Datenschutzaufsicht aus Bayern verhängt Geldbuße

Fehlerhafter Vertrag bei ADV kommt teuer zu stehen.Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat kürzlich im Fall einer unzureichenden Auftragserteilung eine Geldbuße in fünfstelliger Höhe festgesetzt.

Da in Unternehmen Geschäftsprozesse zunehmend digital abgebildet werden, müssen die damit verbundenen Prozessketten u. a. für staatliche Kontrollen nachweisbar sein.

Welche Fallstricke dabei lauern und wie diese am besten umgangen werden können, lesen Sie in diesem Beitrag.

Das Bundesdatenschutzgesetz (BDSG) schreibt eine Reihe von Einzelheiten vor, die zum Schutz der personenbezogenen Daten ausdrücklich festgelegt werden müssen. Zweck des Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (§ 1 Abs. 1 BDSG). Es ist anwendbar, wenn Daten in Deutschland erhoben, gespeichert oder verarbeitet werden. Und es bleibt unter Umständen anwendbar, wenn Daten ins Ausland übermittelt werden.

Welche gesetzlichen Anforderungen für Unternehmen darüber hinaus in diesem Kontext relevant sind, haben wir in einem Blogbeitrag beschrieben.

Von besonderer Bedeutung sind die technischen und organisatorischen Maßnahmen (Datensicherheitsmaßnahmen), die der Auftragsdatenverarbeiter zum Schutz der Daten treffen muss. Diese Maßnahmen müssen im schriftlichen Auftrag konkret und spezifisch festgelegt werden. Fehlen konkrete Festlegungen hierzu, stellt dies eine Ordnungswidrigkeit dar, die mit einer Geldbuße von bis zu 50.000 Euro geahndet werden kann. Eine Strafe ungefähr in so einer Größenordnung hat nun das Bayerische Landesamt für Datenschutzaufsicht festgesetzt.

Wortlaut aus der Pressemeldung des BayLDA zum Bußgeld

Das Unternehmen hatte in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt. Stattdessen enthielten die Aufträge nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes. Dies reicht keinesfalls aus. Denn die datenschutzrechtliche Verantwortung trägt auch im Falle der Einschaltung von Auftragsdatenverarbeitern nach wie vor der Auftraggeber. Dieser muss daher beurteilen können, ob der Auftragsdatenverarbeiter in der Lage ist, für die Sicherheit der Daten zu sorgen. Auch muss der Auftraggeber die Einhaltung der technisch-organisatorischen Maßnahmen bei seinem Auftragnehmer kontrollieren. Hierfür ist es unerlässlich, dass die beim Auftragsdatenverarbeiter zum Schutz der Daten zu treffenden technisch-organisatorischen Maßnahmen in dem abzuschließenden schriftlichen Auftrag spezifisch festgelegt werden. Nur so kann der Auftraggeber beurteilen, ob die personenbezogenen Daten bei seinem Auftragnehmer z. B. gegen Auslesen oder Kopieren durch Unbefugte, gegen Verfälschung oder sonstige unberechtigte Abänderung oder gegen zufällige Zerstörung geschützt sind.

Welche vertraglichen Festlegungen zu den technisch-organisatorischen Maßnahmen getroffen werden müssen, kann nicht pauschal beantwortet werden, sondern richtet sich nach dem Datensicherheitskonzept des jeweiligen Dienstleisters und den von diesem zum Einsatz gebrachten spezifischen Datenverarbeitungssystemen. Den gesetzlichen Maßstab für die festzulegenden technisch-organisatorischen Maßnahmen bildet jedenfalls die Anlage zu § 9 BDSG, die Maßnahmen in den Bereichen Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle verlangt. Grundsätzlich muss der schriftliche Auftrag daher spezifische Festlegungen zu diesen Fragen enthalten.

Lösungsansätze für Unternehmen

Nähere Informationen zu den inhaltlichen Anforderungen an die Erteilung von Aufträgen zur Auftragsdatenverarbeitung finden sich in einem Merkblatt des BayLDA. Dieses Informationsblatt ist als PDF-Download auf der Homepage des BayLDA.

Desweiteren hat der Verband IT-bitkom eine Mustervertragsanlage zur Auftragsdatenverarbeitung in seinem Portal hinterlegt.

Video zu Datensicherheit und IT-Security

Der Anspruch der ADACOR Hosting an Datensicherheit und IT-Security geht weit über die Erfüllung gesetzlicher Vorgaben hinaus, wie unser Video zeigt.

, , ,


Weitere Artikel zum Thema lesen

Verschlüsselung digitaler Kommunikation

Biz & Trends, IT Security, IT-News

Verschlüsselung digitaler Kommunikation

In unserer neuen Serie zur Verschlüsselung digitaler Kommunikation starten wir mit der Geschichte der Kryptografie.

weiter lesen

Datenverlust vermeiden – Infografik zeigt wie Datenspeicherung geht

IT Security

Datenverlust vermeiden – Infografik zeigt wie Datenspeicherung geht

Wir haben in einer Infografik die sichersten Möglichkeiten der Datenspeicherung aufbereitet.

weiter lesen

Sicherer Systemzugriff

IT Security

Sicherer Systemzugriff für Aushilfen

Beim Einsatz von externen Mitarbeitern, können Unternehmen schnell Gefahr laufen, das eigene Sicherheitskonzept zu verletzen, sofern sie nicht angestellten Personen Zugriff auf das Firmennetzwerk...

weiter lesen


Neueste Nachrichten von Adacor

Cloud Integration

Cloud

Beschleunigte Digitalisierung durch Cloud Computing

Ohne Prozessveränderungen kein Fortschritt bei der Digitalisierung. Doch Erfolgsfaktoren für eine erfolgreiche Cloud-Integration lassen sich benennen.

weiter lesen

Definition DevOps

Cloud

DevOps: Automatisieren anstelle von Reparieren

DevOps erforden ein Umdenken bei der Adminstration. OpenStack oder OpenNebula – womit gelingt die schnellere Umsetzung von Webservices?

weiter lesen

Mit SSL sicher verschlüsselt

IT Security, IT-News

SSL-Zertifikate mit dreijähriger Laufzeit am Ende

Erste Anbieter haben dreijährige Zertifikate bereits aus dem Programm genommen. Welche Auswirkungen hat dies auf den Bezug und die Erneuerung von SSL-Zertifikaten?

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.