Langjährige Kunden und Empfänger unserer Datenschutz-Information werden sich an das wiederkehrende Thema dieses Beitrages sicher erinnern und haben die Information am Tag der Veröffentlichung der Presse-Information des BayLDA bereits als Sonder-Newsletter erhalten. Aufgrund der Tragweite des Vorgangs informieren wir hier noch mal auf unserem Datenschutz-Fachblog.
Es geht um das Thema Outsourcing an externe Dienstleister im Hinblick auf möglicherweise betroffene personenbezogene Daten. Das Datenschutzrecht spricht hier von einer Auftragsdatenverarbeitung. Nicht weil hier ein Auftrag vergeben wird, sondern weil im Auftrag der verantwortlichen Stelle jemand Drittes mit den personenbezogenen Daten zu tun hat oder in Kontakt kommt / kommen kann. Die bayerische Landesdatenschutzbehörde hat jetzt wegen fehlerhafter Umsetzung der gesetzlich vorgeschriebenen Verfahrensweise und Inhalte ein Bußgeld verhängt.
Fehlerhafte Auftragsdatenverarbeitung führt zu Bußgeld
Das ist so klar und deutlich in § 43 Absatz 1 Satz 2b BDSG geregelt.
“(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
- 2b.
- entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder entgegen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt,”
Mit Datum vom 20. August 2015 gibt das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach nun bekannt, dass es gegen ein Unternehmen ein Bußgeld in fünfstelliger Euro-Höhe verhängt hat.
Auslöser war die fehlerhafte Umsetzung der Auftragsdatenverarbeitung. In mehreren Verträgen mit externen Dienstleistern waren die durch den Dienstleister zu treffenden technischen und organisatorischen Schutzmaßnahmen nur sehr oberflächlich und allgemein festgesetzt. Damit sei die gesetzlich vorgeschriebene Kontrolle durch den Auftraggeber nicht durchführbar, ob der Dienstleister in ausreichendem Umfang für die Sicherheit der Daten sorgen kann.
Dabei hat die Behörde bereits berücksichtigt, dass es kein pauschales Schutzniveau gibt, sondern dieses individuell nach Art der Dienstleistung und der betroffenen Daten definiert und vereinbart werden muss.
Was ist zu tun?
In einem ersten Schritt sollten Sie prüfen, ob Sie alle für eine Auftragsdatenverarbeitung in Frage kommenden Dienstleister überhaupt bereits identifiziert haben. Wenn ja, wäre die vertragliche Situation zu prüfen, ob das Schutzniveau des Dienstleisters in ausreichender schriftlicher Form nachgewiesen ist und ob eine gültige Auftragsdatenverarbeitung (Achtung Novelle in 2009 mit neuen Anforderungen!) schriftlich vereinbart wurde.
Wenn nein, sollten Sie zeitnah Ihren Datenschutzbeauftragten informieren, damit dieser alles weitere mit Ihnen zusammen in die Wege leiten kann.
Pressemitteilung des BayLDA vom 20.08.2015
Informationsblatt des BayLDA zum Thema Auftragsdatenverarbeitung
Blogbeitrag a.s.k. Datenschutz zum Thema Auftragsdatenverarbeitung
Hahn IT Services, Schwaig
No responses yet