IT-Revisor Andreas H. Schmidt (CISA, zert. DSB TÜV) Sind Ihre Vereinbarungen zur Auftragsdatenverarbeitung noch rechtskonform?



Ähnliche Dokumente
Rechtliche Anforderungen an Cloud Computing in der Verwaltung

Rechtlicher Rahmen für Lernplattformen

Datenschutzvereinbarung

Datenschutz-Vereinbarung

Datenschutznovelle II (Datenhandel)

Datenschutz im Spendenwesen

Newsletter Immobilienrecht Nr. 10 September 2012

Der Schutz von Patientendaten

Risikomanagement Gesetzlicher Rahmen SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutzbeauftragte

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Erläuterungen zum Abschluss der Datenschutzvereinbarung

Facebook und Datenschutz Geht das überhaupt?

Wie funktioniert ein Mieterhöhungsverlangen?

DDV-SIEGEL. Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs-Unternehmen.

Nutzung dieser Internetseite

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Lösungsstichworte zu den Handelsregister-Fällen. Zu Fall 1: Anspruch des K gegen V auf Lieferung des Safts ( 433 I BGB)

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen.

ENTWURF. Neue Fassung des Beherrschungs- und Gewinnabführungsvertrages

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Verjährungsfalle Gewährleistungsbürgschaft. -Unterschiedliche Verjährungsfristen für Mängelansprüche und Ansprüche aus der Gewährleistungsbürgschaft

Bestandskauf und Datenschutz?

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Korruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems

Das große ElterngeldPlus 1x1. Alles über das ElterngeldPlus. Wer kann ElterngeldPlus beantragen? ElterngeldPlus verstehen ein paar einleitende Fakten

Datenschutz ist Persönlichkeitsschutz

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

DNotI. Fax - Abfrage. GrEStG 1 Abs. 3 Anteilsvereinigung bei Treuhandverhältnissen. I. Sachverhalt:

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Der ohne sachlichen Grund befristete Arbeitsvertrag

Gründe für ein Verfahrensverzeichnis

Hausarzt relevante medizinische Informationen übermittelt werden, sofern der Patient damit einverstanden ist und einen Hausarzt benennt.

Anlage zur Auftragsdatenverarbeitung

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

Datenschutz und Schule

Liechtensteinisches Landesgesetzblatt

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

GPP Projekte gemeinsam zum Erfolg führen

Mustervorlage Verpflichtung auf das Datengeheimnis - Stand: 1. März

Die Gesellschaftsformen

Die Notare. Reform des Zugewinnausgleichsrechts

Fachanwältin für Familienrecht. Mietverhältnis

Lösung Fall 8 Anspruch des L auf Lieferung von Panini á 2,-

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Auftragsdatenverarbeiter: Darf s ein bißchen mehr sein?

vom 15. Januar 1991 (ABl S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis

Computer & Netzwerktechnik. Externer Datenschutzbeauftragter

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

Deutschland-Check Nr. 35

ONLINE-AKADEMIE. "Diplomierter NLP Anwender für Schule und Unterricht" Ziele

Änderung des IFRS 2 Anteilsbasierte Vergütung

Die richtige Rechtsform im Handwerk

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

D i e n s t e D r i t t e r a u f We b s i t e s

40-Tage-Wunder- Kurs. Umarme, was Du nicht ändern kannst.

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Der betriebliche Datenschutzbeauftragte

MUSTERAUFHEBUNGSVERTRAG

Das Leitbild vom Verein WIR

Befristung Inkrafttreten des TzBfG BeschFG Abs. 1; TzBfG 14 Abs. 2 Satz 1 und 2

Charakteristikum des Gutachtenstils: Es wird mit einer Frage begonnen, sodann werden die Voraussetzungen Schritt für Schritt aufgezeigt und erörtert.

infach Geld FBV Ihr Weg zum finanzellen Erfolg Florian Mock

Gemeinsamer Bericht gem. 293 a AktG. des Vorstands der Allianz AG, München, und

Alle gehören dazu. Vorwort

Carl Schenck Aktiengesellschaft Darmstadt. Testatsexemplar Jahresabschluss 31. Dezember Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

