Ein Beitrag von Ingo Kaiser, Projekt29
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat ein Bußgeld in fünfstelliger Höhe verhängt. Das Unternehmen hatte in seinen Verträgen mit mehreren Auftragnehmern keine konkreten technischen und organisatorischen Maßnahmen festgelegt. Stattdessen gab es in den Verträgen nur einige pauschale Aussagen und Zitate aus dem Gesetzestext.
AUFTRAGDATENVERARBEITUNG IST ERNSTZUNEHMEN
Wer einen externen Dienstleister als Auftragsdatenverarbeiter mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt, muss mit diesem einen schriftlichen Vertrag abschließen. Das Gesetz schreibt dabei detailliert die Einzelheiten vor, die zum Schutz der personenbezogenen Daten darin ausdrücklich festgelegt werden müssen. Dazu zählen insbesondere die technischen und organisatorischen Maßnahmen (TOMs), die der Auftragsdatenverarbeiter zum Schutz der Daten aufwenden muss. Diese müssen im Auftragsdatenverarbeitungsvertrag konkret und spezifisch aufgeführt werden. Fehlen diese stellt dies eine Ordnungswidrigkeit dar, die vom BayLDA mit Bußgeld von bis zu 50.000,- € bestraft werden kann.
VERANTWORTUNG LIEGT BEIM AUFTRAGGEBER
Die datenschutzrechtliche Verantwortung trägt bei Beauftragung eines Auftragsdatenverarbeiters trotzdem der Auftraggeber. Dieser muss darum auch beurteilen können, ob der Auftragsdatenverarbeiter die Sicherheit der Daten bestmöglich versichern kann. Dazu hat er auch die Einhaltung der technisch-organisatorischen Maßnahmen bei diesem Auftragnehmer zu kontrollieren.
Anhand der konkreten Beschreibung der TOMs im ADV-Vertrag kann der Auftraggeber beurteilen, ob die personenbezogenen Daten bei seinem Auftragnehmer geschützt sind.
PAUSCHALE FESTLEGUNG IST NICHT MÖGLICH
Welche vertraglichen Festlegungen zu den TOMs getroffen werden müssen, richtet sich nach dem jeweiligen Dienstleister und den von diesem zum Einsatz gebrachten spezifischen Datenverarbeitungssystemen. Da die Daten in jedem Unternehmen durch andere Maßnahmen geschützt werden, sind auch die konkreten TOMs individuell und spezifisch zu dokumentieren. Thomas Kranig, Präsident des BayLDA, appelliert an die Auftraggeber:
„Augen auf beim Einbinden von Dienstleistern. Jeder Auftraggeber muss wissen und gegebenenfalls auch prüfen, was sein Auftragnehmer mit den Daten macht. Die Datensicherheitsmaßnahmen müssen konkret und spezifisch im Vertrag festgelegt werden. Unspezifische oder pauschale Beschreibungen reichen nicht aus. Wir werden auch künftig in geeigneten Fällen Verstöße in diesem Bereich mit Geldbußen ahnden.“
AUCH WARTUNG IST AUFTRAGSDATENVERARBEITUNG
Ein Dienstleister muss gar nicht explizit mit der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten betraut sein. Es reicht bereits wenn der Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Wenn personenbezogene Daten auch nur „beiläufig“ zur Kenntnis gelangen können sieht der Gesetzgeber darin eine gleichartige Gefährdung für das Persönlichkeitsrecht wie bei einer „klassischen“ Auftragsdatenverarbeitung.
Den Originalbeitrag können Sie auf den Seiten von Projekt 29 lesen:
Artikel „Bußgeld für unvollständige ADV Verträge“
Jetzt Ihren AV-Vertrag nach DSGVO ausfüllen!
Bereits seit Mai 2018 sind die neuen AV-Verträge (fürher ADV-Verträge) für unsere Kunden verpflichtend.
Unter nebenstehendem Link finden Sie Ihren Vertrag fertig vorbereitet zum Ausfüllen. Einfach Download starten, das PDF-Formular am Bildschirm ausfüllen, drucken und unterschrieben an uns zum Gegenzeichnen zurücksenden.
Nur so sind Sie vor den Stafgebühren der Bundesbehörden geschützt! Lesen Sie auf unserer Seite mehr über die DSGVO und was die neuen Regeleungen für Sie bedeuten:
- Download starten
- PDF Formular ausfüllen
- drucken und unterschreiben
- per Post an loglevel absenden
- Entspannt zurücklehnen!
