Für alle Auftragsdatenverarbeiter (also fast alle Direktmarker, E-Mail-Marker, Vermarkter bzw. Adressbroker) gibt es bei der Auftragsdatenverarbeitung (ADV) jetzt einen aus zehn Punkten bestehenden Katalog an gesetzlich festgelegten Mindestangaben (gültig ab 1. September 2009). Dies bedeutet wesentliche Neuerungen des Datenschutzrechts. Alle CIOs (=Chief Information Officer, Verantwortlicher für das Informations- und Kommunikationsmanagement in einem Unternehmen) sollten frühzeitig anfangen interne Abläufe in Frage zu stellen und sich aktiv mit den neuen Regeln vertraut zu machen.
Fehlen diese neuen Angaben im Auftrag, zählt dies mindestens als klare Ordnungswidrigkeit. Gleiches gilt, wenn der Auftraggeber es versäumt vor der Datenverarbeitung zu prüfen, ob der Auftragnehmer den gesetzlichen technischen und organisatorischen Anforderungen genügt.
Folgendes muss in einem Auftrag/ Vertrag enthalten sein:
– Gegenstand und Dauer der Auftragsdatenverarbeitung (egal wie kurz oder lang!)
– Umfang, Art und Zwecke der Datenerhebung
– Art der Daten
– Ihre Regelungen der Berichtigung, Löschung und Sperrung von Daten
– Kreis der von der Erhebung betroffenen Personen
– Eventuelle weitere beteiligte Subunternehmen (Achtung: Mitstörerhaftung!)
– Rückgabe und Löschung der Daten (Datenträger, Dateien…)
– Datenschutzrechtliche Pflichten des Auftragnehmers
– Die erforderlichen technischen und organisatorischen Maßnahmen (§ 9 BDSG)
– Kontrollrechte des Auftraggebers sowie Duldungs- und Mitwirkungspflichten des Auftragnehmers
– Weisungsbefugnisse des Auftraggebers
– Mitteilungspflichten des Auftragnehmers bei Verstößen
Gerade den letzten Punkt, die “Mitteilungspflichten” (§ 42 BDSG), sollte man sehr bewusst beachten, wenn man besonders sensible, personenbezogener Daten wie zum Beispiel Gesundheitsdaten oder Bank- und Kreditkartendaten verarbeitet. Wie der Name es schon sagt, ist es eine Pflicht eventuelle Verstöße zu melden. Bei Nichtbeachtung kann dies gravierende Folgen haben (saftiges Bußgeld und weitere rechtliche Konsequenzen, je nach Art und Umfang des Verstoßes).
Und die nächste Novelle kommt bestimmt!
Denn viele weitere Änderungen des Datenschutzrechtes sind bereits in Vorbereitung. Dazu zählt beispielsweise das Datenschutz-Auditgesetz mit zusätzlichen Anforderungen an die IT-Sicherheit. Neben schlechter Presse bei Mängeln und Verstößen, drohen behördliche Kontrollen und Sanktionen wie zum Beispiel Bußgelder. Im schlimmsten Fall kann es auch zu einer persönlichen Haftung der Geschäftsführung kommen. Entsprechende Beispiele gibt es schon jetzt in ersten Ansätzen in der Rechtssprechung (z.B.: Urteil vom 23.04.08, Haftung für Unterlizenzierung von Software).
Somit sei allen geraten, alle internen Prozesse zeitnah und präventiv unter die Lupe zu nehmen um langfristig sicher arbeiten zu können.
P.s. Weiterführende Links: Fleckenteppich Bundesdatenschutzgesetz. Zusammenstellung der GDD in der die neuen Gesetzes-Passagen je nach Datum des Inkrafttretens farblich markiert sind.
http://www.gdd.de/nachrichten/news/bdsg-novelle-ii-verabschiedet
Direktmarketing Blog 
4 Kommentare zu „Auftragsdatenverarbeiter aufgepasst, Regeln nach der Datenschutz Novelle“