Hans-Joachim Beck Hinweise für Makler, Verwalter und

Hans-Joachim Beck
Hinweise für Makler, Verwalter und Sachverständige zur Einhaltung
des Bundesdatenschutzgesetzes
Hans-Joachim Beck .................................................................................................................................. 1
Hinweise für Makler, Verwalter und Sachverständige zur Einhaltung des Bundesdatenschutzgesetzes1
Anwendungsbereich................................................................................................................................ 3
Zielsetzung des Gesetzes ......................................................................................................................... 3
Datenschutzbeauftragter ........................................................................................................................ 4
Registeranmeldung ................................................................................................................................. 4
Verfahrensverzeichnis gemäß § 4 g Abs. 2 BDSG .................................................................................... 4
Erhebung der Daten ................................................................................................................................ 5
Erhebung von personenbezogenen Daten mittels eines Online-Kontaktformulars ............................... 5
Verkauf einer Immobilie .......................................................................................................................... 5
Daten des Kaufinteressenten .............................................................................................................. 6
Erhebung der Daten ........................................................................................................................ 6
Übersendung des Exposés ............................................................................................................... 6
Besichtigungstermin ........................................................................................................................ 6
Verhandlung nach dem Besichtigungstermin ................................................................................. 6
Weitergabe der Daten an den Partner eines Gemeinschaftsgeschäftes ........................................ 6
Weitergabe der Daten des Kaufinteressenten an den an den Verkäufer ....................................... 7
Löschung der Daten ......................................................................................................................... 7
Verkäufer ............................................................................................................................................. 7
Erhebung der Daten ........................................................................................................................ 7
Löschung der Daten ......................................................................................................................... 7
Vermietung einer Wohnung .................................................................................................................... 8
Wohnungssuchender .......................................................................................................................... 8
Vor dem Besichtigungstermin ............................................................................................................. 8
Mieterauswahl..................................................................................................................................... 9
Vertragsabschluss ................................................................................................................................ 9
Löschung der Daten............................................................................................................................. 9
Namen und Daten von Nachbarn .......................................................................................................... 10
Montag, 16. November 2015
1
Fotos der Wohnung ............................................................................................................................... 10
Untervermietung ............................................................................................................................... 10
Weitergabe der Kontaktdaten an Handwerker ................................................................................. 10
Videoüberwachung durch Vermieter ................................................................................................ 10
Technische und organisatorische Maßnahmen zum Schutz der Daten ................................................ 11
1.
Zutrittskontrolle .................................................................................................................... 11
2.
Zugangskontrolle ................................................................................................................... 11
3.
Zugriffskontrolle .................................................................................................................... 11
4.
Weitergabekontrolle ............................................................................................................. 11
5.
Eingabekontrolle ................................................................................................................... 12
6.
Verfügbarkeitskontrolle ........................................................................................................ 12
7.
Getrennte Verarbeitung ........................................................................................................ 12
Verpflichtung auf das Datengeheimnis ................................................................................................. 13
Auftragsdatenverarbeitung ................................................................................................................... 13
Datenträgervernichtung ........................................................................................................................ 13
Datenschutzerklärung nach § 13 TMG .................................................................................................. 13
Aufsicht .................................................................................................................................................. 14
Anlagen .................................................................................................................................................. 14
Anlage 1 ............................................................................................................................................. 14
Verfahrensverzeichnis gemäß § 4 g Abs. 2 BDSG .............................................................................. 14
Anlage 2 ............................................................................................................................................. 14
Muster einer Verpflichtungserklärung nach § 5 des Bundesdatenschutzgesetzes (BDSG) .............. 14
§ 5 BDSG ...................................................................................................................................... 15
§ 43 Absatz 2 BDSG ..................................................................................................................... 15
§ 44 BDSG .................................................................................................................................... 16
Anlage 3 ............................................................................................................................................. 16
Muster einer Datenschutzerklärung nach § 13 TMG ........................................................................ 16
Anlage 4 ............................................................................................................................................. 18
Muster: Auftrag gemäß § 11 BDSG ....................................................................................................... 29
Vereinbarung ......................................................................................................................................... 29
Montag, 16. November 2015
2
Anwendungsbereich
Nach dem Bundesdatenschutzgesetz (BDSG) sind alle Unternehmen verpflichtet, die Regeln des
Datenschutzes einzuhalten. Dies gilt also auch für Hausverwaltungen, Makler und Sachverständige.
Die Verpflichtung ist nicht an eine bestimmte Rechtsform oder Größe des Unternehmens gebunden
und gilt auch dann, wenn keine Verpflichtung besteht, einen Datenschutzbeauftragten zu bestellen.
Insbesondere bei der Vermietung von Wohnungen müssen strenge Regeln beachtet werden, welche
Daten zu welchem Zeitpunkt erhoben werden dürfen. Auch die spätere Löschung der nicht mehr
benötigten Daten muss im Unternehmen geregelt werden (Löschungskonzept).
Gegenstand des Datenschutzes sind personenbezogene Daten. Darunter versteht man z. B. Name,
Anschrift, Familienstand, Hobby, Verhalten, Einkommen, Kreditkartennummer, Kreditwürdigkeit und
Vermögensverhältnisse eines Menschen. Strengeren Datenschutzvorschriften unterliegen
personenbezogene Daten besonderer Art wie z. B. über Gesundheit, Sexualleben, politische Meinung
oder religiöse Überzeugung.
Geschützt sind nur Daten von natürlichen Personen; Daten juristischer Personen sind nicht geschützt.
Allerdings sind die Daten derjenigen Personen geschützt, die für dieses Unternehmen handeln oder
ihr Ansprechpartner sind. Daten von Sachen, wie beispielsweise über Grundstücke, sind nicht
geschützt.
Bei Nutzung des Internets (Webseiten) sind außerdem die speziellen Regelungen des
Telemediengesetzes zu beachten (insbesondere § 13 TMG).
Zielsetzung des Gesetzes
Das BDSG will erreichen, dass personenbezogene Daten nur in dem Umfang erhoben und gespeichert
werden, wie dies zur Erfüllung gesetzlicher Verpflichtungen und zur Erreichung des Vertragszwecks
erforderlich ist. Man spricht von dem Grundsatz der Datensparsamkeit. Entfällt die gesetzliche
Verpflichtung später, etwa weil die Aufbewahrungspflichten abgelaufen sind oder der Vertragszweck
erreicht ist, müssen die Daten wieder gelöscht werden.
Außerdem dürfen die Daten nur zu dem Zweck verwendet werden, für den sie erhoben worden sind.
Man spricht von dem Grundsatz der Zweckbindung. Daher muss das Unternehmen technische und
organisatorische Maßnahmen treffen, um die Daten wirksam zu schützen. Die Mitarbeiter müssen
sich verpflichten, die Daten nicht unbefugt zu erheben, zu verarbeiten oder zu nutzen.
Schließlich ist auch der Grundsatz der Transparenz zu beachten. Der Kunde hat einen Anspruch
darauf, zu wissen, wofür und von wem seine Daten genutzt werden.
Montag, 16. November 2015
3
Datenschutzbeauftragter
Wenn in dem Maklerunternehmen höchstens 9 Personen tätig sind, ist die Bestellung eines
Datenschutzbeauftragten nicht erforderlich. Trotzdem sind natürlich die Anforderungen des BDSG zu
erfüllen.
Werden 10 oder mehr Personen beschäftigt, muss ein Datenschutzbeauftragter bestellt werden. Dies
kann ein Angestellter des Unternehmens sein. Er muss jedoch die erforderliche Fachkunde besitzen
und ist grundsätzlich nicht kündbar.
Registeranmeldung
Eine Registeranmeldung ist gemäß § 4 d Abs. 3 BDSG bei Immobilienunternehmen grundsätzlich
nicht erforderlich, wenn höchstens 9 Personen tätig sind.
Verfahrensverzeichnis gemäß § 4 g Abs. 2 BDSG
Jedes Unternehmen muss ein Verfahrensverzeichnis nach § 4 g Abs. 2 BDSG haben. Darin sind
bestimmte Angaben in zusammengefasster Form jedermann auf Antrag verfügbar zu machen
(öffentliches Verfahrensverzeichnis). Das Maklerunternehmen muss in der Lage sein, diese
Information sowohl schriftlich als auch per E-Mail zur Verfügung zu stellen.
Inhalt des Verfahrensverzeichnisses:
Das Verfahrensverzeichnis muss die in § 4e Satz 1 Nr. 1 – 8 BDSG aufgezählten Angaben enthalten. Dies
sind:
1. Name oder Firma der verantwortlichen Stelle,
2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung
des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten
Personen,
3. Anschrift der verantwortlichen Stelle,
4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder –nutzung,
5. Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
7. Regelfristen für die Löschung der Daten,
8. Geplante Datenübermittlung in Drittstaaten,
Folgende Angaben der Ziffern 9 und 10 müssen und sollten in der Regel von dem Unternehmen
nicht öffentlich gemacht werden:
9. Allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen
nach § 9 BDSG zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind,
Montag, 16. November 2015
4
10. Angabe der zugriffsberechtigten Personen
Das Muster eines solchen Verfahrensverzeichnisses ist diesem Text als Anlage 1 beigefügt.
Erhebung der Daten
Die Erhebung, Verarbeitung und Nutzung der Daten ist gemäß § 4 Abs. 1 BDSG nur zulässig, wenn


eine Rechtsvorschrift dies zulässt
oder
eine schriftliche Einwilligung der betroffenen Person vorliegt.
Außerdem dürfen gemäß § 28 Abs. 1 Nr. 1 BDSG Daten erhoben werden, wenn und soweit dies für
die Begründung und Abwicklung eines Vertrages erforderlich ist.
Erhebung von personenbezogenen Daten mittels eines OnlineKontaktformulars
Eine Erhebung von Daten erfolgt bereits, wenn ein Interessent ein auf der Internetseite eines
Unternehmers zur Verfügung gestelltes Online-Kontaktformular nutzt. In diesem Fall dürfen
personenbezogene Daten, wie Name, Telefonnummer und E-Mail-Adresse nur mithilfe einer HTTPSVerschlüsselung bzw. der Verschlüsselungstechnik Perfect Forward Secrecy übertragen werden.
Inzwischen ist aus der SSL-Verschlüsselung die TLS (Transport Layer Security) geworden. TLS stellt
eine Weiterentwicklung von Secure Sockets Layer (SSL) dar. Erfüllt die Internetseite bzw. das
Kontaktformular diese Vorgaben nicht, muss das Formular entfernt werden.
Verkauf einer Immobilie
Soweit es um die Daten über die Identität des Vertragspartners geht, ist die Erhebung der Daten
durch das Geldwäschegesetz vorgeschrieben. Die Erhebung dieser Daten ist daher nach § 4 Abs. 2 Nr.
1 BDSG zulässig. Nach § 8 Abs. 1 GWG darf der Makler auch den Ausweis des Kunden kopieren. Die
Aufbewahrung dieser Daten ist mindestens solange zulässig, wie das Geldwäschegesetz dies
vorschreibt. Dies sind nach § 8 Abs. 3 GwG 5 Jahre.
Soweit es um personenbezogene Daten geht, die der Kunde dem Makler bei Abschluss oder im
Rahmen des Maklervertrages mitteilt, und deren Erhebung nicht durch das GWG gedeckt ist, liegt
eine Einwilligung vor. Zumindest ist die Erhebung durch § 28 Abs. 1 Nr. 1 BDSG gedeckt, weil diese
Daten zur Durchführung des Maklervertrages erforderlich sind. Nach § 28 Abs. 1 Satz 2 BDSG muss
der Zweck der Datenerhebung bei Erhebung der Daten konkret festgelegt sein. Dies ist bei den
Kunden des Maklers stets der Fall, weil der Verkäufer und Kaufinteressent wissen, dass der Makler
die Daten erhebt, damit er seinen Vertrag erfüllen kann.
Montag, 16. November 2015
5
Daten des Kaufinteressenten
Erhebung der Daten
Bei Erhebung der Daten von dem Kaufinteressenten muss der Makler den Grundsatz der
Datensparsamkeit beachten. Von dem Kaufinteressenten dürfen nur diejenigen Daten verlangt
werden, die in dem jeweiligen Stadium des Prozesses erforderlich sind.
Übersendung des Exposés
Um dem Kunden das Exposé zu übersenden dürfen lediglich Name (Identität) und Kontaktdaten
(Postanschrift, E-Mail-Adresse, Fax-Nr.) erfragt werden.
Besichtigungstermin
Auch für die Vereinbarung eines Besichtigungstermins sind grundsätzlich nur der Name und die
Kontaktdaten erforderlich.
Im Einzelfall ist es aber auch zulässig, bereits vor Vereinbarung eines Besichtigungstermins die
Vorlage eines Finanzierungsnachweises zu verlangen. Im Normalfall darf ein Finanzierungsnachweis
zwar erst verlangt werden, wenn der Kaufinteressent das Objekt besichtigt und eine konkrete
Kaufabsicht erklärt hat. Insofern ist aber zu berücksichtigen, dass der Verkäufer ein Interesse daran
hat, dass nur ernsthafte Kaufinteressenten sein Haus besichtigen und kein Besichtigungstourismus
entsteht. Dieses Interesse ist insbesondere bei Objekten, die der Verkäufer selbst bewohnt, ebenfalls
schutzwürdig, da es Rückschlüsse auf seine persönlichen Lebensumstände zulässt.
Verhandlung nach dem Besichtigungstermin
Hat der Kunde nach dem Besichtigungstermin ein konkretes Interesse für das Objekt erklärt, dürfen
genauere Daten über die Einkommens- und Vermögensverhältnisse eingeholt werden. Es kann ein
ausführlicher und objektbezogener Finanzierungsnachweis, ein Einkommensnachweis und eine
Schufa-Auskunft verlangt werden.
Weitergabe der Daten an den Partner eines Gemeinschaftsgeschäftes
Die Daten, die zulässigerweise von dem Kunden erhoben worden sind, dürfen an den Partner eines
Gemeinschaftsgeschäftes weitergegeben werden. Eine ausdrückliche Einwilligung des Kunden ist
nicht erforderlich, weil sich die Zulässigkeit der Weitergabe aus § 28 Abs. 1 BDSG ergibt, wonach die
Erhebung und Verwendung der Daten zulässig ist, soweit dies zur Durchführung des Maklervertrages
erforderlich ist.
Der Kunde muss jedoch darüber informiert werden, dass die Daten an den Partner des
Gemeinschaftsgeschäfts weitergegen werden. Denn ein weiterer Grundsatz des BDSG ist die
Transparenz. Der Kunde sollte danach wissen, wofür seine Daten verwendet werden und wem sie
weitergegeben werden. Der Kaufinteressent weiß bei Abschluss des Maklervertrages, dass seine
Daten an den Verkäufer weitergegeben werden. Darüber muss er deshalb nicht aufgeklärt werden.
Mit der Weitergabe an den Partner eines Gemeinschaftsgeschäftes muss er dagegen nicht ohne
weiteres rechnen. Darüber sollte er deshalb vor der Weitergabe informiert werden. Der Makler sollte
in seinen Unterlagen dokumentieren, dass er den Kunden über die Weitergabe der Daten informiert
hat.
Montag, 16. November 2015
6
Weitergabe der Daten des Kaufinteressenten an den an den Verkäufer
Die Daten, die zulässigerweise von dem Kaufinteressenten erhoben worden sind, dürfen an den
Verkäufer weitergegeben werden. Einer besonderen Zustimmung bedarf es hierfür nicht, weil dies
für die Abwicklung des Maklervertrages erforderlich ist.
Löschung der Daten
Ist der Maklervertrag beendet, weil der Kaufinteressent das Objekt gekauft oder den Kauf abgelehnt
hat, müssen dessen Daten gelöscht werden. Sie dürfen danach nur aufbewahrt werden, soweit dies
erforderlich ist, um gesetzliche Aufbewahrungsvorschriften zu erfüllen. Nach dem GwG sind die
Daten über die Identität des Kaufinteressenten und des Verkäufers 5 Jahre aufzubewahren. Nach der
Makler und Bauträgerverordnung (§§ 10 und 14 MaBV) müssen die Daten 5 Jahre lang aufbewahrt
werden. Aus steuer- und handelsrechtlichen Gründen sind diese Daten 10 Jahre aufzubewahren (§
147 Abgabenordnung, AO). Diese Frist beginnt erst mit Ablauf des betreffenden Jahres. Dies gilt aber
nur, wenn es zum Abschluss des Kaufvertrages gekommen ist und ein Provisionsanspruch entstanden
ist.
Hat der Kaufinteressent das Objekt nicht gekauft, dürfen dessen Daten allerdings dann aufbewahrt
werden, wenn er einen Suchauftrag erteilt hat.
Daher sollten zumindest die Kopien des Personalausweises in einer gesonderten Datei bzw. einem
gesonderten Ordner aufbewahrt werden.
Suchauftrag
Erteilt der Kaufinteressent dem Makler einen Suchauftrag für eine selbstgenutzte Immobilie, darf der
Makler beispielsweise auch die Anzahl seiner Familienmitglieder und sein persönlichen Vorstellungen
erfragen, soweit dies erforderlich ist, um eine passende Immobilie zu finden. Geht es um ein
vermietetes Objekt, darf er natürlich auch die Renditeerwartungen und den Höchstpreis erfragen.
Verkäufer
Erhebung der Daten
Von dem Verkäufer werden in der Regel keine personenbezogenen Daten erhoben, die über das
hinausgehen, was das Geldwäschegesetz verlangt.
Der Verkäufer muss neben den Daten über seine Identität lediglich die Nummern der Konten
angeben, auf die der Kunde den Kaufpreis überweisen soll. Denn ein Notaranderkonto soll
grundsätzlich nicht mehr verwendet werden. Die Kontodaten muss der Makler allerdings nicht
speichern, da sie nur für den Verkäufer Bedeutung haben. Insofern sollte der Makler den Verkäufer
allerdings darauf hinweisen, dass es nicht erforderlich ist, diese Bankverbindungen in dem notariell
beurkundeten Kaufvertrag zu benennen, sondern dass dies auch außerhalb des Kaufvertrages, etwa
durch ein gesondertes Schreiben, erfolgen kann.
