Leseprobe zu. Plath (Hrsg.) BDSG



Ähnliche Dokumente
Rechtliche Anforderungen an Cloud Computing in der Verwaltung

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Gut geregelt oder Baustelle Datenschutz bei der Hard- und Softwarewartung

Anlage zur Auftragsdatenverarbeitung

Cloud Computing und Datenschutz

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Erläuterungen zum Abschluss der Datenschutzvereinbarung

3 HmbDSG - Datenverarbeitung im Auftrag

Inhalt. Einführung in das Gesellschaftsrecht

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Bestandskauf und Datenschutz?

Befristung Inkrafttreten des TzBfG BeschFG Abs. 1; TzBfG 14 Abs. 2 Satz 1 und 2

GPA-Mitteilung Bau 5/2002

Nutzung dieser Internetseite

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung

vom 15. Januar 1991 (ABl S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen.

DAS NEUE GESETZ ÜBER FACTORING ( Amtsblatt der RS, Nr.62/2013)

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

1. bvh-datenschutztag 2013

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Allgemeine Geschäftsbedingungen. der

Der Schutz von Patientendaten

Der ohne sachlichen Grund befristete Arbeitsvertrag

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Datenschutz und Schule

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

6. Fall Geschäftsführung ohne Auftrag???

Allgemeine Vertragsbedingungen für die Übertragungen von Speicherkapazitäten ( Vertragsbedingungen Kapazitätsübertragung )

Vereinbarung Auftrag gemäß 11 BDSG

ENTWURF. Neue Fassung des Beherrschungs- und Gewinnabführungsvertrages

DNotI. Fax - Abfrage. GrEStG 1 Abs. 3 Anteilsvereinigung bei Treuhandverhältnissen. I. Sachverhalt:

mit freundlicher Genehmigung der Kanzlei Kemper & Kollegen und ihres Mandanten Kurzgutachten

Verordnung zum Schutz von Patientendaten in kirchlichen Krankenhäusern, Vorsorge- und Rehabilitationseinrichtungen (DSVO-KH)

Neue Kennzeichnungspflicht Die Button-Lösung kommt - Neuregelung der Hinweispflicht in Online-Shops -

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Verlagerung der Buchführung ins Ausland Gesetzliche Rahmenbedingungen

Vereinbarung. über elektronische Schließanlagen und Zutrittskontrollsysteme. zwischen dem Vorstand und dem Betriebs/Personalrat

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am

DELEGIERTE VERORDNUNG (EU) Nr.../.. DER KOMMISSION. vom

Datenschutzvereinbarung

Meine Daten. Mein Recht

Quelle: Kirchliches Amtsblatt 2005 / Stück 10

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Rechtsanwälte - Notare Legal Consultants. LEITFADEN Sozialversicherungspflicht von Gesellschafter- Geschäftsführern einer GmbH

Änderung des IFRS 2 Anteilsbasierte Vergütung

- durch die Pax-Familienfürsorge Krankenversicherung AG im Raum der Kirchen selbst (unter 2.1.),

D i e n s t e D r i t t e r a u f We b s i t e s

Fachanwältin für Familienrecht. Mietverhältnis

Brands Consulting D A T E N S C H U T Z & B E R A T U N G

Newsletter Immobilienrecht Nr. 10 September 2012

1 Geltungsbereich, Begriffsbestimmungen

Fall 3. Ausgangsfall:

Beherrschungs- und Gewinnabführungsvertrag

Drei Fragen zum Datenschutz im. Nico Reiners

Rechtssicher in die Cloud

Webseiten mit fragwürdigen Aufrufen von "spy & track" - Unternehmen

Stellungnahme der Bundesärztekammer

Datenverarbeitung im Auftrag

Das digitale Klassenund Notizbuch

Informationen zum Begleiteten Fahren ab 17

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

BUNDESVERWALTUNGSGERICHT BESCHLUSS

Cloud Computing - und Datenschutz

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Copyright 1997 Kammer der Wirtschaftstreuhänder All rights reserved

1. Vertragsgegenstand

Verordnung über Medizinprodukte (Medizinprodukte-Verordnung - MPV)

Abschnitt 1 Anwendungsbereich und Allgemeine Anforderungen an die Konformitätsbewertung 1 Anwendungsbereich

Auftragsdatenverarbeitung i.s.d. 11 Abs. 2 Bundesdatenschutzgesetz (BDSG)

Die rechtsformunabhängige Revisionspflicht

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

Welche Vorteile bietet die Anmeldung eines Kindes mit dem kita finder+?

