Direktmarketing Blog

Trends, Tipps, Studien und mehr rund um das Thema Direktmarketing – Ein privater Blog von Jan-Philip Ziebold

Auftragsdatenverarbeitung betrifft fast alle – Infovideo+Mustervertrag

Rechtslage

Rechtslage

Über das Thema Auftragsdatenverarbeitung habe ich ja bereits in den Artikeln “15 Irrtümer über die Auftragsdatenverarbeitung” sowie “Auftragsdatenverarbeiter aufgepasst, Regeln nach der Datenschutz Novelle”  ausführlich berichtet. Erschreckend war primär, das mehr als die Hälfte der Unternehmen nicht weiß das hier eine rechtliche Anforderung zur Dokumentation besteht und das fast keiner denkt, das er dies machen muss. Ein fataler Fehler!

Auf der Webseite von Rechtsanwalt Stephan Hansen-Oest habe ich ein kleines Video entdeckt, welches das Thema in drei Minuten kurz und verständlich erklärt. Weiterhin ist dort auch eine Mustervereinbarung zur Verfügung gestellt.

Zum Video…

Definition, wann ist es eine Auftragsdatenverarbeitung:
Wenn ein Unternehmen – z.B. beim Outsourcing – ein anderes Unternehmen damit beauftragt, Daten für das Unternehmen zu verarbeiten, so handelt es sich dabei – sofern auch personenbezogene Daten verarbeitet werden – datenschutzrechtlich um eine Verarbeitung von Daten im Auftrag oder auch Auftragsdatenverarbeitung.

Auftragsdatenverarbeitung nach “Dilbert”

Auftragsdatenverarbeitung nach “Dilbert”

P.s. Zum Bild: Das sieht auch in Europa nicht viel anders aus als in den USA.

Mit freundlichen Grüßen aus Essen
Jan-Philip Ziebold
http://www.dz-media.de

Einsortiert unter:Adressdaten, Allgemein, Rechtslage, , ,

15 Irrtümer über die “Auftragsdatenverarbeitung” (siehe BDSG) – WICHTIG!

Rechtslage

Rechtslage

Ich habe mir vorgenommen einen einfachen Beitrag zum Thema Auftragsdatenverarbeitung zu schreiben. Und musste nach mehreren Anläufen erkennen, dass es kaum möglich ist, diesem Anspruch gerecht zu werden. Das Datenschutzrecht ist zwar allgegenwärtig, aber es gibt kaum jemanden, der es so richtig (be)greifen kann. Es ist irgendwie überall, ständig präsent, aber schwer zu konkretisieren…. Aber lange Rede, kurzer Sinn, im Zuge der BDSG Novelle müssen wir uns ja alle notgedrungen damit beschäftigen, daher zum Artikel:

Auftragsdatenverarbeitung“ ist ein so sperriges Wort, dass es sehr gerne überlesen wird. Dabei betreffen die gesetzlichen Regelungen zur Auftragsdatenverarbeitung (siehe §11, neues BDSG seit 01.09.09) sehr viele Direktmarkter (u.a. Onlineshop-Betreiber, E-Mail–Versender/Listeigener, Onlineplattformen, Werbetreibende, Programmierer, Webdesigner, IT-Dienstleister, etc.). Diese müssen eine Vielzahl strenger gesetzlicher Datenschutzvorschriften beachten oder riskieren sonst hohe Bußgelder und Schadensersatzzahlungen. Wahrscheinlich werden viele beim Lesen aus allen Wolken fallen, aber ich kann Ihnen nur raten, sich wirklich ernsthaft mit dem Thema auseinander zu setzen.

Um den neuen Verpflichtungen durch die Datenschutznovelle im Rahmen der Auftragsdatenverarbeitung Rechnung zu tragen, gibt es also viel zu tun!

In zwei Artikeln der letzten Woche, haben wir bereits die ersten Grundlagen und Infos zur neuen Gesetzeslage zusammengefasst, siehe auch: “Auftragsdatenverarbeiter aufgepasst, Regeln nach der Datenschutz Novelle” und “Alles zum neuen BDSG (seit 01.09.09 gültig)!

