Fernwartung / externe IT-Dienstleistung: Systemhäuser müssen die Brisanz der Gesetzesnovelle des BDSG (Bundesdatenschutzgesetz) für ihr Geschäft erkennen!
Werden personenbezogene Daten von einem externen Dienstleister im Auftrag erhoben, verarbeitet oder genutzt, gilt dies als „Auftragsdatenverarbeitung“ nach § 11 BDSG. Dabei bleibt der Auftraggeber grundsätzlich verantwortlich für die Einhaltung der Auflagen.
Im Zuge der Novellierung des BDSG zum 01.09.2009 wurde der § 11 neu geregelt und enthält gerade für Systemhäuser eine hohe Brisanz.
Das Vertragsregelwerk zwischen AG und AN wurde detailliert geregelt; u.a. muss der AG die Einhaltung dieser Auflagen beim AN kontrollieren. Das reicht von § 9 (Techn.-organisatorische Maßnahmen, kurz: TOM) mit Regelungen zu Datensicherung, Zugriffen, Manipulationsschutz usw. über die Rückgabe bei Datenträgerüberlassung und Löschung derselben bei Auftragende.
Kommt es zu einer Datenpanne, prüft die Aufsichtsbehörde, ob diese Kontrollen wirklich durchgeführt wurden. War dies nicht der Fall, drohen Strafzahlungen von EUR 50.000+ (§ 43 (3) BDSG). Aufgrund der neuen Rechtslage kann der AG bei ungenau formulierten vertraglichen Regelungen das Systemhaus in Regress nehmen und auf Schadensersatz verklagen.
Jeder externe IT-Dienstleister sollte schleunigst seine Verträge überprüfen und pro-aktiv seine Kunden aufklären. Die Kontrollen müssen wasserdicht eingearbeitet und (dokumentiert) durchgeführt werden.
Bei Missachtung der Auflagen muss er den AG schriftlich darauf hinweisen – für die Einhaltung der Datenschutzauflagen im Hause selbst muss er ohnehin eigenverantwortlich sorgen.