Datenschutzaufsicht aus Bayern verhängt Geldbuße

Fehlerhafter Vertrag bei ADV kommt teuer zu stehen.Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat kürzlich im Fall einer unzureichenden Auftragserteilung eine Geldbuße in fünfstelliger Höhe festgesetzt.

Da in Unternehmen Geschäftsprozesse zunehmend digital abgebildet werden, müssen die damit verbundenen Prozessketten u. a. für staatliche Kontrollen nachweisbar sein.

Welche Fallstricke dabei lauern und wie diese am besten umgangen werden können, lesen Sie in diesem Beitrag.

Das Bundesdatenschutzgesetz (BDSG) schreibt eine Reihe von Einzelheiten vor, die zum Schutz der personenbezogenen Daten ausdrücklich festgelegt werden müssen. Zweck des Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (§ 1 Abs. 1 BDSG). Es ist anwendbar, wenn Daten in Deutschland erhoben, gespeichert oder verarbeitet werden. Und es bleibt unter Umständen anwendbar, wenn Daten ins Ausland übermittelt werden.

Welche gesetzlichen Anforderungen für Unternehmen darüber hinaus in diesem Kontext relevant sind, haben wir in einem Blogbeitrag beschrieben.

Von besonderer Bedeutung sind die technischen und organisatorischen Maßnahmen (Datensicherheitsmaßnahmen), die der Auftragsdatenverarbeiter zum Schutz der Daten treffen muss. Diese Maßnahmen müssen im schriftlichen Auftrag konkret und spezifisch festgelegt werden. Fehlen konkrete Festlegungen hierzu, stellt dies eine Ordnungswidrigkeit dar, die mit einer Geldbuße von bis zu 50.000 Euro geahndet werden kann. Eine Strafe ungefähr in so einer Größenordnung hat nun das Bayerische Landesamt für Datenschutzaufsicht festgesetzt.

Wortlaut aus der Pressemeldung des BayLDA zum Bußgeld

Das Unternehmen hatte in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt. Stattdessen enthielten die Aufträge nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes. Dies reicht keinesfalls aus. Denn die datenschutzrechtliche Verantwortung trägt auch im Falle der Einschaltung von Auftragsdatenverarbeitern nach wie vor der Auftraggeber. Dieser muss daher beurteilen können, ob der Auftragsdatenverarbeiter in der Lage ist, für die Sicherheit der Daten zu sorgen. Auch muss der Auftraggeber die Einhaltung der technisch-organisatorischen Maßnahmen bei seinem Auftragnehmer kontrollieren. Hierfür ist es unerlässlich, dass die beim Auftragsdatenverarbeiter zum Schutz der Daten zu treffenden technisch-organisatorischen Maßnahmen in dem abzuschließenden schriftlichen Auftrag spezifisch festgelegt werden. Nur so kann der Auftraggeber beurteilen, ob die personenbezogenen Daten bei seinem Auftragnehmer z. B. gegen Auslesen oder Kopieren durch Unbefugte, gegen Verfälschung oder sonstige unberechtigte Abänderung oder gegen zufällige Zerstörung geschützt sind.

Welche vertraglichen Festlegungen zu den technisch-organisatorischen Maßnahmen getroffen werden müssen, kann nicht pauschal beantwortet werden, sondern richtet sich nach dem Datensicherheitskonzept des jeweiligen Dienstleisters und den von diesem zum Einsatz gebrachten spezifischen Datenverarbeitungssystemen. Den gesetzlichen Maßstab für die festzulegenden technisch-organisatorischen Maßnahmen bildet jedenfalls die Anlage zu § 9 BDSG, die Maßnahmen in den Bereichen Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle verlangt. Grundsätzlich muss der schriftliche Auftrag daher spezifische Festlegungen zu diesen Fragen enthalten.

Lösungsansätze für Unternehmen

Nähere Informationen zu den inhaltlichen Anforderungen an die Erteilung von Aufträgen zur Auftragsdatenverarbeitung finden sich in einem Merkblatt des BayLDA. Dieses Informationsblatt ist als PDF-Download auf der Homepage des BayLDA.

Desweiteren hat der Verband IT-bitkom eine Mustervertragsanlage zur Auftragsdatenverarbeitung in seinem Portal hinterlegt.

Video zu Datensicherheit und IT-Security

Der Anspruch der ADACOR Hosting an Datensicherheit und IT-Security geht weit über die Erfüllung gesetzlicher Vorgaben hinaus, wie unser Video zeigt.

, , ,


Weitere Artikel zum Thema lesen

Exzellenter Hosting-Service – Rollenverteilung der Teams bei ADACOR

IT Security

Exzellenter Hosting-Service – Rollenverteilung der Teams bei ADACOR

Um Hosting-Dienstleistungen kunden- und serviceorientiert anbieten zu können, ist es wichtig, dass diverse technische Bausteine und Service-Komponenten effektiv ineinandergreifen. Der reibungslose Betrieb einer Serverlandschaft...

weiter lesen

Health goes mobile: Datenschutz für mHealth

Biz & Trends, IT Security

Health goes mobile: Datenschutz für mHealth

Welche Kategorien von Health Apps gibt es? Kommt jetzt die App aufs Rezept?

weiter lesen

Schutz vor Trojanern

IT Security

Ransomware – Wie kann man sich schützen?

So funktioniert das lukrative Geschäft mit der Erpressung in der digitalen Welt.

weiter lesen


Neueste Nachrichten von ADACOR

Cloud

Hybrid Cloud in vielen Unternehmen bereits Realität

Einsatzmöglichkeiten der Hybrid Cloud und wieso sie die jeweiligen Nachteile von Private und Public Cloud minimiert.

weiter lesen

IT Security

Hintergründe und aktuelle Informationen zur WannaCry-Attacke

Zum Heulen - wie die bislang größte Malware-Attacke ihren Ausgang nahm und welche Gegenmaßnahmen möglich sind.

weiter lesen

Hosting

Pflege und Aufbau eines Datennetzwerks im Rechenzentrum

Konzeptionelle Vorarbeit inklusive der Planung von Redundanzen beim Aufbau eines Datennetzwerks spart im Betrieb Zeit und Kosten.

weiter lesen

Diese Seite verwendet Cookies, welche uns helfen, unsere Services anzubieten und zu verbessern.
Erfahren Sie mehr über unsere Cookie-Richtlinien. Durch die Nutzung dieser Website erklären Sie sich mit der Nutzung von Cookies einverstanden.