Wie geht es nun weiter?
Die ersten Musterverträge liegen im Internet wie in der Praxis vor. Ich möchte gleich vorweg nehmen, dass die Musterverträge im Internet den Eindruck erwecken, der Auftraggeber gibt dies vor. Hier werden aus meiner Sicht sogar einige Elemente vergessen. Ein zweckgebundener Auftrag beinhaltet nicht nur die datenschutzrechtlichen Aspekte, sondern regelt auch die Vergütung. Die ersten Verträge die ich gesehen habe, beinhalten dies gar nicht. Ok, wer spricht schon in Krisenzeiten über Geld, aber über Haftung und Haftungsausschlüsse (spannende Artikel dazu gibt es bei netpec.de).
Der DDV hat hier beispielsweise die entsprechende “Verpflichtungserklärung für Dienstleister und ihre Auftraggeber” überarbeitet, und stellt diese Nichtmitgliedern sowie Mitgliedern zur Verfügung.

Wirklich weiterhelfen können einem diese Dokumente derzeit beim Thema Auftragsdatenverarbeitung jedoch noch nicht. Daher sollten Sie über das Wortungetüm hinweg sehen und sicherstellen, dass Sie die nachfolgenden Fehler/Irrtümer nicht begehen.

Irrtum 1: Ich bin von den Vorschriften zur Auftragsdatenverarbeitung nicht betroffen
Irrtum 2: Es sind keine personenbezogenen Daten betroffen
Irrtum 3: Der Auftrag bezieht sich nicht auf personenbezogene Daten
Irrtum 4: Es reicht, auf die Verlässlichkeit des Auftragnehmers zu vertrauen
Irrtum 5: Es reicht, dass der Auftragnehmer erklärt er werde das Datenschutzrecht beachten
Irrtum 6: Es reicht eine Standardvereinbarung zu nutzen
Irrtum 7: Mit einer Vereinbarung über die Auftragsdatenvereinbarung sind alle gesetzlichen Anforderungen erfüllt
Irrtum 8: Nur der Auftragnehmer muss sich um die Datensicherheit kümmern
Irrtum 9: Nur der Auftraggeber muss sich um die Datensicherheit kümmern
Irrtum 10: Ich entziehe mich den Vorschriften und übertrage die ganze Datenverarbeitung auf externe Dienstleister
Irrtum 11: Ich verlege die Datenverarbeitung ins Ausland, da sind die Vorschriften laxer
Irrtum 12: Das ist mir zu kompliziert, ich achte nicht auf diese Vorschriften
Irrtum 13: Ich habe bereits eine Vereinbarung über die Auftragsdatenverarbeitung
Irrtum 14: Ich lade mir einen Mustervertrag aus dem Internet herunter
Irrtum 15: Diese Regelungen zur Auftragsdatenverarbeitung sind nur eine Last

Überrascht, aufgerüttelt? Dann habe ich mein Ziel erreicht.

Wenn Sie jetzt konkrete Antworten und Infos zu diesen Irrtümern suchen/brauchen, kann ich Ihnen diese in sehr ausführlicher Form zur Verfügung stellen. Die Herren Rechtsanwälte Thomas Schwenke und Sebastian Dramburg haben auf t3n.de alle oben erwähnten Irrtümer für Sie genau erklärt und geben erste Antworten zum Thema. Hier der Link zum sehr gelungenen und äußerst zugänglichen Artikel über die Auftragsdatenverarbeitung.

Fazit: Da die Anforderungen an die Auftragsdatenverarbeitung vom Einzelfall abhängig sind, kommen sowohl Auftraggeber wie Auftragnehmer nicht umhin sich mit der Materie vertieft auseinander zusetzen.
Im Zweifel wird empfohlen sich an einen Rechtsanwalt mit Kenntnis im Datenschutzrecht oder eine andere in diesem Bereich qualifizierte Person, zum Beispiel einen Datenschutzbeauftragten, zu werden. Diese können einen Mustervertrag ausarbeiten, der auf das eigene Unternehmen zugeschnitten ist.

P.S. Und im Übrigen kann man das sperrige Wort „Auftragsdatenverarbeitung“ mit der Abkürzung ADV vermeiden.

Mit besten Grüßen aus Essen,
Jan-Philip Ziebold
http://www.dz-media.de

Einsortiert unter:Adressdaten, Allgemein, Rechtslage, , , , , , , , , , ,

Die beliebtesten Beiträge im August 2009

Rückblick: Das waren die fünf beliebtesten Beiträge im Juli 2009:

P.s. Nicht aus August, aber aus aktuellem Anlass noch mal hervorgehoben:
Neues BDSG ab 01.09.09 – gültig!

Einsortiert unter:Allgemein, , , , , , , ,

Alles zum neuen BDSG (seit 01.09.09 gültig)!

Rechtslage

Rechtslage

Heute, am 1. September 2009, tritt die erste Stufe der Datenschutz-Novelle in Kraft (Stufe zwei am 01.04.2010, sowie am 11.06.2010).

Das neue BDSG wurde von der Regierung noch unmittelbar vor der Sommerpause im Bundestag und Bundesrat „durchgeboxt“ bzw. der „Flickenteppich“ wurde verabschiedet. Die zweite Stufe enthält beispielsweise die Schwerpunkte Auskunftdateien und Scoring-Verfahren. Aber wie sagt man so schön: „Wenn der Sturm kommt, bauen die einen Mauern und die anderen Windmühlen.“… was was machen Sie davon?

In diesem Artikel zeige ich Ihnen auf, was Sie und Ihr Unternehmen hierbei beachten müssen – die wichtigsten Änderungen somit zusammengefasst.

P.S.: Für Einsteiger: Das Bundesdatenschutzgesetz regelt, zusammen mit den Datenschutzgesetzen der Länder, den Umgang mit Informationen, wie Adressen, Kontonummern oder Konsumgewohnheiten, die bestimmten Personen zugeordnet werden können/müssen.

Vorab, weiterführende Links zum Gesetz:

A.) BDSG-Fassung des Innenausschusses:
http://dip21.bundestag.de/dip21/btd/16/136/1613657.pdf

Übersichtlicher finde ich jedoch folgende beiden Dokumente:

B.) BDSG 2009, die Änderungen im Überblick:
http://www.ddv.de/downloads/2009/bdsg/Ueberblick_BDSG-Novellen.pdf

C.) BDSG 2009, Gesetzestext mit eingearbeiteten Änderungen:
http://www.ddv.de/downloads/2009/bdsg/Gesetzestext_BDSG-Novellen.pdf

Die wichtigsten Änderungen aus diesen, nun hier für Sie zusammengefasst:

1.) Datenverschlüsselung

Bei der Übermittlung von Daten jeglicher Art, soll künftig immer von der Möglichkeit sicherer Verschlüsselung Gebrauch gemacht werden. Ferner sind Daten zu anonymisieren sobald es der Zweck zulässt. Die Unternehmen unterliegen hier einer Sorgfaltspflicht.
Siehe auch unter Punkt 7, Meldepflicht bei „Missgeschicken“.

2.) Arbeitnehmerdatenschutz

Die Aufnahme des Arbeitnehmer-Datenschutzes in das BDSG erfolgt zwar formell, bringt aber nicht die erwartete Stärkung der Arbeitnehmerposition. Überwiegend wird die ohnehin bestehende Rechtspraxis einfach nur nocheinmal abgebildet.

Dass der Datenschutz in Unternehmen bei der breiten Bevölkerung allgemein eher als schlecht angesehen wird, hat erst kürzlich das Marktforschungsinstitut Emnid ermittelt. Hierzu habe ich hier berichtet: „Deutsche vertrauen wenig in Datenschutz bei Unternehmen“ https://adressdaten.wordpress.com/2009/08/05/deutsche-vertrauen-wenig-in-datenschutz-bei-unternehmen/

3.) Datenschutzbeauftragter

Das Gesetz führt einen erweiterten Kündigungsschutz für den betrieblichen Datenschutzbeauftragten für die Dauer seiner Bestellung und weiterhin bis zu einem Jahr danach ein.

