Menü
Ein Beitrag von Adacor

Datenschutzaufsicht aus Bayern verhängt Geldbuße

Fehlerhafter Vertrag bei ADV kommt teuer zu stehen.Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat kürzlich im Fall einer unzureichenden Auftragserteilung eine Geldbuße in fünfstelliger Höhe festgesetzt.

Da in Unternehmen Geschäftsprozesse zunehmend digital abgebildet werden, müssen die damit verbundenen Prozessketten u. a. für staatliche Kontrollen nachweisbar sein.

Welche Fallstricke dabei lauern und wie diese am besten umgangen werden können, lesen Sie in diesem Beitrag.

Das Bundesdatenschutzgesetz (BDSG) schreibt eine Reihe von Einzelheiten vor, die zum Schutz der personenbezogenen Daten ausdrücklich festgelegt werden müssen. Zweck des Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (§ 1 Abs. 1 BDSG). Es ist anwendbar, wenn Daten in Deutschland erhoben, gespeichert oder verarbeitet werden. Und es bleibt unter Umständen anwendbar, wenn Daten ins Ausland übermittelt werden.

Welche gesetzlichen Anforderungen für Unternehmen darüber hinaus in diesem Kontext relevant sind, haben wir in einem Blogbeitrag beschrieben.

Von besonderer Bedeutung sind die technischen und organisatorischen Maßnahmen (Datensicherheitsmaßnahmen), die der Auftragsdatenverarbeiter zum Schutz der Daten treffen muss. Diese Maßnahmen müssen im schriftlichen Auftrag konkret und spezifisch festgelegt werden. Fehlen konkrete Festlegungen hierzu, stellt dies eine Ordnungswidrigkeit dar, die mit einer Geldbuße von bis zu 50.000 Euro geahndet werden kann. Eine Strafe ungefähr in so einer Größenordnung hat nun das Bayerische Landesamt für Datenschutzaufsicht festgesetzt.

Wortlaut aus der Pressemeldung des BayLDA zum Bußgeld

Das Unternehmen hatte in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt. Stattdessen enthielten die Aufträge nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes. Dies reicht keinesfalls aus. Denn die datenschutzrechtliche Verantwortung trägt auch im Falle der Einschaltung von Auftragsdatenverarbeitern nach wie vor der Auftraggeber. Dieser muss daher beurteilen können, ob der Auftragsdatenverarbeiter in der Lage ist, für die Sicherheit der Daten zu sorgen. Auch muss der Auftraggeber die Einhaltung der technisch-organisatorischen Maßnahmen bei seinem Auftragnehmer kontrollieren. Hierfür ist es unerlässlich, dass die beim Auftragsdatenverarbeiter zum Schutz der Daten zu treffenden technisch-organisatorischen Maßnahmen in dem abzuschließenden schriftlichen Auftrag spezifisch festgelegt werden. Nur so kann der Auftraggeber beurteilen, ob die personenbezogenen Daten bei seinem Auftragnehmer z. B. gegen Auslesen oder Kopieren durch Unbefugte, gegen Verfälschung oder sonstige unberechtigte Abänderung oder gegen zufällige Zerstörung geschützt sind.

Welche vertraglichen Festlegungen zu den technisch-organisatorischen Maßnahmen getroffen werden müssen, kann nicht pauschal beantwortet werden, sondern richtet sich nach dem Datensicherheitskonzept des jeweiligen Dienstleisters und den von diesem zum Einsatz gebrachten spezifischen Datenverarbeitungssystemen. Den gesetzlichen Maßstab für die festzulegenden technisch-organisatorischen Maßnahmen bildet jedenfalls die Anlage zu § 9 BDSG, die Maßnahmen in den Bereichen Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle verlangt. Grundsätzlich muss der schriftliche Auftrag daher spezifische Festlegungen zu diesen Fragen enthalten.

Lösungsansätze für Unternehmen

Nähere Informationen zu den inhaltlichen Anforderungen an die Erteilung von Aufträgen zur Auftragsdatenverarbeitung finden sich in einem Merkblatt des BayLDA. Dieses Informationsblatt ist als PDF-Download auf der Homepage des BayLDA.

Desweiteren hat der Verband IT-bitkom eine Mustervertragsanlage zur Auftragsdatenverarbeitung in seinem Portal hinterlegt.

Video zu Datensicherheit und IT-Security

Der Anspruch der ADACOR Hosting an Datensicherheit und IT-Security geht weit über die Erfüllung gesetzlicher Vorgaben hinaus, wie unser Video zeigt.

, , ,


Weitere Artikel zum Thema lesen

Trendumfrage – wichtigste IT-Themen 2015

Biz & Trends, Cloud, IT Security

Trendumfrage – wichtigste IT-Themen 2015

Cloud Computing liegt vorne, dann folgen IT-Sicherheit und Big Data. Industrie 4.0 wird wichtiger.

weiter lesen

Einsatzszenarien von Flow Sampling

Cloud, Hosting, IT Security, IT-News

Einsatzszenarien von Flow Sampling

Flow Sampling ist essentiell beispielsweise zur Anaylse von Störungen oder Abrechnen von volumenbasierten Datenverkehr. In diesem Beitrag definieren wir Flow Sampling und welche Vorteile,...

weiter lesen

Ticket-Systeme in der IT einsetzen

Biz & Trends, Cloud, Hosting, IT Security

Ticket-Systeme in der IT einsetzen

Der Trend ist unverkennbar. Das Prinzip der Dezentralisierung und die damit verbundenen zahlreichen Insellösungen haben sich für den IT-Support in Unternehmen eher als Fluch,...

weiter lesen


Neueste Nachrichten von Adacor

DevOps in Unternehmen

Hosting

Wann DevOps für Unternehmen sinnvoll ist

Das Zusammenfinden der beiden Bereiche „Entwicklung und Betrieb“ ist vor der ersten Zeile Code obligatorisch, denn DevOps ist kein Framework, sondern eine Kultur.

weiter lesen

Der Schlüssel zum effektiven Domain Management

Domains

Domain Management: Verwalten Sie Ihre Domains (noch) selbst?

Die Anzahl der Domains nimmt verstärkt zu. Deren Management wird zunehmend zur Herausforderung. Wir bieten Ihnen den Schlüssel zum effektiven Domain Management.

weiter lesen

So funktioniert Cloud Hosting

Cloud

So funktioniert Cloud Hosting

Das Modell Cloud Hosting verspricht jederzeit skalierbare, virtualisierte Server, die immer die Leistung zur Verfügung stellen, die gerade benötigt wird.

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.