Auftragsdatenverarbeitungsvereinbarungen nach § 11 BDSG müssen heutzutage ständig abgeschlossen werden, wenn ein Unternehmen die (Kunden-)daten eines anderes Unternehmens im Auftrag verarbeitet und man nicht sicher eine Funktionsübertragung annehmen kann. Muster für derartige Vereinbarungen zur Auftragsdatenverarbeitungen existieren im Netz an vielen Stellen. In der Regel sehen die Muster auch vor, dass Angaben zur konkreten Auftragsdatenverarbeitung ergänzt werden müssen. Die Praxis gibt sich aber häufig mit der Konkretisierung wenig Mühe.

Dies kann teuer werden, wie das Bayerische Landesamt für Datenschutzaufsicht in einer Pressemitteilung vom 20.08.2015 darlegt.

Die Entscheidung

Das Bayerische Landesamt für Datenschutzaufsicht hat einem Unternehmen eine Geldbuße in fünfstelliger Höhe auferlegt, weil das Unternehmen in schriftlichen Aufträgen mit mehreren Auftragdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt hat.

Der Hintergrund

Das Unternehmen hatte Auftragdatenverarbeitungsvereinbarungen geschlossen, die nur wenige pauschale Aussagen und Wiederholungen des Gesetzestext enthielten. Damit wird der Auftraggeber seiner datenschutzrechtlichen Verantwortung nicht gerecht. Er muss dafür sorgen, dass der Auftragsdatenverarbeiter die Datensicherheit beachtet und die Einhaltung der technisch-organisatorischen Maßnahmen auch kontrollieren.

Ohne genaue Definition der einzuhaltenden Maßnahmen kann schon eine Kontrolle nicht möglich sein, meint die Datenschutzbehörde. In dem schriftlichen Auftrag müssen daher die technisch-organisatorischen Maßnahmen spezifisch festgelegt werden.

Keine Pauschalierung möglich

Die Datenschutzaufsicht weist ergänzend darauf hin, dass eine Pauschalierung nicht möglich ist, weil sich die konkret erforderlichen Maßnahmen nach dem Datensicherheitskonzept des jeweiligen Dienstleisters und den von diesem zum Einsatz gebrachten spezifischen Datenverarbeitungssystemen richtet.

Die gesetzliche Aufzählung

Zutrittskontrolle
Zugangskontrolle
Zugriffskontrolle
Weitergabekontrolle
Eingabekontrolle
Auftragtskontrolle
Verfügbarkeitskontrolle
Trennungskontrolle

ist daher nur ein Anhaltspunkt, welche Einzelfragen einer Regelung bedürfen. Meist muss jedes dieser Themen mit konkret beschriebenen Maßnahmen im Vertrag näher definiert werden.

Praxistipp

Die im Netz vorhandenen Muster, zB. des Hessischen Datenschutzbeauftragen, auf das auch der Bundesdatenschutzbeauftragte verweist, sind nur ein Anhaltspunkt, können aber nicht direkt unterzeichnet werden. Stets müssen sich Techniker und Datenschutzexperten zusammensetzen und eine weitmöglichste Konkretisierung realisieren.

Bezug

Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 20.08.2015

Ergänzende Informationen des Bayerischen Landesamts für Datenschutzaufsicht

Die Ausführungen stellen erste Informationen dar, die zum Zeitpunkt der Erstveröffentlichung aktuell waren. Die Rechtslage kann sich seitdem geändert haben. Zudem können die Ausführungen eine individuelle Beratung zu einem konkreten Sachverhalt nicht ersetzen. Bitte nehmen Sie dazu Kontakt mit uns auf.

Anwälte finden