BayLDA: Auftragsdatenverarbeitung ohne richtigen Vertrag kann teuer werden!

2. September 2015

Wer einen externen Dienstleister als so genannten Auftragsdatenverarbeiter mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt, muss mit diesem einen schriftlichen Vertrag abschließen. Das Gesetz – so auf Bundesebene § 11 Bundesdatenschutzgesetz (BDSG) – schreibt eine Reihe von Einzelheiten vor, die zum Schutz der personenbezogenen Daten darin ausdrücklich festgelegt werden müssen. Von besonderer Bedeutung sind dabei die technischen und organisatorischen Maßnahmen (Datensicherheitsmaßnahmen), die der Auftragsdatenverarbeiter zum Schutz der Daten treffen muss. Diese Maßnahmen müssen im schriftlichen Auftrag konkret und spezifisch festgelegt werden. Fehlen konkrete Festlegungen hierzu, stellt dies eine Ordnungswidrigkeit dar, die mit Geldbuße von bis zu 50.000,- € geahndet werden kann. So viel die Theorie.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nun nach eigenen Angaben gegen ein Unternehmen eine Geldbuße in fünfstelliger Höhe festgesetzt, weil dieses in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt hatte, sondern dort nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes aufzufinden waren. Das BayLDA wies darauf hin, dass die keinesfalls ausreichend ist. Die datenschutzrechtliche Verantwortung trage auch im Falle der Einschaltung von Auftragsdatenverarbeitern nach wie vor der Auftraggeber. Dieser müsse daher beurteilen können, ob der Auftragsdatenverarbeiter in der Lage ist, für die Sicherheit der Daten zu sorgen ...

Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK