Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) weist in seiner Pressemitteilung vom 20.08.2015 darauf hin, dass es erstmals gegen ein Unternehmen ein Bußgeld in fünfstelliger Höhe verhängt hat, weil es mit seinen Auftragnehmern keine ausreichende schriftliche Vereinbarung zur Auftragsdatenverarbeitung geschlossen hat.
So wurde seitens der Behörde im konkreten Fall wohl unter anderem bemängelt, dass das Unternehmen in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen (sog. TOMs) zum Schutz der Daten festgelegt habe, sondern nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes zu finden waren.
§ 11 Abs. 1 BDSG regelt hierzu aber,
Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den §§ 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen.
Thomas Kranig, der Präsident des Bayerischen Landesamts für Datenschutzaufsicht führt hierzu aus
„Augen auf beim Einbinden von Dienstleistern. Jeder Auftraggeber muss wissen und gegebenenfalls auch prüfen, was sein Auftragnehmer mit den Daten macht. Die Datensicherheitsmaßnahmen müssen konkret und spezifisch im Vertrag festgelegt werden. Unspezifische oder pauschale Beschreibungen reichen nicht aus. Wir werden auch künftig in geeigneten Fällen Verstöße in diesem Bereich mit Geldbußen ahnden.“
Wir raten an im Rahmen der abzuschließenden Auftragsdatenverarbeitungsverträge nicht auf pauschale Zusicherungen des Gegenübers zu vertrauen, sondern zumindest geeignete Nachweise anzufordern oder sich vor Ort selbst ein Bild zu machen. Andernfalls drohen erhebliche Bußgelder.
Bei Rückfragen steht Ihnen Rechtsanwalt Markus Knieschon gerne zur Verfügung.
Autor: Rechtsanwalt Markus Knieschon