Bayerischer Datenschutzbeauftragter: Bußgelder wegen fehlender schriftlicher Auftragsdatenverarbeitung

10.09.2015

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) weist in einer aktuellen Pressemitteilung darauf hin, dass es gegen ein Unternehmen ein Bußgeld in fünfstelliger Höhe verhängt hat, weil es mit seinen Auftragnehmern keine ausreichende schriftliche Vereinbarung zur Auftragsdatenverarbeitung geschlossen hat.

Wenn Sie sich fragen, was eine Auftragsdatenverarbeitung überhaupt ist und wann ein solcher Vertrag überhaupt geschlossen werden muss, dann lesen Sie den Aufsatz von RA Dr. Bahr "Auftragsdatenverarbeitung – was ist das denn, bitte schön?" oder schauen Sie sich unser Law-Vodcast-Video an.

Aus der Pressemitteilung des BayLDA:

"Das BayLDA hat kürzlich gegen ein Unternehmen eine Geldbuße in fünfstelliger Höhe festgesetzt. Das Unternehmen hatte in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt. Stattdessen enthielten die Aufträge nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes. Dies reicht keinesfalls aus.

Denn die datenschutzrechtliche Verantwortung trägt auch im Falle der Einschaltung von Auftragsdatenverarbeitern nach wie vor der Auftraggeber. Dieser muss daher beurteilen können, ob der Auftragsdatenverarbeiter in der Lage ist, für die Sicherheit der Daten zu sorgen.

Auch muss der Auftraggeber die Einhaltung der technisch-organisatorischen Maßnahmen bei seinem Auftragnehmer kontrollieren. Hierfür ist es unerlässlich, dass die beim Auftragsdatenverarbeiter zum Schutz der Daten zu treffenden technisch-organisatorischen Maßnahmen in dem abzuschließenden schriftlichen Auftrag spezifisch festgelegt werden. Nur so kann der Auftraggeber beurteilen, ob die personenbezogenen Daten bei seinem Auftragnehmer z. B. gegen Auslesen oder Kopieren durch Unbefugte, gegen Verfälschung oder sonstige unberechtigte Abänderung oder gegen zufällige Zerstörung geschützt sind.

Welche vertraglichen Festlegungen zu den technisch-organisatorischen Maßnahmen getroffen werden müssen, kann nicht pauschal beantwortet werden, sondern richtet sich nach dem Datensicherheitskonzept des jeweiligen Dienstleisters und den von diesem zum Einsatz gebrachten spezifischen Datenverarbeitungssystemen."

Sprechen Sie uns an, wenn Sie Fragenhaben oder Hilfe zu diesem Thema benötigen. RA Dr. Bahr ist TÜV-zertifizierter Datenschutzbeauftragter und seit vielen Jahren auf den Bereich des Datenschutzrechts und Online-Rechts spezialisiert.