aboutpixel.de / Roter gehts nicht © Rainer Sturm

Warnung, Stopp, Rote LampeDer Gesetz­ge­ber schreibt für das Out­sour­cing von Dienst­leis­tun­gen mit per­so­nen­be­zo­ge­nen Daten oder Zugriffs­mög­lich­keit auf die­se eine Rege­lung zur soge­nann­ten “Auf­trags­da­ten­ver­ar­bei­tung” nach § 11 Bun­des­da­ten­schutz­ge­setz (BDSG) vor.  So wird z.B. eine Prü­fung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) nach der Anla­ge zu § 9 BDSG erwar­tet zusam­men mit einer ver­trag­li­chen Rege­lung (meist in Form einer Zusatz­ver­ein­ba­rung), die den Umgang mit per­so­nen­be­zo­ge­nen Daten sehr detail­liert kon­kre­ti­siert und die Rech­te und Pflich­ten der Par­tei­en defi­niert. Auch die­se zu regeln­den Inhal­te sind durch den Gesetz­ge­ber in § 11 BDSG festgeschrieben.

Was liegt also nun näher, als sich als kun­den- und ser­vice­ori­en­tier­ter Dienst­leis­ter her­vor­zu­tun und sei­nem poten­ti­el­len Auf­trag­ge­ber die not­wen­di­ge For­mu­lie­rung samt Anla­ge der TOM gleich mit dem Haupt­ver­trag mit­zu­lie­fern? Schließ­lich ist das teil­wei­se noch ein kla­rer Wett­be­werbs­vor­teil und zusätz­lich zeigt man sei­nem Kun­den gleich, wie wich­tig man ihn und sein Anlie­gen nimmt. Neben­bei erspart man sich das Prü­fen und Frei­ge­ben zahl­rei­cher durch Kun­den selbst for­mu­lier­ter Rege­lun­gen zur Auf­trags­da­ten­ver­ar­bei­tung. Und die Anla­ge mit den tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) muss intern so oder so in Ver­bin­dung mit dem Ver­fah­rens­ver­zeich­nis (auch dies ist gesetz­li­che Pflicht) geführt werden.

Kurio­ser­wei­se zeich­net sich in der letz­ten Zeit eine Ent­wick­lung ab, die ich für sehr unglück­lich und kurz­fris­tig gedacht hal­te.  So häu­fen sich Vor­gän­ge,  in denen Dienst­leis­ter für das Aus­fer­ti­gen der gesetz­lich vor­ge­schrie­be­nen Ver­ein­ba­rung zur Auf­trags­da­ten­ver­ar­bei­tung (ohne die sie über­haupt kei­nen Auf­trag erhal­ten dürf­ten) eine “Gebühr” ver­lan­gen. Getoppt wird dies noch gele­gent­lich durch den Wunsch nach einer jähr­li­chen “Ver­län­ge­rungs­ge­bühr”. Um die­se For­de­rung nach zusätz­li­chen Hono­ra­ren zu recht­fer­ti­gen, fin­det man dann durch­aus Argu­men­ta­tio­nen wie das gene­rel­le Abstrei­ten des Vor­lie­gens einer Auf­trags­da­ten­ver­ar­bei­tung und den erhöh­ten Auf­wand, den der Auf­trag­neh­mer hät­te, da er die­se Maß­nah­me ja nur unter­stüt­ze, um dem Auf­trag­ge­ber aus einer mög­li­chen Rechts­mi­se­re zu hel­fen (näm­lich dem Buß­gel­dri­si­ko von bis zu 50.000 Euro für eine nicht oder nicht rich­tig umge­setz­te Auftragsdatenverarbeitung).

Selbst­ver­ständ­lich sind Dienst­leis­tun­gen, die sich aus der Zusam­men­ar­beit erge­ben, zu hono­rie­ren. Wie­so jedoch die Ver­trags­an­bah­nung mit den not­wen­di­gen Unter­la­gen — in die­sem Fall der Anla­gen zur Auf­trags­da­ten­ver­ar­bei­tung — bereits hier­durch kos­ten­pflich­tig wer­den soll, ist nicht nachvollziehbar.

Für mich als poten­ti­el­ler Auf­trag­ge­ber ist in einem sol­chen Fall die Ent­schei­dung klar …  Inter­es­sant wäre sicher auch eine Stel­lung­nah­me einer Lan­des­da­ten­schutz­be­hör­de zu solch einem Vor­ge­hen. Doch selbst wenn die­se recht­lich bean­stan­dungs­frei ist, hät­te sich ein sol­cher Anbie­ter aus mei­ner enge­ren Aus­wahl im wahrs­ten Sin­ne des Wor­tes “aus­ge­preist”.

3 thoughts on “Melk­kuh Auftragsdatenverarbeitung

  1. Wenn wir eine Dienst­leis­tung erbrin­gen müs­sen, hat der Kun­de dafür zu zah­len. Basta!!
    Nen­nen Sie doch Roß und Rei­ter oder haben Sie Angst davor, von uns ver­klagt zu wer­den. Wet­ten, unse­re Anwäl­te sind bes­ser als ihre?!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert