zurück zur Übersicht

13.
September
2015

Datenschutz: Gute Verträge kosten Geld - schlechte auch.

Wer personenbezogene Daten nicht selbst, sondern durch einen Dritten verarbeiten lässt, braucht dafür nach dem Bundesdatenschutzgesetz (BDSG) einen schriftlichen Vertrag. In diesem müssen verschiedene Maßnahmen zum Schutz der personenbezogenen Daten ausdrücklich festgelegt werden, insbesondere technische und organisatorische Maßnahmen (Datensicherheitsmaßnahmen). Diese Maßnahmen müssen detailliert und konkret festgelegt werden; allgemeine Beschreibungen reichen nicht. Wer dagegen verstößt, riskiert eine Geldbuße bis zu 50.000 Euro.

Der Bayrische Landesdatenschutzbeauftragte hat jetzt gegen ein Unternehmen aus dem Freistaat ein Bußgeld in fünfstelliger Höhe verhängt, weil in dessen Auftragsdatenverarbeitungsverträge keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt waren. Stattdessen enthielten die Aufträge nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes. Dies reicht datenschutzrechtlich nicht aus. § 11 BDSG verlangt vielmehr:

 

Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:

1. der Gegenstand und die Dauer des Auftrags,
2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
4. die Berichtigung, Löschung und Sperrung von Daten,
5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags
.”

Denn die datenschutzrechtliche Verantwortung trägt auch im Falle der Einschaltung von Auftragsdatenverarbeitern der Auftraggeber und nicht der Auftragdatenverarbeiter. Der Auftraggeber muss die Einhaltung der technisch-organisatorischen Maßnahmen bei seinem Auftragnehmer kontrollieren. Dazu müssen die beim Auftragsdatenverarbeiter zum Schutz der Daten zu treffenden technisch-organisatorischen Maßnahmen Vertrag im einzelnen und konkret festgelegt werden. Nur so kann der Auftraggeber beurteilen, ob die personenbezogenen Daten bei seinem Auftragnehmer z. B. gegen Auslesen oder Kopieren durch Unbefugte, gegen Verfälschung oder sonstige unberechtigte Abänderung oder gegen zufällige Zerstörung geschützt sind. Und nur so kann der Auftraggeber die Einhaltung seine Pflichten gegenüber der Aufsichtsbehörde nachweisen.

Thomas Kranig, Präsident des BayLDA, macht deutlich, dass die Aufsichtsbehörden Nachlässigkeiten künftig härter verfolgen:

Augen auf beim Einbinden von Dienstleistern. Jeder Auftraggeber muss wissen und gegebenenfalls auch prüfen, was sein Auftragnehmer mit den Daten macht. Die Datensicherheitsmaßnahmen müssen konkret und spezifisch im Vertrag festgelegt werden. Unspezifische oder pauschale Beschreibungen reichen nicht aus. Wir werden auch künftig in geeigneten Fällen Verstöße in diesem Bereich mit Geldbußen ahnden.“

Gute Verträge kosten Geld. Schlechte Verträge auch. Und Reputation. Also lieber vor Vertragsschluss fachlichen Rat einholen, als hinterher teures Lehrgeld zu zahlen.

Kommentar schreiben

Autor

Jens-Oliver Müller
Rechtsanwalt und Notar, Fachanwalt für Handels- und Gesellschaftsrecht, Fachanwalt für Informationstechnologierecht
Alle Artikel vom Autor