Direktmarketing Blog

Trends, Tipps, Studien und mehr rund um das Thema Direktmarketing – Ein privater Blog von Jan-Philip Ziebold

Auftragsdatenverarbeitung betrifft fast alle – Infovideo+Mustervertrag

Rechtslage

Rechtslage

Über das Thema Auftragsdatenverarbeitung habe ich ja bereits in den Artikeln “15 Irrtümer über die Auftragsdatenverarbeitung” sowie “Auftragsdatenverarbeiter aufgepasst, Regeln nach der Datenschutz Novelle”  ausführlich berichtet. Erschreckend war primär, das mehr als die Hälfte der Unternehmen nicht weiß das hier eine rechtliche Anforderung zur Dokumentation besteht und das fast keiner denkt, das er dies machen muss. Ein fataler Fehler!

Auf der Webseite von Rechtsanwalt Stephan Hansen-Oest habe ich ein kleines Video entdeckt, welches das Thema in drei Minuten kurz und verständlich erklärt. Weiterhin ist dort auch eine Mustervereinbarung zur Verfügung gestellt.

Zum Video…

Definition, wann ist es eine Auftragsdatenverarbeitung:
Wenn ein Unternehmen – z.B. beim Outsourcing – ein anderes Unternehmen damit beauftragt, Daten für das Unternehmen zu verarbeiten, so handelt es sich dabei – sofern auch personenbezogene Daten verarbeitet werden – datenschutzrechtlich um eine Verarbeitung von Daten im Auftrag oder auch Auftragsdatenverarbeitung.

Auftragsdatenverarbeitung nach “Dilbert”

Auftragsdatenverarbeitung nach “Dilbert”

P.s. Zum Bild: Das sieht auch in Europa nicht viel anders aus als in den USA.

Mit freundlichen Grüßen aus Essen
Jan-Philip Ziebold
http://www.dz-media.de

Einsortiert unter:Adressdaten, Allgemein, Rechtslage, , ,

15 Irrtümer über die “Auftragsdatenverarbeitung” (siehe BDSG) – WICHTIG!

Rechtslage

Rechtslage

Ich habe mir vorgenommen einen einfachen Beitrag zum Thema Auftragsdatenverarbeitung zu schreiben. Und musste nach mehreren Anläufen erkennen, dass es kaum möglich ist, diesem Anspruch gerecht zu werden. Das Datenschutzrecht ist zwar allgegenwärtig, aber es gibt kaum jemanden, der es so richtig (be)greifen kann. Es ist irgendwie überall, ständig präsent, aber schwer zu konkretisieren…. Aber lange Rede, kurzer Sinn, im Zuge der BDSG Novelle müssen wir uns ja alle notgedrungen damit beschäftigen, daher zum Artikel:

Auftragsdatenverarbeitung“ ist ein so sperriges Wort, dass es sehr gerne überlesen wird. Dabei betreffen die gesetzlichen Regelungen zur Auftragsdatenverarbeitung (siehe §11, neues BDSG seit 01.09.09) sehr viele Direktmarkter (u.a. Onlineshop-Betreiber, E-Mail–Versender/Listeigener, Onlineplattformen, Werbetreibende, Programmierer, Webdesigner, IT-Dienstleister, etc.). Diese müssen eine Vielzahl strenger gesetzlicher Datenschutzvorschriften beachten oder riskieren sonst hohe Bußgelder und Schadensersatzzahlungen. Wahrscheinlich werden viele beim Lesen aus allen Wolken fallen, aber ich kann Ihnen nur raten, sich wirklich ernsthaft mit dem Thema auseinander zu setzen.

Um den neuen Verpflichtungen durch die Datenschutznovelle im Rahmen der Auftragsdatenverarbeitung Rechnung zu tragen, gibt es also viel zu tun!

In zwei Artikeln der letzten Woche, haben wir bereits die ersten Grundlagen und Infos zur neuen Gesetzeslage zusammengefasst, siehe auch: “Auftragsdatenverarbeiter aufgepasst, Regeln nach der Datenschutz Novelle” und “Alles zum neuen BDSG (seit 01.09.09 gültig)!