Deutschland-Check Nr. 35

Kirchlicher Datenschutz

Kirchengesetz über den Einsatz von Informationstechnologie (IT) in der kirchlichen Verwaltung (IT-Gesetz EKvW ITG )

Sozialgericht Berlin Urteil vom

Fall: (Obersatz zu den 5 W s )

33 - Leistungsvoraussetzungen

Informationsblatt über die Meldepflichten nach 9 des Wertpapierhandelsgesetzes (WpHG) für Finanzdienstleistungsinstitute (Stand: 1.

Urheberrecht in der Schule Was Lehrer, Eltern, Schüler, Medienzentren und Schulbehörden vom Urheberrecht wissen sollten

Neues vom DFN-MailSupport. Andrea Wardzichowski, DFN Stuttgart 63. DFN-Betriebstagung 27./ , Berlin

Elektrische Anlagen und Betriebsmittel

Markenvertrag. zwischen der. Gebäudereiniger-Innung Berlin. - Innung - und. dem Innungsmitglied. - Markenmitglied - 1 Zweck der Kollektivmarke

BUNDESGERICHTSHOF BESCHLUSS. vom. 17. April in dem Rechtsstreit

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Verordnung zur Änderung medizinprodukterechtlicher Vorschriften vom 16. Februar 2007

Verordnung über Medizinprodukte (Medizinprodukte-Verordnung - MPV)

Verjährungsfalle Gewährleistungsbürgschaft. -Unterschiedliche Verjährungsfristen für Mängelansprüche und Ansprüche aus der Gewährleistungsbürgschaft

Aufbewahrung von erweiterten Führungszeugnissen. Von Antje Steinbüchel, LVR-Landesjugendamt Rheinland

Vereinbarung über den elektronischen Datenaustausch (EDI)

1 Abs. 1 a Satz 2 Nr. 1 a KWG definiert die Anlageberatung als die

Transkript:

Weitere Informationen unter www.otto-schmidt.de Leseprobe zu Plath (Hrsg.) BDSG Kommentar zum BDSG sowie den Datenschutzbestimmungen des TMG und TKG 2013, 1296 Seiten, gebunden, Kommentar, 14,5 x 21cm ISBN 978 3 504 56041 6 98,00

BDSG 11 Allgemeine und gemeinsame Bestimmungen ber hinaus klar, dass Daten auch dann allgemein zugänglich sind, wenn sie von jedermann nach vorheriger Anmeldung, Zulassung oder Entgeltzahlung eingesehen werden können. Zugangshindernisse sind also unerheblich, sobald sie von jedermann ohne weiteres überwunden werden können. Die Ausnahme des Abs. 5 betrifft insbesondere öffentlich zugängliche Datenbanken und Register wie z.b. das Vereinsregister und das Handelsregister 1. Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag 11 (1) 1 Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. 2 Die in den 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen. (2) 1 Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. 2 Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 1 Ausführlich hierzu 28 Rz. 75. 376 Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag 11 BDSG 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. 3 Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. 4 Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. 5 Das Ergebnis ist zu dokumentieren. (3) 1 Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. 2 Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. (4) Für den Auftragnehmer gelten neben den 5, 9, 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3 sowie 44 nur die Vorschriften über die Datenschutzkontrolle oder die Aufsicht, und zwar für 1. a) öffentliche Stellen, b) nicht-öffentliche Stellen, bei denen der öffentlichen Hand die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle ist, die 18, 24 bis 26 oder die entsprechenden Vorschriften der Datenschutzgesetze der Länder, 2. die übrigen nicht-öffentlichen Stellen, soweit sie personenbezogene Daten im Auftrag als Dienstleistungsunternehmen geschäftsmäßig erheben, verarbeiten oder nutzen, die 4f, 4g und 38. (5) Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. I. Einführung... 1 II. Anwendungsbereich... 7 1. Sachlicher Anwendungsbereich... 7 2. Territorialer Anwendungsbereich... 10 a) Auftragnehmer im Ausland... 11 b) Auftraggeber im Ausland.. 16 3. Zeitlicher Anwendungsbereich.... 19 4. Verhältnis zu den Erlaubnisnormen des BDSG... 20 III. Auftragsverhältnis... 21 1. Begriff des Auftrags (Abs. 1 Satz 1)... 21 Plath 377

BDSG 11 Allgemeine und gemeinsame Bestimmungen 2. Eigeninteresse des Auftragnehmers... 24 3. Doppelfunktion des Auftragnehmers... 25 4. Funktionsübertragung... 27 a) Call Center... 31 b) Marktforschungsinstitute. 32 c) Letter-Shops... 33 d) Outsourcing... 35 IV. Verantwortlichkeitsverteilung im Rahmen des Auftragsverhältnisses (Abs. 1 Satz 1)... 39 V. Fallgruppen... 42 1. Konzerne... 42 2. Cloud Computing... 46 a) Rechtsnatur des Cloud Computings.... 49 b) Auslandsbezug beim Cloud Computing.... 51 c) Kontrollpflichten und Weisungsgebundenheit beim Cloud Computing... 55 d) Unterauftragsverhältnisse beim Cloud Computing... 57 3. Banken... 59 a) Vereinbarkeit mit dem KWG... 63 b) Vereinbarkeit mit dem StGB... 67 4. Versicherungen und Verrechnungsstellen.... 72 5. Berufliche Geheimnisträger.. 78 6. Beschäftigungsverhältnisse.. 86 VI. Auswahl des Auftragnehmers (Abs. 2 Satz 1).... 90 VII. Beauftragung des Auftragnehmers (Abs. 2 Satz 2).... 95 VIII. Inhalt des Auftragsdatenverarbeitungsvertrages (Abs. 2 Satz 2).... 98 1. Gegenstand und Dauer des Auftrags (Nr. 1).... 99 2. Umfang, Art und Zweck der Verwendung, Art der Daten und Kreis der Betroffenen (Nr.2)...101 3. Technische und organisatorische Maßnahmen (Nr. 3)....102 4. Berichtigung, Löschung und Sperrung (Nr. 4)...103 5. Spezifische Pflichten des Auftragnehmers (Nr. 5)...104 6. Unterauftragsverhältnisse (Nr.6)...105 a) Deckungsgleiche Pflichten für Unterauftragnehmer... 106 b) Unterauftragnehmer im Ausland...107 7. Kontrollrechte des Auftraggebers (Nr. 7)....108 8. Mitteilungspflichten bei Verstößen (Nr. 8)...109 9. Weisungsbefugnisse des Auftraggebers (Nr. 9)...110 10. Pflichten bei Beendigung des Auftrags (Nr. 10)...111 IX. Kontrolle des Auftragnehmers (Abs. 2 Satz 4)...112 X. Durchführung des Auftrags (Abs. 3)....115 1. Weisungsgebundenheit des Auftragnehmers (Abs. 3 Satz 1)...115 2. Hinweispflicht des Auftragnehmers (Abs. 3 Satz 2)...116 3. Gesetzliche Pflichten des Auftragnehmers (Abs. 4)...118 XI. Prüfung und Wartung von Datenverarbeitungsanlagen (Abs. 5)....121 XII. Rechtsfolgen/Sanktionen...125 Schrifttum: Becker/Nikolaeva, Das Dilemma der Cloud-Anbieter zwischen US Patriot Act und BDSG, CR 2012, 170; Bierekoven, Auftragsdatenverarbeitung in der Cloud, DGRI Handbuch 2010, 95; Bongen/Kremer, Probleme der Abwicklung 378 Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag 11 BDSG ärztlicher Privatliquidationen durch externe Verrechnungsstellen, NJW 1990, 2911; Bräutigam, 203 StGB und der funktionale Unternehmensbegriff, CR 2011, 411; Conrad/Schneider, Einsatz von privater IT im Unternehmen, ZD 2011, 153; Engels, Datenschutz in der Cloud Ist hierbei immer eine Auftragsdatenverarbeitung anzunehmen?, K&R 2011, 548; Erd, Datenschutzrechtliche Probleme sozialer Netzwerke, NVwZ 2011, 19; Fisahn, Bankgeheimnis und informationelle Selbstbestimmung, CR 1995, 632; Freise, Erfahrungen mit der Umsetzung des neuen 11 BDSG nach einem Jahr in: Taeger (Hrsg.), Digitale Evolution Herausforderungen für das Informations- und Medienrecht, Tagungsband Herbstakademie 2010, Edewecht (OlWIR) 2010 S. 161; Gaul/Koehler, Mitarbeiterdaten in der Computer Cloud: Datenschutzrechtliche Grenzen des Outsourcings, BB 2011, 2229; Giesen, Zum Begriff des Offenbarens nach 203 StGB im Falle der Einschaltung privatärztlicher Verrechnungsstellen, NStZ 2012, 122. Grapentin, Haftung und anwendbares Recht im internationalen Datenverkehr EU-Standardvertragsklauseln und Binding Corporate Rules, CR 2011, 102; Heghmanns/ Niehaus, Outsourcing im Versicherungswesen und der Gehilfenbegriff des 203 III 2 StGB, NStZ 2008, 57; Heidrich/Wegener, Sichere Datenwolke Cloud Computing und Datenschutz, MMR 2010, 803; Heinrichs, Funktionsauslagerung (Outsourcing) bei Kreditinstituten, WM 2000, 1561; Hoenik/Hülsunk, Outsourcing im Versicherungs- und Gesundheitswesen ohne Einwilligung? MMR 2004, 788; Jahn/Palm, Outsourcing in der Kanzlei: Verletzung von Privatgeheimnissen?, AnwBl 2011, 613; Jandt/Roßnagel/Wilke, Outsourcing der Verarbeitung von Patientendaten Fragen des Daten- und Geheimnisschutzes, NZS 2011, 641; Kort, Strafbarkeitsrisiken des Datenschutzbeauftragten nach 203 StGB beim IT- Outsourcing, insbesondere in datenschutzrechtlich sichere Drittstaaten, NStZ 2011, 193; Lensdorf, Auftragsdatenverarbeitung in der EU/EWR und Unterauftragsdatenverarbeitung in Drittländern, CR 2010, 735; Lensdorf/Steger, IT-Compliance im Unternehmen, ITRB 2006, 206; Meyer/Steding, Outsourcing von Bankdienstleistungen: Bank- und datenschutzrechtliche Probleme der Aufgabenverlagerung von Kreditinstituten auf Tochtergesellschaften und sonstige Dritte, BB 2001, 1693; Moos, Die Entwicklung des Datenschutzrechts im Jahr 2010, K&R 2011, 145; Nägele/Jacobs, Rechtsfragen des Cloud Computings, ZUM 2010, 281; Niemann/Hennrich, Kontrolle in den Wolken?, CR 2010, 686; Otto, Strafrechtliche Konsequenzen aus der Ermöglichung der Kenntnisnahme von Bankgeheimnissen in einem öffentlich-rechtlichen Kreditinstitut durch Wartungsund Servicepersonal eines Computer-Netzwerks, Wistra 1999, 201; Pohle/Ammann, Über den Wolken Chancen und Risiken des Cloud Computings; Redeker, Datenschutz auch bei Anwälte aber gegenüber Datenschutzkontrollinstanzen gilt das Berufsgeheimnis, NJW 2209, 554; Rüpke, Das Anwaltsgeheimnis auf dem Prüfstand des Strafrechts ein quasi-datenschutzrechtliches Missverständnis zu 203 StGB?, NJW 2002, 2835; Scholz/Lutz, Standardvertragsklauseln für Auftragsverarbeiter und 11 BDSG, CR 2011, 424; Schulz, Die (un-)zulässigkeit von Datenübertragungen innerhalb verbundener Unternehmen, BB 2011, 2552; Schuster/Reichl, Cloud Computing & SaaS: Was sind die wirklich neuen Fragen? CR 2010, 38; Splittgerber/Rockstroh, Sicher durch die Cloud navigieren Vertragsgestaltung beim Cloud Computing, BB 2011, 2179; Wanagas, Ein Jahr BDSG-Novelle II Rückblick unter besonderer Berücksichtigung der Fragen der Auftragsdatenverarbeitung und der Informationspflichten, DStR 2010, 1908; We- Plath 379

BDSG 11 Allgemeine und gemeinsame Bestimmungen ber/voigt, Internationale Auftragsdatenverarbeitung, ZD 2011, 74; Weichert, Datenschutz auch bei Anwälten?, NJW 2009, 550; Witzel, Organisatorische Pflichten beim Outsourcing im Bankenbereich Die Besonderheiten von 25a KWG im Überblick, ITRB 2006, 286. I. Einführung 1 Die Regelung des 11 ermöglicht es der verantwortlichen Stelle, Dritte mit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten zu betreuen, ohne dass es dazu einer gesetzlichen Erlaubnis oder einer Einwilligung der Betroffenen bedarf. Praktische Relevanz entfaltet die Regelung u.a. im Bereich des Hostings von Daten durch externe Dienstleister (insbesondere beim Cloud Computing), im Bereich des Outsourcings (z.b. von IT-Systemen oder Geschäftsprozessen) sowie in allen sonstigen Fällen, in denen Dienstleister durch die verantwortliche Stelle damit beauftragt werden, personenbezogene Daten weisungsgebunden für diese zu verarbeiten. 2 Die Konstruktion der Auftragsdatenverarbeitung basiert auf dem gesetzlichen Kunstgriff des 3 Abs. 8 Satz 3. Danach sind Personen und Stellen, die im räumlichen Anwendungsbereich der Norm als Auftragsdatenverarbeiter tätig sind, keine Dritten i.s.d. BDSG. Daraus folgt, dass die Übertragung der Daten an einen solchen Auftragnehmer keine Übermittlung i.s.d. BDSG darstellt mit der Konsequenz, dass die Übertragung der Daten sowie deren Verarbeitung und Nutzung durch den Auftragnehmer auch ohne Einwilligung oder gesetzliche Erlaubnis zulässig sind 1. Damit handelt es sich bei der Regelung des 11 auch nicht um einen Erlaubnistatbestand i.s.d. 4 Abs. 1. Der Gesetzgeber betrachtet den Auftragnehmer im Falle der Auftragsdatenverarbeitung vielmehr als verlängerten Arm des Auftraggebers und beide Parteien damit quasi als eine Einheit 2. 3 Bei der Auftragsdatenverarbeitung bleibt der Auftraggeber als verantwortliche Stelle für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich (Abs. 1 Satz 1). Er kann sich also nicht durch Einschaltung eines Dienstleisters von dieser Pflicht befreien 3. Allerdings eröffnet ihm die Regelung des 11 die Möglichkeit zur Einschal- 1 Ähnlich Taeger/Gabel/Gabel, 11 BDSG Rz. 3; Gola/Schomerus, 11 BDSG Rz. 4; Bergmann/Möhrle/Herb, 11 BDSG Rz. 3; Simitis/Petri, 11 BDSG Rz. 43; vgl. auch Scholz/Lutz, CR 2011, 424, 425. 2 Bergmann/Möhrle/Herb, 11 BDSG Rz. 16. 3 Taeger/Gabel/Gabel, 11 BDSG Rz. 3; Simitis/Petri, 11 BDSG Rz. 48. 380 Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag 11 BDSG tung externer Dienstleister, die ihm ansonsten nach dem BDSG u.u. verwehrt wäre, weil es an einer Einwilligung fehlt und die gesetzlichen Erlaubnistatbestände im Einzelfall nicht eingreifen (vgl. 4 Abs. 1). Dieses Privileg der Auftragsdatenverarbeitung hat allerdings auch seine Kehrseite. Denn das BDSG verpflichtet den Auftraggeber nicht nur zur sorgfältigen Auswahl und Überwachung des Auftragnehmers, sondern auch zur Einhaltung umfangreicher Mindestanforderungen bei der inhaltlichen Ausgestaltung des Auftragsdatenverarbeitungsvertrages (vgl. den sog. 10-Punkte-Katalog des Abs. 2 Satz 2 Nr. 1 bis 10). Über diese Verpflichtung soll nach der gesetzgeberischen Intention sichergestellt werden, dass die für den Auftraggeber geltenden Anforderungen auch bei der Einschaltung externer Dienstleister gewahrt werden 1. Es hat sich jedoch gezeigt, dass diese Anforderungen viele Unternehmen in der Praxis überfordern. Während es etwa im Rahmen eines komplexen IT-Outsourcings selbstverständlich sein dürfte, dass die von dem Dienstleister zu erfüllenden Sicherheitsstandards detailliert geregelt werden, finden sich in der Praxis diverse Konstellationen, bei denen administrativer Aufwand und Ertrag in keinem angemessenen Verhältnis stehen. Wenn sich zwei Unternehmen z.b. im Bereich der Werbewirtschaft ad hoc oder testweise zu einer Kooperation zusammenfinden wollen, die eine Datenverarbeitung im Auftrag beinhaltet, sind sie gezwungen, den 10-Punkte-Katalog des Abs. 2 vollständig abzuarbeiten, vertraglich im Detail auszuformulieren und die Einhaltung dieser Anforderungen vor Beginn der Datenverarbeitung und danach regelmäßig zu kontrollieren und zu dokumentieren (vgl. Abs. 2 Satz 4 und 5). Bei Aufträgen mit geringem Volumen, die in der Praxis häufig allein auf Zuruf erfolgen, ist der Gesetzesverstoß damit bereits vorprogrammiert, denn nur wenige dieser Verträge dürften den strengen gesetzlichen Vorgaben genügen. Bei derartigen Konstellationen ist daher zu überlegen, ob die Zusammenarbeit nicht alternativ auf die Regelung des 28 oder einen sonstigen Erlaubnistatbestand des BDSG gestützt werden kann, um den Anforderungen des 11 und dem damit verbundenen administrativen Aufwand zu entgehen. Ein vergleichbares Phänomen zeigt sich im Bereich des Cloud Computings (siehe Rz. 55 unten). Auch hier stößt die Regelung des 11 an ihre praktischen Grenzen, wenn der Auftraggeber z.b. verpflichtet sein soll, sich vor Ort wie teilweise gefordert wird von der Einhaltung der orga- 4 5 1 Taeger/Gabel/Gabel, 11 BDSG Rz. 1. Plath 381

BDSG 11 Allgemeine und gemeinsame Bestimmungen nisatorischen und technischen Maßnahmen bei einem international agierenden Anbieter entsprechender Cloud Services zu überzeugen. 6 Im Ergebnis ist in diesem Bereich der Gesetzgeber gefordert, der Regelungen bereitzustellen hat, welche die Interessen der Wirtschaft einerseits und der Betroffenen andererseits in einen angemessenen und vor allem der technischen Entwicklung entsprechenden Ausgleich bringen. Solange jedoch keine entsprechende Neuregelung des 11 verabschiedet worden ist, muss sich die Praxis an dem aktuellen Regelungstext messen lassen. II. Anwendungsbereich 1. Sachlicher Anwendungsbereich 7 Die Regelung des 11 gilt sowohl für den öffentlichen wie auch für den nicht-öffentlichen Bereich 1. 8 Die Anforderungen des 11 gelten nicht, wenn die zu verarbeitenden Daten keine personenbezogenen Daten i.s.d. 3 Abs. 1 darstellen. In diesem Fall findet das BDSG schon keine Anwendung (vgl. 1 Abs. 1). Allerdings kann es in Zweifelsfällen, z.b. wenn IP-Adressen verarbeitet werden (zur Rechtsnatur von IP-Adressen vgl. 3 Rz. 20) angezeigt sein, den Vertrag vorsorglich im Einklang mit den Vorgaben des 11 auszugestalten, um Bußgelder und weitere negative Konsequenzen zu vermeiden. 9 Die Regelungen des 11 sind darüber hinaus auch dann nicht einschlägig, wenn zwar personenbezogene Daten vorliegen, der Auftragnehmer jedoch keine Erhebung, Verarbeitung oder Nutzung dieser Daten vornimmt. Dies ist z.b. beim sog. Server-Housing der Fall, also dem Fall, dass der verantwortlichen Stelle von dem Auftragnehmer lediglich eine reine Rechenzentrumsfläche zur Verfügung gestellt wird, innerhalb derer sie ihre Server selbst betreibt und auf diesen die personenbezogenen Daten selbst verarbeitet 2. 2. Territorialer Anwendungsbereich 10 In territorialer Hinsicht ist zu unterscheiden zwischen der Konstellation, bei der ein deutscher Auftraggeber seine Daten durch einen im Ausland ansässigen Auftragsdatenverarbeiter verarbeiten lässt, und der Kon- 1 So auch Gola/Schomerus, 11 BDSG Rz. 2. 2 So im Ergebnis auch Gola/Schomerus, 11 BDSG Rz. 8; Simitis/Petri, 11 BDSG Rz. 33. 382 Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag 11 BDSG stellation, bei der der Auftraggeber selbst seinen Sitz im Ausland hat und sich eines deutschen Auftragnehmers bedient. a) Auftragnehmer im Ausland Soweit ein Auftragnehmer im Ausland von einem deutschen Auftraggeber im Wege der Auftragsdatenverarbeitung beauftragt werden soll, gilt folgende Unterscheidung 1 : Erfolgt die Datenverarbeitung im Geltungsbereich der EG-Datenschutzrichtlinie, also in einem anderen Mitgliedstaat der EU oder einem anderen Vertragsstaat des EWR, ist eine Auftragsdatenverarbeitung nach Maßgabe des 11 möglich, da nur in diesem Fall der Auftragnehmer als Nicht-Dritter angesehen werden kann (vgl. 3 Abs. 8) 2. Erfolgt die Datenverarbeitung hingegen in einem Drittstaat außerhalb der genannten Gebiete, findet 11 grundsätzlich keine Anwendung 3. Dies ergibt sich im Umkehrschluss aus 3 Abs. 8, wonach Stellen außerhalb der EU bzw. des EWR grundsätzlich als Dritte anzusehen sind 4. Damit wird durch 3 Abs. 8 die Auftragsdatenverarbeitung nur für die genannten Gebiete privilegiert. Eine Übertragung von Daten an Unternehmen in außereuropäische Drittstaaten stellt dagegen grundsätzlich eine Übermittlung dar und ist demnach nur im Rahmen der allgemeinen Erlaubnistatbestände möglich. Wegen der Einzelheiten wird auf die Kommentierung zu 4b verwiesen, dort Rz. 16. Unter Umständen kann jedoch eine Berücksichtigung der Kriterien des 11 für die Zulässigkeit einer Übermittlung nach 28 ausschlaggebend sein 5. Fraglich ist allerdings, ob in analoger Anwendung des 3 Abs. 8 eine Datenverarbeitung im nicht-europäischen Ausland ausnahmsweise gleichwohl zulässig sein kann 6. Der teleologische Hintergrund dieser Norm liegt darin, die Privilegierung des 11 nur dann zuzulassen, wenn der Sicherheits- und Schutzstandard der EG-Datenschutzrichtlinie gewährleistet ist (vgl. 4b Abs. 3), was in den EU- und EWR-Mitgliedstaa- 11 12 13 14 1 Zu Unterauftragsverhältnissen zwischen dem Auftragnehmer und einem weiteren Unterauftragnehmer siehe Rz. 105 ff. 2 So auch Gola/Schomerus, 11 BDSG Rz. 16; Bergmann/Möhrle/Herb, 11 BDSG Rz. 14; Weber/Voigt, ZD 2011, 74, 75. 3 Taeger/Gabel/Gabel, 11 BDSG Rz. 25; Bergmann/Möhrle/Herb, 11 BDSG Rz. 15; Simitis/Petri, 11 BDSG Rz. 8. 4 Scholz/Lutz, CR 2011, 424, 425. 5 Vgl. auch Gola/Schomerus, 11 BDSG Rz. 16. 6 So zutreffend Weber/Voigt, ZD 2011, 74, 77 f. Plath 383

BDSG 11 Allgemeine und gemeinsame Bestimmungen ten kraft Gesetzes der Fall ist. Im Hinblick auf diesen Sinn und Zweck scheint es nach der hier vertretenen Ansicht jedoch gerechtfertigt, eine Auftragsdatenverarbeitung im nicht-europäischen Ausland in Abweichung vom zuvor dargestellten Grundsatz dann als zulässig anzusehen, wenn die Einhaltung des Schutzniveaus der EG-Datenschutzrichtlinie anderweitig garantiert ist. Dies sollte insbesondere dann der Fall sein, wenn eine Zertifizierung des Auftragnehmers, z.b. nach dem Safe-Harbour-Prinzip vorliegt (ausführlich hierzu 4b Rz. 30 ff.), oder eine Verwendung der Standardvertragsklauseln der EU-Kommission 1 vereinbart ist 2. Zu beachten ist, dass die EU-Kommission einige Drittstaaten (u.a. Argentinien, Kanada und die Schweiz) als sicher eingestuft hat, mit der Folge, dass eine Datenübermittlung in diese Länder grundsätzlich zulässig ist 3. 15 Maßgeblich ist bei der Auftragsdatenverarbeitung im Ausland grundsätzlich, wo die tatsächliche Handlung erfolgt, also z.b., wo der Server installiert ist, auf dem die Datenverarbeitung vorgenommen wird. Irrelevant ist es dagegen, wo der Auftragnehmer seinen Sitz hat 4. Dies folgt ebenfalls aus dem Wortlaut des 3 Abs. 8, der an dem Ort der Erhebung, Verarbeitung und Nutzung anknüpft 5. Dies kann zu Problemen führen, wenn der Auftragnehmer verschiedene Rechenzentren betreibt, die in unterschiedlichen Ländern belegen sind. Befinden sich sämtliche dieser Rechenzentren innerhalb der EU bzw. des EWR, so ist den Anforderungen des 11 insoweit genüge getan. Befinden sich einzelne der Rechenzentren jedoch in einem Drittland, bedarf es entweder einer vertraglichen Beschränkung auf die Datenverarbeitung allein innerhalb der in der EU bzw. des EWR belegenen Rechenzentren, oder die Parteien ergreifen eine der in vorstehender Rz. 14 dargestellten Maßnahmen. 1 Beschluss der EU-Kommission vom 5.2.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländer nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates, Nr. 2010/87/EU, K(2010) 593, ABl. L 39 vom 12.2.2010, S. 5; ausführlich hierzu Grapentin, CR 2011, 102, 103 f. sowie Moos, K&R 2011, 145, 147. 2 Ebenso Leupold/Glossner/Stögmüller, Anwaltshandbuch IT-Recht, Teil 5 Rz. 354; Weber/Voigt, ZD 2011, 74, 75; so im Ergebnis auch Erd, NVwZ 2011, 19, 21; vgl. auch Schulz, BB 2011, 2552, 2554 f. bezüglich der Ermöglichung eines konzerninternen Datenumgangs; a.a. Scholz/Lutz, CR 2011, 424, 427 f. 3 Vgl. 4b Rz. 29; Bierekoven, DGRI Jahrbuch 2010, 95, 102. 4 Taeger/Gabel/Gabel, 11 BDSG Rz. 25. 5 Simitis/Dammann, 3 BDSG Rz. 230; Schaffland/Wiltfang, 3 BDSG Rz. 91. 384 Plath