1 MIO ÖSTERREICHISCHE SKIFAHRER SCHÜTZEN SICH BEREITS MIT HELM - UM MEHR ALS IM VORJAHR

zum Entwurf eines Gesetzes zur Änderung des Berufskraftfahrer-Qualifikations-Gesetzes

Allgemeine Vertragsbedingungen für die Übertragungen von Speicherkapazitäten ( Vertragsbedingungen Kapazitätsübertragung )

Im Folgenden werden einige typische Fallkonstellationen beschrieben, in denen das Gesetz den Betroffenen in der GKV hilft:

- Datenschutz im Unternehmen -

Vorlage zur Kenntnisnahme. Stellungnahme des Senats zum Bericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit für das Jahr 2009

Außerordentliche, hilfsweise ordentliche Kündigung. Stellungnahme zu den Fristen bzw. Fristverkürzung im Beteiligungsverfahren. Jürgen Jendral (HMAV)

GPA-Mitteilung Bau 5/2002

Nicht über uns ohne uns

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

für gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten

Behindert ist, wer behindert wird

Website-Abmahnungen wegen Datenschutzverstößen Eine Renaissance?

M e r k b l a t t. Neues Verbrauchervertragsrecht 2014: Beispiele für Widerrufsbelehrungen

ÜBER DIE ANWENDUNG DER GRUNDSÄTZE DER SUBSIDIARITÄT UND DER VERHÄLTNISMÄSSIGKEIT

Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

Welches Risiko liegt in den Fremdwährungskrediten der Kommunen?

Datensicherung. Beschreibung der Datensicherung

Entsprechenserklärung der EUROKAI GmbH & Co. KGaA gemäß dem Deutschen Corporate Governance Kodex

Informationen zum Begleiteten Fahren ab 17

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

a) Bis zu welchem Datum müssen sie spätestens ihre jetzigen Wohnungen gekündigt haben, wenn sie selber keine Nachmieter suchen wollen?

Datenschutzaudit DATENSCHUTZ & DATENSICHERHEIT IM UNTERNEHMEN. sicher bedarfsgerecht gesetzeskonform

HintergrÜnde. zur Urheberrechtsabgabe. rechnen sie mit uns.

Anwendungsbeispiele. Neuerungen in den s. Webling ist ein Produkt der Firma:

IVU Traffic Technologies AG

Welches Übersetzungsbüro passt zu mir?

Transkript:

IT-Revisor Andreas H. Schmidt (CISA, zert. DSB TÜV) Datenschutz Sind Ihre Vereinbarungen zur Auftragsdatenverarbeitung noch rechtskonform? Zur Änderung des 11 Abs. 2 Satz 2 BDSG bzgl. Vereinbarungen zur Auftragsdatenverarbeitung aufgrund der Novelle II des Bundesdatenschutzgesetzes vom 14. 08. 2009 Inhalt 1 Der neue Kündigungsschutz des Datenschutzbeauftragten 2 Die neuen Bußgeldvorschriften 3 Auftragsdatenverarbeitung 4 Klare Verantwortlichkeit 5 Risikofaktor Daten 6 Die Verantwortung der Geschäftsführung 7 Das Risikomanagement der Auftragsdatenverarbeitung 8 Die Anforderungen des 11 Abs. 2 Satz 2 BDSG 9 Bestandsschutz für Altverträge? 10 Fazit: Verträge umgehend prüfen 11 Pflicht zur Veröffentlichung Die Neufassung des Bundesdatenschutzgesetzes (BDSG) vom 14. August 2009 zeigt erste Auswirkungen, insbesondere bei den Vorbereitungen auf den Jahresabschluss 2009. Am 01. 09. 2009 trat bereits die sogenannte Novelle II zum Bundesdatenschutzgesetz (BDSG) in Kraft. Trotz der in Teilen sicherlich berechtigten Kritik an der Gesamtheit der Gesetzesänderung erkennt man bei näherem Hinsehen doch die auf ihre Art ganz besonderen Charakterzüge dieser Gesetzesnovelle. Gleichzeitig aber erahnt man auch deren Auswirkungen auf die Betriebe und infolgedessen auf die Justiz, die sich in den nächsten Jahren damit umfänglich beschäftigen dürfte. PRev Revisionspraxis 1 2010 11

