Auftragsdatenverarbeitung ohne hinreichenden Vertrag kann Geldbuße zur Folge haben
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat kürzlich einen Fall der Auftragsdatenverarbeitung mit unzureichendem Vertrag mit einer Geldbuße in Höhe von 50.000€ geahndet.
Unternehmen, die zur Auftragsdatenvereinbarung mit Erhebung, Verarbeitung oder Nutzung personenbezogener Daten externe Dienstleister beauftragen, bedürfen eines Vertrages zwischen dem Auftraggeber und -nehmer. In diesem Vertrag müssen detaillierte Einzelheiten zum Schutz der personenbezogenen Daten spezifisch festgelegt werden. Das bloße Zitieren des Gesetzestextes und pauschale Aussagen – wie im vorliegenden Fall – reichen hierfür nicht aus und können weitreichende Folgen wie eine Geldbuße zur Folge haben.
Denn auch im Fall der Einschaltung eines Dritten, der die personenbezogenen Daten im Auftrag des Auftraggebers verarbeiten darf, trägt der Auftraggeber die volle Verantwortung. Dieser muss beurteilen können, ob der Auftragnehmer die Sicherheit der Daten gewährleisten kann. Hierfür ist ein Vertragsschluss mit spezifischem Inhalt – konkretisiert auf die Datenverarbeitung des Dritten – unerlässlich. Zudem muss der Auftraggeber die Einhaltung der technisch-organisatorischen Maßnahmen (Datensicherheitsmaßnahmen), welche zum Schutz der personenbezogenen Daten getroffen werden müssen, kontrollieren.
Der vertragliche Inhalt zur Gewährung der Sicherheit personenbezogener Daten kann jedoch nicht pauschal genannt werden. Dies hängt vom Datensicherheitskonzept des jeweiligen Dienstleisters und von den zum Einsatz gebrachten spezifischen Datenverarbeitungssystemen ab.
Da die Datenschutzbehörden zuletzt verstärkt die Einhaltung aller datenschutzrechtlichen Vorgaben bei Erhebung, Verarbeitung oder Nutzung personenbezogener Daten kontrollieren, sollte bei Datenverarbeitung durch einen Dritten als Auftragnehmer eine solide vertragliche Grundlage bestehen, die alle erforderlichen rechtlichen Vorgaben beachtet.