Erhebung, Verarbeitung oder Nutzung im Auftrag 11 BDSG b) Auftraggeber im Ausland Befindet sich der Sitz des Auftraggebers im Ausland, stellt sich stets die Frage, ob deutsches Recht und damit 11 anzuwenden ist, wenn der Auftragnehmer im Inland tätig wird. Maßgeblich ist insoweit ebenfalls nicht der Sitz des Auftragnehmers, sondern ob die Erhebung, Verarbeitung oder Nutzung in Deutschland stattfindet (siehe oben Rz. 15). Grundsätzlich richtet sich die Anwendbarkeit des BDSG nach 1 Abs. 5. Nach Satz 1 dieser Vorschrift hängt es zunächst davon ab, ob sich der Sitz einer verantwortlichen Stelle (hier der Auftraggeber) innerhalb oder außerhalb des EWR befindet. Hat der Auftraggeber seinen Sitz in einem Drittstaat, der nicht Vertragsstaat des EWR ist, findet das deutsche Recht grundsätzlich Anwendung, sobald der Auftraggeber personenbezogene Daten in Deutschland erhebt, verarbeitet oder nutzt, 1 Abs. 5 Satz 2. Erteilt er zu diesem Zweck einen Auftrag an einen die Daten in Deutschland verarbeitenden oder nutzenden Dienstleister, unterliegt dieser Auftrag folglich zwar der Privilegierung, aber auch den Anforderungen des 11 1. Anders liegt es dagegen, wenn sich der Sitz des Auftraggebers innerhalb des EWR befindet. In diesen Fällen muss gemäß 1 Abs. 5 Satz 1 zunächst danach differenziert werden, ob die Datenverarbeitung durch eine in Deutschland ansässige Niederlassung erfolgt. Nur in diesem Fall findet deutsches Recht Anwendung, 1 Abs. 5 Satz 1 Halbs. 2. Damit kann ein im EWR Ausland sitzender Auftraggeber beeinflussen, ob deutsches Recht Anwendung findet oder nicht. Erteilt er den Auftrag zur Datenverarbeitung über eine Niederlassung in Deutschland, unterliegt der Auftrag dem BDSG. Erteilt er den Auftrag vom Hauptsitz des Unternehmens aus, ist auf den Auftrag das Recht des jeweiligen Mitgliedsbzw. Vertragsstaats anzuwenden. Zu den Besonderheiten i.r.d. Cloud Computings vgl. Rz. 51 ff. Im Übrigen wird auf die Kommentierung zu 1 Abs. 5 verwiesen ( 1 Rz. 45 ff.). 16 17 18 3. Zeitlicher Anwendungsbereich Der 10-Punkte-Katalog wie auch einige weitere Verschärfungen sind im Rahmen des BDSG 2009 in das Gesetz aufgenommen worden. Damit einhergehend wurden in 43 Abs. 1 Nr. 2b Bußgeldtatbestände für den Fall der schuldhaften Verletzungen bestimmter Pflichten im Zusammenhang mit der Beauftragung des Auftragnehmers eingeführt. Dies hat 19 1 So auch Gola/Schomerus, 11 BDSG Rz. 16a. Plath 385

BDSG 11 Allgemeine und gemeinsame Bestimmungen zu der Frage geführt, ob die Neuregelung des BDSG 2009 auch für Altverträge gilt, die vor dem Inkrafttreten der Novellierung zum 1.9.2009 geschlossen worden sind. Da das Gesetz keine Rückwirkungs- bzw. Übergangsregelung vorsieht, ist nach der hier vertretenen Auffassung davon auszugehen, dass keine Pflicht zur Anpassung von Altverträgen besteht. Teilweise wird jedoch empfohlen, Altverträge vorbeugend der neuen Rechtslage anzupassen 1. Werden solche Verträge allerdings neu geschlossen oder durch aktives Handeln verlängert oder werden unter bestehenden Rahmenverträgen neue Einzelaufträge abgeschlossen, sind die Anforderungen des 11 in der Fassung des BDSG 2009 zu beachten 2. 4. Verhältnis zu den Erlaubnisnormen des BDSG 20 Fraglich ist schließlich, ob im Fall einer missglückten Auftragsdatenverarbeitung der Rückgriff auf die allgemeinen Erlaubnisnormen des BDSG zulässig bleibt. Denkbar ist diese Konstellation z.b. dann, wenn die Parteien beabsichtigten, die Übermittlung von personenbezogenen Daten an einen Dienstleister im Wege der Auftragsdatenverarbeitung zu regeln, es jedoch an einer wirksamen Auftragsdatenverarbeitung mangelt, da bestimmte Anforderungen des 11 wie z.b. die formale Festlegung der organisatorischen und technischen Maßnahmen nach 9 BDSG nicht eingehalten worden sind. Nach der hier vertretenen Ansicht ist in diesen Fällen durchaus ein Rückgriff auf die allgemeinen Erlaubnistatbestände, insbesondere also auf 28 möglich, soweit deren Voraussetzungen vorliegen. Denn die Übermittlungsbefugnisse des BDSG sind grundsätzlich nicht an die Einhaltung bestimmter Formerfordernisse gekoppelt, sondern greifen immer dann ein, wenn die Übermittlung der Daten an den Empfänger von dem Tatbestand der jeweiligen Erlaubnisnormen gedeckt ist. III. Auftragsverhältnis 1. Begriff des Auftrags (Abs. 1 Satz 1) 21 Erforderlich für die Anwendbarkeit des 11 ist eine Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag. Der Begriff des Auftrags ist im weitesten Sinne zu verstehen, er ist also insbeson- 1 Gola/Schomerus, 11 BDSG Rz. 17. 2 So auch Taeger/Gabel/Gabel, 11 BDSG Rz. 6. 386 Plath

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback