Die Änderung des Bundesdatenschutzrechts (BDSG) führte zu neuen Regelungen für die Auftragsdatenverarbeitung. Ab dem 01.09.2009 sind die Regelungen anwendbar. Die Frage, was mit bereits bestehenden Verträgen zu geschehen hat, ist offen. Da ein Verstoß gegen die Vorschrift des § 11 BDSG eine Ordnungswidrigkeit gem § 43 I Nr.2b BDSG mit einem Ordnungsgeld von € 50.000,00 sanktioniert werden kann, sollten bestehende Verträge dringend an die bestehende Rechtslage angepasst werden. Ob die eventuell für die Änderung entstehenden Kosten einen kostenpflichtigen Change darstellen,
Die Weisung muß schriftlich erfolgen und hat den Vorgaben des § 11 BDSG zu entsprechen. Die Auftragsdatenverarbeitung hat den Vorgaben des § 11 BDSG zu entsprechen. Werden Daten einer verarbeitenden Stelle übergeben, so hat der Auftraggeber die Verpflichtung zu überprüfen und dafür zu sorgen, daß die nach den §§ 11 Abs.2 und 9 BDSG geforderten Anforderungen wirklich eingehalten werden. Folgende Punkte sind zu regeln:
1.) Gegenstand und Dauer des Auftrags sind ausdrücklich im Auftrag festgelegt. Auch eine Regelung, die zeitlich unbestimmt ist, kann vereinbart werden.
2.) Der Zweck der Datenverarbeitung muß genau angegeben werden.
3.) Die nach § 9 BDSG erforderlichen technischen und organisatorischen Maßnahmen sind einzuhalten. Welche Erfordernisse einzuhalten sind, ergibt sich aus dem § 9 BDSG mitsamt seiner Anlage. Grundsätzlich kann auf den Katalog des BSI zurückgegriffen werden.
4.) Die Berichtigung, Löschung und Sperrung von Daten ist genau zu konkretisieren.
5.) Nr. 5 konkretisiert die Kontrollpflichten des Auftraggebers. Da die wesentlichen Pflichten bereits in der Anlage zu § 9 BDSG geklärt sind, sind hier weitere Kontrollpflichten zu benennen (Kontrolle der Firewalls).
6.) Berechtigung zur Beauftragung von Subunternehmern. Grundsätzlich regelt dieser Punkt nichts neues, denn die Übertragung von Aufgaben auf Dritte mußte schon füher vertraglich genau kontrolliert werden.
7.) Der Auftraggeber muß sich das Bestehen von Kontrollrechten, Mitwirkungspflichten des Auftragnehmers genau bestätigen lassen.
8.) Verstöße gegen Vorschriften des Datenschutzrechts und alle damit in Zusammenhang stehenden Verstöße müssen zwingend gemeldet werden.
9.) Nr.9 verlangt eine schriftliche Liste zum Umfang der Weisungsbefugnisse des Auftraggebers.
10.) Überlassene Datenträger sind zurückzugeben, verbliebene Daten sind zu löschen.
§ 11 BDSG verlangt, daß sich der Auftraggeber vor Beginn des Vertrags und danach regelmäßig über die Einhaltung der vorgenannten Punkte informiert und Verstöße protokolliert.
Nach § 11 Abs.3 BDSG muß der Auftragnehmer die Weisungen des Auftraggebers überprüfen und auf mögliche Fehler hinweisen.