Datenschutz bei IT-Verträgen

Inhaltsverzeichnis

Bei der Beauftragung mit IT-Leistungen erhält der Anbieter regelmäßig die Möglichkeit des Zugriffs auf Bestände mit personenbezogenen Daten im Unternehmen des Auftraggebers. Die aufgedeckten Datenskandale gaben in der Öffentlichkeit den Anstoß zu aktuellen Diskussionen über den Umgang mit diesen Daten. Dennoch behandeln Wirtschaftsunternehmen den Datenschutz im Bereich B2B nach wie vor eher nachlässig. Oft fehlt die Sensibilität, IT-Verträge sorgfältig zu gestalten und im Unternehmen einen verantwortlichen Datenschützer einzusetzen.

Die am 1. September 2009 in Kraft getretene Änderung des Bundesdatenschutzgesetzes (BDSG) betrifft unter anderem die Auftragsdatenverarbeitung und die Stellung des betrieblichen Datenschutzbeauftragten. Der Gesetzgeber hat die Voraussetzungen und Grenzen einer Auftragsdatenverarbeitung nunmehr gesetzlich festgeschrieben. Er hat darüber hinaus einen Kündigungsschutz für den betrieblichen Datenschutzbeauftragten eingeführt.

IT-Leistungen als Auftragsdatenverarbeitung

Besondere Aufmerksamkeit sollte bei IT-Verträgen der Gestaltung von Vereinbarungen zum Datenschutz zukommen. Der Verstoß gegen die gesetzlichen Anforderungen an eine ordnungsgemäße Auftragsdatenverarbeitung soll nunmehr mit einem Bußgeld von bis zu 50 000 Euro geahndet werden. Der Tatbestand ist verwirklicht, wenn ein Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt wurde. Daneben erfüllt ein Auftraggeber den bußgeldbewehrten Tatbestand, wenn er sich vor Beginn der Datenverarbeitung nicht von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt. Die zuständigen Aufsichtsbehörden haben weitreichende Befugnisse erhalten, um Präventivmaßnahmen rechtzeitig einleiten beziehungsweise Verstöße aufdecken zu können.

Pflichtinhalt für den Vertrag

Um mehr Rechtssicherheit zu schaffen, hat der Gesetzgeber in § 11 BDSG festgelegt, wie der Auftrag zur Datenverarbeitung inhaltlich ausgestaltet sein muss. Danach ist der Auftrag schriftlich zu erteilen. Er muss im Einzelnen folgende Inhalte festlegen:

• - Gegenstand und Dauer des Auftrags,
• - Umfang, Art und Zweck der Datenverarbeitung, die Art der Daten und den Kreis der Betroffenen,
• - die technischen und organisatorischen Maßnahmen zur IT-Sicherheit (§ 9 BDSG),
• - Datenberichtigung, -löschung und -sperrung,
• - die gesetzlichen Pflichten des Auftragnehmers, einschließlich von ihm vorzunehmender Kontrollen,
• - Einsatz von Subunternehmern,
• - Kontrollrechte des Auftraggebers, Duldungs- und Mitwirkungspflichten des Auftragnehmers,
• - mitzuteilende Verstöße des Auftragnehmers,
• - Umfang der Weisungsbefugnisse des Auftraggebers,
• - Rückgabe von Datenträgern und Löschung von Datenbeständen beim Auftragnehmer nach Beendigung des Auftrags.

Pflicht zur IT-Sicherheit

Die Vorschrift stellt zudem klar, dass der Auftraggeber sich erstmals vor Beginn der Auftragsdatenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen hat. Das Ergebnis dieser Prüfung muss der Auftraggeber dokumentieren. Der Auftraggeber muss die Kontrollen nicht persönlich durchführen. Vielmehr reicht das Testat eines Sachverständigen oder die Auskunft eines Auftragnehmers aus.

Die aktuelle Gesetzesänderung macht durch den ausdrücklichen Hinweis auf § 9 BDSG deutlich, dass die IT-Sicherheit notwendige Voraussetzungen für einen wirksamen Datenschutz ist. Die Anlage zu § 9 BDSG benennt als Prinzipien die Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags- und Verfügbarkeitskontrolle. Hierdurch sollen Integrität, Authentizität und Vertraulichkeit der Daten sichergestellt werden. Unternehmen müssen daher bestimmte IT-Sicherheitsstandards einhalten. Entsprechende Maßnahmen und Standards definiert das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Lesen Sie weiter: Der betriebliche Datenschutzbeauftragte