Fünfstelliges Bußgeld für Mängel bei der Vereinbarung zur Auftragsdatenverarbeitung
 
 
 | 
Datenschutz

Fünfstelliges Bußgeld für Mängel bei der Vereinbarung zur Auftragsdatenverarbeitung

Versäumnisse beim Thema Datenschutz und Datensicherheit sind für Unternehmen vor allem dann schmerzhaft, wenn  z.B. durch einen Phishing-Angriff oder sonstige Lücken in der eigenen IT-Sicherheit Kundendaten gestohlen und im Internet verbreitet werden. So führte beispielsweise die jüngst erfolgte Veröffentlichung von Nutzerdaten des US-Seitensprung-Portals Ashley Madison nicht nur zu für die Kunden unangenehme Einblicke in ihre privaten Daten, auch der Seitenbetreiber selbst sieht sich jetzt mit zahlreichen Klagen dieser Ex-Kunden konfrontiert.

Dass jedoch auch die staatlichen Aufsichtsbehörden vermeintlich weniger schwer wiegende Nachlässigkeiten mit teilweise empfindlichen Bußgeldern belegen, zeigt eine aktuelle Entscheidung des Bayerischen Landesamtes für Datenschutzaufsicht [PDF]. Die Behörde verhängte gegen ein Unternehmen ein fünfstelliges Bußgeld wegen inhaltlicher Mängel bei einer Vereinbarung zur Auftragsdatenverarbeitung.

Die Auftragsdatenverarbeitung nach § 11 Bundesdatenschutzgesetz (BDSG) dient Unternehmen (den Auftraggebern) dazu, personenbezogene Daten durch dritte Unternehmen (die Auftragnehmer) erheben, verarbeiten oder nutzen zu lassen. Um dieses Outsourcing datenschutzkonform auszugestalten, schreibt das BDSG vor, dass Auftraggeber und Auftragnehmer einen schriftlichen Vertrag schließen. Aus § 11 BDSG ergeben sich dabei bestimmte Mindestvoraussetzungen an den Inhalt einer solchen Vereinbarung. Um ein ausreichendes Schutzniveau für die beim Auftragnehmer verarbeiteten Daten sicherzustellen, sind in Vereinbarung zur Auftragsdatenverarbeitung unter anderem die vom Auftragnehmer vorgenommenen technischen und organisatorischen Maßnahmen zum Schutz der Daten festzuhalten.

Dies war in dem vom Bayerischen Landesamt für Datenschutzaufsicht untersuchten Fall gerade nicht ausreichend erfolgt. Die dortige Vereinbarung beschränkte sich im Wesentlichen darauf, den Gesetzeswortlaut wiederzugeben, enthielt jedoch keine konkret beschriebenen Maßnahmen des Auftragnehmers zur Sicherung der Daten. Dies war für die Aufsichtsbehörde nicht ausreichend.
 ​
Das BDSG macht keine detaillierten Vorgaben, welchen Inhalt eine Vereinbarung zu technischen und organisatorischen Aufgaben haben muss. Dies richtet sich vor allem nach der Schutzbedürftigkeit der verarbeiteten Daten und ist daher stets eine Einzelfallentscheidung. Die Anlange zu § 9 BDSG gibt jedoch jedenfalls eine gesetzliche Leitlinie, welche Fragen bei der Vereinbarung von technischen und organisatorischen Maßnahmen zu berücksichtigen sind. Zu beachten sind so zumindest Maßnahmen zur Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle.

Folgerichtig ist daher die Entscheidung der Datenschutz-Behörde, dass unspezifische Umschreibungen bzw. die reine Wiederholung des Gesetzeswortlautes für eine rechtskonforme Vereinbarung zur Auftragsdatenverarbeitung nicht ausreichen. Die unvollständige bzw. fehlerhafte Vereinbarung kann daher als Ordnungswidrigkeit nach § 43 Abs. 1 Nr. 2b) BGSG mit einer Geldbuße bis zu 50.000 € sanktioniert werden.

Praxistipp:
Ein Muster zur rechtskonformen Gestaltung einer Vereinbarung zur Auftragsdatenverarbeitung findet sich auf der Webseite des Bitkom. Die jeweils einschlägigen technischen und organisatorischen Maßnahmen sind jedoch auch bei Verwendung des Musters für jeden Einzelfall durch Auftraggeber und Auftragnehmer konkret zu vereinbaren und zu dokumentieren. Dies gilt insbesondere vor dem Hintergrund, dass das Bayerische Landesamtes für Datenschutzaufsicht angekündigt hat, auch künftig Bußgeldverfahren wegen fehlerhafter bzw. unvollständiger Vereinbarungen durchzuführen.