Sind Ihre Dienstleister noch ganz dicht? – Datenschutzrechtliche Haftung des Auftraggebers

Haftung für Dienstleister im Datenschutz, Auftragsdatenverarbeitung

 „Wer bestimmt was geschieht, der haftet für alles was passiert.“ –
Dieser Grundsatz bestimmt die Regelung zwischen Auftraggeber und Auftragnehmer.

Schließlich kann der Auftraggeber den Auftragnehmer überwachen und Weisungen geben. Bei ungleichen Größenverhältnissen oder im Konzern kann das problematisch sein.

Eine Zusammenfassung des Themas durch den externen Datenschutzbeauftragten Ralf Becker

In der arbeitsteiligen Geschäftswelt sind Dienstleistungsbeziehungen alltäglich. Viele gehen mit der Verarbeitung personenbezogener Daten einher, weshalb das Bundesdatenschutzgesetz (BDSG) einschlägig ist und die Beauftragung von Dienstleistern auch eine Frage für Ihren Datenschutzbeauftragten ist. Typische Fälle sind IT- und Marketing-Services, z.B. Hosting, Email-Providing, Administration wie externer-IT-Admins, IT-Freelancer, externe Personalagentur oder Personalabteilung, Marketing-Agentur, Adress-Verwaltung, Letter-Shop, Event-Agentur, Call-Center – immer dann wenn Daten über natürliche Personen im Spiel sind. Geht etwas schief – durch Datendiebstahl/Hacking, Sabotage oder einen Unfall – so ist fraglich, wer dann haftet.

Modus operandi: Auftragsdatenverarbeitung vs. Funktionskontrolle – bei der ADV bleibt der Auftraggeber verantwortlich

Sofern eine Verarbeitung im Auftrag Weisungs- und Kontrollrechte des Auftraggebers beinhaltert, spricht man von Auftragsdatenverarbeitung gem. § 11 BDSG (ADV). Weisungsrechte heisst dabei, dass der Auftraggeber bestimmt, was der Auftragsdatenverarbeiter zu tun hat, etwa durch eine vereinbarte, detaillierte Leistungsbeschreibung. Kontrollrecht heisst, dass der Auftraggeber – zumindest theoretisch – während des Verarbeitungsprozesses, zumindest aber im Ergebnis die Datenverarbeitung kontrollieren kann. Ob der Auftraggeber diese Weisungsrechte und Kontrollrechte auch tatsächlich ausübt ist nicht relevant. Weitere Indizien für eine ADV sind u.a. dass der Auftrag­nehmer keine eigenen Nutzungs­rechte an den Daten erhält, keinen eigenen Ent­schei­dungsspielraum hat und keine vertragliche Beziehung zum Betroffenen.

Auftraggeber-Haftung, aber vereinfachter Transfer

Der Auftragnehmer wird durch die Weisungs- und Kontrollrechte quasi erweiterter Betriebsteil des Auftraggebers. Der Auftraggeber bleibt verantwortliche Stelle und haftet für etwaige Rechtsverstöße oder Pannen beim Auftragnehmer, da er ihn hätte anweisen und die Zuverlässigkeit kontrollieren müssen. Aus diesem Grund ist es nicht nur ratsam, sondern nach §11.II BDSG auch verpflichtend, alle Dienstleister, die Umgang mit personenbezogenen Daten haben vor und regelmäßig während der Zusammenarbeit einem sorgfältigen Audit zu unterziehen und das Ergebnis zu dokumentieren. Dies bieten wir u.a. als Dienstleistung „Dienstleister-Audit“ an.

Aus diesem Grund sind Datentransfers zwischen den beiden – solange sie innerhalb der EU stattfinden – keine datenschutzrechtlichen Übermittlungen (§3.VIII BDSG). Sie sind somit vereinfacht (privilegiert) möglich und werden wie innerbetriebliche Weitergaben behandelt, da der Auftraggeber für die Verarbeitung der Daten beim Auftragnehmer verantwortlich bleibt..

Cloud: internationale ADV

Dienstleister außerhalb der EU, z.B. in den USA, unterliegen nicht dieser Vereinfachung. Für sie gelten schärfere Vorschriften des internationalen Datentransfers. Darunter fallen fast alle wichtigen Cloud-Services, wie z.B. Apple iBackup / iMessage, Google-Apps, amazon cloud services, Microsoft Azure, Windows-Live und Office 365, Salesforce, Zoho, Dropbox und unzählige andere Web-Services. Weil viele dieser Cloud-Services auch Smartphone- und Tablet-Apps zur Verfügung stellen, müssen Unternehmen auch darauf achten, ob Mitarbeiter Unternehmensdaten mittels dieser Geräten bei solchen Diensten verbreiten.

Alternative: Funktionsübertragung

Wenn keine Auftragsdatenverarbeitung vorliegt, weil z.B. keine Weisungsbefugnis vorliegt, spricht man von  Funktionsübertragung, d.h. der Auftragnehmer ist in diesem Fall selbst verantwortliche Stelle. Das ist z.B. bei (Personal-) Datenübermittlungen in Konzernen der Fall: es ist kaum vorstellbar, dass die Tochter wirksam die Muttergesellschaft auf zuverlässigen Umgang mit Mitarbeiterdaten kontrolliert. Ebenso kann eine Funktionsübertragung bei stark abweichenden Machtverhältnissen gegeben sein, wenn z.B. der um ein vielfaches größere Auftragnehmer dem Auftraggeber schlicht seine Rechte verwehrt

Wenn der Auftraggeber aber keine Kontrolle mehr über den Umgang mit den Daten hat, müssen strengere Vorschriften an die Zulässigkeit der Übermittlung gestellt werden: es muss einen anderen Rechtsgrund als das Auftragsverhältnis geben, d.h. eine gesetzliche Öffnungsklausel, die die Übertragung erst legitimiert. Häufig ist das nur über eine explizite Einwilligung möglich, weil das Interesse des Betroffenen an einer Unterlassung der Daten-Über­mitt­lung infolge zahlreicher Gerichts­urteile höher einzustufen ist als das Interesse des Unternehmens die Daten doch zu übermitteln.

Was ist zu tun?

  1. Analysieren Sie Ihre Datenströme:
    Was bekommen Sie von wem wofür und was geben Sie weiter?
  2. Charakterisieren Sie Ihre Vertragsverhältnisse: stellen Sie fest,
    wo Sie ADV-Geber und ggf. ADV-Nehmer sind.
  3. Regeln Sie bei ADV schriftlich die Mindestregelungsstandards des §11.II BDSG.
    Wir stellen Ihnen gerne entsprechende Muster-Dokumente zur Verfügung.
  4. Überprüfen Sie zu Beginn und dann regelmäßig die Ein­haltung der Vereinbarun­gen
    und dokumentieren Sie das Ergebnis. Das ist keine Schikane, dazu sind Sie verpflichtet!
    Auch dabei  können wir Sie durch Dienstleister-Audits unterstützen!
  5. Klären Sie die Legitimität von Funktionsübertragungen.

Sie benötigen dabei Hilfe? – Kontaktieren Sie uns!

Disclaimer:
Dieser Artikel bietet keine auf den Einzelfall zugeschnittene rechtliche Lösung und ist daher kein Ersatz für eine rechtliche Beratung. Es wird nur auszugsweise auf die rechtlichen Anforderungen des Datenschutzes in Deutschland eingegangen und bewusst vereinfacht.

Gerade bei komplexen Fällen können leicht falsche Schlussfolgerungen gezogen werde. Gerne beraten wir Sie in Ihrem konkreten Fall oder finden einen Experten für Sie.