24. August 2015 - Aufsichtsbehörden

Auftragsdatenverarbeitung: Hohe Bußgelder bei Vertragsmängeln

Das Bayerische Landesamt für Datenschutzaufsicht warnt vor fehlenden oder mangelhaften vertraglich fixierten Vereinbarungen bei der Verarbeitung personenbezogener Daten durch Dritte. Vor Kurzem hat es bei einem konkreten Verstoß ein Bußgeld in fünfstelliger Höhe verhängt.

Synergien zwischen Datenschutzbeauftragtem und Beitrebsrat nutzen! Wer die Verarbeitung personenbezogener Daten außer Haus gibt, muss die exakten Rahmenbedingungen vertraglich fixieren (Bild: iStock / Thinkstock)

Wer einen externen Dienstleister mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt, muss mit ihm einen schriftlichen Vertrag abschließen. Fehlt dieser oder weist er Mängel auf, kann der verantwortliche Auftraggeber mit einer Geldbuße von bis zu 50.000 Euro belegt werden.

Darauf weist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) anlässlich eines aktuellen Falls hin: Das Unternehmen, gegen das das Landesamt ein Bußgeld verhängt hat, hatte keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt, sondern nur pauschale Aussagen getroffen.

Tipps zur Auftragsdatenverarbeitung

Das BayLDA hat nun ein 18-seitiges Dokument erstellt und online publiziert, das zum Gesetzestext zur Auftragsdatenverarbeitung nach § 11 Bundesdatenschutzgesetz (BDSG) entsprechende Erläuterungen liefert.

Zu den vom Gesetzgeber vorgegebenen Maßnehmen zum Schutz der personenbezogenen Daten zählen unter anderem technische und organisatorische Maßnahmen, die der Auftragsdatenverarbeiter zum Schutz der Daten treffen muss und die im schriftlichen Auftrag aufgeführt sein müssen.

Technisch-organisatorische Maßnahmen konkretisieren

Das BayLDA weist darauf hin, dass es nicht genüge, pauschale Aussagen und Wiederholungen des Gesetzestextes schriftlich zu fixieren. Vielmehr sei es notwendig, diese Maßnahmen im schriftlichen Auftrag konkret und spezifisch aufzuführen. Auch müsse der Auftraggeber die Einhaltung der technisch-organisatorischen Maßnahmen bei seinem Auftragnehmer kontrollieren. Nur so könne der Auftraggeber beurteilen, ob die personenbezogenen Daten bei seinem Auftragnehmer ausreichend geschützt sind.

Welche vertraglichen Festlegungen zu den technisch-organisatorischen Maßnahmen getroffen werden müssen, könne, so das BayLDA, nicht pauschal beantwortet werden, sondern richte sich nach dem Datensicherheitskonzept des jeweiligen Dienstleisters und den eingesetzten IT-Systemen. Der gesetzliche Maßstab für die technisch-organisatorischen Maßnahmen ist in der Anlage zu § 9 BDSG definiert, die Maßnahmen in den Bereichen Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle verlangt.

fgo

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln