Besondere Datenschutzanforderung bei externer Datenverarbeitung

Zunehmend nutzen SHK-Handwerker die eigenen Unternehmens-Webseiten zur Datenerhebung. In der Regel werden die erhobenen Daten beim Handwerker selbst erfasst und verarbeitet. Die Einhaltung aller datenschutzrechtlichen Vorgaben liegt dann allein beim Unternehmer als verantwortliche Stelle.

Allerdings werden teilweise zur onlinebasierten Datenerhebung auch Werkzeuge von Dienstleistern, Lieferanten und Herstellern eingesetzt. Möglicherweise erfolgt die Datenverarbeitung dann nicht mehr im SHK-Unternehmen selbst, sondern extern, so dass ein Fall der sogenannten Auftragsdatenverarbeitung vorliegt. Ein Beispiel ist der Heizungsrechner der Firma Viessmann, der – integriert auf der Webseite des SHK-Unternehmens Kundendaten generiert, die von einem externen Dienstleister verarbeitet werden. Aber auch im sonstigen Geschäftsalltag gibt es regelmäßig Fälle von Auftragsdatenverarbeitung, bei der oben genannte Vorschrift zu beachten ist, etwa bei Einschaltung von Werbeagenturen, denen zum Versand von Werbematerial die Kundendaten des SHK-Betriebs übermittelt werden. Auch die datenverarbeitungstechnische Arbeit für die Finanzbuchhaltung durch einen Dienstleister stellt insoweit eine Auftragsdatenverarbeitung dar.
Im Rahmen der Auftragsdatenverarbeitung ist die Übermittlung zulässig erhobener Daten uneingeschränkt erlaubt. Allerdings bleibt der Auftraggeber (SHK-Unternehmer) für die Einhaltung der Datenschutzbestimmungen verantwortlich. Im Rahmen dieser Verantwortung ist insbesondere § 11 Abs. 2 Bundesdatenschutzgesetz (BDSG) wichtig. Dieser schreibt vor, dass

1. der Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig ausgewählt werden muss,
   der Auftrag für die Auftragsdatenverarbeitung unter Beachtung eines Mindestkatalogs an Angaben schriftlich erteilt werden muss,
2. der Auftraggeber sich regelmäßig über die Einhaltung der datenschutzrechtlichen Vorgaben durch den Auftragnehmer zu informieren hat. Das Ergebnis muss er dokumentieren.
   Der Verstoß gegen diese Verpflichtung zur schriftlichen Auftragserteilung stellt eine Ordnungswidrigkeit im Sinne des § 43 Abs. 1 BDSG dar, der mit einer Geldbuße bis zu 50.000 Euro geahndet werden kann.
3. Zur sorgfältigen Auswahl führt der Bundesdatenschutzbeauftragte aus: Der Auftraggeber muss nicht die technischen und organisatorischen Maßnahmen vor Auftragsvergabe persönlich und nicht vor Ort durchführen. Legitim ist auch die Anerkennung von Auditsiegeln, die nahelegen, dass den Anforderungen des BDSG genüge getan ist. Insofern wäre z.B. eine Zertifizierung nach ISO 27001, auch wenn eigentlich auf IT-Sicherheit ausgelegt, ausreichend. Ebenfalls möglich wäre es, einen Dritten mit der Prüfung der technischen und organisatorischen Maßnahmen beim Auftragnehmer zu beauftragen und dessen Urteil als maßgeblich zu erachten.

In all diesen Fällen muss der oben genannte schriftliche Auftrag unter Beachtung folgender inhaltlicher Anforderungen erteilt werden (§ 11 Abs. 2 BDSG):

1. Der Gegenstand und die Dauer des Auftrages.
2. Der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen.
3. Die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen.
4. Die Berichtigung, Löschung und Sperrung von Daten.
5. Die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen.
6. Die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen.
7. Die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers.
8. Mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen.
9. Der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält.
10. Die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrages.

Für Ihre Verwendung finden Sie eine allgemeine Mustervereinbarung zur Auftragsdatenverarbeitung beispielsweise hier: https://www.bfdi.bund.de/bfdi_wiki/index.php/Mustervereinbarung_Auftragsdatenverarbeitung

Außerdem steht Ihnen im Menüpunkt Recht das weiterhin aktuelle ZVSHK-Merkblatt „Datenschutz in Unternehmen“ zum Download zur Verfügung.