Das LG Frankfurt a.M. (Urt. v. 19.01.2017 - Az.: 2-03 O 65/16) hatte sich zu den Mindestanforderungen einer datenschutzrechtlichen Auftragsdatenverarbeitung zu äußern.

Der Kläger berief sich darauf, dass das verklagte Unternehmen zu Unrecht seine Daten an einen Dritten weitergeleitet hätte. Die Beklagte trug vor, dass dieser Dritte ihr Auftragsdatenverarbeiter sei und somit die Übertragung der Informationen erlaubt gewesen sei.

Der Kläger wandte ein, dass die Vereinbarung über die Datenauftragsverarbeitung zwischen der Beklagten und dem Dritten unwirksam sei, da der Vertrag nicht die gesetzlichen Anforderungen des § 11 BDSG erfülle.

Das Gericht folgte dieser Ansicht nicht, sondern hielt den Kontrakt für wirksam.

Die Robenträger prüften zunächst den Mindestinhalt, der in § 11 Abs.2 Nr.1-10 BDSG festgelegt ist. Sämtliche Inhalte, so das Gericht, seien vertraglich ausreichend vereinbart worden.

Der Kläger monierte auch, dass die Beklagte keine Vorab-Prüfung durchgeführt habe und außerdem mögliche regelmäßige Kontrollen nicht schriftlich dokumentiert.

Im Gesetz heißt es dazu:

"Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren."

Auch dieser Argumentation folgte das Gericht nicht.

Die Beklagte habe sich insoweit vertraglich ausdrücklich ein Kontrollrecht vorbehalten, woraus sich entnehmen lasse, dass die Beklagte ihren Überprüfungs- und Dokumentationspflichten nachkommen wolle. Soweit diese nicht in ausreichendem Maße durchgeführt worden seien, würde aber auch dies allein nicht zur Unwirksamkeit der Auftragsdatenvereinbarung und damit der Auftragsdatenverarbeitung führen, so das Gericht.

Anmerkung von RA Dr. Bahr:
Zur Frage, was eine Auftragsdatenverarbeitung ist, lesen Sie am besten unseren Artikel "Auftragsdatenverarbeitung - was ist das bitte schön?".