Auftragsdatenverarbeitung
Das Bayerische Landesamt für Datenschutzaufsicht hat eine Pressemitteilung herausgegeben, in der von einem Bußgeld in fünfstelliger Höhe gegen ein Unternehmen wegen Verletzung von § 11 BDSG berichtet wird. In dieser Vorschrift geht es um die Auftragsdatenverarbeitung. Das Unternehmen hatte eigene personenbezogene Daten (Mitarbeiter- und Kundendaten) bei externen Dienstleitern gehostet und im Rahmen der jeweiligen Verträge zwar auch Regelungen zur Auftragsdatenverarbeitung getroffen (§ 11 II BDSG schreibt einen solchen schriftlichen Vertrag vor). Allerdings fehlten in diesen Verträgen konkrete Angaben zur den notwendigen technisch-organisatorischen Maßnahmen der Dienstleister zum Schutze der Daten. Dies reichte der Datenschutzbehörde, um nun ein deutliches Exempel zu statuieren.
Warum ist das wichtig für Sie?
Bislang haben sich die Datenschutzbehörden bei der Auftragsdatenverarbeitung mit Bußgeldern zurückgehalten und stattdessen das persönliche Gespräch zum Unternehmer gesucht, um die dortige Situation rechtskonform umzugestalten. Nun jedoch passiert das schon längere Zeit von uns Befürchtete: Die Datenschutzbehörden reagieren erstmals mit hohen Bußgeldern auf unzureichende Verträge zur Auftragsdatenverarbeitung. Solche ADV-Vereinbarungen müssen u.a. immer dann geschlossen werden, wenn ein externes oder auch konzerninternes Schwester-/Tochterunternehmen in der Lage ist, personenbezogene Daten (insbesondere Mitarbeiter-/Kundendaten) des eigenen Unternehmens zu lesen und/oder zu bearbeiten. Mir persönlich sind nur wenige Mandanten bekannt, die nicht in der einen oder anderen Weise personenbezogene Daten auf Servern anderer (Konzern-) Unternehmen hosten oder diesen Onlinezugriff auf die eigenen Server gewähren. Insoweit betrifft diese neue Ausrichtung der Datenschutzbehörden wohl jedes Unternehmen.
Was ist zu tun?
In erster Linie geht es um die Rechtskonformität der mit den betreffenden Unternehmen geschlossenen Verträge. Die Verträge sind im Einklang mit § 11 BDSG zu schließen und werden zumeist als Anlage zu den jeweiligen Dienstleistungsverträgen verwendet. Beauftragen Sie daher Ihre Rechtsabteilung oder – falls nicht vorhanden – Ihren IT-Leiter damit, die vorhandenen IT-Verträge mit externen Unternehmen auf Einhaltung von § 11 BDSG hin zu überprüfen. Oftmals werden Sie hören, dass es hier überhaupt keinen solchen Vertrag gibt und dieser neu geschlossen werden muss. Sorgen Sie dafür, dass dies dann auch passiert! Denn die Datenschutzbehörden können je Einzelfall bis zu EUR 50.000,- an Bußgeld festsetzen, auch wenn schon eine ADV-Vereinbarung existiert, diese jedoch unzureichend ausgestaltet ist.
Hier die häufigsten Konstellationen der Auftragsdatenverarbeitung:
- Auslagerung der Datenverarbeitung auf Server von IT-Dienstleistern (IT-Outsourcing)
- Auslagerung der Datenverarbeitung auf Server von Konzernunternehmen
- Zugriffsgewährung für Konzernunternehmen auf eigene Server (z.B. via SAP HR)
- Zugriffsgewährung für Dienstleister auf eigene Server (z.B. für Logistikunternehmen zur Auftragsabwicklung)
- Zugriffsgewährung für freie Mitarbeiter (Freelancer) auf eigene Server
- Nutzung von Cloud-Diensten zur Speicherung von Daten (Google Drive, Dropbox, Skydrive etc.)