Drucksache 17/5200
– 32 –
im Gesetzgebungsverfahren neu gefasst, in dem insbesondere der erforderliche Inhalt des schriftlich zu erteilenden Auftrags präzisiert und die Kontrollpflichten des
Auftraggebers deutlich vergrößert worden sind (vgl.
Kasten a zu Nr. 2.4). Diese neuen Bestimmungen sind
ohne Übergangsregelung zum 1. September 2009 in Kraft
getreten.
Da die Änderungen zunächst nur für § 11 BDSG galten,
unterlagen die besonders schützenswerten Sozialdaten insoweit plötzlich einem geringeren Schutzniveau, weil das
Sozialgesetzbuch eine eigenständige Vorschrift zur Auftragsdatenverarbeitung enthält, die zunächst unverändert
blieb. Inzwischen ist aber die erforderliche Rechtsangleichung erfolgt (vgl. Nr. 11.1.2).
Die gesteigerten Anforderungen an eine Auftragsdatenverarbeitung haben in der Praxis eine Reihe von Fragen
aufgeworfen. Strittig waren u. a. die Behandlung von Altverträgen, die Art und Weise, in der sich die verantwortliche Stelle von den technischen und organisatorischen Datenschutzmaßnahmen des Auftragnehmers zu überzeugen
hat, der zeitliche Abstand der künftig regelmäßig durchzuführenden Kontrollen und die Anforderungen an die ge-
Deutscher Bundestag – 17. Wahlperiode
setzlich vorgeschriebene Dokumentation. Deswegen habe
ich hierzu in einer „Handreichung“ meine Auffassung zusammengefasst und veröffentlicht (www.bfdi.bund.de;
vgl. Kasten b zu Nr. 2.4).
Als Nebeneffekt hat die Änderung des § 11 BDSG zur
Folge, dass in vielen Verwaltungen und in Unternehmen die
internen Datenschutzbeauftragten erstmals bei OutsourcingMaßnahmen beteiligt wurden. Dies ist zu begrüßen, auch
wenn dadurch eigentlich nur Versäumnisse in der Vergangenheit bereinigt werden.
Von großer Bedeutung wird sein, die beschriebenen Änderungen für die Auftragsdatenverarbeitung auch auf europäischer Ebene nachzuvollziehen. Angesichts der immer
stärkeren internationalen Verflechtungen in der Informationstechnik und der damit verbundenen Datenströme – mit
teils grenzüberschreitender Auftragsdatenverarbeitung –
ist es dringend erforderlich, dass hierbei jeweils die gleichen hohen Datenschutzstandards gewährleistet werden.
Die begonnene grundlegende Überarbeitung des europäischen Rechtsrahmens für den Datenschutz (vgl. Nr. 13.2)
bietet hierfür eine gute Gelegenheit.
K a s t e n a zu Nr. 2.4
Durch das Gesetz zur Änderung datenschutzrechtlicher Vorschriften, das am 1. September 2009 in Kraft getreten ist,
ist auch § 11 BDSG in mehreren Punkten geändert worden:
– in § 11 Absatz 2 Satz 2 BDSG ist der Inhalt des schriftlich zu erteilenden Auftrags präzisiert worden; ein Verstoß
hiergegen ist jetzt nach § 43 Absatz 1 Nummer 2b bußgeldbewehrt;
– nach § 11 Absatz 2 Satz 4 BDSG muss sich der Auftraggeber vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugen. Ein Verstoß hiergegen ist jetzt nach § 43 Absatz 1 Nummer 2b BDSG bußgeldbewehrt;
– nach Beginn der Auftragsdatenverarbeitung hat eine entsprechende Überprüfung in regelmäßigen Abständen erneut zu erfolgen (§ 11 Absatz 2 Satz 4 BDSG);
– das Ergebnis aller dieser Überprüfungen ist zu dokumentieren (§ 11 Absatz 2 Satz 5 BDSG).
K a s t e n b zu Nr. 2.4
Auszug aus der Handreichung des BfDI zu § 11:
„…
Zu den sich hieraus ergebenden Fragen vertritt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit folgende Auffassung:
1. Alle nach dem 1. September 2009 schriftlich erteilten Aufträge i. S. d. § 11 Absatz 2 Satz 2 BDSG müssen den
neuen inhaltlichen Anforderungen entsprechen. Dies gilt auch für neue Aufträge, denen ein nach altem Recht geschlossener Rahmenvertrag zugrunde liegt, weil Auftraggeber und Auftragnehmer hier die Möglichkeit haben,
sich hinsichtlich des neuen (Teil-/Unter-) Auftrages auf die neue Rechtslage einzustellen.
Nach altem Recht erteilte Aufträge werden in vielen Fällen nicht oder nicht in allen Punkten den neuen inhaltlichen Anforderungen entsprechen. Das Gesetz sieht keine Übergangsregelung vor, eine Umstellung aller Altverträge wird aber notwendigerweise eine gewisse Zeit in Anspruch nehmen. Der BfDI geht davon aus, dass
– Altverträge bei jeder inhaltlichen Änderung (auch nur in einzelnen Punkten) oder anstehenden Verlängerung
insgesamt dem neuen Recht angepasst werden;
BfDI 23. Tätigkeitsbericht 2009-2010