Mangelhafte Auftragsdatenverarbeitung führt zu Geldbuße in fünfstelliger Höhe

Die Beauftragung eines Unternehmens durch ein anderes ist einer der normalsten Vorgänge im Arbeitsalltag. Oft ist damit die Weitergabe personenbezogener Daten verbunden, die bei dem Subunternehmen gespeichert und verarbeitet werden. Das Bundesdatenschutzgesetz sieht für diesen Fall eine „Vereinbarung zur Auftragsdatenverarbeitung gemäß § 11 BDSG“ vor. Im Internet findet man hierzu viele Vorlagen, die Unternehmen gerne nutzen, auch wenn sie die Vereinbarung des Öfteren als „Papierkram“ einstufen. Immerhin umfasst die Vereinbarung, die Art, Umfang und Zweck der Datenverarbeitung, die Rechte und Pflichten der Vertragsparteien und die Übergabe der Daten bei Vertragsbeendigung regelt, einige Seiten. Dazu kommt eine mehrseitige Übersicht der technischen und organisatorischen Maßnahmen gemäß § 9 BDSG, die der Auftragnehmer ergreift, um die personenbezogenen Daten zu schützen.

Verantwortlich für den Abschluss einer Auftragsdatenverarbeitung ist das beauftragende Unternehmen, es ist „Herr der Daten“. Wie weit diese Verantwortung reicht, zeigt nun ein aktueller Bußgeldbescheid des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA). Hintergrund ist ein Fall, in dem das beauftragende Unternehmen zwar Auftragsdatenverarbeitungen mit seinen Subunternehmen abschloss, jedoch keine konkreten technischen und organisatorischen Maßnahmen zum Schutz der Daten festhielt. Das kam das Unternehmen nun teuer zu stehen: das BayLDA verhängte eine Geldbuße in fünfstelliger Höhe.

Wichtig ist - das betont auch das BayLDA in seiner Pressemeldung - dass das beauftragende Unternehmen verantwortlich ist und die Maßnahmen auch kontrolliert. Wie die Maßnahmen genau gestaltet werden, richtet sich nach der Sensibilität der Daten.

Die nächste Ausgabe von EXPERSite (ET: Mitte September) widmet sich mit einem Schwerpunkt der Auftragsdatenverarbeitung. Fordern Sie hier Ihr persönliches Exemplar an: Nina Richard, Tel. (0211 931 907 33, office@datatree.eu)

Quelle: 

Bayrisches Landesamt für Datenschutzaufsicht (BayLDA), Pressemitteilung vom 20.08.15

Autor: 
Christine Thieme