Löschung der Daten
Die Daten des Verkäufers müssen nach dem Geldwäschegesetz und der MaBV 5 Jahre aufbewahrt
werden. Dies gilt auch dann, wenn es nicht zum Abschluss eines Kaufvertrages gekommen ist. Aus
Montag, 16. November 2015
7
steuerrechtlichen und handelsrechtlichen Gründen müssen die Daten des Verkäufers 10 Jahre
aufbewahrt werden.
Vermietung einer Wohnung
Wohnungssuchender
Handelt es sich um die Vermittlung eines Mietvertrages, so sind Verwalter und Makler nach dem
GWG nicht verpflichtet, die Identität des Wohnungssuchenden festzustellen.
Von dem Wohnungssuchenden dürfen daher nur die Daten erheben, die dieser freiwillig mitteilt oder
die für die Vermittlung der Wohnung erforderlich sind (§ 28 Abs. 1 Nr. 1 BDSG). Dies sind alle Daten,
die der Vermieter nach der Vereinbarung mit dem Makler zur Auswahl des Mieters zulässigerweise
verlangt. Die Einwilligung des Wohnungssuchenden ist gemäß § 4a Abs. 1 Satz 1 BDSG unbeachtlich,
wenn die Wohnung in einem Gebiet liegt, in dem Wohnungen knapp sind, so dass dem
Wohnungssuchenden der Abschluss eines gleichwertigen Mietvertrages ohne die Einwilligung nicht
möglich wäre.
Im Einzelnen sollten
das Merkblatt des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit :
„Datenerhebung bei der Vermietung von Wohnraum, wonach der Vermieter nicht fragen darf“
sowie die
„Orientierungshilfe zur Einholung von Selbstauskünften bei Mietinteressenten“
des Düsseldorfer Kreises vom 27. Januar 2014
beachtet werden.
Welche Daten von dem Mietinteressent zu welchem Zeitpunkt erhoben werden dürfen, kann
außerdem dem Ratgeber Nr. 10 des Berliner Beauftragten für den Datenschutz entnommen werden
(www.datenschgutz-berlin.de).
Danach gelten folgende Grundsätze:
Vermieter und Makler dürfen von den Mietinteressenten nur diejenigen Daten verlangen, die sie zu
dem jeweiligen Zeitpunkt des Vermietungsprozesses benötigen.
Vor dem Besichtigungstermin
Vor dem Besichtigungstermin darf der Vermieter lediglich


den Namen des Mietinteressenten und
seine Kontaktdaten
erfragen.
Schutz der Privatsphäre des Vormieters
Ist die Wohnung noch von dem Vormieter bewohnt, sind allerdings auch dessen schutzwürdige
Interessen zu berücksichtigen. Der Makler darf deshalb Maßnahmen ergreifen, um die Privatsphäre
des Vormieters zu schützen. Um zu vermeiden, dass die Wohnung von Personen besichtigt wird, die
Montag, 16. November 2015
8
nicht ernsthaft an der Anmietung interessiert sind oder als Mieter nicht in Betracht kommen, darf er
in diesem Fall bereits vor der Besichtigung z. B. einen Nachweis der Einkommensverhältnisse
verlangen.
Mieterauswahl
Hat der Wohnungssuchende die Wohnung besichtigt und sein Interesse am Abschluss eines
Mietvertrages bekundet, muss der Vermieter / Makler prüfen, ob er als Mieter in Betracht kommt.
Hierzu darf er nach datenschutzrechtlichen Gesichtspunkten folgende Daten erheben:







weitere Kontaktdaten,
weitere Angaben zur Identität,
Anzahl der einziehenden Personen,
Namen der einziehenden Personen
(die Namen der übrigen einziehenden Personen dürfen nur für die
Wohnungsgeberbestätigung verwendet werden)
Einkommensverhältnisse,
Etwaige Privatinsolvenz,
mögliche Bürgen für die Miete.
Vertragsabschluss
Bei Abschluss des Mietvertrages kann der Vermieter /Makler weitere Daten des potentiellen Mieters
verlangen, wie insbesondere:


Nachweis der Einkommensverhältnisse,
Bank- und Kontodaten.
Auf die Einwilligung des Mietinteressenten können Vermieter und Makler die Erhebung der Daten
nicht stützen, weil die Einwilligung jedenfalls in angespannten Wohnungsmärkten nicht als freiwillig
angesehen werden kann (§ 4a Abs. 1 Satz 1 BDSG).
Kleinvermietern und Vermietern einer Einliegerwohnung in einem selbstbewohnten Haus steht ein
erweitertes Fragerecht zu.
Sollte der Mietinteressent eine Ausweiskopie vorlegen, ist zu beachten, dass diese nach Auffassung
des Bundesfinanzministeriums nur bei dem Kauf, nicht aber bei der Anmietung einer Wohnung nach
§ 8 GwG vom Gesetz gefordert wird. Da das GwG selbst eine derartige Unterscheidung nicht trifft,
dürfte eine Kopie des Ausweises durch § 8 GwG aber zumindest dann gedeckt sein, wenn der Mieter
eine solche Kopie von sich aus vorlegt. In diesem Fall muss der Wohnungssuchende darauf
hingewiesen werden, dass auf der Ausweiskopie ein Teil der Daten, die der Ausweis enthält, zu
schwärzen ist. Dies betrifft insbesondere die auf den neuen Personalauswiesen abgedruckte sog.
Zugangsnummer sowie die Seriennummer und die Prüfziffer. Das Lichtbild sollte nach Ansicht des IVD
nicht geschwärzt werden, da anderenfalls - zumindest später während des Mietverhältnisses - die
Zuordnung zwischen der Person und seinem Namen nicht sichergestellt werden kann.
Löschung der Daten
Kommt es nicht zum Abschluss eines Mietvertrages, sind die Daten des Mietinteressenten wieder zu
löschen. Sie dürfen nur dann gespeichert bleiben, wenn der Wohnungssuchende einen Suchauftrag
erteilt hat.
Montag, 16. November 2015
9
Kommt es zum Abschluss des Mietvertrages, müssen Maklerunternehmen die Daten des
Wohnungssuchenden ebenfalls wieder löschen. Wenn das Maklerunternehmen einen
Provisionsanspruch gegen den Wohnungsuchenden hat, müssen die Daten über die Identität des
Wohnungssuchenden allerdings aus steuerrechtlichen und handelsrechtlichen Gründen 10 Jahre
aufbewahrt werden.
Jedes Unternehmen muss über ein sogenanntes Löschungskonzept verfügen, aus dem sich ergibt,
wann welche Daten gelöscht werden.
Namen und Daten von Nachbarn
Vor Abschluss des Mietvertrages fragen Wohnungssuchende häufig, wer die Mitmieter sind. Diese
Frage darf nur pauschal beantwortet werden. Keinesfalls dürfen die Namen der Mitmieter, deren
Berufe, Alter etc. mitgeteilt werden.
Käufer einer Eigentumswohnung erkundigen sich häufig danach, wer die anderen Eigentümer sind.
Deren Namen, Anschriften und Telefonnummern darf der Makler grundsätzlich nicht mitteilen. Erst
nach dem Erwerb ist der WEG-Verwalter berechtigt, die Namen der anderen Eigentümer und deren
Kontaktdaten mitzuteilen. Die Frage, ob die anderen Wohnungen vermietet oder selbstgenutzt sind,
darf dagegen beantwortet werden, da es sich nicht um personenbezogene Daten handelt.
Dem Käufer eines Mietwohnhauses muss vor dem Kauf die Mieterliste ausgehändigt werden.
Weitere Daten über die Mieter wie deren Telefonnummer, Beruf etc. dürfen jedoch nicht mitgeteilt
werden.
Fotos der Wohnung
Bei Verkauf und Vermietung einer Wohnung werden heutzutage Fotos der Wohnung angefertigt. Ist
die Wohnung noch bewohnt, bedarf es dazu der Zustimmung des Mieters. Der Eigentümer hat aber
grundsätzlich einen Anspruch darauf, dass der Mieter derartige Fotos duldet. Dem Mieter ist jedoch
darzulegen, zu welchem Zweck die Fotos angefertigt werden. Nach Möglichkeit sollten die Fotos in
Anwesenheit der Mieter gemacht werden.
Untervermietung
Möchte der Mieter einen Untermieter aufnehmen, benötigt er die Genehmigung des Vermieters. Hierzu
muss der Mieter dem Vermieter Namen und Anschrift des vorgesehenen Untermieters nennen sind.
Weitere Angaben muss der Mieter nur in Ausnahmefällen machen.
Weitergabe der Kontaktdaten an Handwerker
Die Übermittlung von Kontaktdaten des Mieters an Handwerksunternehmen, die z. B. Instandhaltungsoder Reparaturarbeiten vornehmen sollen, ist regelmäßig zulässig, da dies der Durchführung des
Mietvertrags dient.