Wie geht es nun weiter?
Die ersten Musterverträge liegen im Internet wie in der Praxis vor. Ich möchte gleich vorweg nehmen, dass die Musterverträge im Internet den Eindruck erwecken, der Auftraggeber gibt dies vor. Hier werden aus meiner Sicht sogar einige Elemente vergessen. Ein zweckgebundener Auftrag beinhaltet nicht nur die datenschutzrechtlichen Aspekte, sondern regelt auch die Vergütung. Die ersten Verträge die ich gesehen habe, beinhalten dies gar nicht. Ok, wer spricht schon in Krisenzeiten über Geld, aber über Haftung und Haftungsausschlüsse (spannende Artikel dazu gibt es bei netpec.de).
Der DDV hat hier beispielsweise die entsprechende “Verpflichtungserklärung für Dienstleister und ihre Auftraggeber” überarbeitet, und stellt diese Nichtmitgliedern sowie Mitgliedern zur Verfügung.

Wirklich weiterhelfen können einem diese Dokumente derzeit beim Thema Auftragsdatenverarbeitung jedoch noch nicht. Daher sollten Sie über das Wortungetüm hinweg sehen und sicherstellen, dass Sie die nachfolgenden Fehler/Irrtümer nicht begehen.

Irrtum 1: Ich bin von den Vorschriften zur Auftragsdatenverarbeitung nicht betroffen
Irrtum 2: Es sind keine personenbezogenen Daten betroffen
Irrtum 3: Der Auftrag bezieht sich nicht auf personenbezogene Daten
Irrtum 4: Es reicht, auf die Verlässlichkeit des Auftragnehmers zu vertrauen
Irrtum 5: Es reicht, dass der Auftragnehmer erklärt er werde das Datenschutzrecht beachten
Irrtum 6: Es reicht eine Standardvereinbarung zu nutzen
Irrtum 7: Mit einer Vereinbarung über die Auftragsdatenvereinbarung sind alle gesetzlichen Anforderungen erfüllt
Irrtum 8: Nur der Auftragnehmer muss sich um die Datensicherheit kümmern
Irrtum 9: Nur der Auftraggeber muss sich um die Datensicherheit kümmern
Irrtum 10: Ich entziehe mich den Vorschriften und übertrage die ganze Datenverarbeitung auf externe Dienstleister
Irrtum 11: Ich verlege die Datenverarbeitung ins Ausland, da sind die Vorschriften laxer
Irrtum 12: Das ist mir zu kompliziert, ich achte nicht auf diese Vorschriften
Irrtum 13: Ich habe bereits eine Vereinbarung über die Auftragsdatenverarbeitung
Irrtum 14: Ich lade mir einen Mustervertrag aus dem Internet herunter
Irrtum 15: Diese Regelungen zur Auftragsdatenverarbeitung sind nur eine Last

Überrascht, aufgerüttelt? Dann habe ich mein Ziel erreicht.

Wenn Sie jetzt konkrete Antworten und Infos zu diesen Irrtümern suchen/brauchen, kann ich Ihnen diese in sehr ausführlicher Form zur Verfügung stellen. Die Herren Rechtsanwälte Thomas Schwenke und Sebastian Dramburg haben auf t3n.de alle oben erwähnten Irrtümer für Sie genau erklärt und geben erste Antworten zum Thema. Hier der Link zum sehr gelungenen und äußerst zugänglichen Artikel über die Auftragsdatenverarbeitung.

Fazit: Da die Anforderungen an die Auftragsdatenverarbeitung vom Einzelfall abhängig sind, kommen sowohl Auftraggeber wie Auftragnehmer nicht umhin sich mit der Materie vertieft auseinander zusetzen.
Im Zweifel wird empfohlen sich an einen Rechtsanwalt mit Kenntnis im Datenschutzrecht oder eine andere in diesem Bereich qualifizierte Person, zum Beispiel einen Datenschutzbeauftragten, zu werden. Diese können einen Mustervertrag ausarbeiten, der auf das eigene Unternehmen zugeschnitten ist.

P.S. Und im Übrigen kann man das sperrige Wort „Auftragsdatenverarbeitung“ mit der Abkürzung ADV vermeiden.

Mit besten Grüßen aus Essen,
Jan-Philip Ziebold
http://www.dz-media.de

Einsortiert unter:Adressdaten, Allgemein, Rechtslage, , , , , , , , , , ,

Auftragsdatenverarbeiter aufgepasst, Regeln nach der Datenschutz Novelle

Datenschutz

Datenschutz

Für alle Auftragsdatenverarbeiter (also fast alle Direktmarker, E-Mail-Marker, Vermarkter bzw. Adressbroker) gibt es bei der Auftragsdatenverarbeitung (ADV) jetzt einen aus zehn Punkten bestehenden Katalog an gesetzlich festgelegten Mindestangaben (gültig ab 1. September 2009). Dies bedeutet wesentliche Neuerungen des Datenschutzrechts. Alle CIOs (=Chief Information Officer, Verantwortlicher für das Informations- und Kommunikationsmanagement in einem Unternehmen) sollten frühzeitig anfangen interne Abläufe in Frage zu stellen und sich aktiv mit den neuen Regeln vertraut zu machen.

