Schon in meinem Artikel zum Thema Cloud Computing – Datenschutz und Datensicherheit, hatte ich darauf hingewiesen, dass Sie immer und überall für Ihre Daten verantwortlich bleiben, auch wenn diese auf einem fremden Server liegen.

Schon seit geraumer Zeit gibt es aber neben dem § 9 BDSG noch eine weitere Vorschrift, die insbesondere in diesem Zusammenhang beachtet werden muss. Das ist der § 11 BDSG, der die Auftragsdatenverarbeitung regelt.

Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich.

Oft habe ich in diesem Zusammenhang von Unternehmen gehört: Aber die einfache Speicherung ist doch da gar nicht mit vorgesehen! Wortwörtlich nicht, aber auch eine Speicherung ist eine Verarbeitung der Daten im Sinne des § 3 BDSG. Dieser besagt nämlich ausdrücklich:

Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten.

Nachdem nun also geklärt ist, dass auch die einfache Speicherung eigener Daten auf fremden Servern eine Auftragsdatenverarbeitung ist, sehen wir uns einmal an, was das konkret für Sie bedeutet.

Zum einen, so schreibt es § 11 II BDSG vor, müssen Sie den Auftragnehmer – das Unternehmen bei dem Sie Ihre Daten speichern wollen – sehr sorgfältig auswählen. Hier sind vor allem technische und organisatorische Gesichtspunkte ausschlaggebend.

Zum anderen sind Sie verpflichtet den Vertrag mit dem Auftragnehmer schriftlich zu schließen und dabei ganz explizit die folgenden Punkte zu regeln:

  1. der Gegenstand und die Dauer des Auftrags,
  2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Wenn Sie dies alles geregelt und beachtet haben, sind Sie allerdings immer noch verpflichtet, die genaueste Durchführung dieser Vertragsregelung auch regelmäßig zu kontrollieren. Es ist daher durchaus sinnvoll, sich nicht nur auf die technischen und organisatorischen Gesichtspunkte bei der Auswahl des Vertragspartners zu konzentrieren, sondern auch auf die geografischen. Denn zu den Kontrollpflichten gehört auch, dass Sie sich vor Ort von der Einhaltung überzeugen.

Sollten Sie bei der Abfassung einer Vertragsregelung Schwierigkeiten haben, sind wir gern bereit, Ihnen dabei zu helfen.

Hier finden Sie die anderen Artikel zu diesem Thema: