Werunterschreibt Auftragsdatenverarbeitungsvertrag

Behörden & Recht Allgemeine Rechtsfragen
1

Hallo WWWler,

ich finde es nirgendwo: Wer muss bei einem Auftragsdatenverarbeitungsvertrag unterschreiben?

Der Geschäftsführer der Vertragspartner oder kann der Datenschutzbeauftragte unterschreiben?

Was wäre, wenn bei beiden Firmen die gleiche Person sitzt (also bei beiden Firmen ist der Geschäftsführer oder der Datenschutzbeauftragte der gleiche)?

Vielen Dank im Voraus

Marco

2

Hallo,

der Geschäftsführer. Der DSB hat idR keine Kompetenzen, das Unternehmen nach außen zu vertreten, weil er nur beratende Funktionen hat.

Geschäftsführeramt und DSB ist inkompatibel, ein GF kann kein DSB sein.

VG
EK

3

Das weiß ich. Danke.

Meine Frage ist, ob es geht, dass 2 Firmen einen solchen Vertrag schließen, wo bei beiden Firmen der GF identisch ist.

Gruß
Marco

4

Hallo,

das hängt davon ab, ob der GF in der Satzung oder durch Gesellschafterbeschluss vom Selbstkontrahierungsverbot des § 181 BGB befreit ist.

http://www.redmark.de/firmenpraxis/specialContentDet…

VG
EK

5

Hallo!

Nochmals zum verständnis:

  • Wer ist Adresseigner?
  • Wer ist Auftragsdatenverarbeiter (Lettershop)
  • Für wenn wird ein Mailing gemacht (Kunde)?

Dies ist ja die Dreieckskonstellation, die korrekt dargestellt werden muss. Wenn Adresseigner und Lettershop in einer Hand sind, sehe ich keinerlei Probleme. Schließlich verlassen die Adressen das Haus nicht und der Kunde bekommt diese auch nicht.

Schwieriger wird es, wenn der Kunde gleichzeitig den Lettershop betreibt.

Oder wie ist dein Fall genau?

Gruß
Falke

6

Also es sind Kundendaten, die von einer „Tochterfirma“ verarbeitet werden. Bei beiden ist der GF identisch.

Gruß
Marco

7

Hallo!

Also stellt das Unternehmen A dem Lettershop B z.B. Adressen für die Belaserung eines Mailings zur Verfügung, welches im Namen des Unternehmens A versandt wird. Geschäftsführer von A und B sind identische Personen.

Ich sehe hier keinerlei Probleme - insbesondere nach dem neuen BDSG. Ich würde eher darauf achten, dass eine saubere Datenschutzvereinbarung zwischen beiden Unternehmen besteht. Muster-Datenschutzvereinbarungen kann man z.B. beim DDV (http://www.ddv.de) bekommen. Ob diese schon nach dem neuen BDSG aufbereitet sind und auch für Nicht-Mitglieder erhältlich sind, weiß ich nicht.

Gruß
Falke

8

Ich dachte, ein GF kann nicht mit sich selbst VErträge abschließen? Es seit denn man ist befreit vom Selbstkontrahierungsverbot…

Und nach dem neuen BDSG sollte man doch einen Auftragsdatenverarbeitungsvertrag haben.

Geht das dann doch?

Übrigens ist es nicht ganz so wie Du schreibst. Firma A hat Kunden und gibt diese für die Dienstleistung der Firma A an Firma B.

Gruß
Marco

9

Hallo!

Ich dachte, ein GF kann nicht mit sich selbst VErträge
abschließen? Es seit denn man ist befreit vom
Selbstkontrahierungsverbot…

OK - dies muss natürlich berücksichtigt werden. Hat aber weniger mit dem BDSG zu tun.

Und nach dem neuen BDSG sollte man doch einen
Auftragsdatenverarbeitungsvertrag haben.

M.W. nein. Im §11 Abs. 2 Satz 2 heißt es zwar „Der Auftrag ist schriftlich zu erteilen, wobei im Einzelnen festzulegen sind: […]“.
Der Gesetzgeber schreibt aber nicht vor, dass grundsätzlich eine externe Adressverarbeitung erfolgen muss.

Dies wäre ja auch paradox, weil wenn ich meine Daten selbst verarbeiten kann ist dies ja vom Grundsatz sicherer, als wenn ich mir extra einen Lettershop suchen müsste. Ein Serien-Mail über Word an meinem Büro-Laserdrucker ist ja datentechnisch sicherer, als wenn kleine Gewerbetreibende wegen 50 Adressen sich einen Lettershop suchen müssten.

§11 ist primär für die Bearbeitung von Fremdadressen zu sehen oder große Mailing, die intern eh nicht mehr abgewickelt werden können und ich eh die Unterstützung eines Lettershops nutzen muss.

Gruß
Falke

10

Hallo,

einen Auftragsdatenverarbeitungsvertrag musste man auch im alten BDSG haben, auch zwingend schriftlich. Der Gesetzgeber hat nun konkretisiert, was darin zwingend geregelt werden muss (was aber üblicherweise schon früher geregelt wurde, jedenfalls wenn man Muster der Aufsichtsbehörden und öffentlicher Stellen benutzt hat).

Früher hieß es nur:
§ 11 Erhebung, Verarbeitung oder Nutzung personenbezogener
Daten im Auftrag
(1) Werden personenbezogene Daten im Auftrag
durch andere Stellen erhoben, verarbeitet oder
genutzt, ist der Auftraggeber für die Einhaltung
der Vorschriften dieses Gesetzes und anderer
Vorschriften über den Datenschutz verantwortlich.
Die in den §§ 6, 7 und 8 genannten Rechte
sind ihm gegenüber geltend zu machen.
(2) Der Auftragnehmer ist unter besonderer Berücksichtigung
der Eignung der von ihm getroffenen
technischen und organisatorischen Maßnahmen
sorgfältig auszuwählen. Der Auftrag ist schriftlich
zu erteilen, wobei die Datenerhebung, -
verarbeitung oder -nutzung, die technischen und
organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse
festzulegen sind.

Heute heißt es zusätzlich:

Der Auftrag ist schriftlich
zu erteilen, wobei insbesondere im Einzelnen
festzulegen sind:

  1. der Gegenstand und die Dauer des Auftrags,
  2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener
    Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

VG
EK

11

Hallo Falke,

es geht darum, dass Firma B (Tochter) im Auftrag von Firma A (Mutter) Kundendaten von Kunden der Firma A verarbeitet. Dafür ist zwingend ein Vertrag nach § 11 BDSG abzuschließen, es gibt kein Konzernprivileg im BDSG.

VG
EK

12

Hallo!

In diesem Fall ja.

Allerdings ist es nicht richtig, dass das BDSG bei jeder Datenverarbeitung/Nutzung einen externen Auftragsdatenverarbeiter vorsieht. Wenn eine Verarbeitung intern stattfinden kann umso besser.

Gruß
Falke

13

Hallo!

In diesem Fall ja.

Hallo,

genau, und Juristen pflegen nur über diesen Fall und nicht über andere Sachverhalte und Fragen, die nicht gestellt sind, zu sprechen, weil sie sonst in Klausuren wegen „Sachverhaltsquetsche“ ein „ungenügend“ bekommen … :smile:

VG
EK