Menü
Ein Beitrag von Adacor

Datenschutzaufsicht aus Bayern verhängt Geldbuße

Fehlerhafter Vertrag bei ADV kommt teuer zu stehen.Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat kürzlich im Fall einer unzureichenden Auftragserteilung eine Geldbuße in fünfstelliger Höhe festgesetzt.

Da in Unternehmen Geschäftsprozesse zunehmend digital abgebildet werden, müssen die damit verbundenen Prozessketten u. a. für staatliche Kontrollen nachweisbar sein.

Welche Fallstricke dabei lauern und wie diese am besten umgangen werden können, lesen Sie in diesem Beitrag.

Das Bundesdatenschutzgesetz (BDSG) schreibt eine Reihe von Einzelheiten vor, die zum Schutz der personenbezogenen Daten ausdrücklich festgelegt werden müssen. Zweck des Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (§ 1 Abs. 1 BDSG). Es ist anwendbar, wenn Daten in Deutschland erhoben, gespeichert oder verarbeitet werden. Und es bleibt unter Umständen anwendbar, wenn Daten ins Ausland übermittelt werden.

Welche gesetzlichen Anforderungen für Unternehmen darüber hinaus in diesem Kontext relevant sind, haben wir in einem Blogbeitrag beschrieben.

Von besonderer Bedeutung sind die technischen und organisatorischen Maßnahmen (Datensicherheitsmaßnahmen), die der Auftragsdatenverarbeiter zum Schutz der Daten treffen muss. Diese Maßnahmen müssen im schriftlichen Auftrag konkret und spezifisch festgelegt werden. Fehlen konkrete Festlegungen hierzu, stellt dies eine Ordnungswidrigkeit dar, die mit einer Geldbuße von bis zu 50.000 Euro geahndet werden kann. Eine Strafe ungefähr in so einer Größenordnung hat nun das Bayerische Landesamt für Datenschutzaufsicht festgesetzt.

Wortlaut aus der Pressemeldung des BayLDA zum Bußgeld

Das Unternehmen hatte in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt. Stattdessen enthielten die Aufträge nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes. Dies reicht keinesfalls aus. Denn die datenschutzrechtliche Verantwortung trägt auch im Falle der Einschaltung von Auftragsdatenverarbeitern nach wie vor der Auftraggeber. Dieser muss daher beurteilen können, ob der Auftragsdatenverarbeiter in der Lage ist, für die Sicherheit der Daten zu sorgen. Auch muss der Auftraggeber die Einhaltung der technisch-organisatorischen Maßnahmen bei seinem Auftragnehmer kontrollieren. Hierfür ist es unerlässlich, dass die beim Auftragsdatenverarbeiter zum Schutz der Daten zu treffenden technisch-organisatorischen Maßnahmen in dem abzuschließenden schriftlichen Auftrag spezifisch festgelegt werden. Nur so kann der Auftraggeber beurteilen, ob die personenbezogenen Daten bei seinem Auftragnehmer z. B. gegen Auslesen oder Kopieren durch Unbefugte, gegen Verfälschung oder sonstige unberechtigte Abänderung oder gegen zufällige Zerstörung geschützt sind.

Welche vertraglichen Festlegungen zu den technisch-organisatorischen Maßnahmen getroffen werden müssen, kann nicht pauschal beantwortet werden, sondern richtet sich nach dem Datensicherheitskonzept des jeweiligen Dienstleisters und den von diesem zum Einsatz gebrachten spezifischen Datenverarbeitungssystemen. Den gesetzlichen Maßstab für die festzulegenden technisch-organisatorischen Maßnahmen bildet jedenfalls die Anlage zu § 9 BDSG, die Maßnahmen in den Bereichen Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle verlangt. Grundsätzlich muss der schriftliche Auftrag daher spezifische Festlegungen zu diesen Fragen enthalten.

Lösungsansätze für Unternehmen

Nähere Informationen zu den inhaltlichen Anforderungen an die Erteilung von Aufträgen zur Auftragsdatenverarbeitung finden sich in einem Merkblatt des BayLDA. Dieses Informationsblatt ist als PDF-Download auf der Homepage des BayLDA.

Desweiteren hat der Verband IT-bitkom eine Mustervertragsanlage zur Auftragsdatenverarbeitung in seinem Portal hinterlegt.

Video zu Datensicherheit und IT-Security

Der Anspruch der ADACOR Hosting an Datensicherheit und IT-Security geht weit über die Erfüllung gesetzlicher Vorgaben hinaus, wie unser Video zeigt.

, , ,

Sie möchten keinen Beitrag verpassen?

Es gibt einen Newsletter. Hier können Sie ihn abonnieren.

Datenschutzhinweise


Weitere Artikel zum Thema lesen

Das Betriebsteam – Unsere Teams im Fokus

Cloud, Hosting, IT Security

Das Betriebsteam – Unsere Teams im Fokus

Da der Hosting-Betrieb das Kerngeschäft der ADACOR ist, gilt der Betrieb als Herzstück der ADACOR und ist zudem der größte Unternehmensbereich. In diesem Beitrag...

weiter lesen

Das Institut für Sicherheit und Datenschutz im Gesundheitswesen

IT Security

Das Institut für Sicherheit und Datenschutz im Gesundheitswesen

Im Rahmen der Reihe zu mHealth präsentieren wir das ISDSG.

weiter lesen

Deadline EU-DSGVO

IT Security

EU-DSGVO: Machen Sie Datenschutz zur Chefsache!

So wappnen Sie Ihr Unternehmensmanagement vor den den Auswirkungen der EU-Datenschutz-Grundverordnung

weiter lesen


Neueste Nachrichten von Adacor

Hosting

Durch Site Reliability Engineering die Servicequalität steigern

Durch Site Reliability Engineering wird Servicequalität in einem Unternehmen messbar und steuerbar gemacht.

weiter lesen

Biz & Trends

Apps im Test: So gelingt das perfekte Workout

Mit Fitness-Apps trainieren Sie nach einem stressigen Tag im Büro wann und wo Sie wollen.

weiter lesen

Hosting

Storage Migration: Wenn Daten umziehen müssen

Der Austausch von Storage Solutions kann zu einer echten Herausforderung werden. So gelingt sie optimal.

weiter lesen