Vorwort

Zahlreiche kleine Unternehmen bieten Bürodienstleistungen wie vorbereitende Buchhaltung, Schreibdienste, Rechnungserstellung sowie Telefonservice für kleinere Unternehmen oder Freiberufler an. Dieser Ratgeber soll die Spezialfälle im Datenschutz für Anbieter von Bürodienstleistungen beleuchten. Gleichzeitig bietet er aber auch den Auftraggebern dieser Dienstleistungen eine Orientierungshilfe bei der Vertragsgestaltung in Bezug auf die vom Gesetzgeber geforderten Mindestinhalte.

Er erhebt keinen Anspruch auf Vollständigkeit in Bezug auf die allgemeinen Pflichten, die sich aus der Datenschutzgesetzgebung ergeben. Für den Gesamtüberblick sei auf den Ratgeber „Chefsache Datenschutz“ verweisen.

Die Handlungsempfehlungen, Vertrags- und Formularvorlagen wurden nach bestem Wissen und Gewissen erstellt. Diese können aber keine Rechtsberatung ersetzen.

Abschließend noch ein Hinweis: Dieses Buch wendet sich gleichermaßen an männliche und weibliche Leser, handelt von Kunden und Kundinnen, Dienstleistern und Dienstleisterinnen usw. Aus Gründen der Vereinfachung und der besseren Lesbarkeit wurde überwiegend die männliche Form gewählt.

Tönning, im Januar 2015

Birgit Pauls

Inhaltsverzeichnis

• Auftragsdatenverarbeitung
• ADV mit eigenen Dienstleistern
• Werbung
• Technische und organisatorische Maßnahmen
• Verfahrensverzeichnis
• Schutzbedarf von Daten
• Anhang
• Abkürzungen
• Begriffserklärungen
• Quellen
• Die Autorin

Auftragsdatenverarbeitung

Bei Bürodienstleistungen werden in der Regel personenbezogenen Daten, d.h. Einzelangaben über persönliche oder sachliche Verhältnisse von bestimmten oder bestimmbaren Personen verarbeitet oder zumindest genutzt.

Dies betrifft z. B. Namen, Anschriften, Telefonnummern, E-Mail-Adressen und Informationen zur Vertragsabwicklung.

Die Daten werden üblicherweise entsprechend der Weisung des Kunden, in der Gesetzgebung Auftraggeber genannt, verarbeitet. Dies bedeutet, dass der Auftraggeber entscheidet, was mit den Daten zu tun ist.

Diese Art der Dienstleistung wird im Bundesdatenschutzgesetz und auch in anderen Vorschriften zum Datenschutz wie Sozialgesetzbuch oder den Landesdatenschutzgesetzen als Datenverarbeitung im Auftrag oder Auftragsdatenverarbeitung, kurz ADV, bezeichnet.

Da es in den vergangenen Jahren immer wieder zu Datenpannen im Rahmen der ADV gekommen ist, stellt der Gesetzgeber besondere Anforderungen bei der Beauftragung einer ADV. Im § 11 BDSG ist geregelt, dass der Auftrag immer schriftlich erfolgen muss. Schriftlich heißt daher unterschrieben, reine Emails sind nicht zulässig. Außerdem muss der Auftrag bestimmte Punkte regeln. Die Mindestinhalte an einem ADV-Vertrag sind in § 11 Abs. 2 wie folgt geregelt:

1. der Gegenstand und die Dauer des Auftrags,
2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
3. die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen,
4. die Berichtigung, Löschung und Sperrung von Daten,
5. die nach § 11 Absatz 4 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Wichtig ist die Kontrolle des Auftragnehmers vor Beginn der Verarbeitung.

Bevor auch nur ein einziger Datensatz an den Auftragnehmer übertragen wird – dabei sind nicht nur Informationen in EDV-Systemen, sondern auch in Papierform gemeint – muss sich der Auftraggeber davon überzeugen, dass der Auftragnehmer die im Vertrag vereinbarten technischen und organisatorischen Maßnahmen zum Datenschutz einhält. Die Prüfung muss dokumentiert werden. Bei Nichteinhaltung der Formvorschriften oder Nichtdurchführung der Prüfung kann ein Bußgeld von bis zu 50.000 € verhängt werden – Geld, welches man sparen kann, indem man darauf achtet, dass die Formalien des § 11 BDSG eingehalten werden.

Wie kann die Prüfung der Maßnahmen erfolgen?

Der Auftraggeber muss davon überzeugt sein, dass die vereinbarten Maßnahmen umgesetzt wurden und auch entscheiden, ob die Maßnahmen dem Schutzzweck seiner Daten angemessen sind.

Dieses kann er auf unterschiedliche Art tun. Eine einfache Möglichkeit besteht z. B. darin, dass der Auftraggeber dem Auftragnehmer einen Fragebogen zusendet. Andere Möglichkeiten sind die Vorlagen der Prüfberichte des Datenschutzbeauftragten, Berichte von unabhängigen Dritten, wie Wirtschaftsprüfern oder Zertifizierungen zum Datenschutz, wie beispielsweise eine Zertifizierung nach ISO 27001 oder BSI-Grundschutz.

Da Bürodienstleister in der Regel kleine Unternehmen sind, die von der Pflicht zur Bestellung eines Datenschutzbeauftragten befreit sind und nicht von Wirtschaftsprüfern testiert werden, entfällt diese Art der Prüfung normalerweise bei Bürodienstleistern.

Eine weitere Möglichkeit ist ein Besuch des Auftraggebers beim Auftragnehmer, bei dem sich der Auftraggeber vor Ort von den Maßnahmen des Datenschutzes überzeugt.

Eine solche Prüfung ist für den Auftragnehmer relativ aufwendig, muss aber geduldet werden, solange es innerhalb der Geschäftszeiten erfolgt und der Zeitaufwand angemessen ist. Schwierig ist es, wenn die Daten in Privatwohnungen verarbeitet werden. Das Grundgesetz garantiert die Unverletzbarkeit der Wohnungen. Wenn weitere Personen als der Auftragnehmer in der Wohnung wohnen, müssen alle Bewohner der Überprüfung des Auftragnehmers durch den Auftraggeber, ggf. dessen Kunden, wenn der Auftraggeber Subunternehmer einer Auftragsdatenverarbeitung ist, und möglicherweise auch durch Datenschutzaufsichtsbehörden, innerhalb der Wohnung zustimmen.

Kann der Auftragnehmer diese Einwilligungen nicht beschaffen, ist es möglich, dass der Auftraggeber den Auftrag zurückzieht, da eine hinreichende Prüfung nicht in allen Fällen gewährleistet werden kann, insbesondere dann, wenn der Auftraggeber selbst Auftragnehmer einer Auftragsdatenverarbeitung ist und er sicherstellen muss, dass dem Kunden die Prüfrechte, die der Kunde beim Hauptauftragnehmer durchgesetzt hat, auch in die Verträge mit den Subunternehmern, entsprechend der Regelungen mit dem Hauptauftragnehmer, aufgenommen werden.

Bei einer Verarbeitung von Daten in einer Privatwohnung muss darüber hinaus sichergestellt werden, dass die anderen Bewohner der Wohnung die Daten nicht einsehen können, weder auf dem Rechner noch in Papierform. Auch Familienmitglieder sind in Hinblick auf den Datenschutz Dritte, sofern sie nicht als mitarbeitende Familienangehörige auf das Datengeheimnis verpflichtet wurden. In allen anderen Fällen ist eine Einsichtnahme in die Daten durch Familienangehörige oder anderer Bewohner der Wohnung eine unzulässige Übermittlung von Daten an Dritte – sprich ein Verstoß gegen den Datenschutz.

Daher sollte der PC, auf dem die Daten verarbeitet werden, möglichst nicht von Familienangehörigen genutzt werden. Falls dieses doch der Fall ist, müssen verschiedene Konten eingerichtet werden und sichergestellt sein, dass ein Zugriff auf die Daten des Kunden durch Dritte nicht möglich ist. Außerdem müssen Akten und mobile Datenträger wie USB-Sticks, CDs oder Ähnliches in verschlossenen Schränken aufbewahrt werden.

Wer ist für die Erstellung des Vertrages verantwortlich?

Der Auftraggeber ist verantwortlich für die Vertragsgestaltung und muss ggf. Bußgelder zahlen, wenn der Vertrag nicht den gesetzlichen Mindestanforderungen genügt