26
Aug
2015

Datenschutz und IT-Recht

Bayerisches Landesamt für Datenschutzaufsicht ahndet mangelhaften Vertrag zur Auftragsdatenverarbeitung mit Geldbuße in fünfstelliger Höhe

Ausweislich der Pressemitteilung des Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) vom 20. August 2015 wurde die Geldbuße gegen den Auftraggeber festgesetzt, weil das betreffende Unternehmen in seinen Verträgen zur Auftragsdatenverarbeitung „keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt“ hatte. Vielmehr „enthielten die Aufträge nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes“.

Vermeiden Sie Rechtsunsicherheiten bei der Auftragsdatenverarbeitung und unnötige Geldbußen!

Esche Datenschutz-Checklisten für Auftraggeber und Auftragnehmer


Teilweise besteht leider immer noch die Fehlvorstellung, dass die Übernahme von Mustern und/oder die bloße Wiedergabe der Bestimmungen aus der Anlage zu § 9 Satz 1 BDSG ausreichend für die Anforderungen an einen Vertrag zur Auftragsdatenverarbeitung sind. Dies ist allerdings nicht der Fall. Jede (potentielle) Auftragsdatenverarbeitung bedarf einer individuellen rechtlichen Bewertung. Dies gilt insbesondere bei Vertragskonstellationen mit beteiligten Subauftragnehmern (hierzu: Bongers/Krupna "Der Subauftragnehmer im Rahmen der Auftragsdatenverarbeitung – Weisungs- und Kontrollrechte in einer Auftragskette", RDV 2014, S. 19-25).

Bereits eine unzureichende Vertragsgestaltung stellt eine Ordnungswidrigkeit dar, die mit einer Geldbuße bis zu EUR 50.000 geahndet werden kann. Doch auch ungeachtet der gesetzlichen Pflichten sollten Unternehmen ein eigenes Interesse daran haben, insbesondere die technischen und organisatorischen Maßnahmen des Dienstleisters konkret festzulegen und diese regelmäßig zu kontrollieren. Nur durch ein ordnungsgemäßes Datensicherheitskonzept innerhalb des eigenen Unternehmens und bei den Dienstleistern sind die eigenen Daten, beispielsweise vor unbefugten internen und externen Zugriffen, geschützt.

Welche Maßnahmen Auftraggeber und Auftragnehmer im Rahmen einer Auftragsdatenverarbeitung beachten sollten, haben wir für Sie in unseren „Esche Datenschutz-Checklisten“ ausführlich zusammengestellt.

Die jeweiligen Checklisten finden Sie hier:

Für Auftraggeber:

"Esche Datenschutz-Checkliste: Auftragsdatenverarbeitung für Auftraggeber"

Für Auftragnehmer:

"Esche Datenschutz-Checkliste: Auftragsdatenverarbeitung für Auftragnehmer"

Bitte beachten Sie, dass diese Checklisten lediglich als Handlungsempfehlung dienen und selbstverständlich keine individuelle Beratung, insbesondere bei der erforderlichen Vertragsgestaltung, ersetzen.

Autor: Dr. Karsten Krupna

» zur Übersicht