+49 (0) 221 - 290270-40
info@datenschutzrechtsanwaelte.de

Gesetzeswidrige Auftragsdatenverarbeitungsverträge - Bußgelder im fünfstelligen Bereich

Kraft Gesetzes muss derjenige, der einen externen Dienstleister als sogenannten Auftragsdatenverarbeiter mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt, mit diesem einen schriftlichen Vertrag abschließen.

Einzelheiten, die dieser Vertrag beinhalten muss, schreibt das Bundesdatenschutzgesetz vor.

Vor allem müssen dabei die technischen und organisatorischen Maßnahmen, die der Dienstleister zum Schutz der Daten treffen muss, konkret und spezifiziert festgelegt werden. Fehlen diese Angaben oder sind sie zu ungenau formuliert, stellt dies eine Ordnungswidrigkeit dar, welche ein Bußgeld von bis zu 50.000 € zur Folge haben kann.

Das Bayerische Landesamt für Datenschutzaufsicht (kurz BayLDA) hat deswegen kürzlich gegen ein Unternehmen ein Bußgeld in fünfstelliger Höhe festgesetzt. Im zu entscheidenden Fall hatte das Unternehmen in seinen schriftlichen Aufträgen mit verschiedenen Auftragsdatenverarbeitern keine konkreten technischen und organisatorischen Maßnahmen zum Schutz der Daten festgelegt, sondern nur pauschale Aussagen getroffen und den Gesetzestext wiederholt. Das BayLDA entschied, dass dies nicht den Anforderungen an den Vertrag entspräche, um ein hohes Datenschutzniveau zu gewährleisten.

Die Verantwortung für einen fehlerhaften Vertrag bleibt auch bei der Beauftragung von Auftragsdatenverarbeitern bei den Auftraggebern. Sie müssen den Schutz vor unberechtigtem Zugriff auf die personenbezogenen Daten gewährleisten und die Dienstleister kontrollieren.

Welche Maßnahmen im Einzelnen genau getroffen werden müssen, ist pauschal nicht zu beantworten und richtet sich in erster Linie nach der gesetzlichen Anlage zu § 9 BDSG, die Maßnahmen in den Bereichen Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle verlangt. Hierzu muss der einzelne Vertrag Auskunft enthalten.

Es ist aber ebenso auf das Datensicherheitskonzept des jeweiligen Auftragsdatenverarbeiters zu achten.

Abschließend bleibt festzuhalten, dass bei Abschluss eines solchen Vertrages höchste Achtsamkeit geboten ist, um den drohenden Bußgeldern zu entgehen!

Wir beraten sie bei Abschluss eines solchen Vertrages gerne.

© Laura Heel, Stefan Müller-Römer, Alexander Fallenstein, Oktober 2015, Alle Rechte vorbehalten

Zurück


© 2017 Müller-Römer Rechtsanwälte