---

Konkretisierung der Pflichten in der Vereinbarung zur Auftragsdatenverarbeitung nötig

von
Dr. jur. Dirk Lindloff
Rechtsanwalt
Fachanwalt für Gewerblicher Rechtsschutz
Fachanwalt für Informationstechnologierecht

Rufen Sie mich an: 0261 - 404 99 45
E-Mail:

Ausgangslage

Auftragsdatenverarbeitungsvereinbarungen nach § 11 BDSG müssen heutzutage ständig abgeschlossen werden, wenn ein Unternehmen die (Kunden-)daten eines anderes Unternehmens im Auftrag verarbeitet und man nicht sicher eine Funktionsübertragung annehmen kann. Muster für derartige Vereinbarungen zur Auftragsdatenverarbeitungen existieren im Netz an vielen Stellen. In der Regel sehen die Muster auch vor, dass Angaben zur konkreten Auftragsdatenverarbeitung ergänzt werden müssen. Die Praxis gibt sich aber häufig mit der Konkretisierung wenig Mühe.

Dies kann teuer werden, wie das Bayerische Landesamt für Datenschutzaufsicht in einer Pressemitteilung vom 20.08.2015 darlegt.

Die Entscheidung

Das Bayerische Landesamt für Datenschutzaufsicht hat einem Unternehmen eine Geldbuße in fünfstelliger Höhe auferlegt, weil das Unternehmen in schriftlichen Aufträgen mit mehreren Auftragdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt hat.

Der Hintergrund

Das Unternehmen hatte Auftragdatenverarbeitungsvereinbarungen geschlossen, die nur wenige pauschale Aussagen und Wiederholungen des Gesetzestext enthielten. Damit wird der Auftraggeber seiner datenschutzrechtlichen Verantwortung nicht gerecht. Er muss dafür sorgen, dass der Auftragsdatenverarbeiter die Datensicherheit beachtet und die Einhaltung der technisch-organisatorischen Maßnahmen auch kontrollieren.

Ohne genaue Definition der einzuhaltenden Maßnahmen kann schon eine Kontrolle nicht möglich sein, meint die Datenschutzbehörde. In dem schriftlichen Auftrag müssen daher die technisch-organisatorischen Maßnahmen spezifisch festgelegt werden.

Keine Pauschalierung möglich

Die Datenschutzaufsicht weist ergänzend darauf hin, dass eine Pauschalierung nicht möglich ist, weil sich die konkret erforderlichen Maßnahmen nach dem Datensicherheitskonzept des jeweiligen Dienstleisters und den von diesem zum Einsatz gebrachten spezifischen Datenverarbeitungssystemen richtet.

Die gesetzliche Aufzählung

• Zutrittskontrolle
• Zugangskontrolle
• Zugriffskontrolle
• Weitergabekontrolle
• Eingabekontrolle
• Auftragtskontrolle
• Verfügbarkeitskontrolle
• Trennungskontrolle

 ist daher nur ein Anhaltspunkt, welche Einzelfragen einer Regelung bedürfen. Meist muss jedes dieser Themen mit konkret beschriebenen Maßnahmen im Vertrag näher definiert werden.

Praxistipp

Die im Netz vorhandenen Muster, zB. des Hessischen Datenschutzbeauftragen, auf das auch der Bundesdatenschutzbeauftragte verweist, sind nur ein Anhaltspunkt, können aber nicht direkt unterzeichnet werden. Stets müssen sich Techniker und Datenschutzexperten zusammensetzen und eine weitmöglichste Konkretisierung realisieren. 

Bezug

Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 20.08.2015

Ergänzende Informationen des Bayerischen Landesamts für Datenschutzaufsicht

Die Ausführungen stellen eine erste Information dar, die zum Zeitpunkt der Erstveröffentlichung aktuell war. Die Rechtslage kann sich seitdem geändert haben. Zudem können die Ausführungen eine individuelle Beratung zu einem konkreten Sachverhalt nicht ersetzen. Bitte nehmen Sie dazu Kontakt mit uns auf.

Haben Sie Fragen oder wollen Sie Ihren Fall mir kurz beschreiben?

Name

Telefon

E-Mail-Adresse

Ihre Frage oder Fallbeschreibung

Sicherheitsfrage: Wie viel ist 5 plus 3 ?

Da Sie noch kein Mandatsverhältnis mit uns haben, benötigen wir Ihre widerrufliche Einwilligung zur Verarbeitung der Formulardaten, um Ihnen zu antworten. Die Details finden Sie in der Datenschutzerklärung.
Ich habe die Datenschutzerklärung gelesen und willige ein.

   Absenden