Videoüberwachung durch Vermieter
Bei einer Videoüberwachung im Innenbereich eines Mehrfamilienhauses handelt es sich
in der Regel um nicht-öffentlich zugängliche Räume, weshalb sich die Zulässigkeit nicht
nach § 6b BDSG richtet. In diesen Fällen greift § 28 BDSG, wonach ähnliche
Montag, 16. November 2015
10
Voraussetzungen für eine Videoüberwachung gelten wie in den Fällen des § 6b BDSG.
Außerdem besteht in diesen Fällen ebenfalls die Möglichkeit, mit zivilrechtlichen
Unterlassungs- und Abwehransprüchen gegen einen etwaigen Eingriff in das
Persönlichkeitsrecht vorzugehen. So stellt eine dauerhafte Überwachung im
Innenbereich eines Mehrfamilienhauses, zum Beispiel in Treppenaufgängen, im
Fahrstuhlvorraum und im Fahrstuhl selbst, einen schweren Eingriff in das allgemeine
Persönlichkeitsrecht der Betroffenen dar. In der hierzu ergangenen zivilrechtlichen
Rechtsprechung6 besteht Einigkeit darüber, dass eine Rundumüberwachung des
sozialen Lebens nicht dadurch gerechtfertigt werden kann, dass der Vermieter mit der
Überwachung Schmierereien, Verschmutzungen oder einmaligen Vandalismus
hindern möchte. In der Regel überwiegen daher die schutzwürdigen Interessen der Mieter und
Besucher als Betroffene. ( Vgl. beispielsweise LG Berlin, Urteil vom 23.05.2005 – 62 S 37/05; KG Berlin,
Beschluss vom 04.08.2008 – 8 U 83/08; AG München, Urteil vom 16.10.2009 – 423 C 34037/08. Seite 18)
Technische und organisatorische Maßnahmen zum Schutz der Daten
Das Unternehmen muss gemäß § 9 BDSG technische und organisatorische Maßnahmen treffen, um
die Daten wirksam zu schützen. Dazu schreibt das BDSG in der Anlage zu § 9 folgende Maßnahmen
vor:
1. Zutrittskontrolle
Nur befugte Personen dürfen Zutritt zu den Räumen haben, in denen sich die
Datenverarbeitungsanlage befindet. Dies kann z. B. durch Abschließen der Räume und
Schlüsselvergabe erfolgen.
2. Zugangskontrolle
Unbefugte dürfen keine Möglichkeit haben, die Datenverarbeitungsanlage zu nutzen. Dies wird
üblicherweise durch die Eingabe von Login-Namen und Passwort erreicht. Die Zugangskontrolle kann
aber auch durch eine Magnet – oder Chipkarte sichergestellt werden.
3. Zugriffskontrolle
Personen, die zur Benutzung der Datenverarbeitungsanlage berechtigt sind, dürfen nur auf solche
Daten zugreifen können, die ihrer jeweiligen Zugriffsberechtigung unterliegen. Es muss also geregelt
werden, wer im Unternehmen auf welche Kundendaten zugreifen darf.
Außerdem darf es nicht möglich sein, dass personenbezogene Daten nach dem Speichern unbefugt
gelesen, kopiert, verändert oder entfernt werden. Dies kann z. B. durch differenzierte
Berechtigungen bei der Nutzung der Software und durch Protokollierung erreicht werden.
4. Weitergabekontrolle
Personenbezogene Daten dürfen während der elektronischen Übertragung oder während eines
Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Es muss
nachvollziehbar und überprüfbar sein, an welche Stelle Daten übermittelt werden.
Webseiten, die eine Eingabe personenbezogener Daten ermöglichen, sind daher
grundsätzlich mit dem HTTPS-Protokoll zu verschlüsseln.
Montag, 16. November 2015
11
Die Weitergabekontrolle kann mit folgenden Mitteln erreicht werden:

Verschlüsselung / Tunnelverbindung (VPN = Virtual Private Network)
 Die Webseite (z.B. per Online-Formular) besitzt eine https-Verschlüsselung mit
Perfect Forward Secrecy,
 der eingesetzte E-Mail Server unterstützt die Transportverschlüsselungstechnik
STARTTLS,
 der eingesetzte E-Mail Server unterstützt die Verschlüsselungstechnik Perfect
Forward Secrecy.
5. Eingabekontrolle
Es muss nachträglich überprüft werden können, von wem personenbezogene Daten eingegeben,
verändert oder entfernt worden sind. Dies geschieht in der regeldurch eine automatische
Protokollierung der Eingaben in Logfiles. Elemente der Protokollierung sind der betroffene Datensatz,
die Art der Aktivität (Anlage, Veränderung, Löschung des Datensatzes), der Zeitpunkt der Aktivität
sowie die ausführende Person. Die Eingabekontrolle setzt eine funktionierende Zugangskontrolle
voraus.
6. Verfügbarkeitskontrolle
Die Daten müssen gegen zufällige Zerstörung oder Verlust geschützt sein. Dies geschieht in der Regel
durch fachgerechte regelmäßige Datensicherung.

Backup-Verfahren

Spiegeln von Festplatten, z.B. RAID-Verfahren

Unterbrechungsfreie Stromversorgung (USV)

Getrennte Aufbewahrung

Virenschutz / Firewall

Notfallplan
7. Getrennte Verarbeitung
Zu unterschiedlichen Zwecken erhobene Daten müssen grundsätzlich auch getrennt verarbeitet
werden können.
Daten über die Identität des Kunden, die nach dem GwG erhoben worden sind und ggf. der betr.
Aufsichtsbehörde vorgelegt werden müssen, sollten getrennt aufbewahrt werden. Insbesondere ist
es ratsam, Ausweiskopien in einem getrennten Ordner aufzubewahren und auf der Kopie einen
Hinweis auf das dazugehörige Objekt anzubringen, damit diese einem bestimmten Vorgang
zugeordnet werden kann. Außerdem wird dadurch verhindert, dass bei Beendigung des Auftrags
auch die Ausweiskopie gelöscht wird, obwohl dies fünf Jahre aufbewahrt werden muss.
Montag, 16. November 2015
12
Verpflichtung auf das Datengeheimnis
Nach § 5 Satz 1 BDSG ist es Personen, die mit der Verarbeitung personenbezogener Daten
beschäftigt sind, untersagt, diese Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Gemäß
§ 5 Satz 2 BDSG muss jedes Unternehmen seine Mitarbeiter, die für die Verarbeitung
personenbezogener Daten verantwortlich sind, vor bzw. bei der Aufnahme der Tätigkeit schriftlich
auf das Datengeheimnis verpflichten. Die Verpflichtung ist nur wirksam, wenn diese sowohl von dem
Mitarbeiter als auch den Arbeitgeber unterschrieben wird und dem Mitarbeiter eine Kopie der
Niederschrift ausgehändigt wird.
Ein Muster für die Verpflichtung gemäß § 5 Satz 2 BDSG befindet sich auf der Internetseite des
Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und ist als Anlage 2 beigefügt.
Auftragsdatenverarbeitung
Mit Auftragnehmern, die als Dienstleistungsunternehmen personenbezogene Daten
weisungsgebunden im Auftrag für das Unternehmen verarbeiten, muss ein Vertrag abgeschlossen
werden, der den Voraussetzungen des § 11 Abs. 2 BDSG entspricht. Dabei handelt es sich z. B um
Rechenzentren, Cloud-Computing- Dienstleister, aber auch IT-Wartungsunternehmen und Firmen,
die die Heizkosten abrechnen. Der Steuerberater fällt nicht darunter, aber eine externe Buchhaltung.
Ein Muster für eine derartige Vereinbarung ist als Anlage 4 beigefügt.
Datenträgervernichtung
Auch bei der Vernichtung der Datenträger muss das Unternehmen sicherstellen, dass alle
technischen und organisatorischen Maßnahmen zum Schutz der Daten umgesetzt werden.
Datenschutzerklärung nach § 13 TMG
Nach § 13 Telemediengesetz (TMG) muss der Betreiber einer Webseite den Nutzer zu Beginn des
Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener
Daten sowie über die Verarbeitung seiner Daten in allgemein verständlicher Form unterrichten.
Außerdem muss der Nutzer darüber aufgeklärt werden, dass er die Möglichkeit hat, die
Einwilligungen zur Nutzung seiner Daten jederzeit zu widerrufen.
Es muss gewährleistet sein, dass der Nutzer bereits zu Beginn des Nutzungsvorgangs, d. h. bei
Aufruf der Startseite des Internetangebots, einen eindeutigen Hinweis auf die Unterrichtung
erhält und dieser Hinweis sofort erkennbar ist. Diese Voraussetzungen sind nach Auffassung
der Aufsichtsbehörden bei der Aufnahme von Ausführungen zum
Datenschutz unter einem Link auf das "Impressum" für nicht gegeben. In der Praxis sind die
datenschutzrechtlichen Ausführungen daher häufig unter einem eigenen Link mit
Bezeichnungen wie "Datenschutzerklärung", "Datenschutzhinweis" und ähnliche zu finden.
Beim Einsatz der Reichweitenmessung durch Google Analytics muss der Webseitenbetreiber den
Webseitennutzer in seiner Datenschutzerklärung über den Einsatz von Google Analytics
informieren und ihn auf seine Möglichkeiten des Widerspruchs durch den Einsatz des
Browser-Plugins hinweisen. Die entsprechende Seite muss hinsichtlich der
Montag, 16. November 2015
13
Widerspruchsmöglichkeit verlinkt sein. Hinweise zum datenschutzkonformen Einsatz von Google
Analytics finden sich auf der Seite des Landesamtes für Datenschutz Bayern unter:
http://lda.bayern.de/onlinepruefung/googleanalytics.html
Verletzungen der Vorgaben für die Datenschutzerklärung aus § 13 TMG können nach Auffassung
einiger Gerichte gemäß §§ 3, 4 Nr. 11 UWG wie eine Verletzung von § 5 TMG kostenpflichtig
abgemahnt werden.
Aufsicht
Die Eihaltung des BDSG wird gemäß § 38 BDSG durch Aufsichtsbehörden der Länder überwacht. Die
Aufsichtsbehörden sind befugt, die Geschäftsräume des Unternehmens während der Geschäftszeiten
zu betreten und dort die Unterlagen einzusehen. Bei Verstößen gegen das BDSG kann die Behörde
ein Bußgeld von bis zu 50.000 Euro, in bestimmten Fällen sogar bis zu 300.000 Euro verhängen.
Anlagen
Anlage 1
Verfahrensverzeichnis gemäß § 4 g Abs. 2 BDSG
Eine beschreibbare PDF Version der Dokumentation finden Sie in dem Internet auf der Seite der
Landesbeauftragten für Datenschutz Niedersachsen
http://www.lfd.niedersachsen.de/portal/live.php?navigation_id=12915&article_id=97564&_psmand
=48 unter dem Punkt Verfahrensverzeichnis nach dem BDSG.
Dieses Muster muss jedoch im Einzelfall sachkundig geprüft angepasst werden.
Anlage 2
Muster einer Verpflichtungserklärung
nach § 5 des Bundesdatenschutzgesetzes (BDSG)
..............................................................
Name der Firma
Sehr geehrte(r) Frau/Herr ......................,
aufgrund Ihrer Aufgabenstellung in unserem Unternehmen gilt für Sie das Datengeheimnis
nach § 5 des Bundesdatenschutzgesetzes (BDSG). Nach dieser Vorschrift ist es Ihnen
Montag, 16. November 2015
14
untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen.
Gem. § 5 BDSG sind Sie verpflichtet, das Datengeheimnis zu wahren. Diese Verpflichtung
besteht auch über das Ende Ihrer Tätigkeit in unserem Unternehmen hinaus.
Wir weisen Sie darauf hin, dass Verstöße gegen das Datengeheimnis nach §§ 44, 43 Abs.2
BDSG und anderen Strafvorschriften mit Freiheits- oder Geldstrafe geahndet werden können.
Abschriften der genannten Vorschriften des BDSG (§§ 5 und 44, 43 Abs.2) sind beigefügt.
Ihre sich ggf. aus dem Arbeits- bzw. Dienstvertrag und der Arbeitsordnung ergebende
allgemeine Geheimhaltungsverpflichtung wird durch diese Erklärung nicht berührt. Geben Sie
bitte die beigefügte Zweitschrift dieses Schreibens nach Vollzug Ihrer Unterschrift an die
Personalabteilung zurück.
......................................................
Ort, Datum
.......................................................
Unterschrift der Firma
Über die gesetzlichen Bestimmungen des Bundesdatenschutzgesetzes wurde ich unterrichtet.
Die sich daraus ergebenden Verhaltensweisen wurden mir mitgeteilt. Meine Verpflichtung auf
das Datengeheimnis nach § 5 BDSG habe ich hiermit zur Kenntnis genommen.
.......................................................
Unterschrift der Mitarbeiterin
bzw. des Mitarbeiters
......................................................
Ort, Datum
Auszug aus dem Bundesdatenschutzgesetz
§ 5 BDSG
Den bei der Datenverarbeitung beschäftigten Personen ist es untersagt, personenbezogene
Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen
sind, soweit sie bei nichtöffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer
Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach
Beendigung ihrer Tätigkeit fort.
§ 43 Absatz 2 BDSG
Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
Montag, 16. November 2015
15
1. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder
verarbeitet,
2. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, zum Abruf
mittels automatisierten Verfahrens bereithält,
3. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, abruft oder
sich oder einem anderen aus automatisierten Verarbeitungen oder nicht
automatisierten Dateien verschafft,
4. die Übermittlung von personenbezogenen Daten, die nicht allgemein zugänglich sind,
durch unrichtige Angaben erschleicht,
5. entgegen § 16 Abs. 4 Satz 1, § 28 Abs. 5 Satz 1, auch in Verbindung mit § 29 Abs. 4, §
39 Abs. 1 Satz 1 oder § 40 Abs. 1, die übermittelten Daten für andere Zwecke nutzt,
5a. entgegen § 28 Absatz 3b den Abschluss eines Vertrages von der Einwilligung des
Betroffenen abhängig macht,
5b.entgegen § 28 Absatz 4 Satz 1 Daten für Zwecke der Werbung oder der Marktoder Meinungsforschung verarbeitet oder nutzt,
6. entgegen § 30 Absatz 1 Satz 2, § 30a Absatz 3 Satz 3 oder § 40 Absatz 2 Satz 3 ein
dort genanntes Merkmal mit einer Einzelangabe zusammenführt oder
7. entgegen § 42a Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht
rechtzeitig macht.
§ 44 BDSG
(1) Wer eine in § 43 Abs. 2 bezeichnete vorsätzliche Handlung gegen Entgelt oder in der
Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht,
wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) Die Tat wird nur
auf Antrag verfolgt. Antragsberechtigt sind der Betroffene, die verantwortliche Stelle, der
Bundesbeauftragte für den Datenschutz und die Aufsichtsbehörde
Anlage 3
Muster einer Datenschutzerklärung nach § 13 TMG
Wir nehmen den Schutz Ihrer Daten und Ihrer Privatsphäre sehr ernst. Daher verarbeiten wir
die Daten, die beim Besuch auf unserer Website erhoben werden, unter Beachtung der
geltenden datenschutzrechtlichen Bestimmungen, insbesondere des Telemediengesetzes
(TMG), sowie des Bundesdatenschutzgesetzes (BDSG).
Diese Datenschutzerklärung erläutert, welche nichtpersonenbezogenen und
personenbezogenen Daten wir während Ihres Besuches unserer Website erfassen und wie
diese Daten durch uns verarbeitet und genutzt werden.
Dieser Hinweis gilt ausdrücklich nicht für Unternehmen, die mit einem Link auf unsere
Website verweisen oder für Unternehmen, auf deren Websites wir mit einem Link verweisen.
Montag, 16. November 2015
16
1. Einbeziehung
Mit der Nutzung unserer Website erklären Sie Ihre Zustimmung zur nachstehend
beschriebenen Datenerhebung und -verwendung. Für den Fall, dass Sie mit der beschriebenen
Datenerhebung bzw. -verwendung nicht einverstanden sind, dürfen Sie unsere Website nicht
nutzen.
2. Datenerhebung bei Besuch unserer Website
Beim Besuch unserer Seite werden durch unsere Webserver zur Aufrechterhaltung der
Systemsicherheit Daten erhoben. Hierbei handelt es sich jedoch nicht um personenbezogene
Daten i.S. des § 3 Abs. 1 BDSG. Diese Daten werden von uns über die Dauer Ihres Besuchs
hinaus nicht gespeichert.
Bei einer Anfrage über unser Kontaktformular oder per E-Mail speichern wir die von Ihnen
angegebenen persönlichen Daten zum Zwecke der individuellen Kommunikation mit Ihnen
und zur Abwicklung des Vertrages.
Unsere Website benutzt Google Analytics, einen Webanalysedienst der Google Inc.
(„Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem
Computer gespeichert werden und die eine Analyse der Benutzung der Website ermöglichen.
Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website
(einschließlich Ihrer IP-Adresse) werden an einen Server von Google in den USA übertragen
und dort gespeichert. Google wird diese Informationen benutzen, um Ihre Nutzung der
Webseite auszuwerten, um Reports über die Websiteaktivitäten uns zusammenzustellen und
um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu
erbringen. Google wird diese Informationen an Dritte übertragen, sofern dies gesetzlich
vorgeschrieben oder soweit Dritte diese Daten im Auftrag von Google verarbeiten. Google
wird in keinem Fall Ihre IP-Adresse mit anderen Daten von Google in Verbindung bringen.
Sie können die Installation der Cookies durch eine entsprechende Einstellung Ihrer Browser
Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls
nicht sämtliche Funktionen dieser Website vollumfänglich nutzen können. Durch die Nutzung
dieser Webseite erklären Sie sich mit der Bearbeitung der über Sie erhobenen Daten durch
Google in der zuvor beschriebenen Art und Weise und zu dem zuvor benannten Zweck
einverstanden. Der Datenerhebung und -speicherung kann jederzeit mit Wirkung für die
Zukunft widersprochen werden. Unsere Kontaktadresse für den Widerspruch finden Sie in
unserem Impressum. Alternativ können Sie das Deaktivierungs-Add-on von Google Analytics
(http://tools.google.com/dlpage/gaoptout?hl=de) verwenden, sofern es für Ihren Browser
verfügbar ist.
