Frage: Was ist beim neuen Bundesdatenschutzgesetz besonders zu beachten?

Hilber: Eine der wichtigsten Neuerungen regelt die Auftragsdatenverarbeitung (§ 11 BDSG). Betroffen sind alle Unternehmen, die ihre Daten von einem Dienstleister verarbeiten lassen. Das kann zum Beispiel bei der Nutzung externer IT-Ressourcen wie Speicherplatz oder Rechenleistung der Fall sein, aber auch bei einer Auslagerung der Lohnbuchhaltung oder dem Betrieb einer Softwareapplikation durch einen Dienstleister.

Frage: Was hat sich bei der Auftragsdatenverarbeitung geändert?

Hilber: Der Mindestinhalt solcher Verträge zwischen Kunde und Dienstleister ist jetzt in zehn Punkten im Detail geregelt. Im Gegensatz zu anderen Bereichen des Datenschutzgesetzes greift bei der Auftragsdatenverarbeitung keine Übergangsregelung. Seit dem 1. September gilt das neue Recht.

Frage: Auch für Verträge, die vor dem 1. September 2009 geschlossen wurden?

Hilber: Das neue Recht gilt auch für die alten Verträge. Den gesamten Vertragsbestand von einem Tag auf den anderen anzupassen, ist kaum möglich. Firmen können ja nicht auf einen Schlag sämtliche Verträge umstellen. Konsequenz ist, dass viele Unternehmen aktuell gegen Datenschutzrecht verstoßen.

Frage: Was könnte passieren, wenn Unternehmen das neue Recht ignorieren?

Hilber: Auch die Folgen haben sich mit dem neuen Bundesdatenschutzgesetz geändert. Neu ist, dass bei jeder teilweisen Nichterfüllung dieser Anforderungen eine Ordnungswidrigkeit vorliegt und Bußgelder von bis zu 50.000 Euro in jedem Einzelfall fällig werden.

Frage: Wird das denn kontrolliert?

Hilber: Die Datenschutzbehörden haben angedeutet, Verstöße zu verfolgen. Allerdings ist die Personaldecke der Behörden nicht entsprechend aufgestockt worden. Ich bezweifele daher, dass die Behörden von ihrem Recht, Unternehmen auch anlassunabhängig zu kontrollieren, tatsächlich flächendeckend Gebrauch machen. Sollte diese Erwartung zutreffen, gälte zumindest eine Art Schonfrist.

CIO wird häufig zur Rechenschaft gezogen

Frage: Wen im Unternehmen würde so eine Konsequenz denn treffen?

Hilber: Bei einer bloßen Ordnungswidrigkeit trifft die Geldbuße in der Regel das Unternehmen selbst. Im Worst-Case Szenario kommt auch eine Strafbarkeit in Betracht, die nicht den Datenschutzbeauftragten, sondern den Vorstand oder den Geschäftsführer träfe. Denn rechtlich bleibt die Verantwortung für den Datenschutz beim Vorstand, in dessen Zuständigkeit der Datenschutz fällt - häufig der CIO.

Frage: Was ist sonst neu bei der Auftragsdatenverarbeitung?

Hilber: Der Kunde muss sich beim Dienstleister regelmäßig davon überzeugen, dass er die Daten hinreichend schützt, indem angemessene technische und organisatorische Maßnahmen getroffen werden. Das heißt, man muss jemanden zum Dienstleister schicken, der das vor Ort überprüft. Ein Besuch pro Jahr dürfte ausreichen und es dürfte auch zulässig sein, die Überprüfungen durch einen Dienstleister durchführen zu lassen.

Frage: Muss auch jemand vor Ort überprüfen, wenn der Dienstleister in Indien oder Litauen sitzt?

Hilber: Ja, das ist unabhängig vom Ort. Gerade wenn zur Kostensenkung Ressourcen in weit entfernten Niedriglohnländern zugekauft werden, ist es besonders lästig, vor Ort kontrollieren zu müssen. Auch diese Regelung gilt seit dem 1. September ohne Übergangsregelung. Das ist für Unternehmen natürlich schwer verdaulich.

Frage: Was raten Sie Unternehmen?

Hilber: Es bleibt nichts anderes übrig, als sämtliche Datenverarbeitungsverträge vor dem Hintergrund der neuen Regelungen zu prüfen. Wenn die Verträge schon vorher gut gemacht waren, sind die Abweichungen nicht groß. Wenn allerdings keine oder bereits nach altem Recht unzureichende Verträge bestehen, ist der Handlungsbedarf dringend. Daher könnten die Gesetzesänderungen zum Anlass genommen werden, um sich auch bisher vernachlässigte Bereiche genauer anzusehen.

Frage: Welche Bereiche sind das?

Hilber: Das betrifft zum Beispiel Datenverarbeitungen im Verhältnis von Mutter- und Tochtergesellschaften. Übernimmt die Muttergesellschaft etwa das interne Controlling oder erbringt sie IT-Dienstleistungen für die Tochter, liegt eine Auftragsdatenverarbeitung vor (es sei denn, es sind dabei keinerlei personenbezogene Daten betroffen, was unserer Erfahrung nach selten vorkommt). Auch in diesen Fällen muss ein Vertrag geschlossen werden. Unternehmen vernachlässigen dies häufig.