Stand: 2002
Hinweise
zur Verarbeitung personenbezogener Daten
im Auftrag
§ 4 des Gesetzes zum Schutz des Bürgers bei der Verarbeitung seiner Daten (Landesdatenschutzgesetz - DSG M-V) legt die bei einer Auftragsdatenverarbeitung zu beachtenden Anforderungen fest. Es ist zunächst zu prüfen, ob eine Verarbeitung personenbezogener Daten im Auftrag zulässig ist. Einer Vergabe von Aufträgen dürfen weder gesetzliche Regelungen über Berufs- oder besondere Amtsgeheimnisse noch überwiegende schutzwürdige Belange der Betroffenen entgegenstehen. Soweit spezialgesetzliche Vorschriften Anwendung finden, gehen diese den allgemeinen datenschutzrechtlichen Bestimmungen vor (z. B. § 80 SGB X, § 37 LMG, § 21 LKHG).
Das Landesdatenschutzgesetz stellt in § 4 Abs. 4 ausdrücklich klar, dass auch bei Wartungs- und Fernwartungsarbeiten sowie bei anderen Hilfstätigkeiten die Vorschriften über Auftragsdatenverarbeitung entsprechend anzuwenden sind; so beispielsweise, wenn private Dienstleister Software installieren, pflegen oder korrigieren oder Hardware überprüfen, reparieren oder austauschen.
Der Auftrag zur Verarbeitung personenbezogener Daten ist schriftlich zu erteilen. Die wesentlichen Aspekte, wie Art und Umfang der Verarbeitung sowie die technischen und organisatorischen Maßnahmen, sind detailliert und verbindlich festzulegen. Der nachfolgende Mustervertrag zur Verarbeitung personenbezogener Daten im Auftrag soll als Orientierungshilfe bei der Auftragsvergabe dienen und ist im Einzelfall aufgabenspezifisch anzupassen. Durch die Auftragsgestaltung muss gewährleistet sein, dass das für öffentliche Stellen geltende Datenschutzrecht in vollem Umfang berücksichtigt und das hohe Datenschutzniveau beibehalten wird. Voraussetzung hierfür ist unter anderem, dass der Auftragnehmer unter besonderer Berücksichtigung seiner Eignung ausgewählt wird. Der Auftraggeber hat dabei zu prüfen, ob der Auftragnehmer die erforderlichen Sicherheitsmaßnahmen nach §§ 21 und 22 DSG M-V realisieren kann. Gemäß § 4 Abs. 3 Satz 2 DSG M-V ist der Auftraggeber verpflichtet, den Landesbeauftragten für den Datenschutz über die Beauftragung von Stellen zu unterrichten, die nicht unter das DSG M-V fallen.
zwischen dem/der ................................................................................................................................... - nachstehend Auftragnehmer genannt -
und dem/der .................................................................................................................................... - nachstehend Auftraggeber genannt -
§ 1 Gegenstand des Vertrages
(1) Der Auftrag umfasst folgende Arbeiten:
....................................................................................................................................
(Definition der Aufgaben, konkrete Bezeichnung der einzelnen
Verarbeitungsschritte [von der Anlieferung der Daten durch den Auftraggeber bis
zur Übergabe der Daten nach Abschluss der Datenverarbeitung durch den
Auftragnehmer])
(2) Die Datenverarbeitung findet .................................... statt. (genaue Bezeichnung des Ortes)
§ 2 Pflichten des Auftraggebers
(1) Für die Beurteilung der Zulässigkeit der Verarbeitung personenbezogener Daten sowie für die Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich.
(2) Der Auftraggeber erteilt alle Aufträge oder Teilaufträge schriftlich. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und schriftlich festzuhalten.
(3) Der Auftraggeber hat das Recht, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.
Weisungsberechtigte Personen des Auftraggebers sind: ....................................................................................................................................
Weisungsempfänger beim Auftragnehmer sind: ....................................................................................................................................
Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist dem Vertragspartner unverzüglich schriftlich der Nachfolger bzw. der Vertreter mitzuteilen.
(4) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
(5) Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln.
§ 3 Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen des Vertrages und nach Weisungen des Auftraggebers. Er verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Sicherungskopien dürfen zur Gewährleistung der ordnungsgemäßen Datenverarbeitung vorübergehend erstellt werden.
(2) Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsmäßige Abwicklung aller vereinbarten Maßnahmen zu. Er gewährleistet, dass die verarbeiteten Daten von sonstigen Datenbeständen klar getrennt werden.
(3) Bei Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten benachrichtigt der Auftragnehmer unverzüglich den Auftraggeber. Dies gilt auch, wenn eine vom Auftraggeber erteilte Weisung nach Meinung des Auftragnehmers zu einem Verstoß gegen gesetzliche Vorschriften führen kann. Die Weisung braucht nicht befolgt zu werden, solange sie nicht durch den Auftraggeber geändert oder ausdrücklich bestätigt wird.
(4) Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber während der Betriebs- und Geschäftszeiten berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme.
(5) Die Verarbeitung von Daten in Privatwohnungen der Mitarbeiter des Auftragnehmers ist nur mit Zustimmung des Auftraggebers im Einzelfall gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist der Zugang zur Wohnung durch den Auftraggeber (vgl. § 3 Abs. 4 des Vertrages) vorher mit dem Auftragnehmer abzustimmen. Der Auftragnehmer hat sicherzustellen, dass auch die anderen Bewohner der Privatwohnung mit dieser Regelung einverstanden sind.
(6) Nicht mehr benötigte Unterlagen und Dateien mit personenbezogenen Daten dürfen nur nach vorheriger Zustimmung des Auftraggebers datenschutzgerecht vernichtet werden, soweit dieser Vertrag keine abweichenden Regelungen enthält. Test- und Ausschussmaterial ist unverzüglich zu vernichten oder dem Auftraggeber auszuhändigen.
(7) Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer unverzüglich sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen und die vertragsgemäß gespeicherten Daten zu übergeben oder physisch zu löschen.
(8) [1. Alternative] Die Beauftragung von Subunternehmen mit der Verarbeitung von personenbezogenen Daten ist nicht zulässig.
[2. Alternative] Die Beauftragung von Subunternehmen ist nur mit vorheriger schriftlicher Zustimmung des Auftraggebers zugelassen. Der Auftragnehmer hat in diesem Falle vertraglich sicherzustellen, dass die vereinbarten Regelungen auch gegenüber Subunternehmern gelten. Er hat die Einhaltung dieser Pflichten regelmäßig zu überprüfen. Die Weiterleitung von Daten ist erst zulässig, wenn der Subunternehmer die Verpflichtung nach § 4 dieses Vertrages erfüllt hat. [Zurzeit sind die in Anlage ........... mit Namen und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt.]
(9) Der Auftragnehmer verpflichtet sich, die Vorschriften des DSG M-V einzuhalten.
(10) Die für die Sicherheit erheblichen Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind mit dem Auftraggeber abzustimmen.
§ 4 Datengeheimnis
(1) Der Auftragnehmer verpflichtet die von ihm bei der Verarbeitung personenbezogener Daten des Auftraggebers eingesetzten Mitarbeiter schriftlich auf das Datengeheimnis gemäß § 6 DSG M-V.
(2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht. Er überwacht die Einhaltung der datenschutzrechtlichen Vorschriften.
(3) Auskünfte darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen.
§ 5 Kontrollrechte des Landesbeauftragten für den Datenschutz
(1) Der Auftragnehmer verpflichtet sich, dem Landesbeauftragten für den Datenschutz und den von ihm eingesetzten Bediensteten Zugang zu seinen Arbeitsräumen zu gewähren, und unterwirft sich der Kontrolle nach Maßgabe des DSG M-V in seiner jeweiligen Fassung.
(2) Soweit Daten in Privatwohnungen der Mitarbeiter des Auftragnehmers verarbeitet werden, ist der Zugang des Landesbeauftragten für den Datenschutz und der von ihm eingesetzten Bediensteten durch den Auftragnehmer zu gewährleisten. Der Auftragnehmer stellt sicher, dass die anderen Bewohner der Privatwohnung mit dieser Regelung einverstanden sind.
§ 6 Datensicherungsmaßnahmen (Erläuterungen siehe Anhang)
(1) Zur Umsetzung der in § 21 DSG M-V genannten Anforderungen werden folgende technische und organisatorische Maßnahmen verbindlich festgelegt:
a) Vertraulichkeit Maßnahmen, die bewirken, dass nur Befugte
personenbezogene Daten zur Kenntnis nehmen können: ........ ........
........
........
b) Integrität Maßnahmen, die bewirken, dass personenbezogene
Daten während der Verarbeitung unversehrt, vollständig und aktuell
bleiben:
........
........
........
........
c) Verfügbarkeit Maßnahmen, die bewirken, dass
personenbezogene Daten zeitgerecht zur Verfügung stehen und
ordnungsgemäß verarbeitet werden können:
........
........
........
........
d) Authentizität der Daten Maßnahmen, die bewirken, dass
personenbezogene Daten jederzeit ihrem Ursprung zugeordnet werden können:
......
......
......
......
e) Revisionsfähigkeit Protokollierungsverfahren, die die
Feststellung erlauben, wer wann welche personenbezogenen Daten in welcher Weise
verarbeitet hat:
.........
.........
.........
.........
f) Transparenz Maßnahmen, die gewährleisten, dass die
Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig
und in zumutbarer Zeit nachvollzogen werden können:
......
......
......
......
(2) Zur Gewährleistung der Datensicherheit beim Einsatz
automatisierter Verfahren (§ 22 DSG M-V) wurden folgende besondere
Maßnahmen getroffen:
......
......
......
......
(3) Das Sicherheitskonzept nach § 22 Abs. 5 DSG M-V ist Bestandteil dieses Vertrages. Es wurde
- am ........ erstellt,
- am ........ letztmalig überarbeitet.
(4) An der Erstellung der Verfahrensbeschreibung nach § 18 DSG M-V hat der Auftragnehmer mitzuwirken. Er hat die erforderlichen Angaben dem Auftraggeber zuzuleiten.
(5) Der Auftragnehmer beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Er gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen.
(6) Die technischen und organisatorischen Maßnahmen müssen im Laufe des Auftragsverhältnisses regelmäßig auf ihre Wirksamkeit und Angemessenheit geprüft sowie der technischen und organisatorischen Weiterentwicklung angepasst werden. Wesentliche Änderungen sind schriftlich zu vereinbaren.
(7) Soweit die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich. Entsprechendes gilt für Störungen.
§ 7 Vertragsdauer
(1) Der Vertrag beginnt am ....... und
- endet am ..........
- endet mit Auftragserledigung
- wird auf
unbestimmte Zeit geschlossen.
Er ist mit einer Frist von ....... Monaten
zum ............ kündbar.
(2) Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen datenschutzrechtliche Bestimmungen oder Festlegungen dieses Vertrages vorliegt, wenn der Auftragnehmer, außer in den Fällen des § 3 Abs. 3 Satz 3 dieses Vertrages, eine Weisung des Auftraggebers nicht ausführt oder wenn der Auftragnehmer den Zutritt des Auftraggebers oder des Landesbeauftragten für den Datenschutz zu Betriebs- und Geschäftsräumen oder zu Privatwohnungen, in denen die Daten verarbeitet werden, vertragswidrig verweigert.
§ 8 Vergütung
§ 9 Haftung
(1) Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung schuldhaft verursachen.
(2) Für den Ersatz von Schäden, die ein Betroffener wegen einer nach dem DSG M-V oder anderen Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, ist der Auftraggeber gegenüber dem Betroffenen verantwortlich. Soweit der Auftraggeber zum Schadensersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm der Rückgriff beim Auftragnehmer vorbehalten.
§ 10 Vertragsstrafe
Bei Verstoß gegen die Bestimmungen dieses Vertrages, insbesondere gegen die Einhaltung des Datenschutzes, wird eine Vertragsstrafe von ............. Euro vereinbart.
§ 11 Nichterfüllung der Leistung
§ 12 Sonstiges
(1) Der Auftragnehmer übereignet dem Auftraggeber zur Sicherung die Datenträger, auf denen sich Dateien befinden, die Daten des Auftraggebers enthalten. Diese Datenträger sind besonders zu kennzeichnen.
(2) Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.
(3) Für Nebenabreden ist die Schriftform erforderlich.
(4) Die Einrede des Zurückbehaltungsrechts im Sinne von § 273 BGB wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen [Diese Klausel muss wegen § 11 Nr. 2 b AGB-Gesetz gesondert vereinbart werden.]
§ 13 Wirksamkeit des Vertrages
Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit des Vertrages im Übrigen nicht.
Anhang: Erläuterungen zu § 6 Datensicherungsmaßnahmen
Im Vertrag sind die technischen und organisatorischen Maßnahmen festzulegen, die bei der Verarbeitung personenbezogener Daten durch den Auftragnehmer umzusetzen sind.
Rechtsgrundlage ist § 4 Abs. 1 S. 3 DSG M-V. Dort ist beschrieben, welche Prüfungen ein Auftraggeber vor einer Auftragsvergabe durchzuführen hat. So muss er den Auftragnehmer unter besonderer Berücksichtigung der Zuverlässigkeit und der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen und prüfen, ob dieser die nach §§ 21, 22 DSG M-V erforderlichen Maßnahmen getroffen hat.
Werden personenbezogene Daten verarbeitet, deren Verarbeitung für die Betroffenen keine besonderen Risiken erwarten lässt, so bietet das Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für bestimmte technische Konstellationen einen Katalog an Sicherheitsmaßnahmen (abrufbar unter: http://www.bsi.bund.de). Bei der Verarbeitung sensibler Daten, insbesondere solcher Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen (z. B. § 35 SGB I, § 30 AO) sind in der Regel Grundschutzmaßnahmen nicht ausreichend, so dass zusätzliche Maßnahmen getroffen werden müssen.
a) Bei einer automatisierten Datenverarbeitung hat der Auftragnehmer gemäß § 22 Abs. 5 DSG M-V ein Sicherheitskonzept zu erstellen. Der Auftraggeber muss prüfen und schriftlich festlegen, ob es seinen Anforderungen entspricht. Die einzelnen Sicherheitsziele sowie Anforderungen sind in § 21 und § 22 Abs. 1 bis 4 DSG M-V genannt. Ist das Konzept nicht ausreichend, sind ergänzende Maßnahmen festzulegen. Das Sicherheitskonzept sollte Bestandteil des Vertrages sein. In diesem Fall kann darauf verzichtet werden, im Sicherheitskonzept genannte Maßnahmen vollständig im Vertragstext zu wiederholen. Ein Verweis auf das Konzept genügt.
b) Werden personenbezogene Daten nicht automatisiert verarbeitet, ist ein Sicherheitskonzept gesetzlich nicht vorgeschrieben. Wurde deshalb kein Konzept erstellt, müssen die Maßnahmen, mit denen die Sicherheitsziele nach § 21 DSG M-V erreicht werden sollen, im Vertrag fixiert werden. Auch in diesem Fall ist es empfehlenswert, die einzelnen Maßnahmen aus dem Katalog des Grundschutzhandbuches auszuwählen.