§ 11 Abs.5 BDSG Fernwartung
Regelungen über die Auftragsdatenverarbeitung müssen auch immer dann abgeschlossen werden, wenn die Möglichkeit der Fernwartung eingeräumt wird. Da die meisten unserer Kunden von der Möglichkeit der Fernwartung Gebrauch machen, gehören Regelungen zur Auftragsdatenverarbeitung zum Standard. Anders als im § 11 Abs.2 BDSG reicht hier schon die Möglichkeit der Kenntnisnahme der personenbezogenen Daten aus.Während also eine reine Auftragsdatenverarbeitung nur dann vorliegt, wenn das IT Unternehmen zielgerichtet mit personenbezogenen Daten Dritter in Kontakt kommt, muß man im Rahmen der „Wartung oder Inspektion“ eines IT Systems im Wege der Fernwartung immer einen solchen Vertrag vorweisen können. Der § 11 Abs. 5 BDSG verwendet die Begriffe Prüfung und Wartung, ohne jeweils zu definieren was darunter zu verstehen ist. Der Begriff der Wartung ist Maßnahme, die zur Aufrechterhaltung der Funktionsfähigkeit der Hard- oder Software dient, zu begreifen.
Sind die Voraussetzung für eine Auftragsdatenverarbeitung im Sinne der § 11 Abs. 5 oder § 11 Abs. 2 gegeben, ist der Auftraggeber für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich, § 11 Abs. 1 Satz 1 BDSG. Es sind für die privaten Auftraggeber die § § 28 – 32 und 33 – 35 BDSG und für die öffentlichrechtlichen Auftraggeber die § § 13 – 16 und 19-20 BDSG. Da die Auftraggeber in letzter Zeit dazu tendieren, dem Auftragnehmer die Haftung für die Einhaltung der Vorschriften des BDSGs aufzuerlegen, ist deutlich daraufhin zu weisen, dass diese Haftung dem Auftraggeber obliegt. Allein durch vertragliche Regelungen wird versucht, den Auftragnehmer für Fehler verantwortlich zu machen, die der Auftraggeber begeht. Es geschieht dadurch, dass in allgemeinen Geschäftsbedingungen eine Klausel verwendet wird, nach deren Inhalt der Auftragnehmer für die Einhaltung aller „datenschutzrechtlichen Bestimmungen zur Auftragsdatenverarbeitung „ verantwortlich ist. Damit wird der Gesetzestext in sein glattes Gegenteil verkehrt und es denke sich jeder seinen Teil.
Schriftformerfordernis
Der Vertrag, der nach § 11 Abs. 2 abgeschlossen werden muss, bedarf der Schriftform. Das bedeutet, man brauch ein eigenhändig unterschriebenes Dokument und nur dann, wenn beide Seiten eine elektronisch zertifizierte Signatur einsetzen, kommt eine E-Mail der Textform gleich. Es verstöße gegen das Schriftformerfordernis nach § 43 Abs. 1 Nummer 2b BDSG eine Ordnungswidrigkeit, die bis zu € 50.000,00 kosten kann. Von praktischer Bedeutung ist die Frage, wie der Vertrag über die Auftragsdatenverarbeitung mit den übrigen Aufträgen des Kunden zu verbinden ist. Im Grunde genommen bedarf es eines Rahmenvertrages, der mit jedem Kunden abzuschließen ist, um die – absurd hohen Anforderungen – der Auftragsdatenverarbeitung gem. § 11 abzudecken. Bei genauer Sichtweise der Buchstaben des Gesetzes reicht es nicht aus, zu Anfang der Geschäftsbeziehung mit einem Kunden einen Vertrag zur Auftragsdatenverarbeitung unterschreiben zu lassen, weil dieser Vertrag nicht die später abgeschlossenen Verträge umfasst. Zu einem späteren Zeitpunkt Verträge abgeschlossen, müssten ebenfalls in Schriftform abgeschlossen.