Dr. Martin H. Ludwig - betrieblicher Datenschutzbeauftragter - DSB - in NRW und im Ruhrgebiet mit den Großstädten Bochum, Dortmund, Essen, Gelsenkirchen, Herne, Mülheim, Oberhausen aber auch im Rheinland mit Düsseldorf, Leverkusen, Neuss und Köln und auch bundesweit.

Die Normalsituation in Deutschland

Wir in Deutschland haben es bei Verträgen recht gut: Unsere Verträge sind normalerweise einigermaßen kurz. Wurde in einem Vertrag etwas nicht geregelt, greift das Gesetz - normalerweise das BGB. Das BGB enthält für nahezu alle Anwendungsfälle Regelungen, die für beide Parteien recht ausgeglichen sind.

Es ist also überlicherweise nicht so schlimm, wenn man nicht jede Kleinigkeit in einem Vertrag bedacht hat: Auch der nicht bedachte Fall ist geregelt und keine Vertragspartei wird dabei "übers Ohr gehauen".

Vielmehr ist es bei einem Vertrag eher ein schlechtes Zeichen, wenn dieser extrem lang erscheint. Normalerweise ist dies ein Grund, den Vertrag genauer zu lesen.

Auftragsverarbeitung

Mit der Datenschutz-Grundverordnung (DS-GVO) kam die Auftragsverarbeitung (auch im bisherigen BDSG gab es schon die Auftragsdatenverarbeitung, aber auf die möchte ich hier nicht weiter eingehen).

Die DS-GVO verlangt nun von Unternehmen und anderen Organisationen eine andere Herangehensweise. Zuerst ganz knapp zusammengefasst: Was bedeutet Auftragsverarbeitung?

Auftragsverarbeitung bedeutet, pragmatisch ausgedrückt: Eine Organisation nutzt externe Dienstleister, die irgendwie die personenbezogenen Daten der Organisation nach Anweisung der Organisation verarbeiten. Einige Beispiele:

  • der IT-Dienstleister, der die PCs der Organisation betreut,
  • der Datenvernichter, der die Akten vernichtet,
  • die Telefonwartungsfirma, die die Telefonanlage konfiguriert,
  • die Medizintechnikerfirma, die die medizinischen Geräte wartet,
  • der Webhoster, der die Webseite hostet,
  • der E-Mail-Provider, der den E-Mail-Server bereit stellt,
  • das Lohnbüro, das die Lohnabrechnung durchführt,
  • die Büroservicefirma, die die Rechnungen schreibt
  • etc.

Diese Liste ließe sich fast endlos fortsetzen. Unsere arbeitsteilige Wirtschaft lebt von Auftragsverarbeitungen.

Viele Unternehmen sind eigentlich "Unternehmensgruppen", haben Schwester und Tochterfirmen, zwischen denen ebenfalls Arbeits- und Ressourventeilungen gegeben sind.

Sondersituation: Auftragsverarbeitung

Für diese ganzen Auftragsverarbeitungen reicht es nun nicht mehr, einen einfachen, kleinen Vertrag zu schließen, das BGB werde es schon richten.

Nein. Auftragsverarbeitung bedeutet: Auch wenn tatsächlich der Auftragnehmer Zugriff auf die Daten des Auftraggebers hat, wird er trotzdem kein eigenständiger Verantwortlicher. Ohne diese Konstruktion wäre diese Form der Arbeitsteilung legal kaum umsetzbar.

Doch damit der Kunstgriff funktioniert, verlangt die DS-GVO von Auftraggeber und Auftragnehmer, einen Vertrag zu schließen, der viele Dinge ausdrücklich regeln muss. Die Beteiligten können sich also nicht einfach auf ein Gesetz zurückziehen.

Erstellung und Prüfung

Diese Verträge zur Auftragsverabeitung sind nicht kurz (selbst kleingedruckt kaum unter 3 bis 4 Seiten) und betreffen rechtliche, technische und organisatorische Aspekte, sind also kompliziert.

Und wenn die Vorgaben der DS-GVO nicht eingehalten werden, greift das Privileg der Auftragsverarbeitung nicht. Für beide, Auftraggeber und Auftragnehmer, ist das eine schlechte Situation: sie haben eine ungewollte gemeinsame Verantwortlichkeit, haben einen Datenschutzverstoß begangen (mit entsprechendem Bußgeld- und Schadenersatzrisiko), müssen diesen ggf. melden und haften gemeinsam.

Ich unterstütze Sie in dieser komplizierten Situation mit der