Datenschutz Andreas H. Schmidt Sind Ihre Vereinbarungen zur Auftragsdatenverarbeitung noch rechtskonform? Einer der Favoriten auf der Liste der Kandidaten, die hierfür die Grundlage schaffen, ist möglicherweise der novellierte 4 f Abs. 3 BDSG. Er regelt die Stellung des Datenschutzbeauftragten im Unternehmen und nunmehr auch die damit verbundene theoretische Unkündbarkeit. 1 Der neue Kündigungsschutz des Datenschutzbeauftragten Der neue Text im 4f Abs. 3 BDSG lautet: Ist nach Absatz 1 ein Beauftragter für den Datenschutz zu bestellen, so ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, welche die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach der Abberufung als Beauftragter für den Datenschutz ist die Kündigung innerhalb eines Jahres nach Beendigung der Bestellung unzulässig, es sei denn, dass die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist. Es wird sicherlich spannend sein, den jeweils verantwortlichen Vorstand zu beobachten, wenn er erstmals von dieser Gesetzesänderung beispielsweise durch den Wirtschaftsprüfer bei den Gesprächen im Rahmen der Jahresabschlussprüfung 2009 erfährt. 2 Die neuen Bußgeldvorschriften Ein anderer Punkt, dem sich die Unternehmensleitung dringend widmen sollte, betrifft die Änderungen der Bußgeldvorschriften gem. 43 BDSG. In diesem Zusammenhang sei deutlich auf das neue Strafmaß nach 43 BDSG hingewiesen. Entgegen der bisherigen Regelung einer Geldbuße von 250.000,- EUR bei Verstoß gegen 43 Abs. 2 wird nun nicht nur die Buße um 50.000,- EUR erhöht, also auf insgesamt 300.000,- EUR, sondern hinzu kommt, dass die Geldbuße den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen soll. Für den Fall, dass die genannten Beträge hierfür nicht ausreichen, können sie überschritten werden (siehe 43 Abs. 3 Satz 2). Darüber hinaus wurde der 43 Abs. 1, 2b BDSG aufgenommen, der insbesondere einen Verstoß gegen die 11 Abs. 2 Satz 2 BDSG betreffende vertragliche Ausgestaltung der Auftragsdatenverarbeitung berücksichtigt. 3 Auftragsdatenverarbeitung Als Auftragsdatenverarbeitung werden alle die Prozesse der Datenverarbeitung bezeichnet, die an einen unternehmensfremden Dritten oder eine selbstständige rechtliche Einheit innerhalb eines Konzerns beauftragt wurden (Outsourcing). Wesentliche Bestimmungskriterien für eine Auftragsdatenverarbeitung sind: Dem Datenverarbeitenden fehlt die Entscheidungsbefugnis über die Daten. Der Datenverarbeitende verfolgt mit der Datenverarbeitung ganz oder teilweise fremde Geschäftswege. Der Datenverarbeitende unterliegt einem ausdrücklichen Nutzungsverbot. Der Datenverarbeitende geht nur mit Daten um, die ihm der Auftraggeber zur Verfügung stellt. Der Auftrag ist auf die praktische und technische Durchführung einer Datenverarbeitung gerichtet, die nach außen hin vom Auftraggeber vertreten wird. Der Auftrag ist so ausgestaltet, dass der Datenverarbeitende nicht zu den von der Datenverarbeitung Betroffenen in Kontakt tritt. 4 Klare Verantwortlichkeit Leider sind sich manche Unternehmen dessen nicht bewusst, aber die Verantwortlichkeit für Daten im Sinne des Bundesdatenschutzgesetzes liegt immer, auch beim Outsourcing, beim Auftraggeber. Darum sollte jedes Unternehmen gerade jetzt genau prüfen, welche ausgelagerten Datenverarbeitungsprozesse evtl. die Verarbeitung personenbezogener Daten beinhalten könnten. 5 Risikofaktor Daten In vielen Unternehmen spielt die Klassifikation von Daten und in diesem Zusammenhang die Zuweisung dieser Daten an einen verantwortlichen Dateneigentümer noch immer keine Rolle. 12 PRev Revisionspraxis 1 2010