Ferner wird der Betrieb verpflichtet, dem betrieblichen Datenschutzbeauftragten zum Erhalt und Ausbau seiner Fachkunde den Besuch von Fort- und Weiterbildungsveranstaltungen zu gestatten und zu bezahlen.

Sie sollten daher zeitnah prüfen, ob ein interner oder externer Datenschutzbeauftragter für Sie wirtschaftlicher ist. Beides ist erlaubt.

4.) Auftragsweise Datenverarbeitung

Für alle Auftragsdatenverarbeiter (also fast alle Direktmarketer, E-Mail-Marketer, Vermarkter bzw. Adressbroker, etc.) gibt es bei der Auftragsdatenverarbeitung (ADV) jetzt einen aus zehn Punkten bestehenden Katalog (die in §11 BDSG aufgeführt sind) an gesetzlich festgelegten Mindestangaben.

Sie sollten somit baldmöglichst Ihre internen Abläufe in Frage stellen und sich aktiv mit den neuen Regeln vertraut machen.

Über dieses Thema habe ich bereits in einem eigenen Artikel ausführlich berichtet:
https://adressdaten.wordpress.com/2009/08/03/auftragsdatenverarbeiter-aufgepasst-regeln-nach-der-datenschutz-novelle/

WICHTIG: Denn der ebenfalls neu gefasste Bußgeldtatbestand in § 43 Abs. 1 Nr. 2b BDSG bedroht jeden mit Bußgeld, der „entgegen § 11 Abs. 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt“.

5.) Einwilligung für Werbung (Opt-In)

Ab heute muss eine mündliche Einwilligung schriftlich bestätigt werden und elektronisch gegebene Einwilligungen sind zu protokollieren. Die schriftliche Einwilligung muss zudem als solche klar erkennbar sein, insbesondere muss sie aus umfassenderen Regelungen deutlich sichtbar hervorgehoben werden.

Doch wie muss dieses Einwilligung bzw. das Opt-In aussehen?
Dies habe ich bereits in einem vorhergehenden Artikel beschrieben und möchte daher auf diesen hier verweisen:
https://adressdaten.wordpress.com/2009/07/22/nicht-ohne-mein-%E2%80%9Copt-in%E2%80%9D-aber-wie-muss-es-aussehen/

Weitere Punkte der Einwilligung:

– Der Inhalt der Opt-In Protokollierung muss zukünftig für alle Betroffenen jederzeit elektronisch einsehbar sein und man muss diese Einwilligung jederzeit mit Wirkung für die Zukunft einfach widerrufen können.

– Verträge dürfen nicht von Einwilligungen abhängig gemacht werden. Derartige erwirkte Einwilligungen sind nichtig.

– Die Werbung selbst muss den Empfänger der Einwilligung erkennbar machen. Auf Nachfrage muss der Werbende in der Lage sein, die Herkunft einer Einwilligung z.B. beim Kauf von Adressverlagen über zwei Jahre zurück zu benennen.

Ausnahme: Adressen, die bereits vor dem 1. September 2009 verwendet/ generiert wurden, können noch bis zum 1. September 2012 nach der alten Regelung genutzt werden.

B2B-Marketing: Künftig grundsätzlich erlaubt ist die personalisierte Werbung an geschäftliche Adressen, ohne dass es hierfür einer Einwilligung bedarf.

P.S. Nicht ganz uneigennützig, möchte ich kurz auf die DZ-Media Verlag GmbH verweisen, die seit 1998 in diesem Bereich (Direktmarketing/Adressmarketing/Datenschutz) langjährige Erfahrungswerte besitzt. Mehr Infos: http://www.dz-media.de

6.) Markt- und Meinungsforschung

Dieser Bereich wird künftig gesondert geregelt. So ist jedes Verfahren der zuständigen Aufsichtsbehörde vorab zu melden, und jedes Unternehmen dieser Gruppe hat – unabhängig von seiner Mitarbeiterzahl – einen eigenen Datenschutzbeauftragten zu bestellen (intern oder extern ist hierbei egal).

Auftraggeber sollten beachten, dass sie im Rahmen ihres Auftrages (auftragsweise Datenverarbeitung) die hier unter Punkt 4 erwähnten Regelungen zu beachten haben!

7.) Meldepflicht

Das Gesetz sieht in §42a jetzt eine unverzügliche Informationspflicht vor, wenn einem Unternehmen besondere personenbezogene Daten vorliegen, wie z.B.:

Neben den als sensibel eingestuften Daten nach §3(9) BDSG (rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder das Sexualleben) sollen auch Daten der Meldepflicht unterliegen, die erkennbar einem Berufsgeheimnis unterliegen, sprich wie z.B. Bank- und Kreditkartenkonten oder Informationen die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht hierauf beziehen, etc.

Die Aufsichtsbehörden haben dann hier eine erweiterte Weisungsbefugnis. Sie können damit nicht nur Bußgelder verhängen, sondern auch unmittelbar Anordnungen und Untersagungen in Bezug auf materiell rechtswidrige Datenverarbeitungen treffen.

Weiterhin werden auch die Bußgeldrahmen auf 50.000 Euro (für Verstöße gegen Verfahrensvorschriften/ Meldepflicht) und 300.000 Euro (für Verstöße gegen materielle Schutzvorschriften) erweitert, zudem können diese zur Gewinnabschöpfung auch überschritten werden.
Es gibt nun auch mehrere neue Bußgeldtatbestände für Verstöße gegen das Datenschutzrecht, etwa für eine unzureichend erteilte Auftragsdatenverarbeitung oder für einen Verstoß gegen das Kopplungsverbot.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, begrüßt die Gesetzesnovelle und sieht nun die Firmen in der Pflicht: „Ich fordere die Verantwortlichen in den Unternehmen dazu auf, die durch die Neuregelung gebotene Chance zu nutzen, verloren gegangenes Vertrauen zurückzugewinnen. Personenbezogene Daten sind kein beliebig ausbeutbares Wirtschaftsgut. Wer sie erhebt und nutzt muss die Persönlichkeitsrechte der Betroffenen respektieren.“

————-

Das schreiben andere Medien heute (01.09.09):

Besserer Schutz für persönliche Daten
gefunden bei WELT ONLINE

Besserer Datenschutz gefunden
gefunden bei FOCUS Online

Bundesdatenschutzgesetz tritt morgen in Kraft
gefunden bei Golem.de

Änderung des Bundesdatenschutzgesetzes ab 1. September
gefunden ei Haufe.de

Ich hoffe Ihnen mit diesen Informationen einen guten Überblick der aktuellen Lage vermittelt zu haben. Bei Rückfragen stehe ich Ihnen gerne zur Verfügung.

Beste Grüße aus Essen,
Ihr Jan-Philip Ziebold

P.S.: Abschließend möchte ich noch auf einen Artikel aus dem Jahr 2008 verweisen, der noch weitere Punkte zum Thema aufführt: „BDSG Änderungen 2008 – Derzeit sehr umstritten, aber warum?

Einsortiert unter:Adressdaten, Allgemein, Branchen-News, Rechtslage, , , , , , , , , , , , , , ,

Auftragsdatenverarbeiter aufgepasst, Regeln nach der Datenschutz Novelle

Datenschutz

Datenschutz

Für alle Auftragsdatenverarbeiter (also fast alle Direktmarker, E-Mail-Marker, Vermarkter bzw. Adressbroker) gibt es bei der Auftragsdatenverarbeitung (ADV) jetzt einen aus zehn Punkten bestehenden Katalog an gesetzlich festgelegten Mindestangaben (gültig ab 1. September 2009). Dies bedeutet wesentliche Neuerungen des Datenschutzrechts. Alle CIOs (=Chief Information Officer, Verantwortlicher für das Informations- und Kommunikationsmanagement in einem Unternehmen) sollten frühzeitig anfangen interne Abläufe in Frage zu stellen und sich aktiv mit den neuen Regeln vertraut zu machen.

