Die Rechte und Pflichten von Auftragnehmern und Auftraggebern in der Auftragsdatenverarbeitung (ADV) sind immer wieder Thema in der datenschutzrechtlichen Beraterpraxis. Einer der wesentlichen Aspekte ist hierbei der Abschluss eines schriftlichen Vertrags zur ADV. § 11 Bundesdatenschutzgesetz (BDSG) sieht dabei vor, dass für die Einhaltung dieser Pflicht der Auftraggeber verantwortlich ist.
§ 11 Abs. 1 Satz 1 BDSG: Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich.
Verstößt der Auftraggeber gegen diese Pflicht, indem er einen erforderlichen ADV-Vertrag nicht abschließt, oder indem ein solcher Vertrag inhaltlich nicht den gesetzlichen Vorgaben entspricht, handelt er gemäß § 43 Abs. 1 Nr. 2b BDSG ordnungswidrig. Diese Ordnungswidrigkeit kann mit einer Geldbuße von bis zu 50.000€ geahndet werden.
§ 43 Abs. 1 Nr. 2b BDSG: Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt […].
Auftraggeber einer ADV haben also schon aus diesem Grund ein eigenes Interesse daran, die Pflicht zum Abschluss eines ADV-Vertrags zu befolgen. Anders sieht dies beim Auftragnehmer aus. Da für ihn das Risiko eines Bußgeldes nicht gegeben ist, muss er sich auch nicht aktiv um den Abschluss eines ADV-Vertrags bemühen. Die Beraterpraxis zeigt, dass Auftragnehmer tatsächlich nur in seltenen Fällen proaktiv für den Abschluss eines ADV-Vertrags sorgen.
Diese, gerade für Auftraggeber, unbefriedigende Rechtslage ändert sich mit in Kraft treten der EU Datenschutzgrundverordnung (DSGVO). Die DSGVO sieht vor, dass sowohl Auftraggeber als auch Auftragnehmer ordnungswidrig handeln und zur Zahlung von Bußgeldern verpflichtet werden können, wenn ein erforderlicher ADV-Vertrag nicht oder nicht richtig geschlossen wird. Deutlich wird dies vor allem an zwei Punkten in der Verordnung:
- Zum einen fällt auf, dass es in den Regelungen zur Auftragsdatenverarbeitung in der DSGVO keine Formulierung mehr gibt, die dem oben zitierten § 11 Abs. 1 Satz 1 BDSG entspricht. Die Verantwortlichkeit für die Einhaltung der rechtlichen Bestimmungen wird also nicht mehr ausdrücklich dem Auftraggeber auferlegt.
- Zum anderen heißt es in Art. 83 Abs. 4 lit. a DSGVO ausdrücklich, dass Bußgelder gegen beide Seiten verhängt werden können. Dementsprechend müssen sich auch die Pflichten aus der Auftragsdatenverarbeitung sowohl an Auftraggeber als auch an Auftragnehmer richten.
Für dienstleistende Unternehmen bedeutet dies, dass sie sich künftig zur Vermeidung von Bußgeldern auch selbst um den Abschluss erforderlicher ADV-Verträge bemühen müssen. Das bloße Abwarten, ob der Auftraggeber diesbezüglich tätig wird, reicht nicht mehr aus. Unternehmen, die bspw. Speicherplatz vermieten, Datenträger vernichten oder Softwarehosting anbieten, sollten zukünftig eigene Musterverträge zur ADV bereithalten und den Abschluss eines ADV-Vertrags von ihren Auftraggebern einfordern.