Andreas H. Schmidt Sind Ihre Vereinbarungen zur Auftragsdatenverarbeitung noch rechtskonform? Datenschutz Dies ist teilweise schwer nachvollziehbar, sind doch die Daten eines Unternehmens seien es Daten von Mitarbeitern oder von Kunden und insbesondere Daten im Sinne des Bundesdatenschutzgesetzes, ein wesentliches Asset. Folglich gehören sie damit in den Kreis der Objekte im Unternehmen, für die, entsprechend den einschlägigen Normen, die Risiken identifiziert und entsprechende Maßnahmen zur Risikominimierung getroffen werden müssten. Erwähnt man im Gespräch mit den Verantwortlichen aus IT und Fachbereich diese Problematik, ist die Bereitschaft, Datenströme zu klassifizieren und differenziert zu verarbeiten, eher gering, da dies mit erheblichem Aufwand verbunden ist. Doch wäre es falsch, hier den Finger in die Wunde zu legen, da in vielen Fällen bereits seit Jahren versucht wird, sich mit den inzwischen ohnehin sehr knappen Budgets technologisch über Wasser zu halten. Von den akuten Problemen, meist verbunden mit Angriffen auf die IT-Netze von außen und den damit verbundenen Kosten, ganz zu schweigen. 6 Die Verantwortung der Geschäftsführung Auch hier sei nochmals betont, die Verantwortung für die beispielsweise aus Budgetkürzungen entstehenden Risiken für den IT-Betrieb und die Sicherheit der Daten liegt bei der Geschäftsführung und kann nicht delegiert werden. Dies ist insbesondere im Rahmen des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), mit der Verpflichtung zur Einrichtung eines Risikomanagements zur Risikofrüherkennung, deutlich herausgestellt worden. Gerade Geschäftsführer kleinerer Unternehmen folgen teilweise der noch immer weit verbreiteten Ansicht, dass die Forderungen nach einem Risikomanagementsystem nur für deutsche Aktiengesellschaften gelten. Anhängern dieser Meinung sei empfohlen, sich nochmals mit der Thematik zu beschäftigen und sich eine entsprechende Expertise einzuholen. Nicht nur die Aktiengesellschaften in Deutschland sind, um den Erhalt des eigenen Unternehmens sicherzustellen, gesetzlich verpflichtet, ein Risikomanagement zur Risikofrüherkennung einzuführen. PRev Revisionspraxis 1 2010 Auch andere Unternehmensformen, und insbesondere Kapitalgesellschaften wie die GmbH (siehe 43 Abs. 1 und 2 GmbHG), werden hier in die Pflicht genommen. Gerade der 43 Abs. 2 GmbHG ist in Bezug auf das Risikomanagement so auszulegen, dass auch der Geschäftsführer einer GmbH die ausgewiesenen Pflichten des 91 Abs. 2 AktG erfüllt. 7 Das Risikomanagement der Auftragsdatenverarbeitung Betrachtet man nun die Änderungen im Bundesdatenschutzgesetz aus dem Blickwinkel des Risikomanagements, so kommt man nicht umhin festzustellen, dass der Gesetzgeber offenbar nicht nur versucht hat, die Bedürfnisse der Betroffenen im Sinne des Bundesdatenschutzgesetzes zu berücksichtigen. In gewisser Art und Weise, gewollt oder ungewollt, schützt er mit dem 11 Abs. 2 Satz 2 BDSG auch Unternehmen vor Risiken, die sich aus deren Geschäftsmodell ergeben können insbesondere dann, wenn deren bisherige Vertragslage zur Auftragsdatenverarbeitung Unschärfen aufweist. Er trägt somit dazu bei, das Kontrollumfeld der Unternehmen zu erweitern und stellt damit im Sinne der Risikominimierung dem Unternehmen ein zusätzliches Instrument zur Verbesserung des Risikomanagements zur Verfügung. Der eingeführte 11 Abs. 2 Satz 2 BDSG kodifiziert nunmehr explizit die Pflichten des Auftraggebers und den Mindestinhalt von Verträgen betreffs der Auftragsdatenverarbeitung. Im Einzelnen ist dies in 10 Punkten geregelt. 8 Die Anforderungen des 11 Abs. 2 Satz 2 BDSG Ein wesentliches Element des Paragrafen ist sicherlich die besondere Herausstellung der Pflicht des Auftraggebers, seiner Verantwortung durch nachweisliche Kontrolle nachzukommen. Der Auftraggeber hat sich davon zu überzeugen und seinen Provider so sorgfältig auszuwählen, dass er davon überzeugt ist, dass der Auftragnehmer geeignet ist, die vom Auftraggeber geforderten technischen und organisatorischen Maßnahmen sicherzustellen. Darüber hinaus hat sich der Auftraggeber vor Beginn der Datenverarbeitung und sodann regelmäßig 13

