Konkretisierung der Pflichten in der Vereinbarung zur Auftragsdatenverarbeitung nötig
von
Dr. jur. Dirk Lindloff
Rechtsanwalt
Fachanwalt für Gewerblicher Rechtsschutz
Fachanwalt für Informationstechnologierecht
Rufen Sie mich an: 0261 - 404 99 45
E-Mail:
Ausgangslage
Auftragsdatenverarbeitungsvereinbarungen nach § 11 BDSG müssen heutzutage ständig abgeschlossen werden, wenn ein Unternehmen die (Kunden-)daten eines anderes Unternehmens im Auftrag verarbeitet und man nicht sicher eine Funktionsübertragung annehmen kann. Muster für derartige Vereinbarungen zur Auftragsdatenverarbeitungen existieren im Netz an vielen Stellen. In der Regel sehen die Muster auch vor, dass Angaben zur konkreten Auftragsdatenverarbeitung ergänzt werden müssen. Die Praxis gibt sich aber häufig mit der Konkretisierung wenig Mühe.
Dies kann teuer werden, wie das Bayerische Landesamt für Datenschutzaufsicht in einer Pressemitteilung vom 20.08.2015 darlegt.
Die Entscheidung
Das Bayerische Landesamt für Datenschutzaufsicht hat einem Unternehmen eine Geldbuße in fünfstelliger Höhe auferlegt, weil das Unternehmen in schriftlichen Aufträgen mit mehreren Auftragdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt hat.
Der Hintergrund
Das Unternehmen hatte Auftragdatenverarbeitungsvereinbarungen geschlossen, die nur wenige pauschale Aussagen und Wiederholungen des Gesetzestext enthielten. Damit wird der Auftraggeber seiner datenschutzrechtlichen Verantwortung nicht gerecht. Er muss dafür sorgen, dass der Auftragsdatenverarbeiter die Datensicherheit beachtet und die Einhaltung der technisch-organisatorischen Maßnahmen auch kontrollieren.
Ohne genaue Definition der einzuhaltenden Maßnahmen kann schon eine Kontrolle nicht möglich sein, meint die Datenschutzbehörde. In dem schriftlichen Auftrag müssen daher die technisch-organisatorischen Maßnahmen spezifisch festgelegt werden.
Keine Pauschalierung möglich
Die Datenschutzaufsicht weist ergänzend darauf hin, dass eine Pauschalierung nicht möglich ist, weil sich die konkret erforderlichen Maßnahmen nach dem Datensicherheitskonzept des jeweiligen Dienstleisters und den von diesem zum Einsatz gebrachten spezifischen Datenverarbeitungssystemen richtet.
Die gesetzliche Aufzählung
- Zutrittskontrolle
- Zugangskontrolle
- Zugriffskontrolle
- Weitergabekontrolle
- Eingabekontrolle
- Auftragtskontrolle
- Verfügbarkeitskontrolle
- Trennungskontrolle
ist daher nur ein Anhaltspunkt, welche Einzelfragen einer Regelung bedürfen. Meist muss jedes dieser Themen mit konkret beschriebenen Maßnahmen im Vertrag näher definiert werden.
Praxistipp
Die im Netz vorhandenen Muster, zB. des Hessischen Datenschutzbeauftragen, auf das auch der Bundesdatenschutzbeauftragte verweist, sind nur ein Anhaltspunkt, können aber nicht direkt unterzeichnet werden. Stets müssen sich Techniker und Datenschutzexperten zusammensetzen und eine weitmöglichste Konkretisierung realisieren.
Bezug
Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 20.08.2015
Ergänzende Informationen des Bayerischen Landesamts für Datenschutzaufsicht
Die Ausführungen stellen erste Informationen dar, die zum Zeitpunkt der Erstveröffentlichung aktuell waren. Die Rechtslage kann sich seitdem geändert haben. Zudem können die Ausführungen eine individuelle Beratung zu einem konkreten Sachverhalt nicht ersetzen. Bitte nehmen Sie dazu Kontakt mit uns auf.