3. Datenverwendung
Die unter 2. aufgeführten Daten werden ausschließlich zu den dort aufgeführten Zwecken
verwendet. Eine Weitergabe von Daten an Dritte erfolgt ausschließlich im Rahmen
zwingender gesetzlicher Vorschriften oder wenn die Weitergabe im Fall von Angriffen auf
unsere Netzinfrastruktur zur Rechts- oder Strafverfolgung erforderlich ist. Eine Weitergabe zu
kommerziellen Zwecken an Dritte erfolgt nicht.
4. Datensicherheit
Montag, 16. November 2015
17
Der Schutz Ihrer Daten ist uns wichtig. Wir betreiben daher aktiven Datenschutz, um die
Vertraulichkeit aller Daten zu gewährleisten.
5. Ihre Rechte
Ihnen stehen ein Auskunftsrecht bezüglich der über Sie gespeicherten personenbezogenen
Daten und ferner ein Recht auf Berichtigung unrichtiger Daten sowie auf Sperrung und
Löschung zu. Wir weisen ausdrücklich darauf hin, dass unsere Mitarbeiter auf das
Datengeheimnis gemäß § 5 BDSG verpflichtet sind.
Wenn Sie Auskunft über Ihre personenbezogenen Daten beziehungsweise deren Korrektur
oder Löschung wünschen oder weitergehende Fragen über die Verwendung Ihrer uns
überlassenen personenbezogenen Daten haben, kontaktieren Sie uns bitte unter unserer EMail-Adresse oder schriftlich unter der in unserem Impressum angegebenen Postanschrift.
Sollten Sie mit uns per E-Mail in Kontakt treten wollen, weisen wir darauf hin, dass die
Vertraulichkeit der übermittelten Informationen nicht gewährleistet ist. Der Inhalt nicht
verschlüsselter E-Mails kann von Dritten eingesehen werden. Wir empfehlen Ihnen daher,
vertrauliche Informationen uns auf dem Postweg zukommen zu lassen.
6. Gültigkeit und Aktualität
Die Datenschutzerklärung datiert vom TT. MM. Jahr.
Durch die Weiterentwicklung unserer Website kann es notwendig werden, diese
Datenschutzerklärung zu ändern. Wir behalten uns daher vor, die Datenschutzerklärung
jederzeit mit Wirkung für die Zukunft zu ändern.
Anlage 4
Mustervereinbarung zum Datenschutz und zur Datensicherheit
in Auftragsverhältnissen nach § 11 BDSG
Stand 28. September 2010
Vorbemerkung: Die nachstehende Mustervereinbarung soll als Orientierungshilfe für
Auftragsdatenverarbeitungen dienen, auch für Wartungsverträge (§ 11 Abs. 5 BDSG). Sie ist bei
Bedarf an den konkreten Einzelfall anzupassen und gegebenenfalls zu ergänzen oder abzuwandeln.
............................................................................................................................................. - Auftraggeber -
und
Montag, 16. November 2015
18
....................................................................................................................................................
.........................................- Auftragnehmer -
I.
Gegenstand der Vereinbarung
1. Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene Daten im Auftrag des
Auftraggebers.
2. Der Auftrag umfasst Folgendes:
2.1 Gegenstand des Auftrages (Definition der Aufgaben):
2.2 Dauer des Auftrags
2.2.1 Der Vertrag
beginnt am
und endet am
oder
beginnt am
und endet mit Auftragserledigung.
oder
wird auf unbestimmte Zeit geschlossen.
(Er ist mit einer Frist von Monaten zum Quartalsende kündbar.)
2.2.2 Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen,
wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die Bestimmungen dieses
Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann
oder will oder der Auftragnehmer den Zutritt des Auftraggebers vertragswidrig verweigert.
2.3
Umfang, Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung:
Montag, 16. November 2015
19
2.4
Art der Daten
2.5
Kreis der Betroffenen:
Ausfüllhinweis zu 2.3 bis 2.5: Die Angaben sind so präzise zu gestalten, dass der Auftraggeber seiner
Rolle als verantwortliche Stelle gerecht wird. Erfolgt die Datenerhebung,
-verarbeitung oder -nutzung für verschiedene Zwecke sind die Art der Daten und der Kreis der
Betroffenen jeweils gesondert anzugeben, gegebenenfalls ist hierbei zwischen den einzelnen Phasen
der Datenverwendung (Erhebung, Speicherung, Veränderung, Übermittlung, Sperrung, Löschung,
Nutzung) zu differenzieren, unter anderem sind auch etwaige Löschroutinen vorzugeben. Alternativ
oder ergänzend zu entsprechenden Angaben an dieser Stelle kann auf eine entsprechende
Leistungsvereinbarung oder die betreffende Passage in einem separaten Dienstvertrag verwiesen
werden. In dem Dienstvertrag ist die Vereinbarung nach § 11 BDSG als Anlage zu kennzeichnen.
I.
Rechte und Pflichten des Auftraggebers
1. Für die Beurteilung der Zulässigkeit der Datenerhebung / - verarbeitung / -nutzung sowie für die
Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich.
2. Der Auftraggeber erteilt alle Aufträge oder Teilaufträge schriftlich. Änderungen des
Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und
entsprechend Nr. I.2 dieses Vertrages schriftlich festzulegen.
3. Der Auftraggeber hat das Recht, in folgendem Umfang Weisungen gegenüber dem
Auftragnehmer zu erteilen:
4. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen. Die schriftliche Bestätigung der
mündlichen Weisungen sollte von Auftraggeber und Auftragnehmer zusammen mit der
Vereinbarung so aufbewahrt werden, dass alle maßgeblichen Regelungen jederzeit verfügbar
sind.
Weisungsberechtigte Personen des Auftraggebers sind:
Montag, 16. November 2015
20
(Name, Organisationseinheit, Funktion, Telefon)
Weisungsempfänger beim Auftragnehmer sind:
(Name, Organisationseinheit, Funktion, Telefon)
Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist dem
Vertragspartner unverzüglich schriftlich der Nachfolger bzw. der Vertreter mitzuteilen. Falls
Weisungen die unter Nr. I. 2 dieses Vertrages getroffenen Festlegungen ändern, aufheben oder
ergänzen, sind sie nur zulässig, wenn eine entsprechende neue Festlegung erfolgt.
5. Der Auftraggeber ist berechtigt, sich vor Beginn der Datenverarbeitung und sodann regelmäßig
von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen
Maßnahmen (s. Nr. IV) zu überzeugen. Der Auftraggeber kann diese Kontrolle auch durch einen
Dritten durchführen lassen.
6. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder
Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
7. Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten
Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln.
II.
Pflichten des Auftragnehmers
1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der
getroffenen Vereinbarungen und nach Weisungen des Auftraggebers. Er hat personenbezogene
Daten zu berichtigen, zu löschen und zu sperren, wenn der Auftraggeber dies in der getroffenen
Vereinbarung (siehe oben Nr. I. 2.3) oder einer Weisung verlangt.
Der Auftragnehmer verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen,
insbesondere nicht für eigene Zwecke. Kopien oder Duplikate werden ohne Wissen des
Auftraggebers nicht erstellt.
2. Der Auftragnehmer hat insbesondere folgende Kontrollen durchzuführen:
Montag, 16. November 2015
21
Ausfüllhinweis: Hier sind konkrete Kontrollpflichten des Auftragnehmers anzuführen. Vergleiche
dazu die Beschreibung der technisch-organisatorischen Maßnahmen gemäß § 9 BDSG im
Anhang.
3. An der Erstellung der Verfahrensverzeichnisse hat der Auftragnehmer mitzuwirken. Er hat die
erforderlichen Angaben dem Auftraggeber zuzuleiten.
4. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden,
werden besonders gekennzeichnet und unterliegen der laufenden - automatisierten Verwaltung. Eingang und Ausgang werden dokumentiert.
5. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von
personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er
sichert zu, dass die verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
6. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine
vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften
verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung
solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder
geändert wird.
7. Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber jederzeit berechtigt
ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen
im erforderlichen Umfang selbst oder durch Dritte zu kontrollieren, insbesondere durch die
Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die
Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort. Der Auftragnehmer sichert zu,
dass er, soweit erforderlich, bei diesen Kontrollen mitwirkt.
8. Die Verarbeitung von Daten in Privatwohnungen ist nur mit Zustimmung des Auftraggebers im
Einzelfall gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist der Zugang
zur Wohnung durch den Auftraggeber vorher mit dem Auftragnehmer abzustimmen. Der
Auftragnehmer sichert zu, dass auch die anderen Bewohner dieser Privatwohnung mit dieser
Regelung einverstanden sind.
9. Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz
gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im
Zusammenhang mit dem Auftragsverhältnis stehen,
dem Auftraggeber auszuhändigen.
oder
wie folgt zu löschen:
Montag, 16. November 2015
22
…………………………………………………………………………………………………..
Ausfüllhinweis: Verweis auf die Festlegungen unter Nr. I.2.3 möglich
Test- und Ausschussmaterial sowie Datensicherungskopien sind nach Abschluss der
vertraglichen Arbeiten
dem Auftraggeber auszuhändigen.
oder
wie folgt zu löschen:
…………………………………………………………………………………………………..
Ausfüllhinweis: Verweis auf die Festlegungen unter Nr. I.2.3 möglich
Die Löschung bzw. Vernichtung ist dem Auftraggeber mit Datumsangabe schriftlich zu bestätigen.
10. Die Beauftragung von Subunternehmern ist nur mit schriftlicher Zustimmung des Auftraggebers
zugelassen. Die Zustimmung kann nur erteilt werden, wenn der Auftragnehmer Namen und
Anschrift des Subunternehmers mitteilt. Außerdem muss der Auftragnehmer versichern, dass er
den Subunternehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen
technischen und organisatorischen Maßnahmen sorgfältig ausgewählt hat. Der Auftragnehmer
hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Auftraggeber und
Auftragnehmer auch gegenüber Subunternehmern gelten. Insbesondere muss der Auftraggeber
berechtigt sein, Kontrollen vor Ort beim Subunternehmer durchzuführen oder durch Dritte
durchführen zu lassen. Der Auftragnehmer hat die Einhaltung der Pflichten regelmäßig zu
überprüfen.
........................................................................................................................................
Ausfüllhinweis: Hier sind konkrete Vorgaben für diese Überprüfungen zu machen.
Das Ergebnis der Überprüfungen ist zu dokumentieren.
Die Weiterleitung von Daten ist erst zulässig, wenn der Subunternehmer die Verpflichtung nach §
11 BDSG erfüllt hat. In dem Vertrag mit dem Subunternehmer sind die Angaben gemäß Nr. I.2.3
bis 2.5, III.9 und IV.1 so konkret festzulegen, dass die Verantwortlichkeiten des Auftragnehmers
Montag, 16. November 2015
23
und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehrere
Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen
Subunternehmern.
Zurzeit sind die in Anlage
mit Namen, Anschrift und Auftragsinhalt bezeichneten
Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten
Umfang beschäftigt. Mit deren Beauftragung erklärt sich der Auftraggeber einverstanden.
11. Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik
Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen
Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung
in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen,
wenn die besonderen Voraussetzungen der
§§ 4b, 4c BDSG erfüllt sind.
Falls ein Subunternehmer beauftragt werden soll, gelten diese Anforderungen zusätzlich zu den
Bestimmungen in Nr. III.10.
12. Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den
angewandten Verfahren sind mit dem Auftraggeber abzustimmen.
13.
Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz
Herr/Frau
(Vorname, Name, Organisationseinheit, Telefon)
bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.
oder
Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da
die Voraussetzungen für eine Bestellung nicht vorliegen.
14. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der
personenbezogenen Daten des Auftraggebers das Datengeheimnis zu wahren. Er verpflichtet
sich, auch folgende Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen:
15. Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften
des BDSG bekannt sind. Der Auftragnehmer bestätigt, dass ihm auch folgende
datenschutzrechtliche Vorschriften bekannt sind:
Montag, 16. November 2015
24
Ausfüllhinweis: Hier sind gegebenenfalls konkrete Angaben zu machen.
Achtung: Dies enthebt den Auftraggeber nicht von konkreten Vorgaben unter Nr. I.2.3 bis 2.5, so
dass der Auftragnehmer weiß, was er zur Umsetzung der Spezialvorschriften zu beachten hat.
Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten
Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des
Datenschutzes vertraut macht und sie auf das Datengeheimnis schriftlich verpflichtet. Der
Auftragnehmer überwacht die Einhaltung der hier angegebenen datenschutzrechtlichen
Vorschriften.
16. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger
schriftlicher Zustimmung durch den Auftraggeber erteilen.
IV Technische und organisatorische Maßnahmen nach § 9 BDSG (Erläuterungen siehe Anhang)
Für die auftragsgemäße Bearbeitung personenbezogener Daten nutzt der Auftragnehmer folgende
Einrichtungen:
.............................................................................................................................................
(Benennung der verwendeten Hardware und Software)
1.
Das als Anlage beigefügte Datensicherheitskonzept (mit den Festlegungen entsprechend der Anlage zu § 9 BDSG) des Auftragnehmers wird als verbindlich festgelegt.
oder
Die im Anhang beschriebenen technischen und organisatorischen Maßnahmen
werden als verbindlich festgelegt.
Montag, 16. November 2015
25
2. Der Auftragnehmer beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Er
gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen
Datensicherheitsmaßnahmen.
3. Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses
der technischen und organisatorischen Weiterentwicklung angepasst werden. Wesentliche
Änderungen sind schriftlich zu vereinbaren.
Nr. II.2 ist zu beachten.
4. Soweit die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen des
Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich.
5. Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des
Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche
Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf
Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener
Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Informationspflichten des
Auftraggebers nach § 42 a BDSG. Der Auftragnehmer sichert zu, den Auftraggeber bei seinen
Pflichten nach § 42 a BDSG zu unterstützen.
III.
Vergütung
...................................................................................................................................
IV.
Haftung
1. Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine
Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der
vertraglichen Leistung schuldhaft verursachen.
2. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach dem BDSG oder anderen
Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung im Rahmen
des Auftragsverhältnisses erleidet, ist der Auftraggeber gegen-über dem Betroffenen
verantwortlich. Soweit der Auftraggeber zum Schadensersatz gegenüber dem Betroffenen
verpflichtet ist, bleibt ihm der Rückgriff beim Auftragnehmer vorbehalten.
V.
Vertragsstrafe
Montag, 16. November 2015
26
Bei Verstoß gegen die Abmachungen dieses Vertrages, insbesondere gegen die Einhaltung des
Datenschutzes, wird eine Vertragsstrafe von
Euro vereinbart.
VI.
Nichterfüllung der Leistung
VII.
Sonstiges
1. Der Auftragnehmer übereignet dem Auftraggeber zur Sicherung die Datenträger, auf denen sich
Dateien befinden, die Daten des Auftraggebers enthalten. Diese Datenträger sind besonders zu
kennzeichnen.
2. Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa
durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch
sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich
zu verständigen.
3. Für Nebenabreden ist die Schriftform erforderlich.
Gegebenenfalls individualvertragliche Ergänzung:
Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der verarbeiteten Daten
und der zugehörigen Datenträger ausgeschlossen.
Hinweis: Diese Klausel muss wegen §§ 310 Abs. 1 S. 1 und 2, 307, 309 Nr. 2 lit. b BGB gegebenenfalls
individualvertraglich vereinbart werden.
VIII.
Wirksamkeit der Vereinbarung
Montag, 16. November 2015
27
Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der
Vereinbarung im Übrigen nicht.
Montag, 16. November 2015
28
xxxxxxxx
Muster: Auftrag gemäß § 11 BDSG
Vereinbarung
zwischen dem / der
....................................................................................................................................................
- nachstehend Auftraggeber genannt und dem / der
....................................................................................................................................................
- nachstehend Auftragnehmer genannt -
1. Gegenstand und Dauer des Auftrags
Gegenstand des Auftrags
 Der Gegenstand des Auftrags ergibt sich aus der Leistungsvereinbarung / SLA /
................................................. vom ......................, auf die hier verwiesen wird (im
Folgenden Leistungsvereinbarung).
oder
 Gegenstand des Auftrags zum Datenumgang ist die Durchführung folgender
Aufgaben durch den Auftragnehmer:
……………………………………………………………………… (Definition der Aufgaben)
Dauer des Auftrags
 Die
Dauer
dieses
Leistungsvereinbarung.
Auftrags
(Laufzeit)
entspricht
der
Laufzeit
der
oder (insbesondere, falls keine Leistungsvereinbarung zur Dauer besteht)
 Der Auftrag wird zur einmaligen Ausführung erteilt.
oder
 Die Dauer dieses Auftrags (Laufzeit) ist befristet bis zum............
oder
 Der Auftrag ist unbefristet erteilt und kann von beiden Parteien mit einer Frist von
................... zum ............... gekündigt werden. Die Möglichkeit zur fristlosen Kündigung
bleibt hiervon unberührt.
Montag, 16. November 2015
29
2. Konkretisierung des Auftragsinhalts
Umfang, Art und Zweck
der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten
 Umfang, Art und Zweck der Erhebung, Verarbeitung und / oder Nutzung
personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind
konkret beschrieben in der Leistungsvereinbarung vom .....................
oder
 Nähere Beschreibung des Auftragsgegenstandes im Hinblick auf Umfang, Art und
Zweck der Aufgaben des Auftragnehmers: ........................................
Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik
Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen
Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede
Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf
nur erfolgen, wenn die besonderen Voraussetzungen der §§ 4b, 4c BDSG erfüllt sind.
Art der Daten
 Die Art der verwendeten personenbezogenen Daten ist in der Leistungsvereinbarung
konkret beschrieben unter: .......................
oder
 Gegenstand der Erhebung, Verarbeitung und / oder Nutzung personenbezoger Daten
sind
folgende
Datenarten/-kategorien
(Aufzählung/Beschreibung
der
Datenkategorien)
□
Personenstammdaten
□
Kommunikationsdaten (z.B. Telefon, E-Mail)
□
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
□
Kundenhistorie
□
Vertragsabrechnungs- und Zahlungsdaten
□
Planungs- und Steuerungsdaten
□
Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen
Verzeichnissen)
□
...
