Datenschutzverstoß und Kostenrisiko

 

Auftragsdatenverarbeitung ohne entsprechenden Auftragsdatenverarbeitungs-Vertrag 

 

Wer Dienstleister einsetzt, um personenbezogene Datenverarbeitungen auszulagern, muss zwingend einen detaillierten Vertrag, den sog. Auftragsdatenverarbeitungs-Vertrag, abschließen. Wird ein solcher Vertrag nicht oder mit nur unzureichenden Regelungen geschlossen, droht ein Bußgeld durch die jeweils zuständige Aufsichtsbehörde für den Datenschutz. Die datenschutzrechtliche Verantwortung obliegt auch im Fall der Einschaltung von Auftragsdatenverarbeitern dem Auftraggeber. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat kürzlich im Fall einer unzureichenden Auftragserteilung eine Geldbuße in fünfstelliger Höhe verhängt.

 

Das Datenschutzrecht schreibt zahlreiche Einzelheiten vor, die zum Schutz der personenbezogenen Daten in einem Auftragsdatenverarbeitungs-Vertrag ausdrücklich festgelegt werden müssen. Hohe Relevanz nehmen dabei die technischen und organisatorischen Maßnahmen ein; diese Vorkehrungen zum Datenschutz und zur Datensicherheit hat der Auftragsdatenverarbeiter zu treffen. Sie müssen innerhalb des Auftragsdatenverarbeitungs-Vertrags konkret und auftragsspezifisch festgeschrieben werden und spiegeln das Datensicherheitskonzept des Dienstleisters unter Berücksichtigung der von ihm eingesetzten spezifischen Datenverarbeitungssysteme und verarbeiteten Daten wider. Sind konkrete Festlegungen diesbezüglich nicht vertraglich verankert, stellt dies eine Ordnungswidrigkeit dar, die mit Geldbuße von bis zu 50.000 Euro geahndet werden kann. Vom BayLDA wurde kürzlich gegen ein Unternehmen eine Geldbuße in fünfstelliger Höhe festgesetzt. Dieses Unternehmen hatte zwar schriftliche Auftragsdatenverarbeitungs-Verträge mit mehreren Auftragsdatenverarbeitern geschlossen, jedoch enthielten diese keine konkreten Angaben zu technischen und organisatorischen Maßnahmen zum Datenschutz und zur Datensicherheit. Die Verträge umfassten lediglich pauschale Angaben und die bloße Wiederholung des Gesetzestexts. Das auftraggebende Unternehmen muss zwingend beurteilen können, ob der potenzielle Auftragnehmer die Sicherheit der Daten gewährleisten kann. Aus diesem Grund ist die Einhaltung der technisch-organisatorischen Maßnahmen beim Auftragnehmer zu kontrollieren. Nur auf dieser Grundlage vermag der Auftraggeber zu beurteilen, ob die personenbezogenen Daten bei seinem Auftragnehmer, beispielsweise gegen unbefugtes Auslesen oder Kopieren, gegen Verfälschung oder zufällige Zerstörung, angemessen geschützt sind.

 

Thomas Kranig, Präsident des BayLDA, appelliert nachdrücklich an alle Unternehmen, die im Wege der Auftragsdatenverarbeitung personenbezogene Datenverarbeitungen an Dienstleister ausgliedern: „…Jeder Auftraggeber muss wissen und gegebenenfalls auch prüfen, was sein Auftragnehmer mit den Daten macht. Die Datensicherheitsmaßnahmen müssen konkret und spezifisch im Vertrag festgelegt werden. Unspezifische oder pauschale Beschreibungen reichen nicht aus. Wir werden auch künftig in geeigneten Fällen Verstöße in diesem Bereich mit Geldbußen ahnden.“

 

Quelle: Bayerisches Landesamt für Datenschutzaufsicht, Pressemitteilung vom 20. August 2015