Der Gesetzgeber schreibt für das Outsourcing von Dienstleistungen mit personenbezogenen Daten oder Zugriffsmöglichkeit auf diese eine Regelung zur sogenannten “Auftragsdatenverarbeitung” nach § 11 Bundesdatenschutzgesetz (BDSG) vor. So wird z.B. eine Prüfung der technischen und organisatorischen Maßnahmen (TOM) nach der Anlage zu § 9 BDSG erwartet zusammen mit einer vertraglichen Regelung (meist in Form einer Zusatzvereinbarung), die den Umgang mit personenbezogenen Daten sehr detailliert konkretisiert und die Rechte und Pflichten der Parteien definiert. Auch diese zu regelnden Inhalte sind durch den Gesetzgeber in § 11 BDSG festgeschrieben.
Was liegt also nun näher, als sich als kunden- und serviceorientierter Dienstleister hervorzutun und seinem potentiellen Auftraggeber die notwendige Formulierung samt Anlage der TOM gleich mit dem Hauptvertrag mitzuliefern? Schließlich ist das teilweise noch ein klarer Wettbewerbsvorteil und zusätzlich zeigt man seinem Kunden gleich, wie wichtig man ihn und sein Anliegen nimmt. Nebenbei erspart man sich das Prüfen und Freigeben zahlreicher durch Kunden selbst formulierter Regelungen zur Auftragsdatenverarbeitung. Und die Anlage mit den technischen und organisatorischen Maßnahmen (TOM) muss intern so oder so in Verbindung mit dem Verfahrensverzeichnis (auch dies ist gesetzliche Pflicht) geführt werden.
Kurioserweise zeichnet sich in der letzten Zeit eine Entwicklung ab, die ich für sehr unglücklich und kurzfristig gedacht halte. So häufen sich Vorgänge, in denen Dienstleister für das Ausfertigen der gesetzlich vorgeschriebenen Vereinbarung zur Auftragsdatenverarbeitung (ohne die sie überhaupt keinen Auftrag erhalten dürften) eine “Gebühr” verlangen. Getoppt wird dies noch gelegentlich durch den Wunsch nach einer jährlichen “Verlängerungsgebühr”. Um diese Forderung nach zusätzlichen Honoraren zu rechtfertigen, findet man dann durchaus Argumentationen wie das generelle Abstreiten des Vorliegens einer Auftragsdatenverarbeitung und den erhöhten Aufwand, den der Auftragnehmer hätte, da er diese Maßnahme ja nur unterstütze, um dem Auftraggeber aus einer möglichen Rechtsmisere zu helfen (nämlich dem Bußgeldrisiko von bis zu 50.000 Euro für eine nicht oder nicht richtig umgesetzte Auftragsdatenverarbeitung).
Selbstverständlich sind Dienstleistungen, die sich aus der Zusammenarbeit ergeben, zu honorieren. Wieso jedoch die Vertragsanbahnung mit den notwendigen Unterlagen — in diesem Fall der Anlagen zur Auftragsdatenverarbeitung — bereits hierdurch kostenpflichtig werden soll, ist nicht nachvollziehbar.
Für mich als potentieller Auftraggeber ist in einem solchen Fall die Entscheidung klar … Interessant wäre sicher auch eine Stellungnahme einer Landesdatenschutzbehörde zu solch einem Vorgehen. Doch selbst wenn diese rechtlich beanstandungsfrei ist, hätte sich ein solcher Anbieter aus meiner engeren Auswahl im wahrsten Sinne des Wortes “ausgepreist”.
3 Responses
Wenn wir eine Dienstleistung erbringen müssen, hat der Kunde dafür zu zahlen. Basta!!
Nennen Sie doch Roß und Reiter oder haben Sie Angst davor, von uns verklagt zu werden. Wetten, unsere Anwälte sind besser als ihre?!
No comment 🙁
Melkkuh Auftragsdatenverarbeitung https://t.co/D8J5CWsA #datenschutz