Saftige Bußgelder drohen

Achtung Bundesdatenschutzgesetz!

Finanzabteilungen und IT müssen ihre Verträge über die Auftragsdatenverwaltung durch externe Dienstleister dringend prüfen. Andrea König hat für CFOworld beim Rechtsexperten Marc Hilber nachgefragt.

von Andrea König, am 28. Oktober 2009

Mit dem neuen Bundesdatenschutzgesetz, das seit September in Kraft ist, verstoßen viele Firmen unwissentlich gegen Regelungen bei der Auftragsdatenverarbeitung. Betroffen sind Unternehmen, die ihre Daten von einem Dienstleister verarbeiten lassen. Das neue Recht gilt aber auch für alte Verträge. Marc Hilber, Partner bei der Rechtsanwaltskanzlei Oppenhoff & Partner in Köln, fasst die wesentlichen Konsequenzen zusammen. CFOworld: Was ist beim neuen Bundesdatenschutzgesetz besonders zu beachten? Hilber: Eine der wichtigsten Neuerungen regelt die Auftragsdatenverarbeitung (§ 11 BDSG). Betroffen sind alle Unternehmen, die ihre Daten von einem Dienstleister verarbeiten lassen. Das kann zum Beispiel bei der Nutzung externer IT-Ressourcen wie Speicherplatz oder Rechenleistung der Fall sein, liegt aber auch bei einer Auslagerung der Lohnbuchhaltung oder dem Betrieb einer Softwareapplikation durch einen Dienstleister vor.CFOworld: Was hat sich bei der Auftragsdatenverarbeitung geändert?Hilber: Der Mindestinhalt solcher Verträge zwischen Kunde und Dienstleister ist jetzt in zehn Punkten im Detail geregelt. Im Gegensatz zu anderen Bereichen des Datenschutzgesetzes greift bei der Auftragsdatenverarbeitung keine Übergangsregelung. Seit dem 1. September gilt das neue Recht.Auch alte Dienstleistungsverträge betroffenCFOworld: Auch für Verträge, die vor dem 1. September 2009 geschlossen wurden? Hilber: Das neue Recht gilt auch für die alten Verträge. Den gesamten Vertragsbestand von einem Tag auf den anderen anzupassen, ist kaum möglich. Firmen können ja nicht auf einen Schlag sämtliche Verträge umstellen. Konsequenz ist, dass viele Unternehmen aktuell gegen Datenschutzrecht verstoßen. Die rechtliche Verantwortung liegt häufig beim CIO.CFOworld: Was könnte passieren, wenn Unternehmen das neue Recht ignorieren? Hilber: Auch die Folgen haben sich mit dem neuen Bundesdatenschutzgesetz geändert. Neu ist, dass bei jeder teilweisen Nichterfüllung dieser Anforderungen eine Ordnungswidrigkeit vorliegt und Bußgelder von bis zu 50.000 Euro in jedem Einzelfall fällig werden.Behörden sind überfordertCFOworld: Wird das denn kontrolliert? Hilber: Die Datenschutzbehörden haben angedeutet, Verstöße zu verfolgen. Allerdings ist die Personaldecke der Behörden nicht entsprechend aufgestockt worden. Ich bezweifele daher, dass die Behörden von ihrem Recht, Unternehmen auch anlassunabhängig zu kontrollieren, tatsächlich flächendeckend Gebrauch machen. Sollte diese Erwartung zutreffen, gälte zumindest eine Art Schonfrist.CFOworld: Wen im Unternehmen würde so eine Konsequenz denn treffen?Hilber: Bei einer bloßen Ordnungswidrigkeit trifft die Geldbuße in der Regel das Unternehmen selbst. Im worst-case-Szenario kommt auch eine Strafbarkeit in Betracht, die nicht den Datenschutzbeauftragten, sondern den Vorstand oder den Geschäftsführer träfe. Denn rechtlich bleibt die Verantwortung für den Datenschutz beim Vorstand, in dessen Zuständigkeit der Datenschutz fällt - häufig der CIO.CFOworld: Was ist sonst neu bei der Auftragsdatenverarbeitung?Hilber: Nach dem neuen § 11 Abs. 2 S. 4 BDSG muss der Kunde sich beim Dienstleister regelmäßig davon überzeugen, dass der die Daten hinreichend schützt, indem angemessene technische und organisatorische Maßnahmen getroffen werden. Das heißt, man muss jemanden zum Dienstleister schicken, der das vor Ort überprüft. Ein Besuch pro Jahr dürfte ausreichen und es dürfte auch zulässig sein, die Überprüfungen durch einen Dienstleister durchführen zu lassen.Unternehmen müssen selbst in Indien kontrollierenCFOworld: Muss auch jemand vor Ort überprüfen, wenn der Dienstleister in Indien oder Litauen sitzt?Hilber: Ja, das ist unabhängig vom Ort. Gerade wenn zur Kostensenkung Ressourcen in weit entfernten Niedriglohnländern zugekauft werden, ist es besonders lästig, vor Ort kontrollieren zu müssen. Und: Auch diese Regelung gilt seit dem 1. September ohne Übergangsregelung. Das ist für Unternehmen natürlich schwer verdaulich. Datenverarbeitungsverträge müssen geprüft werdenCFOworld: Was raten Sie Unternehmen? Hilber: Es bleibt nichts anderes übrig, als sämtliche Datenverarbeitungsverträge vor dem Hintergrund der neuen Regelungen zu prüfen. Wenn die Verträge schon vorher gut gemacht waren, sind die Abweichungen nicht groß. Wenn allerdings keine oder bereits nach altem Recht unzureichende Verträge bestehen, ist der Handlungsbedarf dringend. Daher könnten die Gesetzesänderungen zum Anlass genommen werden, um sich auch bisher vernachlässigte Bereiche genauer anzusehen.Auch Muttergesellschaften sind DienstleisterCFOworld: Welche Bereiche sind das? Hilber: Das betrifft zum Beispiel Datenverarbeitungen im Verhältnis von Mutter- und Tochtergesellschaften. Übernimmt die Muttergesellschaften etwa das interne Controlling oder erbringt sie IT-Dienstleistungen für die Tochter, liegt eine Auftragsdatenverarbeitung vor (es sei denn, es sind dabei keinerlei personenbezogene Daten betroffen, was unserer Erfahrung nach selten vorkommt). Es muss auch in diesen Fällen ein Vertrag gemäß § 11 BDSG geschlossen werden. Unternehmen vernachlässigen dies häufig.CFOworld: Wie halten es die Unternehmen bislang mit dem neuen Datenschutzgesetz? Hilber: Das ist sehr unterschiedlich. Es gibt die einen, die das Thema aktiv angehen. Auf der anderen Seite gibt es Unternehmen, die es stiefmütterlich behandeln. Ich bin gespannt, wie die Behörden in Zukunft damit umgehen. Mit freundlicher Genehmigung von der CFOworld-Schwesterpublikation CIO.