Fehlen diese neuen Angaben im Auftrag, zählt dies mindestens als klare Ordnungswidrigkeit. Gleiches gilt, wenn der Auftraggeber es versäumt vor der Datenverarbeitung zu prüfen, ob der Auftragnehmer den gesetzlichen technischen und organisatorischen Anforderungen genügt.

Folgendes muss in einem Auftrag/ Vertrag enthalten sein:

– Gegenstand und Dauer der Auftragsdatenverarbeitung (egal wie kurz oder lang!)

– Umfang, Art und Zwecke der Datenerhebung

– Art der Daten

– Ihre Regelungen der Berichtigung, Löschung und Sperrung von Daten

– Kreis der von der Erhebung betroffenen Personen

– Eventuelle weitere beteiligte Subunternehmen (Achtung: Mitstörerhaftung!)

– Rückgabe und Löschung der Daten (Datenträger, Dateien…)

– Datenschutzrechtliche Pflichten des Auftragnehmers

– Die erforderlichen technischen und organisatorischen Maßnahmen (§ 9 BDSG)

– Kontrollrechte des Auftraggebers sowie Duldungs- und Mitwirkungspflichten des Auftragnehmers

– Weisungsbefugnisse des Auftraggebers

– Mitteilungspflichten des Auftragnehmers bei Verstößen

Gerade den letzten Punkt, die “Mitteilungspflichten(§ 42 BDSG), sollte man sehr bewusst beachten, wenn man besonders sensible, personenbezogener Daten wie zum Beispiel Gesundheitsdaten oder Bank- und Kreditkartendaten verarbeitet. Wie der Name es schon sagt, ist es eine Pflicht eventuelle Verstöße zu melden. Bei Nichtbeachtung kann dies gravierende Folgen haben (saftiges Bußgeld und weitere rechtliche Konsequenzen, je nach Art und Umfang des Verstoßes).

Und die nächste Novelle kommt bestimmt!

Denn viele weitere Änderungen des Datenschutzrechtes sind bereits in Vorbereitung. Dazu zählt beispielsweise das Datenschutz-Auditgesetz mit zusätzlichen Anforderungen an die IT-Sicherheit. Neben schlechter Presse bei Mängeln und Verstößen, drohen behördliche Kontrollen und Sanktionen wie zum Beispiel Bußgelder. Im schlimmsten Fall kann es auch zu einer persönlichen Haftung der Geschäftsführung kommen. Entsprechende Beispiele gibt es schon jetzt in ersten Ansätzen in der Rechtssprechung (z.B.: Urteil vom 23.04.08, Haftung für Unterlizenzierung von Software).

Somit sei allen geraten, alle internen Prozesse zeitnah und präventiv unter die Lupe zu nehmen um langfristig sicher arbeiten zu können.

P.s. Weiterführende Links: Fleckenteppich Bundesdatenschutzgesetz. Zusammenstellung der GDD in der die neuen Gesetzes-Passagen je nach Datum des Inkrafttretens farblich markiert sind.
http://www.gdd.de/nachrichten/news/bdsg-novelle-ii-verabschiedet

Einsortiert unter:Adressdaten, Allgemein, Rechtslage, , , , , , , ,

Gib deine E-Mail-Adresse ein, um diesem Blog zu folgen und per E-Mail Benachrichtigungen über neue Beiträge zu erhalten.

Follow Direktmarketing Blog on WordPress.com

Archive

Follow Direktmarketing Blog on WordPress.com

Über den Autor

Jan-Philip ZieboldJan-Philip Ziebold ist Geschäftsführer bei der "DZ-Media Verlag GmbH - Werbe- & Mediaagentur für Direktmarketing" in Essen und schreibt in diesem privaten Blog über Trends, Tipps sowie News rund um das Thema Direktmarketing. Jan-Philip Ziebold bei Xing Jan-Philip Ziebold bei Facebook Zur DZ-Media Webseite

Kontakt

Dieser Blog wird betrieben von Jan-Philip Ziebold mit Unterstützung der DZ-Media Verlag GmbH aus Essen. Zum Impressum. Jan-Philip Ziebold bei Xing Jan-Philip Ziebold bei Facebook Zur DZ-Media Webseite

Facebook-Partnerseiten:

Follow Direktmarketing Blog on WordPress.com