Datenschutz Andreas H. Schmidt Sind Ihre Vereinbarungen zur Auftragsdatenverarbeitung noch rechtskonform? von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist nachweislich zu dokumentieren. Insbesondere der Passus vor Beginn der Datenverarbeitung.. birgt interessantes Diskussionsmaterial, das in nächster Zeit sicherlich genug Anlass für differenzierte Interpretationen bieten dürfte. Wie man hört, stellen sich gerade öffentliche Auftraggeber im Moment wohl die Frage, inwieweit die neuen Regelungen des 11 BDSG mit dem öffentlichen Vergaberecht in Einklang zu bringen sind. Des Weiteren wird im 11 Abs. 2 Satz 2 BDSG explizit darauf hingewiesen, dass ein Auftrag zur Auftragsdatenverarbeitung schriftlich zu erteilen ist. Letztlich sind die Punkte, die ein Auftrag enthalten muss, festgelegt: 1. der Gegenstand und die Dauer des Auftrags 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen 3. die nach 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen 4. die Berichtigung, Löschung und Sperrung von Daten 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags Werden diese Anforderungen nicht erfüllt, kann wie oben bereits erwähnt eine Ordnungswidrigkeit nach 43 Abs. 1 Nr. 2 b BDSG vorliegen. 9 Bestandsschutz für Altverträge? Nunmehr stellt sich auch die Frage, in wie weit alte Verträge Bestandsschutz genießen. Die Interpretation in der Öffentlichkeit wie auch in der bisher vorhandenen Literatur ist strittig. Eine Anfrage bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen ergab folgende Auskunft (Auszug):... Der neue 11 BDSG formuliert grundsätzlich keinen Bestandsschutz für ältere Verträge. Im Wesentlichen wird in der aktuellen Fassung des 11 BDSG nur präzisiert und klar gestellt, was sich ohnehin bereits aus den abstrakter formulierten Anforderungen an eine Auftragsdatenverarbeitung nach der bisher geltenden Fassung des 11 BDSG ergab. Insbesondere die Bedeutung des Terminus technische organisatorische Maßnahmen wird nunmehr in besonderer Weise herausgehoben bzw. zwingt den Auftraggeber der Auftragsdatenverarbeitung stärker in die Pflicht. Wie Prüfungen in den verschiedensten Bereichen der deutschen Wirtschaft immer wieder zeigen, leiden oftmals gerade Geschäftsbeziehungen auf Basis der Altverträge unter dem Mangel, dass die verhandelten Vereinbarungen bezüglich der technischen und organisatorischen Datensicherungsmaßnahmen vom Auftraggeber auch formal nachgewiesen werden und somit als eingehalten gelten, diese aber in vielen Fällen einer Vorortprüfung nicht standhalten, da diese Vorgaben vom Auftraggeber nie kontrolliert wurden. Der nunmehr ab dem 01. 09. 2009 geltende 11 Abs. 2 Satz 4 BDSG legt fest, dass sich der Auftraggeber vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen hat. Sollte also zwar schon länger ein Vertrag geschlossen sein, die Datenverarbeitung jedoch erst am oder nach dem 01. 09. 2009 beginnen, besteht die Pflicht zur Kontrolle vor Beginn der Datenverarbeitung auch bei einem Altvertrag. Wird dagegen verstoßen, droht ein Bußgeld (siehe 43 Abs. 1 Nr. 2b BDSG: sich nicht vor Beginn der Datenverarbeitung überzeugt ). Hat die Datenverarbeitung dagegen schon vor dem 01. 09. 2009 begonnen und wird nur gegen die Pflicht 14 PRev Revisionspraxis 1 2010

Andreas H. Schmidt Sind Ihre Vereinbarungen zur Auftragsdatenverarbeitung noch rechtskonform? Datenschutz verstoßen, sodann regelmäßig die Einhaltung der Maßnahmen zu kontrollieren, droht kein Bußgeld. Denn dafür sieht das Gesetz keinen Bußgeldtatbestand vor, gleichgültig, ob es um Alt- oder um Neuverträge geht. Wie die Öffentlichkeit auf bekannt gewordene Verstöße reagiert, ist eine andere Frage. Der bereits oben erwähnte, neu gefasste Bußgeldtatbestand in 43 Abs. 1 Nr. 2b BDSG bedroht jeden mit Bußgeld, der entgegen 11 Abs. 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt. Für Altverträge, die den erforderlichen Präzisierungsgrad für eine ordnungsgemäße Auftragsvergabe bisher nicht erfüllt haben, gehen wir davon aus, dass diese durch die Auftraggeber in einem angemessenen Zeitraum angepasst werden 1 10 Fazit: Verträge umgehend prüfen Die Antwort der LDI NRW stellt klar heraus, dass alle Unternehmen, die Datenverarbeitungsprozesse ausgelagert haben, umgehend prüfen müssen, inwieweit die Dienstleistungsverträge unter die Norm des 11 Abs. 2 Satz 2 BDSG fallen bzw. sie dieser bereits entsprechen. Wie die Erfahrungen der letzten Monate zeigen, insbesondere aus Gesprächen mit Verantwortlichen aus verschiedensten Bereichen wie Bank, Industrie und Handel, wurde das Thema im besten Falle auf die Agenda 2010 gesetzt, konkrete Maßnahmen aber noch nicht definiert. Auch hört man, die seit wenigen Wochen durch die Big Four und andere Wirtschaftsprüfungsgesellschaften begonnenen Vorprüfungen zum Jahresabschluss 2009 zeigen, dass nur wenige Altverträge zur Auftragsdatenverarbeitung vorliegen, die den neuen Regelungen in allen Punkten entsprechen bzw. zwischenzeitlich angepasst wurden. Die Frage, inwieweit die in diversen Foren veröffentlichte Lösung taugt, vorhandene Verträge in nächster Zeit durch Zusatzvereinbarungen an die neue Rechtslage anzupassen, bleibt wohl vorerst offen, jedenfalls so lange, bis im ersten Rechtsstreit hierüber entschieden wurde. 11 Pflicht zur Veröffentlichung Der neu formulierte 42a BDSG fordert umfangreiche Informationspflichten, wenn Daten im Sinne des Paragrafen unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Diese bestehen, je nach Voraussetzung, sowohl gegenüber dem/n Betroffenen als auch gegenüber der zuständigen Aufsichtsbehörde. Insbesondere die Art und Weise, wie diese Kenntniserlangung nunmehr veröffentlicht werden muss, ist bemerkenswert. Gem. 42a BDSG besteht eine Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten. Relevant wird diese Pflicht besonders dann, wenn gespeicherte Daten unrechtmäßig übermittelt werden, die sich beziehen auf besondere Arten personenbezogener Daten ( 3 Abs. 9 BDSG), personenbezogene Daten, die einem Berufsgeheimnis unterliegen (etwa der ärztlichen Schweigepflicht), personenbezogene Daten mit Bezug zu strafbaren Handlungen oder Ordnungswidrigkeiten, personenbezogene Daten zu Bank- oder Kreditkartenkonten. Auch hier beschäftigen wir uns wieder mit dem bereits oben angeschnittenen Thema der Risikoidentifizierung im Sinne des KonTraG. Auch ein anderer Punkt scheint manchem Verantwortlichen noch nicht ganz bewusst geworden zu sein. Aufgrund der neuen Regelungen bzgl. eines Verstoßes gegen das Bundesdatenschutzgesetz ist es für Unternehmen als ernstzunehmendes Risiko einzustufen, wenn sie Verträge, die nach dem 01.09.2009 geschlossen wurden, nach bisher verwendeten Vertragsmustern erstellt haben und dies im Rahmen einer Kontrolle transparent wird. Man darf sich die Frage stellen, inwieweit dieses Risiko bereits identifiziert und berücksichtigt wurde. Gemäß 42a BDSG kann ein Verstoß gegen das Bundesdatenschutzgesetz oder das Wissen darüber einen Verantwortlichen für die Daten im Sinne des BDSG dazu zwingen, Informationen in diesem Zusammenhang der Öffentlichkeit gegenüber durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bun- 1 Antwort der LDI NRW vom 11. 09. 2009 - Az.: L 2.1.2.4/ 11-auf unsere Mail 10. 09. 2009 PRev Revisionspraxis 1 2010 15

Datenschutz Andreas H. Schmidt Sind Ihre Vereinbarungen zur Auftragsdatenverarbeitung noch rechtskonform? desweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Informationen der Betroffenen gleich geeignete Maßnahme, zu veröffentlichen. Erinnern Sie sich noch an die Schlagzeilen der Gazetten in den vergangenen Monaten, in denen der Deutschen Telekom bzw. der Deutschen Bahn Datenschutzverletzungen vorgeworfen wurden? Es ist gut vorstellbar, dass beide Unternehmen viel Geld investieren mussten, um sich hier mit professioneller Hilfe gegen die zahllosen Anfeindungen aus Öffentlichkeit und Politik zu erwehren. Inwieweit sich der hieraus entstandene Reputationsschaden in Zahlen feststellen lässt, ist zum aktuellen Zeitpunkt nicht bekannt. Allerdings kann man davon ausgehen, dass mit diesen Vorfällen ein erheblicher Verlust an Kundenvertrauen und Bestandskunden einherging. Stellen Sie sich das für den Fall vor, dass Ihrem Unternehmen etwas Ähnliches droht, nur weil es seine alten Verträge nicht überprüft hat bzw. auf die neuen Gliederungspunkte verzichtet, möglicherweise aus Zeitoder Kostengründen. Welche Kosten sind wohl letztendlich höher? Andreas H. Schmidt arbeitete in der dwpbank-gruppe (Deutsche Wertpapier Service Bank AG) als IT-Revisor und als Vertreter des Konzerndatenschutzbeauftragten und ist heute tätig in der IT Audit GmbH-Wirtschaftsprüfergesellschaft. Darüber hinaus ist er Sprecher der ISACA Germany Chapter Fachgruppe CobiT/Datenschutz. Die Fachgruppe CobiT/ Datenschutz besteht seit Oktober 2007 und hat es sich zur Aufgabe gemacht, die Be ziehung zwischen CobiT und dem deutschen Datenschutzgesetz (BDSG) aufzuarbeiten und daraus Anwendungsempfeh lungen für die prüferische Arbeit abzuleiten. CobiT ist ein Standard im Sinne eines sog. Best-Practice -Ansatzes, dem sich Unternehmen freiwillig unterwerfen können. Steuergesetze 2010 auf USB-Stick mit allen aktuellen Änderungen einschließlich Wachstumsförderungsgesetz Stand 31.12.2009 2010, 27,80; ISBN 978-3-415-04451-7 Der USB-Stick enthält 21 zentrale Steuervorschriften in digitaler Form. Er bietet eine komfortable Vorschriftenanwendung mit umfangreichen Recherche- und Ausgabefunktionen. Besonders nützlich sind die nach Veranlagungszeiträumen abgeschichteten Fassungen der Vorschriften, die miteinander verglichen werden können. Zu beziehen bei Ihrer Buchhandlung oder beim RICHARD BOORBERG VERLAG GmbH & Co KG 70551 Stuttgart bzw. Postfach 80 03 40, 81603 München oder Fax an: 07 11/73 85-100 bzw. 089/43 61 564 Internet: www.boorberg.de E-Mail: bestellung@boorberg.de 16 PRev Revisionspraxis 1 2010

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback