Zum Inhalt springen Zur Navigation springen
Auftragsdatenverarbeitung: fünfstelliges Bußgeld verhängt

Auftragsdatenverarbeitung: fünfstelliges Bußgeld verhängt

Unternehmen gehen oftmals unzutreffend davon aus, dass ein Vertrag zur Auftragsdatenverarbeitung ein reiner Papiertiger sei und eine pauschale Vorlage für alle Verträge dieser Art genüge. Dass dies eine Falschbeurteilung der Lage ist, beweist das Bayerische Landesamt für Datenschutzaufsicht mit einer kürzlichen Bußgeldverhängung.

Ausgangslage

Entscheiden sich Unternehmen dafür, einzelne Tätigkeiten im Rahmen einer Auftragsdatenverarbeitung auszulagern, ist ein entsprechender Auftragsdatenverarbeitungsvertrag gem. § 11 BDSG abzuschließen. Der Inhalt dieses Vertrages ist größtenteils gesetzlich vorgeschrieben. Die konkrete Ausgestaltung übernimmt im Regelfall der betriebliche Datenschutzbeauftragte. Hilfestellungen und Hintergrundinformationen finden sich in der Fachliteratur und im Internet.

Knackpunkt TOM

Beachtet werden müssen insbesondere die zu treffenden und zu dokumentierenden technischen und organisatorischen Maßnahmen (TOM), vgl. § 11 Abs. 2 Nr. 3 BDSG. Diese muss jedes Unternehmen, also auch der beauftragte Dienstleister, selbst festlegen. Die Maßnahmen sollen der Datensicherheit dienen.

Was ist zu beachten?

Um dieses Ziel zu erreichen, dürfen sie nicht nur auf dem Papier existieren, sondern müssen in der Unternehmensstruktur implementiert sein. Es ist daher zwecklos, wenn der Auftraggeber seinen Auftragnehmern technische und organisatorische Maßnahmen formelhaft vorgibt, ohne die tatsächlichen Umsetzungsmöglichkeiten zu beachten. Vielmehr sollte jeder Auftragnehmer seine technischen und organisatorischen Maßnahmen selbst bestimmen und an die unterschiedlichen Schutzstufen der vorgehaltenen personenbezogenen Daten anpassen.

Je detaillierter man dabei vorgeht, desto besser. Es ist also nicht ausreichend, zu statuieren, dass ein Passwortmanagement besteht. Die TOM sollten auch darüber Aufschluss geben, wie dieses ausgestaltet ist. In gegebenem Beispiel sollte demnach angegeben werden, wie viele Stellen das Passwort haben muss, welche Komplexitätsanforderungen gestellt werden, wie oft das Passwort gewechselt werden muss und nach wie viel Fehlversuchen eine Sperrung erfolgt.

Kontrollpflicht des Auftraggebers

Man halte sich immer vor Augen, dass die schriftliche Fixierung der TOM dazu dient, dem Auftraggeber die gesetzlich vorgeschriebene Kontrolle seines Auftragnehmers zu ermöglichen. Erst wenn dies im Einzelfall problemlos möglich ist, kann die Festlegung der TOM als ausreichend angesehen werden.

Bestätigt durch die Bayerische Datenschutzaufsichtsbehörde

So sagte auch Thomas Kranig, Präsident des BayLDA:

„Jeder Auftraggeber muss wissen und gegebenenfalls auch prüfen, was sein Auftragnehmer mit den Daten macht. Die Datensicherheitsmaßnahmen müssen konkret und spezifisch im Vertrag festgelegt werden. Unspezifische oder pauschale Beschreibungen reichen nicht aus.“

Im vorliegenden Fall wurde ein Bußgeld im fünfstelligen Bereich verhängt. Man muss davon ausgehen, dass auch in Zukunft in ähnlichen Fällen die auftraggebenden Unternehmen nicht unerhebliche Bußgelder treffen werden.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.