IT Dienstleister sollten eigene Vertrags-muster für Auftragsdatenverarbeitung nach § 11 BDSG vorhalten und flächendeckend einsetzen

Verarbeitet ein Dienstleister für einen Kunden personenbezogene Daten, wird er datenschutzrechtlich als Teil der Organisation seines Kunden behandelt, so dass keine nach dem BDSG speziell zu rechtfertigende „Übermittlung“ (z.B. durch Einwilligung des Betroffenen) der Daten vom Auftraggeber an den Dienstleister vorliegt (sog. „Privilegierung“ der Auftragsdatenverarbeitung, § 3Nr. 8 S.2 BDSG). § 11 BDSG verlangt insofern jedoch den schriftlichen Abschluss einer sogenannten Auftragsdatenverarbeitungs-Vereinbarung (kurz „ADV“) mit dem in § 11 BDSG näher beschriebenen Inhalt, wenn ein Dienstleister für einen Auftraggeber personenbezogene Daten verarbeiten soll.

Zahlreiche Anbieter von IT Dienstleistungen verfügen aber, obwohl sie mit personenbezogenen Daten ihrer Kunden in Berührung kommen und diese hierbei für den Kunden speichern, hosten oder sonst verarbeiten, nicht über Muster einer solchen ADV und bieten deren Abschluss einer ADV auch nicht selbst „offensiv“ an. Teils wird aus Anbietersicht ganz offen argumentiert, dass der Abschluss einer entsprechenden Vereinbarung nur dann angeboten wird, wenn der Kunde dies ausdrücklich verlangt, weil nur den Kunden nach § 43 Abs. 1 Nr. 2b BDSG ein Bußgeld trifft, wenn eine solche Vereinbarung nicht vorliegt. Deshalb müsse sich schon der Kunde selbst darum kümmern bzw. um Abschluss einer solchen bitten, nicht aber der Anbieter.

Dies ist aus gleich mehreren Gründen nicht ungefährlich für den Anbieter.

Zwar ist richtig, dass § 43 Abs. 1 Nr. 2b BDSG ein Bußgeld für den Fall des nicht erfolgten oder inhaltlich fehlerhaften Abschlusses einer solchen ADV ausdrücklich nur dem Auftraggeber auferlegt.

Es ist aber bereits  rechtlich nicht ganz eindeutig geklärt, ob das Vorliegen einer schriftlichen Beauftragung im Umfang des § 11 als ADV „konstitutiv“ für die Annahme der  privilegierten Datenverarbeitung ist, oder nicht.

Wenn man nun der Ansicht ist, die Privilegierung greift ohnehin nur wenn eine schriftliche und wirksame ADV vorliegt (dass diese also konstitutiven Charakter habe), und es müsse (und könne überhaupt!) auf andere Rechtfertigungstatbestände des BDSG wie z.B. § 28 BDSG zurückgegriffen werden, dann läge das (hohe) Risiko einer nicht anderweitigen Rechtfertigung beim Dienstleister. Insofern wäre dieser zwar nicht nach § 43 Abs. 1 Nr. 2b BDSG bußgeldbedroht, aber nach § 43 Abs. 2 Nr. 1 BDSG wegen der Verarbeitung von Daten ohne ausreichende Rechtfertigung.

Geht man hingegen mit der wohl überwiegenden Ansicht davon aus, dass auch bei Nichtvorliegen einer schriftlichen ADV oder inhaltlich fehlerhaften ADV dennoch eine privilegierte Auftragsdatenverarbeitung vorliegt (wofür insbesondere die Regelung des § 43 Abs. 1 Nr. 2b spricht), dann trifft den Auftragnehmer zwar nicht unmittelbar ein Bußgeld. Jedoch wird sich der Kunde, wenn gegen ihn ein Bußgeld wegen fehlender ADV verhängt wird, bei seinem „professionellen“ IT Dienstleister sicherlich „bedanken“ und ggf. das Vertragsverhältnis beenden. Zumal bedienen sich wiederum die meisten IT Dienstleister bei der Erbringung der Datenverarbeitung Subunternehmer, insbesondere großen Hosting-Providern.

Datenschutzrechtlich, aber auch aus zivilrechtlichen Gründen bei Ausgestaltung als Dienstleistungsvertrag, ist dies jedoch für den Anbieter nur zulässig wenn der Auftraggeber schriftlich den Einsatz eines solchen Dritten erlaubt hat. Fehlt eine solche ausdrückliche schriftliche Erlaubnis per ADV dürfen keine Subunternehmer eingeschaltet werden. Der Anbieter läuft also Gefahr, eine rechtswidrige Übermittlung an Dritte vorzunehmen und damit ggf. auch selbst den Bußgeldtatbestand des § 43 Abs. 2 Nr. 1 BDSG zu erfüllen. Jedenfalls würde der Kunde in diesen Fällen Regress vom Anbieter verlangen, würde er wegen der nicht vom ihm autorisierten Einschaltung eines Subunternehmers durch seinen Dienstleister einem Bußgeld unterworfen.

Anbieter sollten daher proaktiv auf den Abschluss einer ADV drängen bzw. diese bei standardisierten Leistungen und Abläufen gleich zu einem Vertragsteil machen. Dies senkt auch das Risiko, mangels einheitlicher ADV den sehr unterschiedlichen Vereinbarungen der Kunden zu unterliegen und damit insbesondere die Möglichkeit des Einsatzes und der Auswechselbarkeit von Subunternehmern erst sicherzustellen. Das Vorhandensein einer ADV ist ferner auch als wichtiges Marketing-Tool zu sehen, da es dem Kunden - gemeinsam mit Zertifizierungen - eine Professionalität und Verlässlichkeit des Anbieters in datenschutzrechtlichen Angelegenheiten signalisiert.