Auftragsdatenverarbeitung – was ist das denn, bitte schön?

Martin Bahr
Martin Bahr

Dr. Bahr ist Rechtsanwalt in Hamburg und auf das Recht der Neuen Medien und den gewerblichen Rechtsschutz (Marken-, Urheber- und Wettbewerbsrecht) spezialisiert. Neben der reinen juristischen Qualifikation besitzt er ausgezeichnete Kenntnisse im Soft- und Hardware-Bereich. Unter Law-Podcasting.de betreibt er seit 2006 einen eigenen Podcast und unter Law-Vodcast.de einen Video-Vodcast.

Mehr von diesem AutorArtikel als PDF laden

Mancher Leser hat den Begriff „Auftragsdatenverarbeitung“ vielleicht schon einmal irgendwo gehört oder gelesen. Vielen wird er aber zum ersten Mal begegnen.
Der Artikel erläutert, was sich hinter diesem Begriff versteckt und warum er auch für den SEO- und Affiliate-Bereich von erheblicher Bedeutung ist.

1. Auftragsdatenverarbeitung: Was verbirgt sich dahinter?

Der Bereich der Auftragsdatenverarbeitung gehört thematisch zum Bereich des Datenschutzrechts. Damit wir uns näher mit der Problematik beschäftigten können, ist es zunächst wichtig zu verstehen, wann überhaupt eine Auftragsdatenverwaltung vorliegt:

Beispiel:
Unternehmer U, der ein bestimmtes Produkt verkauft, bedient sich mehrerer Callcenter, um eine höhere Reichweite des Abverkaufs zu erzielen. Die Callcenter speichern dabei die Daten der Kunden bei sich selbst. Sie nehmen Bestellungen und Stornierungen entgegen, aktualisieren Adressen, notieren Anmerkungen und Wünsche der Verbraucher. Alle diese Informationen erhält der Unternehmer U in bestimmten zeitlichen Intervallen von den Callcentern übermittelt.

Der klassische Fall der Auftragsdatenverwaltung ist, dass personenbezogene Daten (z. B. Kundendaten) nicht vom Unternehmer selbst, sondern von einem beauftragten Drittdienstleister verwaltet werden. Das Gesetz spricht in diesen Fällen von Auftragsdatenverwaltung (§ 11 BDSG). Damit der Unternehmer sich im Fall von Datenschutzverletzungen durch das Callcenter nicht einfach mit Unwissenheit herausreden kann, bestimmt das BDSG, dass der Unternehmer voll verantwortlich für die Handlungen seines Callcenters ist.

In der Praxis ist in einer Vielzahl von Fällen eine Auftragsdatenverwaltung gegeben, ohne dass dies den Betroffenen überhaupt bewusst ist: in Fällen der externen Lohn- und Gehaltsabrechnung oder bei der Pflege und Aktualisierung von Datenbeständen durch Dritte, u. a. auch beim Cloud Computing. Dabei ist der Begriff des Dritten sehr weitreichend. Auch der freie Handelsvertreter, der für seinen Auftraggeber Neukunden akquiriert, ist grundsätzlich Dritter. Nur in den Fällen, in denen der Dritte lediglich ausführende Funktionen wahrnimmt, ohne dass er an dem Datenbestand Änderungen durchführt, liegt keine Auftragsdatenverwaltung vor:

Beispiel:
Das Webhosting-Unternehmen, das lediglich ein Newsletter-System zur Verfügung stellt, bei dem der Unternehmer autonom und selbstständig seine Kundendaten einpflegt und verwaltet, handelt nicht als Datenauftragsnehmer.

Durch die im Jahr 2009 in Kraft getretene Datenschutzreform haben sich die Bestimmungen zur Auftragsdatenverwaltung in erheblichem Umfang verändert. Aufgrund der „Datenschutz-Skandale" sah sich der Gesetzgeber genötigt, eine Verschärfung der Regelungen herbeizuführen. Resultat ist eine typisch deutsche Gesetzesregelung: überbordende Verwaltungsvorgaben gepaart mit praxis- und realitätsfernen Anforderungen.

2. Relevanz für den SEO- und Affiliate-Bereich

Die Auftragsdatenverwaltung hat insbesondere auch für den SEO- und Affiliate-Bereich eine erhebliche Bedeutung.

Erbringt z. B. das SEO-Unternehmen für den Kunden Leistungen, bei denen es auch mit personenbezogenen Daten in Berührung kommt, liegt in aller Regel eine Auftragsdatenverarbeitung vor.

Beispiel 1:
Das SEO-Unternehmen analysiert und verarbeitet die Logfiles seines Auftraggebers, in denen u. a. auch die IP-Adressen der Besucher gespeichert sind.

Beispiel 2:
Das SEO-Unternehmen übernimmt den Versand der Werbemails seines Auftraggebers und erhält hierfür sämtliche E-Mail-Adressen der Kunden des Auftraggebers.

Als professionelles SEO-Unternehmen, das sich von zahlreichen anderen Anbietern auf dem Markt absetzen will, sollten Sie daher von vornherein diese Konstellation berücksichtigen und Ihrem Kunden ein entsprechendes Auftragsdatenverarbeitungs-Muster zur Verfügung stellen: Sie zeigen damit Professionalität und Kompetenz! Ihr Auftraggeber, der in der Regel mit den datenschutzrechtlichen Anforderungen einer Auftragsdatenverarbeitung überfordert ist, wird es Ihnen danken, wenn Sie ihm diese Arbeit abnehmen!

Aber nicht nur dann, wenn Sie selbst auf die personenbezogenen Daten Ihres Auftragnehmers zugreifen, wird diese Konstellation relevant, sondern auch immer dann, wenn Dritte zu den personenbezogenen Daten Ihres Auftraggebers Zugang haben.

Beispiel 1:
Ihr Auftragnehmer setzt Google Analytics ein.

Beispiel 2:
Ihr Auftragnehmer setzt ein SaaS-Tool eines Drittdienstleisters zum Mail-Versand ein.

Achten Sie also bei der Beratung Ihres Auftragnehmers auf derartige Konstellationen und weisen Sie ihn frühzeitig auf die Problematik hin. Dies gilt insbesondere für die Fälle, in denen Sie das Tool oder einen Drittdienstleister empfehlen: Vergewissern Sie sich, dass dieser Drittdienstleister die datenschutzrechtlichen Anforderungen an eine korrekte Auftragsdatenverarbeitung kennt. Nichts wäre peinlicher, als wenn Sie Ihrem Auftraggeber gegenüber eingestehen müssten, dass der von Ihnen empfohlene Dritte dann doch nicht so gut ist.

3. Mindestinhalt einer vertragliche Regelung

a) Schriftform:
Die Vereinbarung zwischen SEO-Unternehmen und Auftraggeber muss zwingend schriftlich erfolgen. Mündlich geschlossene Verträge entfalten keine Wirkung und sind somit unzureichend.

b) Inhalt:
Die Vereinbarung muss folgenden Mindestinhalt haben. Dabei ist zu berücksichtigen, dass die einzelnen Positionen umfassend und in sich nachvollziehbar beschrieben werden:

  • Gegenstand und Dauer des Auftrages
  • Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen
  • Technische und organisatorische Schutzmaßnahmen
  • Berichtigung, Löschung und Sperrung von Daten
  • Pflichten des Auftragnehmers
  • Etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen
  • Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers
  • Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen
  • Umfang der Weisungsbefugnisse des Auftraggebers
  • Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags

Hier muss jedoch das Rad nicht neu erfunden werden. Es gibt inzwischen zahlreiche kostenlose Musterformulare zur Auftragsdatenverarbeitung. Leider sind die meisten dieser Dokumente sehr umfangreich und schrecken den juristischen Laien ab. Empfehlenswert, weil sowohl sprachlich als auch inhaltlich so einfach wie möglich gehalten, sodass auch der rechtlich nicht Vorgebildete damit schnell zurechtkommt, ist das Muster des Regierungspräsidiums Darmstadt. 1

4. Vertrag allein nicht ausreichend

Wichtig ist, dass allein die Unterzeichnung des Vertrages nicht ausreichend ist, um den gesetzlichen Anforderungen Genüge zu tun. Vielmehr muss der Auftraggeber vor Beginn der Datenverarbeitung und dann regelmäßig die Einhaltung der Datenschutzvorschriften beim Auftragnehmer prüfen. Das Ergebnis ist jeweils schriftlich zu dokumentieren. In welchen zeitlichen Abständen eine solche Überprüfung zu erfolgen hat, regelt das Gesetz nicht. Hier besteht im Einzelfall ein großer Ermessens- und Beurteilungsspielraum.

Klar ist nur: Erfolgt keine solche Überprüfung, dann ist der schönste schriftliche Vertrag nicht das Papier wert, auf dem er steht.

5. Was im Falle der Nichteinhaltung droht

Die Praxis zeigt, dass trotz längerer Zeit seit Inkrafttreten der Regelungen im Jahr 2009 auch heute noch ca. 70 % der betroffenen Unternehmen keine Aktualisierung ihrer Verträge vorgenommen haben. Nicht aus böser Absicht, sondern aus reiner Unwissenheit.

Verstöße gegen die Grundsätze der Auftragsdatenverwaltung sind Ordnungswidrigkeiten, die mit einer Geldbuße bis zu 50.000,- EUR geahndet werden können. Zudem ist die Auftragsdatenverarbeitung – neben der Bestellung eines Datenschutzbeauftragten und der Erstellung eines Verfahrensverzeichnisses – einer der Punkte, die die zuständige Aufsichtsbehörde bei der Datenschutzprüfung vor Ort als Erstes in Augenschein nehmen wird. Fehlt es bereits an solchen elementaren Dingen im Unternehmen, zeigt dies dem Amt, dass in der jeweiligen Firma noch einige andere datenschutzrechtliche Leichen im Keller liegen.

1 www.datenschutz.hessen.de/download.php.

Das SEO-Unternehmen und sein Auftraggeber sollten sich also gut überlegen, ob sie die Vorschrift zur Auftragsdatenverarbeitung tatsächlich (weiterhin) ignorieren wollen.