Unternehmen gehen oftmals unzutreffend davon aus, dass ein Vertrag zur Auftragsdatenverarbeitung ein reiner Papiertiger sei und eine pauschale Vorlage für alle Verträge dieser Art genüge. Dass dies eine Falschbeurteilung der Lage ist, beweist das Bayerische Landesamt für Datenschutzaufsicht mit einer kürzlichen Bußgeldverhängung.
Der Inhalt im Überblick
Ausgangslage
Entscheiden sich Unternehmen dafür, einzelne Tätigkeiten im Rahmen einer Auftragsdatenverarbeitung auszulagern, ist ein entsprechender Auftragsdatenverarbeitungsvertrag gem. § 11 BDSG abzuschließen. Der Inhalt dieses Vertrages ist größtenteils gesetzlich vorgeschrieben. Die konkrete Ausgestaltung übernimmt im Regelfall der betriebliche Datenschutzbeauftragte. Hilfestellungen und Hintergrundinformationen finden sich in der Fachliteratur und im Internet.
Knackpunkt TOM
Beachtet werden müssen insbesondere die zu treffenden und zu dokumentierenden technischen und organisatorischen Maßnahmen (TOM), vgl. § 11 Abs. 2 Nr. 3 BDSG. Diese muss jedes Unternehmen, also auch der beauftragte Dienstleister, selbst festlegen. Die Maßnahmen sollen der Datensicherheit dienen.
Was ist zu beachten?
Um dieses Ziel zu erreichen, dürfen sie nicht nur auf dem Papier existieren, sondern müssen in der Unternehmensstruktur implementiert sein. Es ist daher zwecklos, wenn der Auftraggeber seinen Auftragnehmern technische und organisatorische Maßnahmen formelhaft vorgibt, ohne die tatsächlichen Umsetzungsmöglichkeiten zu beachten. Vielmehr sollte jeder Auftragnehmer seine technischen und organisatorischen Maßnahmen selbst bestimmen und an die unterschiedlichen Schutzstufen der vorgehaltenen personenbezogenen Daten anpassen.
Je detaillierter man dabei vorgeht, desto besser. Es ist also nicht ausreichend, zu statuieren, dass ein Passwortmanagement besteht. Die TOM sollten auch darüber Aufschluss geben, wie dieses ausgestaltet ist. In gegebenem Beispiel sollte demnach angegeben werden, wie viele Stellen das Passwort haben muss, welche Komplexitätsanforderungen gestellt werden, wie oft das Passwort gewechselt werden muss und nach wie viel Fehlversuchen eine Sperrung erfolgt.
Kontrollpflicht des Auftraggebers
Man halte sich immer vor Augen, dass die schriftliche Fixierung der TOM dazu dient, dem Auftraggeber die gesetzlich vorgeschriebene Kontrolle seines Auftragnehmers zu ermöglichen. Erst wenn dies im Einzelfall problemlos möglich ist, kann die Festlegung der TOM als ausreichend angesehen werden.
Bestätigt durch die Bayerische Datenschutzaufsichtsbehörde
So sagte auch Thomas Kranig, Präsident des BayLDA:
„Jeder Auftraggeber muss wissen und gegebenenfalls auch prüfen, was sein Auftragnehmer mit den Daten macht. Die Datensicherheitsmaßnahmen müssen konkret und spezifisch im Vertrag festgelegt werden. Unspezifische oder pauschale Beschreibungen reichen nicht aus.“
Im vorliegenden Fall wurde ein Bußgeld im fünfstelligen Bereich verhängt. Man muss davon ausgehen, dass auch in Zukunft in ähnlichen Fällen die auftraggebenden Unternehmen nicht unerhebliche Bußgelder treffen werden.
Hallo,
Verweis auf das konkrete Urteil bzw. die Pressemeldung der Aufsichtsbehörde wären hilfreich – sonst klingt es nach Panikmache…
VG, Ramius
Die Pressemitteilung des Bayerischen Landesamtes für Datenschutzaufsicht finden Sie hier.
Ja, stimme zu. Angaben unzureichend. Genaue inhaltliche Information erforderlich.