Menü
Ein Beitrag von Adacor

Datenschutzaufsicht aus Bayern verhängt Geldbuße

Fehlerhafter Vertrag bei ADV kommt teuer zu stehen.Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat kürzlich im Fall einer unzureichenden Auftragserteilung eine Geldbuße in fünfstelliger Höhe festgesetzt.

Da in Unternehmen Geschäftsprozesse zunehmend digital abgebildet werden, müssen die damit verbundenen Prozessketten u. a. für staatliche Kontrollen nachweisbar sein.

Welche Fallstricke dabei lauern und wie diese am besten umgangen werden können, lesen Sie in diesem Beitrag.

Das Bundesdatenschutzgesetz (BDSG) schreibt eine Reihe von Einzelheiten vor, die zum Schutz der personenbezogenen Daten ausdrücklich festgelegt werden müssen. Zweck des Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (§ 1 Abs. 1 BDSG). Es ist anwendbar, wenn Daten in Deutschland erhoben, gespeichert oder verarbeitet werden. Und es bleibt unter Umständen anwendbar, wenn Daten ins Ausland übermittelt werden.

Welche gesetzlichen Anforderungen für Unternehmen darüber hinaus in diesem Kontext relevant sind, haben wir in einem Blogbeitrag beschrieben.

Von besonderer Bedeutung sind die technischen und organisatorischen Maßnahmen (Datensicherheitsmaßnahmen), die der Auftragsdatenverarbeiter zum Schutz der Daten treffen muss. Diese Maßnahmen müssen im schriftlichen Auftrag konkret und spezifisch festgelegt werden. Fehlen konkrete Festlegungen hierzu, stellt dies eine Ordnungswidrigkeit dar, die mit einer Geldbuße von bis zu 50.000 Euro geahndet werden kann. Eine Strafe ungefähr in so einer Größenordnung hat nun das Bayerische Landesamt für Datenschutzaufsicht festgesetzt.

Wortlaut aus der Pressemeldung des BayLDA zum Bußgeld

Das Unternehmen hatte in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt. Stattdessen enthielten die Aufträge nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes. Dies reicht keinesfalls aus. Denn die datenschutzrechtliche Verantwortung trägt auch im Falle der Einschaltung von Auftragsdatenverarbeitern nach wie vor der Auftraggeber. Dieser muss daher beurteilen können, ob der Auftragsdatenverarbeiter in der Lage ist, für die Sicherheit der Daten zu sorgen. Auch muss der Auftraggeber die Einhaltung der technisch-organisatorischen Maßnahmen bei seinem Auftragnehmer kontrollieren. Hierfür ist es unerlässlich, dass die beim Auftragsdatenverarbeiter zum Schutz der Daten zu treffenden technisch-organisatorischen Maßnahmen in dem abzuschließenden schriftlichen Auftrag spezifisch festgelegt werden. Nur so kann der Auftraggeber beurteilen, ob die personenbezogenen Daten bei seinem Auftragnehmer z. B. gegen Auslesen oder Kopieren durch Unbefugte, gegen Verfälschung oder sonstige unberechtigte Abänderung oder gegen zufällige Zerstörung geschützt sind.

Welche vertraglichen Festlegungen zu den technisch-organisatorischen Maßnahmen getroffen werden müssen, kann nicht pauschal beantwortet werden, sondern richtet sich nach dem Datensicherheitskonzept des jeweiligen Dienstleisters und den von diesem zum Einsatz gebrachten spezifischen Datenverarbeitungssystemen. Den gesetzlichen Maßstab für die festzulegenden technisch-organisatorischen Maßnahmen bildet jedenfalls die Anlage zu § 9 BDSG, die Maßnahmen in den Bereichen Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle verlangt. Grundsätzlich muss der schriftliche Auftrag daher spezifische Festlegungen zu diesen Fragen enthalten.

Lösungsansätze für Unternehmen

Nähere Informationen zu den inhaltlichen Anforderungen an die Erteilung von Aufträgen zur Auftragsdatenverarbeitung finden sich in einem Merkblatt des BayLDA. Dieses Informationsblatt ist als PDF-Download auf der Homepage des BayLDA.

Desweiteren hat der Verband IT-bitkom eine Mustervertragsanlage zur Auftragsdatenverarbeitung in seinem Portal hinterlegt.

Video zu Datensicherheit und IT-Security

Der Anspruch der ADACOR Hosting an Datensicherheit und IT-Security geht weit über die Erfüllung gesetzlicher Vorgaben hinaus, wie unser Video zeigt.

, , ,

Die besten IT-News per E-Mail

Immer als Erster über brandaktuelle IT-Themen informiert sein!


Weitere Artikel zum Thema lesen

Biz & Trends, IT Security

Standardisierte Protokollerstellung mit intranetbasierter Softwarelösung

Die Erstellung von Protokollen mittels webbasierten Software erlaubt es Arbeitsabläufe zu vereinfachen.

weiter lesen

IT-Sicherheitsgesetz – Das sind die wichtigsten Neuerungen im Überblick

IT Security

Durchblick bei der EU Datenschutz-Grundverordnung

Die Zeit drängt: Was Unternehmen jetzt über die EU Datenschutz-Grundverordnung wissen müssen.

weiter lesen

Akronymecke: Was ist Anycast

Biz & Trends, Hosting, IT Security

Akronymecke: Was ist Anycast

Mittels Anycast lassen sich mehrere geografisch verteilte Server über die gleiche IP-Adresse erreichen.

weiter lesen


Neueste Nachrichten von Adacor

Cloud

Was macht Cloud-Dienste sexy?

Die reflexartige Antwort ist häufig mit dem Thema “Kostenersparnis“ verbunden. Doch dies sollte nicht einziges Ziel sein.

weiter lesen

IT-Compliance

IT Security

IT-Compliance mit System

Wie sich Gesetze und Regeln in der IT einhalten lassen. Ein Drei-Punkte-Programm zur Einhaltung von IT-Compliance.

weiter lesen

Passwortsicherheit – Jedes Zeichen zählt!

IT Security

Sicherheitslücke bei WordPress: So lässt sich Phishing verhindern

Neue Serverkonfiguration schützt einfach und effektiv beim Phishing von Reset-Links.

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.