140 likes | 331 Vues
AK Datenschutz der DGRI - Neuregelungen zur Auftragsdatenverarbeitung -. Dr. Wulf Kamlah, Rechtsanwalt Berlin, den 27. November 2009. Wulf Kamlah. Of Counsel Chefsyndikus. 2. SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November2009. Innerhalb des Paketes „BDSG II“
E N D
AK Datenschutz der DGRI- Neuregelungen zur Auftragsdatenverarbeitung - Dr. Wulf Kamlah, Rechtsanwalt Berlin, den 27. November 2009
Wulf Kamlah Of Counsel Chefsyndikus 2 SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November2009
Innerhalb des Paketes „BDSG II“ Anlass: Datenskandale Verschärfte Anforderungen an Auftragsverträge Kontrolldichte beim Dienstleister erhöht Neuregelungen zur Auftragdatenverarbeitung SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November 2009
Neuregelungen zur Auftragsdatenverarbeitung Begründung des Gesetzgebers zu Änderungen für die Auftragserteilung • Bundesrat (BR-Drucksache 4/09B, S. 7 f): • § 11 Abs. 2 BDSG (alt) wird praktisch häufig nicht beachtet • In der Praxis oft nur Verweis auf BDSG ohne nähere Festlegung • Häufig kein Nachweis über Einwilligung des Betroffenen • Nicht-öffentliche Stellen erkennen häufig nicht, was verlangt wird • Bundestag (BT-Drucksache 16/13657, S. 28 f): • Übernimmt Vorschlag des Bundesrats • Ergänzung soll gesetzliche Anforderungen an die Ausgestaltung des Auftrags besser erkennbar machen SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November 2009
Mindestinhalt („insbesondere“) des ADV-Vertrages dezidiert festgelegt, § 11 Abs. 1 Satz 2 BDSG – Teil 1 Gegenstand und Dauer des Auftrags Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung und Nutzung der Daten, Art der Daten und der Kreis der Betroffenen Konkretisierung des Auftragsgegenstandes, Bezeichnung von Betroffenengruppen Die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen Verweis auf oder bloßes Abschreiben der Anlage zu § 9 BDSG reicht nicht Neuregelungen zur Auftragsdatenverarbeitung SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November 2009
Inhalt des ADV-Vertrages dezidiert festgelegt, § 11Abs. 1 Satz 2 BDSG – Teil 2 Berichtigung, Löschung und Sperrung von Daten Konkretisierung der Weisung Die nach Absatz 4 bestehenden Pflichten des AN, insbes. die von ihm vorzunehmenden Kontrollen Verweis missglückt ? Gemeint sind offenbar § 5 BDSG und die Kontrollen nach § 9 BDSG Berechtigung zur Begründung von Unterauftragsverhältnissen schon bisher Neuregelungen zur Auftragsdatenverarbeitung SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November 2009
Inhalt des ADV-Vertrages dezidiert festgelegt, § 11 Abs. 1 Satz 2 BDSG – Teil 3 Kontrollrechte des AG und die entsprechenden Duldungs- und Mitwirkungspflichten des AN dezidiert festzulegen (auch Auditrechte für Dritte) Mitzuteilende Verstöße des AN oder bei ihm beschäftigten Personen gegen Datenschutzvorschriften oder Auftragsinhalt relevant bei Datenpannen Umfang (sonstiger) Weisungsbefugnisse, die sich der AG vorbehält Neuregelungen zur Auftragsdatenverarbeitung SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November 2009
Inhalt des ADV-Vertrages dezidiert festgelegt, § 11 Abs. 1 Satz 2 BDSG – Teil 4 Rückgabe überlassener Datenträger und die Löschung beim AN gespeicherter Daten nach Beendigung des Auftrags wesentliches Motiv der Novellierung (S. Stellungnahme Bundesrat) Neuregelungen zur Auftragsdatenverarbeitung SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November 2009
Anpassungsbedarf bestehender Verträge jetzt ? Kein verschobenes Inkrafttreten des neuen § 11 BDSG Keine Übergangsvorschrift für § 11 BDSG Daher sind Neuverträge sofort nach Maßgabe der neuen Bestimmungen abzuschließen auch Altverträge umzustellen ? „nur" fehlerhafte Auftragserteilung künftig bußgeldbewehrt Problem: Neue Aufträge unter altem Rahmenvertrag Jedenfalls schon nach altem Recht mangelhafte Verträge umstellen Neuregelungen zur Auftragsdatenverarbeitung SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November 2009
Neuregelungen zur Auftragsdatenverarbeitung Begründung des Gesetzgebers für Prüfungen und Dokumentation • Bundesrat (BR-Drucksache 4/09B, S. 8 f): • Missbrauchsgefahr durch Verknüpfung von Daten beim Auftragnehmer • Verantwortlicher Auftraggeber prüft nur „sehr zurückhaltend“ • Häufigkeit und Dokumentation der Prüfungen zur Gewährleistung der Einhaltung der gesetzlichen Vorgaben durch den Auftragnehmer • Bundestag (BT-Drucksache 16/13657, S. 28 f): • Bestimmtheit für Bußgeldbedrohung notwendig • Prüfungshäufigkeit bewusst offen gelassen • Bewusst keine nähere Regelung von Prüfungsart (etwa „vor Ort“) und von Details der Dokumentation SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November 2009
Prüfungen und Dokumentation des Auftraggebers Kontrollpflicht bzgl. beim AN getroffener technischer und organisatorischer Maßnahmen der Datenverarbeitung Prüfung vor Beginn der Datenverarbeitung Danach regelmäßig reicht „Bestätigung“ oder Prüfbericht DSB des AN (Präsenskontrolle)? sind (unabhängige) Zertifikate geeignet? Prüfungsintervalle? Dokumentationspflicht der Kontrollen, § 11 Abs. 1 Satz 4 a.E. BDSG nähere Ausgestaltung hinsichtlich Art und Umfang der Dokumentation nicht vorgeschrieben Neuregelungen zur Auftragsdatenverarbeitung SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November 2009
Handlungsbedarf zur Vorab-Prüfung und Dokumentation jetzt ? Vorab-Prüfung ist Pflicht, bei Neuaufträgen, aber wohl auch bei Aufträgen, die vor dem 1. September 2009 erteilt wurden, sofern eine wesentliche Änderung "alter" Auftragsdatenverarbeitung (Neuinhalte oder Verfahren), vorliegt fehlende vorherige Kontrolle ist bußgeldbewehrt Verstoß gegen nachträgliche regelmäßige Kontrolle ist dagegen nicht bußgeldbewehrt Prüfungsgegenstand sind Vorkehrungen gegen Datenschutzverstöße, nicht ordnungsgemäße Auftragsdurchführung Dokumentation der Prüfungen ist Pflicht Neuregelungen zur Auftragsdatenverarbeitung SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November 2009
Neuregelungen zur Auftragsdatenvereinbarung Bußgeldandrohung - Neuer § 43 Absatz 1 Nr. 2b BDSG: Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig … entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder entgegen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt Bußgeld: bis 50.000,00 EUR (mit Erhöhung zur Vorteilsabschöpfung) SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November 2009
Kontakt 14 SKW Schwarz Rechtsanwälte DGRI AK Datenschutz 27. November 2009