Hohe Bußgelder wegen unvollständigem Vertrag zur Auftragsdatenverarbeitung
Das Thema Datenschutz gewinnt für alle Unternehmen zusehends an Bedeutung. Das ist auch gut und richtig so, nachdem auch die Aufsichtsbehörden für den Datenschutz zusehends Verstöße verfolgen und auch Bußgelder verhängen. Zur Erinnerung: Bußgelder von bis zu 300.000 Euro können bei solchen Verstößen drohen.
Die Bayerische Datenschutzaufsichtsbehörde hat zum Beispiel erst jüngst mit Pressemitteilung vom 20.08.2015 erklärt, dass sie in einem ersten Fall hohe Bußgelder für eine unvollständige Auftragsdatenvereinbarung verhängt habe. Im konkreten Fall wurde u.a. bemängelt, dass das Unternehmen in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technischen und organisatorischen Maßnahmen nach § 9 Bundesdatenschutzgesetz (BDSG) zum Schutz der Daten festgelegt habe. Stattdessen enthielten die Aufträge nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes.
Die Pressemeldung kann als PDF hier abgerufen werden: https://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/150820%20-%20PM%20Bu%C3%9Fgeld%20Auftragsdatenverarbeitung.pdf
Hintergrund ist der, dass nach § 11 BDSG bei einer Verarbeitung personenbezogener Daten im Auftrag zwingend ein schriftlicher Vertrag zu schließen ist, der in der Vorschrift im Einzelnen aufgeführte Mindestinhalte aufweisen muss. Dazu gehören eben auch die Darstellung und Vereinbarung der technischen und organisatorischen Maßnahmen, die der Auftragnehmer zum Schutz der Daten bei sich umgesetzt hat.
Eine solche Auftragsdatenverarbeitung schlummert in vielen Aufträgen und wird oftmals gar nicht erkannt. Das beginnt bei Outsourcing-Vorgängen und geht bis hin zu Cloud-Nutzungen.
Gibt es keinen schriftlichen Vertrag, dann ist das bereits eine Ordnungswidrigkeit und wird eben mit entsprechenden Bußgeldern geahndet.
Daher ist es sehr zu empfehlen sich immer dann – am besten vorab – anwaltliche Beratung zu holen, wenn Daten mit Bezug auf eine oder mehrere natürliche Personen im Rahmen eines Auftrages übermittelt, weitergegeben oder outgesourct werden sollen.
Sprechen Sie uns dazu jederzeit gerne an.
Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht
Die Bayerische Datenschutzaufsichtsbehörde hat zum Beispiel erst jüngst mit Pressemitteilung vom 20.08.2015 erklärt, dass sie in einem ersten Fall hohe Bußgelder für eine unvollständige Auftragsdatenvereinbarung verhängt habe. Im konkreten Fall wurde u.a. bemängelt, dass das Unternehmen in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technischen und organisatorischen Maßnahmen nach § 9 Bundesdatenschutzgesetz (BDSG) zum Schutz der Daten festgelegt habe. Stattdessen enthielten die Aufträge nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes.
Die Pressemeldung kann als PDF hier abgerufen werden: https://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/150820%20-%20PM%20Bu%C3%9Fgeld%20Auftragsdatenverarbeitung.pdf
Hintergrund ist der, dass nach § 11 BDSG bei einer Verarbeitung personenbezogener Daten im Auftrag zwingend ein schriftlicher Vertrag zu schließen ist, der in der Vorschrift im Einzelnen aufgeführte Mindestinhalte aufweisen muss. Dazu gehören eben auch die Darstellung und Vereinbarung der technischen und organisatorischen Maßnahmen, die der Auftragnehmer zum Schutz der Daten bei sich umgesetzt hat.
Eine solche Auftragsdatenverarbeitung schlummert in vielen Aufträgen und wird oftmals gar nicht erkannt. Das beginnt bei Outsourcing-Vorgängen und geht bis hin zu Cloud-Nutzungen.
Gibt es keinen schriftlichen Vertrag, dann ist das bereits eine Ordnungswidrigkeit und wird eben mit entsprechenden Bußgeldern geahndet.
Daher ist es sehr zu empfehlen sich immer dann – am besten vorab – anwaltliche Beratung zu holen, wenn Daten mit Bezug auf eine oder mehrere natürliche Personen im Rahmen eines Auftrages übermittelt, weitergegeben oder outgesourct werden sollen.
Sprechen Sie uns dazu jederzeit gerne an.
Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht