Hinweise für Makler, Verwalter und Sachverständige zur Einhaltung des Bundesdatenschutzgesetzes

Transkript

1 Hans-Joachim Beck Hinweise für Makler, Verwalter und Sachverständige zur Einhaltung des Bundesdatenschutzgesetzes Hans-Joachim Beck... 1 Hinweise für Makler, Verwalter und Sachverständige zur Einhaltung des Bundesdatenschutzgesetzes1 Anwendungsbereich... 3 Zielsetzung des Gesetzes... 3 Datenschutzbeauftragter... 4 Registeranmeldung... 4 Verfahrensverzeichnis gemäß 4 g Abs. 2 BDSG... 4 Erhebung der Daten... 5 Erhebung von personenbezogenen Daten mittels eines Online-Kontaktformulars... 5 Verkauf einer Immobilie... 5 Daten des Kaufinteressenten... 6 Erhebung der Daten... 6 Übersendung des Exposés... 6 Besichtigungstermin... 6 Verhandlung nach dem Besichtigungstermin... 6 Weitergabe der Daten an den Partner eines Gemeinschaftsgeschäftes... 6 Weitergabe der Daten des Kaufinteressenten an den an den Verkäufer... 7 Löschung der Daten... 7 Verkäufer... 7 Erhebung der Daten... 7 Löschung der Daten... 7 Vermietung einer Wohnung... 8 Wohnungssuchender... 8 Vor dem Besichtigungstermin... 8 Mieterauswahl... 9 Vertragsabschluss... 9 Löschung der Daten... 9 Namen und Daten von Nachbarn

2 Fotos der Wohnung Untervermietung Weitergabe der Kontaktdaten an Handwerker Videoüberwachung durch Vermieter Technische und organisatorische Maßnahmen zum Schutz der Daten Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Verfügbarkeitskontrolle Getrennte Verarbeitung Verpflichtung auf das Datengeheimnis Auftragsdatenverarbeitung Datenträgervernichtung Datenschutzerklärung nach 13 TMG Aufsicht Anlagen Anlage Verfahrensverzeichnis gemäß 4 g Abs. 2 BDSG Anlage Muster einer Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG) BDSG Absatz 2 BDSG BDSG Anlage Muster einer Datenschutzerklärung nach 13 TMG Anlage Muster: Auftrag gemäß 11 BDSG Vereinbarung

3 Anwendungsbereich Nach dem Bundesdatenschutzgesetz (BDSG) sind alle Unternehmen verpflichtet, die Regeln des Datenschutzes einzuhalten. Dies gilt also auch für Hausverwaltungen, Makler und Sachverständige. Die Verpflichtung ist nicht an eine bestimmte Rechtsform oder Größe des Unternehmens gebunden und gilt auch dann, wenn keine Verpflichtung besteht, einen Datenschutzbeauftragten zu bestellen. Insbesondere bei der Vermietung von Wohnungen müssen strenge Regeln beachtet werden, welche Daten zu welchem Zeitpunkt erhoben werden dürfen. Auch die spätere Löschung der nicht mehr benötigten Daten muss im Unternehmen geregelt werden (Löschungskonzept). Gegenstand des Datenschutzes sind personenbezogene Daten. Darunter versteht man z. B. Name, Anschrift, Familienstand, Hobby, Verhalten, Einkommen, Kreditkartennummer, Kreditwürdigkeit und Vermögensverhältnisse eines Menschen. Strengeren Datenschutzvorschriften unterliegen personenbezogene Daten besonderer Art wie z. B. über Gesundheit, Sexualleben, politische Meinung oder religiöse Überzeugung. Geschützt sind nur Daten von natürlichen Personen; Daten juristischer Personen sind nicht geschützt. Allerdings sind die Daten derjenigen Personen geschützt, die für dieses Unternehmen handeln oder ihr Ansprechpartner sind. Daten von Sachen, wie beispielsweise über Grundstücke, sind nicht geschützt. Bei Nutzung des Internets (Webseiten) sind außerdem die speziellen Regelungen des Telemediengesetzes zu beachten (insbesondere 13 TMG). Zielsetzung des Gesetzes Das BDSG will erreichen, dass personenbezogene Daten nur in dem Umfang erhoben und gespeichert werden, wie dies zur Erfüllung gesetzlicher Verpflichtungen und zur Erreichung des Vertragszwecks erforderlich ist. Man spricht von dem Grundsatz der Datensparsamkeit. Entfällt die gesetzliche Verpflichtung später, etwa weil die Aufbewahrungspflichten abgelaufen sind oder der Vertragszweck erreicht ist, müssen die Daten wieder gelöscht werden. Außerdem dürfen die Daten nur zu dem Zweck verwendet werden, für den sie erhoben worden sind. Man spricht von dem Grundsatz der Zweckbindung. Daher muss das Unternehmen technische und organisatorische Maßnahmen treffen, um die Daten wirksam zu schützen. Die Mitarbeiter müssen sich verpflichten, die Daten nicht unbefugt zu erheben, zu verarbeiten oder zu nutzen. Schließlich ist auch der Grundsatz der Transparenz zu beachten. Der Kunde hat einen Anspruch darauf, zu wissen, wofür und von wem seine Daten genutzt werden. 3

4 Datenschutzbeauftragter Wenn in dem Maklerunternehmen höchstens 9 Personen tätig sind, ist die Bestellung eines Datenschutzbeauftragten nicht erforderlich. Trotzdem sind natürlich die Anforderungen des BDSG zu erfüllen. Werden 10 oder mehr Personen beschäftigt, muss ein Datenschutzbeauftragter bestellt werden. Dies kann ein Angestellter des Unternehmens sein. Er muss jedoch die erforderliche Fachkunde besitzen und ist grundsätzlich nicht kündbar. Registeranmeldung Eine Registeranmeldung ist gemäß 4 d Abs. 3 BDSG bei Immobilienunternehmen grundsätzlich nicht erforderlich, wenn höchstens 9 Personen tätig sind. Verfahrensverzeichnis gemäß 4 g Abs. 2 BDSG Jedes Unternehmen muss ein Verfahrensverzeichnis nach 4 g Abs. 2 BDSG haben. Darin sind bestimmte Angaben in zusammengefasster Form jedermann auf Antrag verfügbar zu machen (öffentliches Verfahrensverzeichnis). Das Maklerunternehmen muss in der Lage sein, diese Information sowohl schriftlich als auch per zur Verfügung zu stellen. Inhalt des Verfahrensverzeichnisses: Das Verfahrensverzeichnis muss die in 4e Satz 1 Nr. 1 8 BDSG aufgezählten Angaben enthalten. Dies sind: 1. Name oder Firma der verantwortlichen Stelle, 2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen, 3. Anschrift der verantwortlichen Stelle, 4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder nutzung, 5. Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien, 6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können, 7. Regelfristen für die Löschung der Daten, 8. Geplante Datenübermittlung in Drittstaaten, Folgende Angaben der Ziffern 9 und 10 müssen und sollten in der Regel von dem Unternehmen nicht öffentlich gemacht werden: 9. Allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach 9 BDSG zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind, 4

5 10. Angabe der zugriffsberechtigten Personen Das Muster eines solchen Verfahrensverzeichnisses ist diesem Text als Anlage 1 beigefügt. Erhebung der Daten Die Erhebung, Verarbeitung und Nutzung der Daten ist gemäß 4 Abs. 1 BDSG nur zulässig, wenn eine Rechtsvorschrift dies zulässt oder eine schriftliche Einwilligung der betroffenen Person vorliegt. Außerdem dürfen gemäß 28 Abs. 1 Nr. 1 BDSG Daten erhoben werden, wenn und soweit dies für die Begründung und Abwicklung eines Vertrages erforderlich ist. Erhebung von personenbezogenen Daten mittels eines Online- Kontaktformulars Eine Erhebung von Daten erfolgt bereits, wenn ein Interessent ein auf der Internetseite eines Unternehmers zur Verfügung gestelltes Online-Kontaktformular nutzt. In diesem Fall dürfen personenbezogene Daten, wie Name, Telefonnummer und -Adresse nur mithilfe einer HTTPS- Verschlüsselung bzw. der Verschlüsselungstechnik Perfect Forward Secrecy übertragen werden. Inzwischen ist aus der SSL-Verschlüsselung die TLS (Transport Layer Security) geworden. TLS stellt eine Weiterentwicklung von Secure Sockets Layer (SSL) dar. Erfüllt die Internetseite bzw. das Kontaktformular diese Vorgaben nicht, muss das Formular entfernt werden. Verkauf einer Immobilie Soweit es um die Daten über die Identität des Vertragspartners geht, ist die Erhebung der Daten durch das Geldwäschegesetz vorgeschrieben. Die Erhebung dieser Daten ist daher nach 4 Abs. 2 Nr. 1 BDSG zulässig. Nach 8 Abs. 1 GWG darf der Makler auch den Ausweis des Kunden kopieren. Die Aufbewahrung dieser Daten ist mindestens solange zulässig, wie das Geldwäschegesetz dies vorschreibt. Dies sind nach 8 Abs. 3 GwG 5 Jahre. Soweit es um personenbezogene Daten geht, die der Kunde dem Makler bei Abschluss oder im Rahmen des Maklervertrages mitteilt, und deren Erhebung nicht durch das GWG gedeckt ist, liegt eine Einwilligung vor. Zumindest ist die Erhebung durch 28 Abs. 1 Nr. 1 BDSG gedeckt, weil diese Daten zur Durchführung des Maklervertrages erforderlich sind. Nach 28 Abs. 1 Satz 2 BDSG muss der Zweck der Datenerhebung bei Erhebung der Daten konkret festgelegt sein. Dies ist bei den Kunden des Maklers stets der Fall, weil der Verkäufer und Kaufinteressent wissen, dass der Makler die Daten erhebt, damit er seinen Vertrag erfüllen kann. 5

6 Daten des Kaufinteressenten Erhebung der Daten Bei Erhebung der Daten von dem Kaufinteressenten muss der Makler den Grundsatz der Datensparsamkeit beachten. Von dem Kaufinteressenten dürfen nur diejenigen Daten verlangt werden, die in dem jeweiligen Stadium des Prozesses erforderlich sind. Übersendung des Exposés Um dem Kunden das Exposé zu übersenden dürfen lediglich Name (Identität) und Kontaktdaten (Postanschrift, -Adresse, Fax-Nr.) erfragt werden. Besichtigungstermin Auch für die Vereinbarung eines Besichtigungstermins sind grundsätzlich nur der Name und die Kontaktdaten erforderlich. Im Einzelfall ist es aber auch zulässig, bereits vor Vereinbarung eines Besichtigungstermins die Vorlage eines Finanzierungsnachweises zu verlangen. Im Normalfall darf ein Finanzierungsnachweis zwar erst verlangt werden, wenn der Kaufinteressent das Objekt besichtigt und eine konkrete Kaufabsicht erklärt hat. Insofern ist aber zu berücksichtigen, dass der Verkäufer ein Interesse daran hat, dass nur ernsthafte Kaufinteressenten sein Haus besichtigen und kein Besichtigungstourismus entsteht. Dieses Interesse ist insbesondere bei Objekten, die der Verkäufer selbst bewohnt, ebenfalls schutzwürdig, da es Rückschlüsse auf seine persönlichen Lebensumstände zulässt. Verhandlung nach dem Besichtigungstermin Hat der Kunde nach dem Besichtigungstermin ein konkretes Interesse für das Objekt erklärt, dürfen genauere Daten über die Einkommens- und Vermögensverhältnisse eingeholt werden. Es kann ein ausführlicher und objektbezogener Finanzierungsnachweis, ein Einkommensnachweis und eine Schufa-Auskunft verlangt werden. Weitergabe der Daten an den Partner eines Gemeinschaftsgeschäftes Die Daten, die zulässigerweise von dem Kunden erhoben worden sind, dürfen an den Partner eines Gemeinschaftsgeschäftes weitergegeben werden. Eine ausdrückliche Einwilligung des Kunden ist nicht erforderlich, weil sich die Zulässigkeit der Weitergabe aus 28 Abs. 1 BDSG ergibt, wonach die Erhebung und Verwendung der Daten zulässig ist, soweit dies zur Durchführung des Maklervertrages erforderlich ist. Der Kunde muss jedoch darüber informiert werden, dass die Daten an den Partner des Gemeinschaftsgeschäfts weitergegen werden. Denn ein weiterer Grundsatz des BDSG ist die Transparenz. Der Kunde sollte danach wissen, wofür seine Daten verwendet werden und wem sie weitergegeben werden. Der Kaufinteressent weiß bei Abschluss des Maklervertrages, dass seine Daten an den Verkäufer weitergegeben werden. Darüber muss er deshalb nicht aufgeklärt werden. Mit der Weitergabe an den Partner eines Gemeinschaftsgeschäftes muss er dagegen nicht ohne weiteres rechnen. Darüber sollte er deshalb vor der Weitergabe informiert werden. Der Makler sollte in seinen Unterlagen dokumentieren, dass er den Kunden über die Weitergabe der Daten informiert hat. 6

7 Weitergabe der Daten des Kaufinteressenten an den an den Verkäufer Die Daten, die zulässigerweise von dem Kaufinteressenten erhoben worden sind, dürfen an den Verkäufer weitergegeben werden. Einer besonderen Zustimmung bedarf es hierfür nicht, weil dies für die Abwicklung des Maklervertrages erforderlich ist. Löschung der Daten Ist der Maklervertrag beendet, weil der Kaufinteressent das Objekt gekauft oder den Kauf abgelehnt hat, müssen dessen Daten gelöscht werden. Sie dürfen danach nur aufbewahrt werden, soweit dies erforderlich ist, um gesetzliche Aufbewahrungsvorschriften zu erfüllen. Nach dem GwG sind die Daten über die Identität des Kaufinteressenten und des Verkäufers 5 Jahre aufzubewahren. Nach der Makler und Bauträgerverordnung ( 10 und 14 MaBV) müssen die Daten 5 Jahre lang aufbewahrt werden. Aus steuer- und handelsrechtlichen Gründen sind diese Daten 10 Jahre aufzubewahren ( 147 Abgabenordnung, AO). Diese Frist beginnt erst mit Ablauf des betreffenden Jahres. Dies gilt aber nur, wenn es zum Abschluss des Kaufvertrages gekommen ist und ein Provisionsanspruch entstanden ist. Hat der Kaufinteressent das Objekt nicht gekauft, dürfen dessen Daten allerdings dann aufbewahrt werden, wenn er einen Suchauftrag erteilt hat. Daher sollten zumindest die Kopien des Personalausweises in einer gesonderten Datei bzw. einem gesonderten Ordner aufbewahrt werden. Suchauftrag Erteilt der Kaufinteressent dem Makler einen Suchauftrag für eine selbstgenutzte Immobilie, darf der Makler beispielsweise auch die Anzahl seiner Familienmitglieder und sein persönlichen Vorstellungen erfragen, soweit dies erforderlich ist, um eine passende Immobilie zu finden. Geht es um ein vermietetes Objekt, darf er natürlich auch die Renditeerwartungen und den Höchstpreis erfragen. Verkäufer Erhebung der Daten Von dem Verkäufer werden in der Regel keine personenbezogenen Daten erhoben, die über das hinausgehen, was das Geldwäschegesetz verlangt. Der Verkäufer muss neben den Daten über seine Identität lediglich die Nummern der Konten angeben, auf die der Kunde den Kaufpreis überweisen soll. Denn ein Notaranderkonto soll grundsätzlich nicht mehr verwendet werden. Die Kontodaten muss der Makler allerdings nicht speichern, da sie nur für den Verkäufer Bedeutung haben. Insofern sollte der Makler den Verkäufer allerdings darauf hinweisen, dass es nicht erforderlich ist, diese Bankverbindungen in dem notariell beurkundeten Kaufvertrag zu benennen, sondern dass dies auch außerhalb des Kaufvertrages, etwa durch ein gesondertes Schreiben, erfolgen kann. Löschung der Daten Die Daten des Verkäufers müssen nach dem Geldwäschegesetz und der MaBV 5 Jahre aufbewahrt werden. Dies gilt auch dann, wenn es nicht zum Abschluss eines Kaufvertrages gekommen ist. Aus 7

8 steuerrechtlichen und handelsrechtlichen Gründen müssen die Daten des Verkäufers 10 Jahre aufbewahrt werden. Vermietung einer Wohnung Wohnungssuchender Handelt es sich um die Vermittlung eines Mietvertrages, so sind Verwalter und Makler nach dem GWG nicht verpflichtet, die Identität des Wohnungssuchenden festzustellen. Von dem Wohnungssuchenden dürfen daher nur die Daten erheben, die dieser freiwillig mitteilt oder die für die Vermittlung der Wohnung erforderlich sind ( 28 Abs. 1 Nr. 1 BDSG). Dies sind alle Daten, die der Vermieter nach der Vereinbarung mit dem Makler zur Auswahl des Mieters zulässigerweise verlangt. Die Einwilligung des Wohnungssuchenden ist gemäß 4a Abs. 1 Satz 1 BDSG unbeachtlich, wenn die Wohnung in einem Gebiet liegt, in dem Wohnungen knapp sind, so dass dem Wohnungssuchenden der Abschluss eines gleichwertigen Mietvertrages ohne die Einwilligung nicht möglich wäre. Im Einzelnen sollten das Merkblatt des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit : Datenerhebung bei der Vermietung von Wohnraum, wonach der Vermieter nicht fragen darf sowie die Orientierungshilfe zur Einholung von Selbstauskünften bei Mietinteressenten des Düsseldorfer Kreises vom 27. Januar 2014 beachtet werden. Welche Daten von dem Mietinteressent zu welchem Zeitpunkt erhoben werden dürfen, kann außerdem dem Ratgeber Nr. 10 des Berliner Beauftragten für den Datenschutz entnommen werden ( Danach gelten folgende Grundsätze: Vermieter und Makler dürfen von den Mietinteressenten nur diejenigen Daten verlangen, die sie zu dem jeweiligen Zeitpunkt des Vermietungsprozesses benötigen. Vor dem Besichtigungstermin Vor dem Besichtigungstermin darf der Vermieter lediglich den Namen des Mietinteressenten und seine Kontaktdaten erfragen. Schutz der Privatsphäre des Vormieters Ist die Wohnung noch von dem Vormieter bewohnt, sind allerdings auch dessen schutzwürdige Interessen zu berücksichtigen. Der Makler darf deshalb Maßnahmen ergreifen, um die Privatsphäre des Vormieters zu schützen. Um zu vermeiden, dass die Wohnung von Personen besichtigt wird, die 8

9 nicht ernsthaft an der Anmietung interessiert sind oder als Mieter nicht in Betracht kommen, darf er in diesem Fall bereits vor der Besichtigung z. B. einen Nachweis der Einkommensverhältnisse verlangen. Mieterauswahl Hat der Wohnungssuchende die Wohnung besichtigt und sein Interesse am Abschluss eines Mietvertrages bekundet, muss der Vermieter / Makler prüfen, ob er als Mieter in Betracht kommt. Hierzu darf er nach datenschutzrechtlichen Gesichtspunkten folgende Daten erheben: weitere Kontaktdaten, weitere Angaben zur Identität, Anzahl der einziehenden Personen, Namen der einziehenden Personen (die Namen der übrigen einziehenden Personen dürfen nur für die Wohnungsgeberbestätigung verwendet werden) Einkommensverhältnisse, Etwaige Privatinsolvenz, mögliche Bürgen für die Miete. Vertragsabschluss Bei Abschluss des Mietvertrages kann der Vermieter /Makler weitere Daten des potentiellen Mieters verlangen, wie insbesondere: Nachweis der Einkommensverhältnisse, Bank- und Kontodaten. Auf die Einwilligung des Mietinteressenten können Vermieter und Makler die Erhebung der Daten nicht stützen, weil die Einwilligung jedenfalls in angespannten Wohnungsmärkten nicht als freiwillig angesehen werden kann ( 4a Abs. 1 Satz 1 BDSG). Kleinvermietern und Vermietern einer Einliegerwohnung in einem selbstbewohnten Haus steht ein erweitertes Fragerecht zu. Sollte der Mietinteressent eine Ausweiskopie vorlegen, ist zu beachten, dass diese nach Auffassung des Bundesfinanzministeriums nur bei dem Kauf, nicht aber bei der Anmietung einer Wohnung nach 8 GwG vom Gesetz gefordert wird. Da das GwG selbst eine derartige Unterscheidung nicht trifft, dürfte eine Kopie des Ausweises durch 8 GwG aber zumindest dann gedeckt sein, wenn der Mieter eine solche Kopie von sich aus vorlegt. In diesem Fall muss der Wohnungssuchende darauf hingewiesen werden, dass auf der Ausweiskopie ein Teil der Daten, die der Ausweis enthält, zu schwärzen ist. Dies betrifft insbesondere die auf den neuen Personalauswiesen abgedruckte sog. Zugangsnummer sowie die Seriennummer und die Prüfziffer. Das Lichtbild sollte nach Ansicht des IVD nicht geschwärzt werden, da anderenfalls - zumindest später während des Mietverhältnisses - die Zuordnung zwischen der Person und seinem Namen nicht sichergestellt werden kann. Löschung der Daten Kommt es nicht zum Abschluss eines Mietvertrages, sind die Daten des Mietinteressenten wieder zu löschen. Sie dürfen nur dann gespeichert bleiben, wenn der Wohnungssuchende einen Suchauftrag erteilt hat. 9

10 Kommt es zum Abschluss des Mietvertrages, müssen Maklerunternehmen die Daten des Wohnungssuchenden ebenfalls wieder löschen. Wenn das Maklerunternehmen einen Provisionsanspruch gegen den Wohnungsuchenden hat, müssen die Daten über die Identität des Wohnungssuchenden allerdings aus steuerrechtlichen und handelsrechtlichen Gründen 10 Jahre aufbewahrt werden. Jedes Unternehmen muss über ein sogenanntes Löschungskonzept verfügen, aus dem sich ergibt, wann welche Daten gelöscht werden. Namen und Daten von Nachbarn Vor Abschluss des Mietvertrages fragen Wohnungssuchende häufig, wer die Mitmieter sind. Diese Frage darf nur pauschal beantwortet werden. Keinesfalls dürfen die Namen der Mitmieter, deren Berufe, Alter etc. mitgeteilt werden. Käufer einer Eigentumswohnung erkundigen sich häufig danach, wer die anderen Eigentümer sind. Deren Namen, Anschriften und Telefonnummern darf der Makler grundsätzlich nicht mitteilen. Erst nach dem Erwerb ist der WEG-Verwalter berechtigt, die Namen der anderen Eigentümer und deren Kontaktdaten mitzuteilen. Die Frage, ob die anderen Wohnungen vermietet oder selbstgenutzt sind, darf dagegen beantwortet werden, da es sich nicht um personenbezogene Daten handelt. Dem Käufer eines Mietwohnhauses muss vor dem Kauf die Mieterliste ausgehändigt werden. Weitere Daten über die Mieter wie deren Telefonnummer, Beruf etc. dürfen jedoch nicht mitgeteilt werden. Fotos der Wohnung Bei Verkauf und Vermietung einer Wohnung werden heutzutage Fotos der Wohnung angefertigt. Ist die Wohnung noch bewohnt, bedarf es dazu der Zustimmung des Mieters. Der Eigentümer hat aber grundsätzlich einen Anspruch darauf, dass der Mieter derartige Fotos duldet. Dem Mieter ist jedoch darzulegen, zu welchem Zweck die Fotos angefertigt werden. Nach Möglichkeit sollten die Fotos in Anwesenheit der Mieter gemacht werden. Untervermietung Möchte der Mieter einen Untermieter aufnehmen, benötigt er die Genehmigung des Vermieters. Hierzu muss der Mieter dem Vermieter Namen und Anschrift des vorgesehenen Untermieters nennen sind. Weitere Angaben muss der Mieter nur in Ausnahmefällen machen. Weitergabe der Kontaktdaten an Handwerker Die Übermittlung von Kontaktdaten des Mieters an Handwerksunternehmen, die z. B. Instandhaltungsoder Reparaturarbeiten vornehmen sollen, ist regelmäßig zulässig, da dies der Durchführung des Mietvertrags dient. Videoüberwachung durch Vermieter Bei einer Videoüberwachung im Innenbereich eines Mehrfamilienhauses handelt es sich in der Regel um nicht-öffentlich zugängliche Räume, weshalb sich die Zulässigkeit nicht nach 6b BDSG richtet. In diesen Fällen greift 28 BDSG, wonach ähnliche 10

11 Voraussetzungen für eine Videoüberwachung gelten wie in den Fällen des 6b BDSG. Außerdem besteht in diesen Fällen ebenfalls die Möglichkeit, mit zivilrechtlichen Unterlassungs- und Abwehransprüchen gegen einen etwaigen Eingriff in das Persönlichkeitsrecht vorzugehen. So stellt eine dauerhafte Überwachung im Innenbereich eines Mehrfamilienhauses, zum Beispiel in Treppenaufgängen, im Fahrstuhlvorraum und im Fahrstuhl selbst, einen schweren Eingriff in das allgemeine Persönlichkeitsrecht der Betroffenen dar. In der hierzu ergangenen zivilrechtlichen Rechtsprechung6 besteht Einigkeit darüber, dass eine Rundumüberwachung des sozialen Lebens nicht dadurch gerechtfertigt werden kann, dass der Vermieter mit der Überwachung Schmierereien, Verschmutzungen oder einmaligen Vandalismus hindern möchte. In der Regel überwiegen daher die schutzwürdigen Interessen der Mieter und Besucher als Betroffene. ( Vgl. beispielsweise LG Berlin, Urteil vom S 37/05; KG Berlin, Beschluss vom U 83/08; AG München, Urteil vom C 34037/08. Seite 18) Technische und organisatorische Maßnahmen zum Schutz der Daten Das Unternehmen muss gemäß 9 BDSG technische und organisatorische Maßnahmen treffen, um die Daten wirksam zu schützen. Dazu schreibt das BDSG in der Anlage zu 9 folgende Maßnahmen vor: 1. Zutrittskontrolle Nur befugte Personen dürfen Zutritt zu den Räumen haben, in denen sich die Datenverarbeitungsanlage befindet. Dies kann z. B. durch Abschließen der Räume und Schlüsselvergabe erfolgen. 2. Zugangskontrolle Unbefugte dürfen keine Möglichkeit haben, die Datenverarbeitungsanlage zu nutzen. Dies wird üblicherweise durch die Eingabe von Login-Namen und Passwort erreicht. Die Zugangskontrolle kann aber auch durch eine Magnet oder Chipkarte sichergestellt werden. 3. Zugriffskontrolle Personen, die zur Benutzung der Datenverarbeitungsanlage berechtigt sind, dürfen nur auf solche Daten zugreifen können, die ihrer jeweiligen Zugriffsberechtigung unterliegen. Es muss also geregelt werden, wer im Unternehmen auf welche Kundendaten zugreifen darf. Außerdem darf es nicht möglich sein, dass personenbezogene Daten nach dem Speichern unbefugt gelesen, kopiert, verändert oder entfernt werden. Dies kann z. B. durch differenzierte Berechtigungen bei der Nutzung der Software und durch Protokollierung erreicht werden. 4. Weitergabekontrolle Personenbezogene Daten dürfen während der elektronischen Übertragung oder während eines Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Es muss nachvollziehbar und überprüfbar sein, an welche Stelle Daten übermittelt werden. Webseiten, die eine Eingabe personenbezogener Daten ermöglichen, sind daher grundsätzlich mit dem HTTPS-Protokoll zu verschlüsseln. 11

12 Die Weitergabekontrolle kann mit folgenden Mitteln erreicht werden: Verschlüsselung / Tunnelverbindung (VPN = Virtual Private Network) Die Webseite (z.b. per Online-Formular) besitzt eine https-verschlüsselung mit Perfect Forward Secrecy, der eingesetzte Server unterstützt die Transportverschlüsselungstechnik STARTTLS, der eingesetzte Server unterstützt die Verschlüsselungstechnik Perfect Forward Secrecy. 5. Eingabekontrolle Es muss nachträglich überprüft werden können, von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind. Dies geschieht in der regeldurch eine automatische Protokollierung der Eingaben in Logfiles. Elemente der Protokollierung sind der betroffene Datensatz, die Art der Aktivität (Anlage, Veränderung, Löschung des Datensatzes), der Zeitpunkt der Aktivität sowie die ausführende Person. Die Eingabekontrolle setzt eine funktionierende Zugangskontrolle voraus. 6. Verfügbarkeitskontrolle Die Daten müssen gegen zufällige Zerstörung oder Verlust geschützt sein. Dies geschieht in der Regel durch fachgerechte regelmäßige Datensicherung. Backup-Verfahren Spiegeln von Festplatten, z.b. RAID-Verfahren Unterbrechungsfreie Stromversorgung (USV) Getrennte Aufbewahrung Virenschutz / Firewall Notfallplan 7. Getrennte Verarbeitung Zu unterschiedlichen Zwecken erhobene Daten müssen grundsätzlich auch getrennt verarbeitet werden können. Daten über die Identität des Kunden, die nach dem GwG erhoben worden sind und ggf. der betr. Aufsichtsbehörde vorgelegt werden müssen, sollten getrennt aufbewahrt werden. Insbesondere ist es ratsam, Ausweiskopien in einem getrennten Ordner aufzubewahren und auf der Kopie einen Hinweis auf das dazugehörige Objekt anzubringen, damit diese einem bestimmten Vorgang zugeordnet werden kann. Außerdem wird dadurch verhindert, dass bei Beendigung des Auftrags auch die Ausweiskopie gelöscht wird, obwohl dies fünf Jahre aufbewahrt werden muss. 12

13 Verpflichtung auf das Datengeheimnis Nach 5 Satz 1 BDSG ist es Personen, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, untersagt, diese Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Gemäß 5 Satz 2 BDSG muss jedes Unternehmen seine Mitarbeiter, die für die Verarbeitung personenbezogener Daten verantwortlich sind, vor bzw. bei der Aufnahme der Tätigkeit schriftlich auf das Datengeheimnis verpflichten. Die Verpflichtung ist nur wirksam, wenn diese sowohl von dem Mitarbeiter als auch den Arbeitgeber unterschrieben wird und dem Mitarbeiter eine Kopie der Niederschrift ausgehändigt wird. Ein Muster für die Verpflichtung gemäß 5 Satz 2 BDSG befindet sich auf der Internetseite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und ist als Anlage 2 beigefügt. Auftragsdatenverarbeitung Mit Auftragnehmern, die als Dienstleistungsunternehmen personenbezogene Daten weisungsgebunden im Auftrag für das Unternehmen verarbeiten, muss ein Vertrag abgeschlossen werden, der den Voraussetzungen des 11 Abs. 2 BDSG entspricht. Dabei handelt es sich z. B um Rechenzentren, Cloud-Computing- Dienstleister, aber auch IT-Wartungsunternehmen und Firmen, die die Heizkosten abrechnen. Der Steuerberater fällt nicht darunter, aber eine externe Buchhaltung. Ein Muster für eine derartige Vereinbarung ist als Anlage 4 beigefügt. Datenträgervernichtung Auch bei der Vernichtung der Datenträger muss das Unternehmen sicherstellen, dass alle technischen und organisatorischen Maßnahmen zum Schutz der Daten umgesetzt werden. Datenschutzerklärung nach 13 TMG Nach 13 Telemediengesetz (TMG) muss der Betreiber einer Webseite den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in allgemein verständlicher Form unterrichten. Außerdem muss der Nutzer darüber aufgeklärt werden, dass er die Möglichkeit hat, die Einwilligungen zur Nutzung seiner Daten jederzeit zu widerrufen. Es muss gewährleistet sein, dass der Nutzer bereits zu Beginn des Nutzungsvorgangs, d. h. bei Aufruf der Startseite des Internetangebots, einen eindeutigen Hinweis auf die Unterrichtung erhält und dieser Hinweis sofort erkennbar ist. Diese Voraussetzungen sind nach Auffassung der Aufsichtsbehörden bei der Aufnahme von Ausführungen zum Datenschutz unter einem Link auf das "Impressum" für nicht gegeben. In der Praxis sind die datenschutzrechtlichen Ausführungen daher häufig unter einem eigenen Link mit Bezeichnungen wie "Datenschutzerklärung", "Datenschutzhinweis" und ähnliche zu finden. Beim Einsatz der Reichweitenmessung durch Google Analytics muss der Webseitenbetreiber den Webseitennutzer in seiner Datenschutzerklärung über den Einsatz von Google Analytics informieren und ihn auf seine Möglichkeiten des Widerspruchs durch den Einsatz des Browser-Plugins hinweisen. Die entsprechende Seite muss hinsichtlich der 13

14 Widerspruchsmöglichkeit verlinkt sein. Hinweise zum datenschutzkonformen Einsatz von Google Analytics finden sich auf der Seite des Landesamtes für Datenschutz Bayern unter: Verletzungen der Vorgaben für die Datenschutzerklärung aus 13 TMG können nach Auffassung einiger Gerichte gemäß 3, 4 Nr. 11 UWG wie eine Verletzung von 5 TMG kostenpflichtig abgemahnt werden. Aufsicht Die Eihaltung des BDSG wird gemäß 38 BDSG durch Aufsichtsbehörden der Länder überwacht. Die Aufsichtsbehörden sind befugt, die Geschäftsräume des Unternehmens während der Geschäftszeiten zu betreten und dort die Unterlagen einzusehen. Bei Verstößen gegen das BDSG kann die Behörde ein Bußgeld von bis zu Euro, in bestimmten Fällen sogar bis zu Euro verhängen. Anlagen Anlage 1 Verfahrensverzeichnis gemäß 4 g Abs. 2 BDSG Eine beschreibbare PDF Version der Dokumentation finden Sie in dem Internet auf der Seite der Landesbeauftragten für Datenschutz Niedersachsen =48 unter dem Punkt Verfahrensverzeichnis nach dem BDSG. Dieses Muster muss jedoch im Einzelfall sachkundig geprüft angepasst werden. Anlage 2 Muster einer Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG)... Name der Firma Sehr geehrte(r) Frau/Herr..., aufgrund Ihrer Aufgabenstellung in unserem Unternehmen gilt für Sie das Datengeheimnis nach 5 des Bundesdatenschutzgesetzes (BDSG). Nach dieser Vorschrift ist es Ihnen 14

15 untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Gem. 5 BDSG sind Sie verpflichtet, das Datengeheimnis zu wahren. Diese Verpflichtung besteht auch über das Ende Ihrer Tätigkeit in unserem Unternehmen hinaus. Wir weisen Sie darauf hin, dass Verstöße gegen das Datengeheimnis nach 44, 43 Abs.2 BDSG und anderen Strafvorschriften mit Freiheits- oder Geldstrafe geahndet werden können. Abschriften der genannten Vorschriften des BDSG ( 5 und 44, 43 Abs.2) sind beigefügt. Ihre sich ggf. aus dem Arbeits- bzw. Dienstvertrag und der Arbeitsordnung ergebende allgemeine Geheimhaltungsverpflichtung wird durch diese Erklärung nicht berührt. Geben Sie bitte die beigefügte Zweitschrift dieses Schreibens nach Vollzug Ihrer Unterschrift an die Personalabteilung zurück.... Ort, Datum... Unterschrift der Firma Über die gesetzlichen Bestimmungen des Bundesdatenschutzgesetzes wurde ich unterrichtet. Die sich daraus ergebenden Verhaltensweisen wurden mir mitgeteilt. Meine Verpflichtung auf das Datengeheimnis nach 5 BDSG habe ich hiermit zur Kenntnis genommen.... Ort, Datum... Unterschrift der Mitarbeiterin bzw. des Mitarbeiters Auszug aus dem Bundesdatenschutzgesetz 5 BDSG Den bei der Datenverarbeitung beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nichtöffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. 43 Absatz 2 BDSG Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig 15

16 1. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet, 2. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, zum Abruf mittels automatisierten Verfahrens bereithält, 3. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, abruft oder sich oder einem anderen aus automatisierten Verarbeitungen oder nicht automatisierten Dateien verschafft, 4. die Übermittlung von personenbezogenen Daten, die nicht allgemein zugänglich sind, durch unrichtige Angaben erschleicht, 5. entgegen 16 Abs. 4 Satz 1, 28 Abs. 5 Satz 1, auch in Verbindung mit 29 Abs. 4, 39 Abs. 1 Satz 1 oder 40 Abs. 1, die übermittelten Daten für andere Zwecke nutzt, 5a. entgegen 28 Absatz 3b den Abschluss eines Vertrages von der Einwilligung des Betroffenen abhängig macht, 5b.entgegen 28 Absatz 4 Satz 1 Daten für Zwecke der Werbung oder der Marktoder Meinungsforschung verarbeitet oder nutzt, 6. entgegen 30 Absatz 1 Satz 2, 30a Absatz 3 Satz 3 oder 40 Absatz 2 Satz 3 ein dort genanntes Merkmal mit einer Einzelangabe zusammenführt oder 7. entgegen 42a Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht. 44 BDSG (1) Wer eine in 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) Die Tat wird nur auf Antrag verfolgt. Antragsberechtigt sind der Betroffene, die verantwortliche Stelle, der Bundesbeauftragte für den Datenschutz und die Aufsichtsbehörde Anlage 3 Muster einer Datenschutzerklärung nach 13 TMG Wir nehmen den Schutz Ihrer Daten und Ihrer Privatsphäre sehr ernst. Daher verarbeiten wir die Daten, die beim Besuch auf unserer Website erhoben werden, unter Beachtung der geltenden datenschutzrechtlichen Bestimmungen, insbesondere des Telemediengesetzes (TMG), sowie des Bundesdatenschutzgesetzes (BDSG). Diese Datenschutzerklärung erläutert, welche nichtpersonenbezogenen und personenbezogenen Daten wir während Ihres Besuches unserer Website erfassen und wie diese Daten durch uns verarbeitet und genutzt werden. Dieser Hinweis gilt ausdrücklich nicht für Unternehmen, die mit einem Link auf unsere Website verweisen oder für Unternehmen, auf deren Websites wir mit einem Link verweisen. 16

17 1. Einbeziehung Mit der Nutzung unserer Website erklären Sie Ihre Zustimmung zur nachstehend beschriebenen Datenerhebung und -verwendung. Für den Fall, dass Sie mit der beschriebenen Datenerhebung bzw. -verwendung nicht einverstanden sind, dürfen Sie unsere Website nicht nutzen. 2. Datenerhebung bei Besuch unserer Website Beim Besuch unserer Seite werden durch unsere Webserver zur Aufrechterhaltung der Systemsicherheit Daten erhoben. Hierbei handelt es sich jedoch nicht um personenbezogene Daten i.s. des 3 Abs. 1 BDSG. Diese Daten werden von uns über die Dauer Ihres Besuchs hinaus nicht gespeichert. Bei einer Anfrage über unser Kontaktformular oder per speichern wir die von Ihnen angegebenen persönlichen Daten zum Zwecke der individuellen Kommunikation mit Ihnen und zur Abwicklung des Vertrages. Unsere Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. ( Google ). Google Analytics verwendet sog. Cookies, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website (einschließlich Ihrer IP-Adresse) werden an einen Server von Google in den USA übertragen und dort gespeichert. Google wird diese Informationen benutzen, um Ihre Nutzung der Webseite auszuwerten, um Reports über die Websiteaktivitäten uns zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen. Google wird diese Informationen an Dritte übertragen, sofern dies gesetzlich vorgeschrieben oder soweit Dritte diese Daten im Auftrag von Google verarbeiten. Google wird in keinem Fall Ihre IP-Adresse mit anderen Daten von Google in Verbindung bringen. Sie können die Installation der Cookies durch eine entsprechende Einstellung Ihrer Browser Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich nutzen können. Durch die Nutzung dieser Webseite erklären Sie sich mit der Bearbeitung der über Sie erhobenen Daten durch Google in der zuvor beschriebenen Art und Weise und zu dem zuvor benannten Zweck einverstanden. Der Datenerhebung und -speicherung kann jederzeit mit Wirkung für die Zukunft widersprochen werden. Unsere Kontaktadresse für den Widerspruch finden Sie in unserem Impressum. Alternativ können Sie das Deaktivierungs-Add-on von Google Analytics ( verwenden, sofern es für Ihren Browser verfügbar ist. 3. Datenverwendung Die unter 2. aufgeführten Daten werden ausschließlich zu den dort aufgeführten Zwecken verwendet. Eine Weitergabe von Daten an Dritte erfolgt ausschließlich im Rahmen zwingender gesetzlicher Vorschriften oder wenn die Weitergabe im Fall von Angriffen auf unsere Netzinfrastruktur zur Rechts- oder Strafverfolgung erforderlich ist. Eine Weitergabe zu kommerziellen Zwecken an Dritte erfolgt nicht. 4. Datensicherheit 17

18 Der Schutz Ihrer Daten ist uns wichtig. Wir betreiben daher aktiven Datenschutz, um die Vertraulichkeit aller Daten zu gewährleisten. 5. Ihre Rechte Ihnen stehen ein Auskunftsrecht bezüglich der über Sie gespeicherten personenbezogenen Daten und ferner ein Recht auf Berichtigung unrichtiger Daten sowie auf Sperrung und Löschung zu. Wir weisen ausdrücklich darauf hin, dass unsere Mitarbeiter auf das Datengeheimnis gemäß 5 BDSG verpflichtet sind. Wenn Sie Auskunft über Ihre personenbezogenen Daten beziehungsweise deren Korrektur oder Löschung wünschen oder weitergehende Fragen über die Verwendung Ihrer uns überlassenen personenbezogenen Daten haben, kontaktieren Sie uns bitte unter unserer E- Mail-Adresse oder schriftlich unter der in unserem Impressum angegebenen Postanschrift. Sollten Sie mit uns per in Kontakt treten wollen, weisen wir darauf hin, dass die Vertraulichkeit der übermittelten Informationen nicht gewährleistet ist. Der Inhalt nicht verschlüsselter s kann von Dritten eingesehen werden. Wir empfehlen Ihnen daher, vertrauliche Informationen uns auf dem Postweg zukommen zu lassen. 6. Gültigkeit und Aktualität Die Datenschutzerklärung datiert vom TT. MM. Jahr. Durch die Weiterentwicklung unserer Website kann es notwendig werden, diese Datenschutzerklärung zu ändern. Wir behalten uns daher vor, die Datenschutzerklärung jederzeit mit Wirkung für die Zukunft zu ändern. Anlage 4 Mustervereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG Stand 28. September 2010 Vorbemerkung: Die nachstehende Mustervereinbarung soll als Orientierungshilfe für Auftragsdatenverarbeitungen dienen, auch für Wartungsverträge ( 11 Abs. 5 BDSG). Sie ist bei Bedarf an den konkreten Einzelfall anzupassen und gegebenenfalls zu ergänzen oder abzuwandeln Auftraggeber - und 18

19 Auftragnehmer - I. Gegenstand der Vereinbarung 1. Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene Daten im Auftrag des Auftraggebers. 2. Der Auftrag umfasst Folgendes: 2.1 Gegenstand des Auftrages (Definition der Aufgaben): 2.2 Dauer des Auftrags Der Vertrag beginnt am und endet am oder beginnt am und endet mit Auftragserledigung. oder wird auf unbestimmte Zeit geschlossen. (Er ist mit einer Frist von Monaten zum Quartalsende kündbar.) Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer den Zutritt des Auftraggebers vertragswidrig verweigert. 2.3 Umfang, Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung: 19

20 2.4 Art der Daten 2.5 Kreis der Betroffenen: Ausfüllhinweis zu 2.3 bis 2.5: Die Angaben sind so präzise zu gestalten, dass der Auftraggeber seiner Rolle als verantwortliche Stelle gerecht wird. Erfolgt die Datenerhebung, -verarbeitung oder -nutzung für verschiedene Zwecke sind die Art der Daten und der Kreis der Betroffenen jeweils gesondert anzugeben, gegebenenfalls ist hierbei zwischen den einzelnen Phasen der Datenverwendung (Erhebung, Speicherung, Veränderung, Übermittlung, Sperrung, Löschung, Nutzung) zu differenzieren, unter anderem sind auch etwaige Löschroutinen vorzugeben. Alternativ oder ergänzend zu entsprechenden Angaben an dieser Stelle kann auf eine entsprechende Leistungsvereinbarung oder die betreffende Passage in einem separaten Dienstvertrag verwiesen werden. In dem Dienstvertrag ist die Vereinbarung nach 11 BDSG als Anlage zu kennzeichnen. I. Rechte und Pflichten des Auftraggebers 1. Für die Beurteilung der Zulässigkeit der Datenerhebung / - verarbeitung / -nutzung sowie für die Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich. 2. Der Auftraggeber erteilt alle Aufträge oder Teilaufträge schriftlich. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und entsprechend Nr. I.2 dieses Vertrages schriftlich festzulegen. 3. Der Auftraggeber hat das Recht, in folgendem Umfang Weisungen gegenüber dem Auftragnehmer zu erteilen: 4. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen. Die schriftliche Bestätigung der mündlichen Weisungen sollte von Auftraggeber und Auftragnehmer zusammen mit der Vereinbarung so aufbewahrt werden, dass alle maßgeblichen Regelungen jederzeit verfügbar sind. Weisungsberechtigte Personen des Auftraggebers sind: 20

21 (Name, Organisationseinheit, Funktion, Telefon) Weisungsempfänger beim Auftragnehmer sind: (Name, Organisationseinheit, Funktion, Telefon) Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist dem Vertragspartner unverzüglich schriftlich der Nachfolger bzw. der Vertreter mitzuteilen. Falls Weisungen die unter Nr. I. 2 dieses Vertrages getroffenen Festlegungen ändern, aufheben oder ergänzen, sind sie nur zulässig, wenn eine entsprechende neue Festlegung erfolgt. 5. Der Auftraggeber ist berechtigt, sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen (s. Nr. IV) zu überzeugen. Der Auftraggeber kann diese Kontrolle auch durch einen Dritten durchführen lassen. 6. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt. 7. Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. II. Pflichten des Auftragnehmers 1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers. Er hat personenbezogene Daten zu berichtigen, zu löschen und zu sperren, wenn der Auftraggeber dies in der getroffenen Vereinbarung (siehe oben Nr. I. 2.3) oder einer Weisung verlangt. Der Auftragnehmer verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. 2. Der Auftragnehmer hat insbesondere folgende Kontrollen durchzuführen: 21

22 Ausfüllhinweis: Hier sind konkrete Kontrollpflichten des Auftragnehmers anzuführen. Vergleiche dazu die Beschreibung der technisch-organisatorischen Maßnahmen gemäß 9 BDSG im Anhang. 3. An der Erstellung der Verfahrensverzeichnisse hat der Auftragnehmer mitzuwirken. Er hat die erforderlichen Angaben dem Auftraggeber zuzuleiten. 4. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden - automatisierten - Verwaltung. Eingang und Ausgang werden dokumentiert. 5. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. 6. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird. 7. Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber jederzeit berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang selbst oder durch Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort. Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen mitwirkt. 8. Die Verarbeitung von Daten in Privatwohnungen ist nur mit Zustimmung des Auftraggebers im Einzelfall gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist der Zugang zur Wohnung durch den Auftraggeber vorher mit dem Auftragnehmer abzustimmen. Der Auftragnehmer sichert zu, dass auch die anderen Bewohner dieser Privatwohnung mit dieser Regelung einverstanden sind. 9. Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen. oder wie folgt zu löschen: 22

23 .. Ausfüllhinweis: Verweis auf die Festlegungen unter Nr. I.2.3 möglich Test- und Ausschussmaterial sowie Datensicherungskopien sind nach Abschluss der vertraglichen Arbeiten dem Auftraggeber auszuhändigen. oder wie folgt zu löschen:.. Ausfüllhinweis: Verweis auf die Festlegungen unter Nr. I.2.3 möglich Die Löschung bzw. Vernichtung ist dem Auftraggeber mit Datumsangabe schriftlich zu bestätigen. 10. Die Beauftragung von Subunternehmern ist nur mit schriftlicher Zustimmung des Auftraggebers zugelassen. Die Zustimmung kann nur erteilt werden, wenn der Auftragnehmer Namen und Anschrift des Subunternehmers mitteilt. Außerdem muss der Auftragnehmer versichern, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig ausgewählt hat. Der Auftragnehmer hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer auch gegenüber Subunternehmern gelten. Insbesondere muss der Auftraggeber berechtigt sein, Kontrollen vor Ort beim Subunternehmer durchzuführen oder durch Dritte durchführen zu lassen. Der Auftragnehmer hat die Einhaltung der Pflichten regelmäßig zu überprüfen.... Ausfüllhinweis: Hier sind konkrete Vorgaben für diese Überprüfungen zu machen. Das Ergebnis der Überprüfungen ist zu dokumentieren. Die Weiterleitung von Daten ist erst zulässig, wenn der Subunternehmer die Verpflichtung nach 11 BDSG erfüllt hat. In dem Vertrag mit dem Subunternehmer sind die Angaben gemäß Nr. I.2.3 bis 2.5, III.9 und IV.1 so konkret festzulegen, dass die Verantwortlichkeiten des Auftragnehmers 23

24 und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. Zurzeit sind die in Anlage mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt. Mit deren Beauftragung erklärt sich der Auftraggeber einverstanden. 11. Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der 4b, 4c BDSG erfüllt sind. Falls ein Subunternehmer beauftragt werden soll, gelten diese Anforderungen zusätzlich zu den Bestimmungen in Nr. III Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind mit dem Auftraggeber abzustimmen. 13. Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz Herr/Frau (Vorname, Name, Organisationseinheit, Telefon) bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen. oder Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die Voraussetzungen für eine Bestellung nicht vorliegen. 14. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers das Datengeheimnis zu wahren. Er verpflichtet sich, auch folgende Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen: 15. Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften des BDSG bekannt sind. Der Auftragnehmer bestätigt, dass ihm auch folgende datenschutzrechtliche Vorschriften bekannt sind: 24