Fehlen diese neuen Angaben im Auftrag, zählt dies mindestens als klare Ordnungswidrigkeit. Gleiches gilt, wenn der Auftraggeber es versäumt vor der Datenverarbeitung zu prüfen, ob der Auftragnehmer den gesetzlichen technischen und organisatorischen Anforderungen genügt.

Folgendes muss in einem Auftrag/ Vertrag enthalten sein:

– Gegenstand und Dauer der Auftragsdatenverarbeitung (egal wie kurz oder lang!)

– Umfang, Art und Zwecke der Datenerhebung

– Art der Daten

– Ihre Regelungen der Berichtigung, Löschung und Sperrung von Daten

– Kreis der von der Erhebung betroffenen Personen

– Eventuelle weitere beteiligte Subunternehmen (Achtung: Mitstörerhaftung!)

– Rückgabe und Löschung der Daten (Datenträger, Dateien…)

– Datenschutzrechtliche Pflichten des Auftragnehmers

– Die erforderlichen technischen und organisatorischen Maßnahmen (§ 9 BDSG)

– Kontrollrechte des Auftraggebers sowie Duldungs- und Mitwirkungspflichten des Auftragnehmers

– Weisungsbefugnisse des Auftraggebers

– Mitteilungspflichten des Auftragnehmers bei Verstößen

Gerade den letzten Punkt, die “Mitteilungspflichten(§ 42 BDSG), sollte man sehr bewusst beachten, wenn man besonders sensible, personenbezogener Daten wie zum Beispiel Gesundheitsdaten oder Bank- und Kreditkartendaten verarbeitet. Wie der Name es schon sagt, ist es eine Pflicht eventuelle Verstöße zu melden. Bei Nichtbeachtung kann dies gravierende Folgen haben (saftiges Bußgeld und weitere rechtliche Konsequenzen, je nach Art und Umfang des Verstoßes).

Und die nächste Novelle kommt bestimmt!

Denn viele weitere Änderungen des Datenschutzrechtes sind bereits in Vorbereitung. Dazu zählt beispielsweise das Datenschutz-Auditgesetz mit zusätzlichen Anforderungen an die IT-Sicherheit. Neben schlechter Presse bei Mängeln und Verstößen, drohen behördliche Kontrollen und Sanktionen wie zum Beispiel Bußgelder. Im schlimmsten Fall kann es auch zu einer persönlichen Haftung der Geschäftsführung kommen. Entsprechende Beispiele gibt es schon jetzt in ersten Ansätzen in der Rechtssprechung (z.B.: Urteil vom 23.04.08, Haftung für Unterlizenzierung von Software).

Somit sei allen geraten, alle internen Prozesse zeitnah und präventiv unter die Lupe zu nehmen um langfristig sicher arbeiten zu können.

P.s. Weiterführende Links: Fleckenteppich Bundesdatenschutzgesetz. Zusammenstellung der GDD in der die neuen Gesetzes-Passagen je nach Datum des Inkrafttretens farblich markiert sind.
http://www.gdd.de/nachrichten/news/bdsg-novelle-ii-verabschiedet

Einsortiert unter:Adressdaten, Allgemein, Rechtslage, , , , , , , ,

Gib deine E-Mail-Adresse ein, um diesem Blog zu folgen und per E-Mail Benachrichtigungen über neue Beiträge zu erhalten.

Follow Direktmarketing Blog on WordPress.com

Archive

Follow Direktmarketing Blog on WordPress.com

Über den Autor

Jan-Philip ZieboldJan-Philip Ziebold ist Geschäftsführer bei der "DZ-Media Verlag GmbH - Werbe- & Mediaagentur für Direktmarketing" in Essen und schreibt in diesem privaten Blog über Trends, Tipps sowie News rund um das Thema Direktmarketing. Jan-Philip Ziebold bei Xing Jan-Philip Ziebold bei Facebook Zur DZ-Media Webseite

Kontakt

Dieser Blog wird betrieben von Jan-Philip Ziebold mit Unterstützung der DZ-Media Verlag GmbH aus Essen. Zum Impressum. Jan-Philip Ziebold bei Xing Jan-Philip Ziebold bei Facebook Zur DZ-Media Webseite
Follow Direktmarketing Blog on WordPress.com