11 wie z.b. die formale Festlegung der organisatorischen und technischen Maßnahmen nach 9 BDSG nicht eingehalten worden sind. Nach der hier vertretenen Ansicht ist in diesen Fällen durchaus ein Rückgriff auf die allgemeinen Erlaubnistatbestände, insbesondere also auf 28 möglich, soweit deren Voraussetzungen vorliegen. Denn die Übermittlungsbefugnisse des BDSG sind grundsätzlich nicht an die Einhaltung bestimmter Formerfordernisse gekoppelt, sondern greifen immer dann ein, wenn die Übermittlung der Daten an den Empfänger von dem Tatbestand der jeweiligen Erlaubnisnormen gedeckt ist. III. Auftragsverhältnis 1. Begriff des Auftrags (Abs. 1 Satz 1) 21 Erforderlich für die Anwendbarkeit des 11 ist eine Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag. Der Begriff des Auftrags ist im weitesten Sinne zu verstehen, er ist also insbeson- 1 Gola/Schomerus, 11 BDSG Rz So auch Taeger/Gabel/Gabel, 11 BDSG Rz Plath