Kreis der Betroffenen
Montag, 16. November 2015
30
 Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen
dieses Auftrags Betroffenen ist in der Leistungsvereinbarung konkret beschrieben
unter: ..................................
oder
 Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen
dieses Auftrags Betroffenen umfasst (Aufzählung / Beschreibung der betroffenen
Personenkategorien):
□
Kunden
□
Interessenten
□
Abonnenten
□
Beschäftigte i. S. d. § 3 Abs. 11 BDSG
□
Lieferanten
□
Handelsvertreter
□
Ansprechpartner
□
...
3. Technisch-organisatorische Maßnahmen
Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten
technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere
hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber
zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die
dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung / ein Audit des
Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
Insgesamt handelt es sich bei den zu treffenden Maßnahmen um nicht auftragsspezifische
Maßnahmen hinsichtlich der Organisationskontrolle, Zutrittskontrolle, Zugangskontrolle,
Zugriffskontrolle, Weitergabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle sowie des
Trennungsgebots (vgl. Anlage ...), sowie andererseits um auftragsspezifische Maßnahmen,
insbesondere im Hinblick auf die Art des Datenaustauschs / Bereitstellung von Daten, Art / Umstände
der Verarbeitung / der Datenhaltung sowie Art / Umstände beim Output / Datenversand, die –
soweit sie sich nicht aus der zugrundeliegenden Leistungsvereinbarung ergeben - wie folgt gesondert
beschrieben werden:
..............................
Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der
Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen
umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten
werden. Wesentliche Änderungen sind zu dokumentieren. Der Auftragnehmer hat auf Anforderung
die Angaben nach § 4g Abs. 2 Satz 1 BDSG dem Auftraggeber zur Verfügung zu stellen.
Montag, 16. November 2015
31
4. Berichtigung, Sperrung und Löschung von Daten
Der Auftragnehmer hat nur nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet
werden, zu berichtigen, zu löschen oder zu sperren. Soweit ein Betroffener sich unmittelbar an den
Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird der
Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
5. Kontrollen und sonstige Pflichten des Auftragnehmers
Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags nach § 11 Abs. 4
BDSG folgende Pflichten:
 Schriftliche Bestellung – soweit gesetzlich vorgeschrieben – eines Datenschutzbeauftragten, der
seine Tätigkeit gemäß §§ 4f, 4g BDSG ausüben kann. Dessen Kontaktdaten werden dem
Auftraggeber zum Zweck der direkten Kontaktaufnahme mitgeteilt.
 Die Wahrung des Datengeheimnisses entsprechend § 5 BDSG. Alle Personen, die auftragsgemäß
auf personenbezogene Daten des Auftraggebers zugreifen können, müssen auf das
Datengeheimnis verpflichtet und über die sich aus diesem Auftrag ergebenden besonderen
Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehrt werden.
 Die Umsetzung und Einhaltung aller für diesen Auftrag notwendigen technischen und
organisatorischen Maßnahmen entsprechend § 9 BDSG und Anlage.
 Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der
Aufsichtsbehörde nach § 38 BDSG. Dies gilt auch, soweit eine zuständige Behörde nach §§ 43, 44
BDSG beim Auftragnehmer ermittelt.
 Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen durch den
Auftragnehmer im Hinblick auf die Vertragsausführung bzw. -erfüllung, insbesondere Einhaltung
und ggf. notwendige Anpassung von Regelungen und Maßnahmen zur Durchführung des
Auftrags.
 Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber
dem Auftraggeber. Hierzu kann der Auftragnehmer auch aktuelle Testate,
Berichte oder
Berichtsauszüge
unabhängiger
Instanzen
(z.B.
Wirtschaftsprüfer,
Revision,
Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren)
oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSIGrundschutz) vorlegen.
6. Unterauftragsverhältnisse
Soweit bei der Verarbeitung oder Nutzung personenbezogener Daten des Auftraggebers
Unterauftragnehmer einbezogen werden sollen, wird dies genehmigt, wenn folgende
Voraussetzungen vorliegen:
Montag, 16. November 2015
32
 Die Einschaltung von Unterauftragnehmern ist grundsätzlich nur mit schriftlicher Zustimmung
des Auftraggebers gestattet. Ohne schriftliche Zustimmung kann der Auftragnehmer zur
Vertragsdurchführung unter Wahrung seiner unter Punkt 5 erläuterten Pflicht zur
Auftragskontrolle
konzernangehörige
Unternehmen sowie
im
Einzelfall
andere
Unterauftragnehmer mit der gesetzlich gebotenen Sorgfalt einsetzen, wenn er dies dem
Auftraggeber vor Beginn der Verarbeitung oder Nutzung mitteilt.
 Der Auftragnehmer hat die vertraglichen Vereinbarungen mit dem / den Unterauftragnehmer/n
so zu gestalten, dass sie den Datenschutzbestimmungen im Vertragsverhältnis zwischen
Auftraggeber und Auftragnehmer entsprechen.
 Bei der Unterbeauftragung sind dem Auftraggeber Kontroll- und Überprüfungsrechte
entsprechend dieser Vereinbarung und des § 11 BDSG i.V.m. Nr. 6 der Anlage zu § 9 BDSG beim
Unterauftragnehmer einzuräumen. Dies umfasst auch das Recht des Auftraggebers, vom
Auftragnehmer auf schriftliche Anforderung Auskunft über den wesentlichen Vertragsinhalt und
die Umsetzung der datenschutzrelevanten Verpflichtungen im Unterauftragsverhältnis,
erforderlichenfalls durch Einsicht in die relevanten Vertragsunterlagen, zu erhalten.
Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen
zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der
Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen,
Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von
Datenträgern. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes
und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen
Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu
treffen sowie Kontrollmaßnahmen zu ergreifen.
Montag, 16. November 2015
33
7. Kontrollrechte des Auftraggebers
Der Auftraggeber hat das Recht, die in Nr. 6 der Anlage zu § 9 BDSG vorgesehene Auftragskontrolle
im Benehmen mit dem Auftragnehmer durchzuführen oder durch im Einzelfall zu benennende Prüfer
durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel
rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in
dessen Geschäftsbetrieb zu überzeugen. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf
Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu
geben und die entsprechenden Nachweise verfügbar zu machen.
Im Hinblick auf die Kontrollverpflichtungen des Auftraggebers nach § 11 Abs. 2 Satz 4 BDSG vor
Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt der Auftragnehmer
sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und
organisatorischen Maßnahmen überzeugen kann. Hierzu weist der Auftragnehmer dem Auftraggeber
auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen gemäß § 9 BDSG und
der Anlage nach. Dabei kann der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den
konkreten Auftrag betreffen, auch durch Vorlage eines aktuellen Testats, von Berichten oder
Berichtsauszügen
unabhängiger
Instanzen
(z.B.
Wirtschaftsprüfer,
Revision,
Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder
einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSIGrundschutz) erbracht werden.
8. Mitteilung bei Verstößen des Auftragnehmers
Der Auftragnehmer erstattet in allen Fällen dem Auftraggeber eine Meldung, wenn durch ihn oder
die bei ihm beschäftigten Personen Verstöße gegen Vorschriften zum Schutz personenbezogener
Daten des Auftraggebers oder gegen die im Auftrag getroffenen Festlegungen vorgefallen sind.
Es ist bekannt, dass nach § 42a BDSG Informationspflichten im Falle des Abhandenkommens oder der
unrechtmäßigen Übermittlung oder Kenntniserlangung von personenbezogenen Daten bestehen
können. Deshalb sind solche Vorfälle ohne Ansehen der Verursachung unverzüglich dem
Auftraggeber mitzuteilen. Dies gilt auch bei schwerwiegenden Störungen des Betriebsablaufs, bei
Verdacht auf sonstige Verletzungen gegen Vorschriften zum Schutz personenbezogener Daten oder
anderen Unregelmäßigkeiten beim Umgang mit personenbezogenen Daten des Auftraggebers. Der
Auftragnehmer hat im Benehmen mit dem Auftraggeber angemessene Maßnahmen zur Sicherung
der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen. Soweit den
Auftraggeber Pflichten nach § 42a BDSG treffen, hat der Auftragnehmer ihn hierbei zu unterstützen.
Montag, 16. November 2015
34
9. Weisungsbefugnis des Auftraggebers
Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen
Vereinbarungen und nach Weisung des Auftraggebers (vgl. § 11 Abs. 3 Satz 1 BDSG). Der
Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen
Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der
Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann. Änderungen des
Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und
zu dokumentieren. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur
nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen.
Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder per E-Mail (in Textform)
bestätigen. Der Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist insbesondere
nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des
Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur
Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im
Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
Der Auftragnehmer hat den Auftraggeber unverzüglich entsprechend § 11 Abs. 3 Satz 2 BDSG zu
informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche
Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung
solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert
wird.
10. Löschung von Daten und Rückgabe von Datenträgern
Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Auftraggeber –
spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen
Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände,
die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder
nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und
Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen
Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen
Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner
Entlastung bei Vertragsende dem Auftraggeber übergeben.
Montag, 16. November 2015
35

Download Report