Auftragsdatenverarbeitung: fünfstelliges Bußgeld verhängt

Unternehmen gehen oftmals unzutreffend davon aus, dass ein Vertrag zur Auftragsdatenverarbeitung ein reiner Papiertiger sei und eine pauschale Vorlage für alle Verträge dieser Art genüge. Dass dies eine Falschbeurteilung der Lage ist, beweist das Bayerische Landesamt für Datenschutzaufsicht mit einer kürzlichen Bußgeldverhängung.

Ausgangslage

Entscheiden sich Unternehmen dafür, einzelne Tätigkeiten im Rahmen einer Auftragsdatenverarbeitung auszulagern, ist ein entsprechender Auftragsdatenverarbeitungsvertrag gem. § 11 BDSG abzuschließen. Der Inhalt dieses Vertrages ist größtenteils gesetzlich vorgeschrieben. Die konkrete Ausgestaltung übernimmt im Regelfall der betriebliche Datenschutzbeauftragte. Hilfestellungen und Hintergrundinformationen finden sich in der Fachliteratur und im Internet.

Knackpunkt TOM

Beachtet werden müssen insbesondere die zu treffenden und zu dokumentierenden technischen und organisatorischen Maßnahmen (TOM), vgl. § 11 Abs. 2 Nr. 3 BDSG. Diese muss jedes Unternehmen, also auch der beauftragte Dienstleister, selbst festlegen. Die Maßnahmen sollen der Datensicherheit dienen.

Was ist zu beachten?

Um dieses Ziel zu erreichen, dürfen sie nicht nur auf dem Papier existieren, sondern müssen in der Unternehmensstruktur implementiert sein. Es ist daher zwecklos, wenn der Auftraggeber seinen Auftragnehmern technische und organisatorische Maßnahmen formelhaft vorgibt, ohne die tatsächlichen Umsetzungsmöglichkeiten zu beachten ...

Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK