Personenbezogene Daten, d.h., Daten, die konkret einer bestimmten Person zuzuordnen sind (Name, Adresse, aber auch z.B. Datum eines Telefonats, wenn dieses einer bestimmten Person zuzuordnen ist) dürfen grundsätzlich nur mit Zustimmung der betreffenden Person weitergegeben werden. Wenn ein Unternehmen seine IT auslagert, in der in der Regel personenbezogene Daten z.B. von Kunden verarbeitet werden, wäre es aber unpraktikabel, jeden einzelnen Kunden um Erlaubnis zu bitten. Der Gesetzgeber hat daher für solche Fälle den Weg der sogenannten Auftragsdatenverarbeitung geschaffen. Wenn Daten nur im Rahmen eines Outsourcings weitergegeben werden, also nur an einen weisungsabhängigen Dienstleister, wird der Dienstleister datenschutzrechtlich wie eine interne Abteilung des auslagernden Unternehmens behandelt. Datenschutzrechtlich liegt dann also gar keine Weitergabe von Daten vor. Daher benötigt das auslagernde Unternehmen dafür dann also auch keine Zustimmung derjenigen, um deren Daten es geht (z.B. der Kunden).
Es ist klar, dass der Gesetzgeber so eine weitreichende Ausnahme vom Datenschutzrecht nur unter der Voraussetzung gewähren kann, dass sichergestellt ist, dass der Dienstleister auch tatsächlich nur wie eine interne Abteilung des auslagernden Unternehmens agiert. Daher ist eine Auftragsdatenverarbeitungsvereinbarung nur wirksam, wenn durch vertragliche Regelungen genau geregelt ist, was der Dienstleister mit den Daten machen darf und wenn vor allem Kontrollmöglichkeiten und technisch-organisatorische Maßnahmen vertraglich fixiert sind. Hierbei reicht es nicht aus, bloß den Gesetzestext zu wiederholen, das hat in einem aktuellen Fall die Bayerische Datenschutzbehörde noch einmal klargestellt. Ist die Regelung nicht vollständig, ist die Auftragsdatenverarbeitungsvereinbarung unwirksam und es liegt daher dann eine Weitergabe von Daten ohne Zustimmung der Betroffenen vor. Im aktuellen Fall enthielt die Auftragsdatenverarbeitungsvereinbarung nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes. Daher hat die Bayerische Datenschutzbehörde ein Bußgeld in fünfstelliger Höhe verhängt. Denkbar ist zudem, dass die Betroffenen, deren Daten weitergegeben wurden, Ansprüche gegen das auslagernde Unternehmen geltend machen.
Notwendig für eine ausreichende Regelung zu technisch-organisatorische Maßnahmen gewesen wären spezifische Festlegungen zu den Bereichen:
- Zutrittskontrolle;
- Zugangskontrolle;
- Zugriffskontrolle;
- Weitergabekontrolle;
- Eingabekontrolle;
- Verfügbarkeitskontrolle und
- Trennungskontrolle.
Zusätzlich zu den technischen und organisatorischen Maßnahmen muss eine Auftragsdatenverarbeitungsvereinbarung Regelungen enthalten:
- zu Gegenstand und Dauer des Auftrags;
- zu Umfang, Art und Zweck der vorgesehenen Erhebung, zur Verarbeitung oder Nutzung von Daten, zur Art der Daten und zum Kreis der Betroffenen;
- zur Berichtigung, Löschung und Sperrung von Daten;
- zu den Pflichten des Auftragnehmers in Bezug auf Datengeheimnis, Datensicherheit und Datenschutzbeauftragten, insbesondere zu den vom Auftragnehmer vorzunehmenden Kontrollen;
- zu etwaiger Berechtigung zur Begründung von Unterauftragsverhältnissen und
- zu Kontrollrechten des Auftraggebers und zu den entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers.
Es ist also besonders hohe Sorgfalt auf die Gestaltung und Formulierung der Auftragsdatenverarbeitungsvereinbarung zu legen, um Bußgelder zu vermeiden.