Erst kürzlich berichtete SPIEGEL-ONLINE, dass Kriminelle Zugriff auf die Stammdaten von Kunden erlangt hatten. Betroffen waren der Kundenname, die Adresse, das Geburtsdatum, das Geschlecht, die Bankleitzahl und die Kontonummer. Anscheinend war ein externer Dienstleister hierfür verantwortlich. Nachfolgend daher eine Zusammenfassung der aus rechtlicher Sicht wesentlichen Punkte.
Der Inhalt im Überblick
Die Benachrichtigungspflicht
Da auch Bankdaten betroffen waren, war Vodafone gem. § 42a BDSG zu einer Information ggü. den Betroffenen und der zuständigen Aufsichtsbehörde verpflichtet (sog. Security-Breach-Notification). Im Falle eines Unterlassens dieser Benachrichtigung hätte dem Unternehmen ein Bußgeld gedroht (§ 43 Abs. 2 Nr. 7 BDSG).
Anders hatte dies noch im August ausgesehen, als sich herausstellte, dass Vodafone-Router eine gravierende Sicherheitslücke aufwiesen. Da in solchen Fällen keine Benachrichtigungspflicht besteht, hatte Vodafone erst nach einer offiziellen Meldung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) reagiert.
Der externe Dienstleister
Wie sich nun herausstellt, war der Verlust von Kundendaten lt. SPIEGEL-ONLINE anscheinend auf einen externen Dienstleister mit Kenntnissen über den Administratoren-Bereich des Vodafone-Systems zurückzuführen.
Dieser Fall zeigt einmal mehr wie wichtig die Auswahl des richtigen Dienstleisters ist, wenn gleichwohl gegen ein Höchstmaß krimineller Energie nur schwer anzukämpfen ist. Eine Kontrolle externer Dienstleister ist schon deshalb wichtig, weil die Loyalität eines externes Mitarbeiters im Vergleich zu der eines internen Angestellten regelmäßig eine völlig andere sein wird und jegliche seitens des Unternehmens die Loyalität steigernde Maßnahmen (z.B. Benefits) i.d.R. nur internen wirken und am externen Mitarbeiter u.U. vorbeigehen werden.
Notwendige Kontrollen
Nicht zuletzt schreibt das Gesetz in § 11 Abs. 2 Satz 4 BDSG für Auftragsdatenverarbeitungsverhältnisse Kontrollen des externen Dienstleisters für den Auftraggeber vor und zwar bereits vor Beginn der Datenverarbeitung. Ein Verstoß hiergegen ist bußgeldbewehrt (§ 43 Abs. 1 Nr. 2b BDSG).
Der Vertrag mit dem externen Dienstleister ist zudem auch unter Berücksichtigung der entsprechend gesetzlichen Vorgaben des § 11 Abs. 2 Satz 2 Nr. 1 bis 10 BDSG auszugestalten. Fehlt in dem Vertrag eine Umsetzung der im Gesetz einzeln genannten Punkte, so ist auch dies bußgeldwehrt (§ 43 Abs. 1 Nr. 2b BDSG).
Auch die regelmäßigen Kontrollen nach Beginn der Datenverarbeitung sind nicht zu vernachlässigen, wenngleich ein Verstoß gg. die nachträglichen Kontrollpflichten nicht bußgeldbewehrt sind. Im Falle der Verarbeitung sensibler Daten (siehe hierzu § 42a Satz 1 BDSG), sollten die Kontrollen engmaschiger und intensiver sein, als dies bei ggf. unsensiblen aber gleichwohl schützenswerten Daten (z.B. die bloße Namensangabe) der Fall ist.
Verantwortliche Stelle
Zu erwähnen bleibt noch, dass der Auftraggeber auch bei einer Auftragsdatenverarbeitung verantwortliche Stelle bleibt (§ 3 Abs. 7 BDSG).
D.h. auch wenn der eigene Auftragnehmer unter Umständen weitere Subauftragnehmer einsetzt, hat der Auftraggeber die Sicherheit der Daten zu gewährleisten und bleibt insoweit verantwortlich. Diese Verantwortung kann natürlich deligiert werden (z.B. auf den Auftragnehmer), die Wahrnehmung der deligierten Aufgabe muss jedoch vom Auftraggeber aufgrund seiner expliziten Verantwortung kontrolliert werden.
In Zweifelsfällen gilt natürlich wie immer: Fragen Sie Ihren Datenschutzbeauftragten!
