Datenschutzaspekte bei Bürodienstleistungen: Ein Leitfaden zur praktischen Umsetzung

Von Birgit Pauls

Kleine Bürodienstleister erbringen meist qualitativ hochwertige Dienstleistungen. Inhaber und Geschäftsführer von kleinen und mittleren Unternehmen sind froh darüber, Aufgaben wie Annahme und Weiterleitung von Telefonaten, Terminabsprachen sowie Buchführungsaufgaben in darauf spezialisierte Hände zu geben. Dabei drohen allerdings Sanktionen des Gesetzgebers, wenn aus Unkenntnis und gutem Glauben datenschutz-rechtliche Anforderungen an die Vertragsgestaltung außer Acht gelassen werden.
Dieser Ratgeber zeigt mit praktischen Beispielen auf, welche Datenschutzaspekte bei Bürodienst-leistungen genau betrachtet werden sollten. Er ist eine branchenspezifische Ergänzung der Autorin zum Basiswerk „Chefsache Datenschutz“.

• Sprache: Deutsch
• Herausgeber: Books on Demand
• Erscheinungsdatum: 10. Feb. 2015
• ISBN: 9783738674965

Birgit Pauls

Birgit Pauls ist in Nordfriesland geboren und aufgewachsen. Der Beruf führte sie einige Jahre aus Nordfriesland weg. Seit Ihrer Rückkehr 2006 schreibt sie Krimis und Bücher zu Datenschutzthemen. Dabei geht sie ungewöhnliche Wege: Viele Ihrer Bücher sind zweisprachig - hochdeutsch und plattdeutsch. Auch ein Datenschutz-Sachbuch auf Platt stammt aus ihrer Feder.

Buchvorschau

Autorin

Auftragsdatenverarbeitung

Bei Bürodienstleistungen werden in der Regel personenbezogenen Daten, d.h. Einzelangaben über persönliche oder sachliche Verhältnisse von bestimmten oder bestimmbaren Personen verarbeitet oder zumindest genutzt.

Dies betrifft z. B. Namen, Anschriften, Telefonnummern, E-Mail-Adressen und Informationen zur Vertragsabwicklung.

Die Daten werden üblicherweise entsprechend der Weisung des Kunden, in der Gesetzgebung Auftraggeber genannt, verarbeitet. Dies bedeutet, dass der Auftraggeber entscheidet, was mit den Daten zu tun ist.

Diese Art der Dienstleistung wird im Bundesdatenschutzgesetz und auch in anderen Vorschriften zum Datenschutz wie Sozialgesetzbuch oder den Landesdatenschutzgesetzen als Datenverarbeitung im Auftrag oder Auftragsdatenverarbeitung, kurz ADV, bezeichnet.

Da es in den vergangenen Jahren immer wieder zu Datenpannen im Rahmen der ADV gekommen ist, stellt der Gesetzgeber besondere Anforderungen bei der Beauftragung einer ADV. Im § 11 BDSG ist geregelt, dass der Auftrag immer schriftlich erfolgen muss. Schriftlich heißt daher unterschrieben, reine Emails sind nicht zulässig. Außerdem muss der Auftrag bestimmte Punkte regeln. Die Mindestinhalte an einem ADV-Vertrag sind in § 11 Abs. 2 wie folgt geregelt:

der Gegenstand und die Dauer des Auftrags,

der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,

die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen,

die Berichtigung, Löschung und Sperrung von Daten,

die nach § 11 Absatz 4 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,

die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,

die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,

mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,

der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,

die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Wichtig ist die Kontrolle des Auftragnehmers vor Beginn der Verarbeitung.

Bevor auch nur ein einziger Datensatz an den Auftragnehmer übertragen wird – dabei sind nicht nur Informationen in EDV-Systemen, sondern auch in Papierform gemeint – muss sich der Auftraggeber davon überzeugen, dass der Auftragnehmer die im Vertrag vereinbarten technischen und organisatorischen Maßnahmen zum Datenschutz einhält. Die Prüfung muss dokumentiert werden. Bei Nichteinhaltung der Formvorschriften oder Nichtdurchführung der Prüfung kann ein Bußgeld von bis zu 50.000 € verhängt werden – Geld, welches man sparen kann, indem man darauf achtet, dass die Formalien des § 11 BDSG eingehalten werden.

Wie kann die Prüfung der Maßnahmen erfolgen?

Der Auftraggeber muss davon überzeugt sein, dass die vereinbarten Maßnahmen umgesetzt wurden und auch entscheiden, ob die Maßnahmen dem Schutzzweck seiner Daten angemessen sind.

Dieses kann er auf unterschiedliche Art tun. Eine einfache Möglichkeit besteht z. B. darin, dass der Auftraggeber dem Auftragnehmer einen Fragebogen zusendet. Andere Möglichkeiten sind die Vorlagen der Prüfberichte des Datenschutzbeauftragten, Berichte von unabhängigen Dritten, wie Wirtschaftsprüfern oder Zertifizierungen zum Datenschutz, wie beispielsweise eine Zertifizierung nach ISO 27001 oder BSI-Grundschutz.

Da Bürodienstleister in der Regel kleine Unternehmen sind, die von der Pflicht zur Bestellung eines Datenschutzbeauftragten befreit sind und nicht von Wirtschaftsprüfern testiert werden, entfällt diese Art der Prüfung normalerweise bei Bürodienstleistern.

Eine weitere