Auftragsdatenverarbeitung - Änderungen durch den neuen § 11 BDSG

Durch die BDSG-Novelle II wurde unlängst § 11 BDSG geändert. Der Beitrag setzt sich mit der Frage auseinander, inwiefern die neu gefasste Vorschrift auf bereits laufende Verträge Anwendung findet und ob ein Verstoß gegen die Vorschrift, neben der Gefahr eines Bußgeldes, die Unwirksamkeit des Auftragsdatenverarbeitungsverhältnisses zur Folge hat.

§ 11 BDSG regelt die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag; die Vorschrift wurde mit Wirkung zum 1. September 2009 geändert. Während in der alten Fassung in § 11 Abs. 2 Satz 2 BDSG lediglich gefordert wurde, dass im Auftrag die Datenerhebung, -verarbeitung und –nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind, enthält die neue Fassung jetzt einen ausführlichen Katalog über die erforderlichen vertraglichen Bestimmungen. So werden z.B. explizite vertragliche Regelungen zur Berichtigung, Sperrung und Löschung von Daten, Kontrollrechte durch den Auftraggeber, Umfang der Weisungsbefugnisse etc. gefordert.

Der neu aufgenommene Katalog darf nicht darüber hinwegtäuschen, dass die Datenschutzbehörden schon vor der Gesetzesänderung nahezu identische Anforderungen an Auftragsdatenverarbeitungsverhältnisse gestellt haben. Da diese Forderungen allerdings nicht durch den Gesetzgeber normiert waren, schafft die neue Fassung des § 11 BDSG somit mehr Rechtssicherheit bei der Beauftragung von Auftragsdatenverarbeitern.

In diesem Zusammenhang zu beachten ist auch die neu eingeführte Pflicht des Auftraggebers, sich bereits vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen und dies zu dokumentieren (§ 11 Abs 2 Satz 4 und 5 BDSG).

Weiterhin zu beachten, ist der ebenfalls neu eingeführte Bußgeldtatbestand in § 43 Abs. 1 Nr. 2b BDSG. Die Bußgeldvorschrift sieht vor, dass ein nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilter Auftrag oder ein Verstoß gegen § 11 Abs. 2 Satz 4 BDSG mit Bußgeld bis zu einer Höhe EUR 50.000 bewehrt ist. Der Wortlaut des § 43 Abs. 1 Nr. 2b BDSG lässt darauf schließen, dass nur der Auftraggeber Verpflichteter ist.

Der neu eingeführte Bußgeldparagraph wirft zwei Fragen auf:

1. Wie verhält sich der neue § 11 BDSG zu Verträgen, die vor Inkrafttreten der Neufassung abgeschlossen wurden?

Das reformierte BDSG sieht keine Übergangsregeln in Bezug auf § 11 BDSG vor. Es ist daher fraglich, ob die betrieblichen Datenschutzbeauftragten fahrlässig oder gar vorsätzlich handeln, wenn sie nicht Altverträge auf Konformität mit dem neuen § 11 BDSG überprüfen. Die Landesdatenschutzbehörden neigen derzeit überwiegend der Auffassung zu, dass der neue § 11 BDSG auch auf Altverträge Anwendung findet. Um sich nicht dem Risiko eines Bußgeldes auszusetzen, sind be…