Buß­geld wegen feh­ler­haf­ter Auf­trags­da­ten­ver­ar­bei­tung verhängt

Lang­jäh­ri­ge Kun­den und Emp­fän­ger unse­rer Daten­schutz-Infor­ma­ti­on wer­den sich an das wie­der­keh­ren­de The­ma die­ses Bei­tra­ges sicher erin­nern und haben die Infor­ma­ti­on am Tag der Ver­öf­fent­li­chung der Pres­se-Infor­ma­ti­on des BayL­DA bereits als Son­der-News­let­ter erhal­ten. Auf­grund der Trag­wei­te des Vor­gangs infor­mie­ren wir hier noch mal auf unse­rem Datenschutz-Fachblog.

Es geht um das The­ma Out­sour­cing an exter­ne Dienst­leis­ter im Hin­blick auf mög­li­cher­wei­se betrof­fe­ne per­so­nen­be­zo­ge­ne Daten. Das Daten­schutz­recht spricht hier von einer Auf­trags­da­ten­ver­ar­bei­tung. Nicht weil hier ein Auf­trag ver­ge­ben wird, son­dern weil im Auf­trag der ver­ant­wort­li­chen Stel­le jemand Drit­tes mit den per­so­nen­be­zo­ge­nen Daten zu tun hat oder in Kon­takt kommt  /​ kom­men kann. Die baye­ri­sche Lan­des­da­ten­schutz­be­hör­de hat jetzt wegen feh­ler­haf­ter Umset­zung der gesetz­lich vor­ge­schrie­be­nen Ver­fah­rens­wei­se und Inhal­te ein Buß­geld verhängt.

Feh­ler­haf­te Auf­trags­da­ten­ver­ar­bei­tung führt zu Bußgeld

Das ist so klar und deut­lich in § 43 Absatz 1 Satz 2b BDSG geregelt.

“(1) Ord­nungs­wid­rig han­delt, wer vor­sätz­lich oder fahrlässig 

2b.

ent­ge­gen § 11 Absatz 2 Satz 2 einen Auf­trag nicht rich­tig, nicht voll­stän­dig oder nicht in der vor­ge­schrie­be­nen Wei­se erteilt oder ent­ge­gen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Daten­ver­ar­bei­tung von der Ein­hal­tung der beim Auf­trag­neh­mer getrof­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men überzeugt,”

Mit Datum vom 20. August 2015 gibt das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) in Ans­bach nun bekannt, dass es gegen ein Unter­neh­men ein Buß­geld in fünf­stel­li­ger Euro-Höhe ver­hängt hat.

Aus­lö­ser war die feh­ler­haf­te Umset­zung der Auf­trags­da­ten­ver­ar­bei­tung. In meh­re­ren Ver­trä­gen mit exter­nen Dienst­leis­tern waren die durch den Dienst­leis­ter zu tref­fen­den tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­maß­nah­men nur sehr ober­fläch­lich und all­ge­mein fest­ge­setzt. Damit sei die gesetz­lich vor­ge­schrie­be­ne Kon­trol­le durch den Auf­trag­ge­ber nicht durch­führ­bar, ob der Dienst­leis­ter in aus­rei­chen­dem Umfang für die Sicher­heit der Daten sor­gen kann.
Dabei hat die Behör­de bereits berück­sich­tigt, dass es kein pau­scha­les Schutz­ni­veau gibt, son­dern die­ses indi­vi­du­ell nach Art der Dienst­leis­tung und der betrof­fe­nen Daten defi­niert und ver­ein­bart wer­den muss.

Was ist zu tun?

In einem ers­ten Schritt soll­ten Sie prü­fen, ob Sie alle für eine Auf­trags­da­ten­ver­ar­bei­tung in Fra­ge kom­men­den Dienst­leis­ter über­haupt bereits iden­ti­fi­ziert haben. Wenn ja, wäre die ver­trag­li­che Situa­ti­on zu prü­fen, ob das Schutz­ni­veau des Dienst­leis­ters in aus­rei­chen­der schrift­li­cher Form nach­ge­wie­sen ist und ob eine gül­ti­ge Auf­trags­da­ten­ver­ar­bei­tung (Ach­tung Novel­le in 2009 mit neu­en Anfor­de­run­gen!) schrift­lich ver­ein­bart wurde.
Wenn nein, soll­ten Sie zeit­nah Ihren Daten­schutz­be­auf­trag­ten infor­mie­ren, damit die­ser alles wei­te­re mit Ihnen zusam­men in die Wege lei­ten kann.

Pres­se­mit­tei­lung des BayL­DA vom 20.08.2015
Infor­ma­ti­ons­blatt des BayL­DA zum The­ma Auftragsdatenverarbeitung
Blog­bei­trag a.s.k. Daten­schutz zum The­ma Auftragsdatenverarbeitung