25.08.2015 | Personenbezogene Daten

Bei einer Auftragsdatenverarbeitung müssen Maßnahmen zum Datenschutz festgelegt werden

Bei Auftragsdatenverarbeitung ist eine detaillierter Vertrag nötig.
Bild: Haufe Online Redaktion

Wer einen externen Dienstleister als Auftragsdatenverarbeiter mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt, muss mit diesem einen detaillierten schriftlichen Vertrag abschließen. Sonst droht ein Bußgeld. Darauf weist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hin.

Das  Gesetz  schreibt  eine  Reihe  von  Einzelheiten  vor,  die  zum  Schutz  der  personenbezogenen Daten darin ausdrücklich  festgelegt  werden  müssen.  Von  besonderer  Bedeutung  sind  dabei  die  technischen und organisatorischen Maßnahmen (Datensicherheitsmaßnahmen), die der Auftragsdatenverarbeiter zum Schutz der Daten treffen muss. Diese Maßnahmen müssen im schriftlichen Auftrag konkret und spezifisch festgelegt werden. Fehlen konkrete Festlegungen hierzu, stellt dies eine Ordnungswidrigkeit dar, die mit Geldbuße von bis zu 50.000 Euro geahndet werden kann, so das BayLDA in einer Mitteilung.

Das BayLDA hat kürzlich nach eigenen Angaben gegen ein Unternehmen eine Geldbuße in fünfstelliger Höhe festgesetzt. Das Unternehmen hatte in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt. Stattdessen enthielten die Aufträge nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes. Dies reicht laut BayLDA keinesfalls aus. Denn die datenschutzrechtliche Verantwortung trägt auch im Falle der Einschaltung von Auftragsdatenverarbeitern nach wie vor der Auftraggeber.

Auftragsdatenverarbeitung: Die Verantwortung liegt beim Auftraggeber

Dieser muss daher beurteilen können, ob der Auftragsdatenverarbeiter in der Lage ist, für die Sicherheit der Daten zu sorgen. Auch muss der Auftraggeber die Einhaltung der technisch-organisatorischen Maßnahmen bei seinem Auftragnehmer kontrollieren. Hierfür ist es unerlässlich, dass die beim Auftragsdatenverarbeiter zum Schutz der Daten zu treffenden technisch-organisatorischen Maßnahmen in dem abzuschließenden schriftlichen Auftrag spezifisch festgelegt werden. Nur so kann der Auftraggeber beurteilen, ob die personenbezogenen Daten bei seinem Auftragnehmer zum Beispiel gegen Auslesen oder Kopieren durch Unbefugte, gegen Verfälschung oder sonstige unberechtigte Abänderung oder gegen zufällige Zerstörung geschützt sind.

Welche vertraglichen Festlegungen zu den technisch-organisatorischen Maßnahmen getroffen werden müssen, kann laut BayLDA nicht pauschal beantwortet werden, sondern richtet sich nach dem Datensicherheitskonzept des jeweiligen Dienstleisters und den von diesem zum Einsatz gebrachten spezifischen Datenverarbeitungssystemen.

Weiterlesen:

Personenbezogene Daten dürfen nicht wie eine beliebige Ware veräußert werden

Diese Daten dürfen Sie für persönliche Werbung verwenden

Bayerische Datenschutzaufsicht setzt verstärkt auf Bußgeldverfahren

Schlagworte zum Thema:  Adressmanagement, Database, Datenschutz

Aktuell

Meistgelesen