Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat ein Bußgeld in fünfstelliger Höhe verhängt. Das Unternehmen hatte in seinen Verträgen mit mehreren Auftragnehmern keine konkreten technischen und organisatorischen Maßnahmen festgelegt. Stattdessen gab es in den Verträgen nur einige pauschale Aussagen und Zitate aus dem Gesetzestext.
AUFTRAGDATENVERARBEITUNG IST ERNSTZUNEHMEN
Wer einen externen Dienstleister als Auftragsdatenverarbeiter mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt, muss mit diesem einen schriftlichen Vertrag abschließen. Das Gesetz schreibt dabei detailliert die Einzelheiten vor, die zum Schutz der personenbezogenen Daten darin ausdrücklich festgelegt werden müssen. Dazu zählen insbesondere die technischen und organisatorischen Maßnahmen (TOMs), die der Auftragsdatenverarbeiter zum Schutz der Daten aufwenden muss. Diese müssen im Auftragsdatenverarbeitungsvertrag konkret und spezifisch aufgeführt werden. Fehlen diese stellt dies eine Ordnungswidrigkeit dar, die vom BayLDA mit Bußgeld von bis zu 50.000,- € bestraft werden kann.
VERANTWORTUNG LIEGT BEIM AUFTRAGGEBER
Die datenschutzrechtliche Verantwortung trägt bei Beauftragung eines Auftragsdatenverarbeiters trotzdem der Auftraggeber. Dieser muss darum auch beurteilen können, ob der Auftragsdatenverarbeiter die Sicherheit der Daten bestmöglich versichern kann. Dazu hat er auch die Einhaltung der technisch-organisatorischen Maßnahmen bei diesem Auftragnehmer zu kontrollieren.
Anhand der konkreten Beschreibung der TOMs im ADV-Vertrag kann der Auftraggeber beurteilen, ob die personenbezogenen Daten bei seinem Auftragnehmer geschützt sind.
PAUSCHALE FESTLEGUNG IST NICHT MÖGLICH
Welche vertraglichen Festlegungen zu den TOMs getroffen werden müssen, richtet sich nach dem jeweiligen Dienstleister und den von diesem zum Einsatz gebrachten spezifischen Datenverarbeitungssystemen. Da die Daten in jedem Unternehmen durch andere Maßnahmen geschützt werden, sind auch die konkreten TOMs individuell und spezifisch zu dokumentieren. Thomas Kranig, Präsident des BayLDA, appelliert an die Auftraggeber:
„Augen auf beim Einbinden von Dienstleistern. Jeder Auftraggeber muss wissen und gegebenenfalls auch prüfen, was sein Auftragnehmer mit den Daten macht. Die Datensicherheitsmaßnahmen müssen konkret und spezifisch im Vertrag festgelegt werden. Unspezifische oder pauschale Beschreibungen reichen nicht aus. Wir werden auch künftig in geeigneten Fällen Verstöße in diesem Bereich mit Geldbußen ahnden.“
AUCH WARTUNG IST AUFTRAGSDATENVERARBEITUNG
Ein Dienstleister muss gar nicht explizit mit der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten betraut sein. Es reicht bereits wenn der Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Wenn personenbezogene Daten auch nur „beiläufig“ zur Kenntnis gelangen können sieht der Gesetzgeber darin eine gleichartige Gefährdung für das Persönlichkeitsrecht wie bei einer „klassischen“ Auftragsdatenverarbeitung.