Categories: Cloud

Unsachgemäße Auftragsdatenverarbeitung mit hohem Bußgeld geahndet

Vergangene Woche hat das Bayerische Landesamt für Datenschutzaufsicht aufgrund “unzureichender Auftragserteilung” eine Bußgeldstrafe in fünfstelliger Höhe gegen ein Unternehmen verhängt (PDF). Eine konkrete Summe nannte das BayLDA nicht. Laut Gesetz handelt es sich jedoch um eine Ordnungswidrigkeit, für die Geldbußen von bis zu 50.000 Euro festgesetzt werden können. “Wir werden auch künftig in geeigneten Fällen Verstöße in diesem Bereich mit Geldbußen ahnden”, kündigte Thomas Kranig, Präsident des BayLDA, an.

Deshalb sollten all jene Firmen aufhorchen, die in irgendeiner Form Cloud-Computing einsetzen. Denn, wie Sebastian Kraska, Rechtsanwalt und als externer Datenschutzbeauftragter tätig, anlässlich der Meldung des BayLDA mitteilt, ist immer dann, “wenn personenbezogene Daten im Auftrag durch ein anderes Unternehmen verarbeitet werden gemäß § 11 Bundesdatenschutzgesetz (BDSG) ein Vertrag zur sogenannten Auftragsdatenverarbeitung abzuschließen.” Darüber hinaus sind – was von dem nun mit einer Geldbuße belegten Unternehmen offenbar versäumt wurde – in der Vereinbarung zur Auftragsdatenverarbeitung auch die zu treffenden technischen und organisatorischen Maßnahmen zu definieren.

Im konkreten Fall standen dort offenbar nur pauschale Aussagen und es wurde lediglich der Gesetzestext wiederholt. Das reicht aber nicht aus. Dem BayLDA zufolge müssen darin die in der Anlage zu § 9 BDSG erwähnten technisch-organisatorischen Maßnahmen in den Bereichen Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle spezifisch festgelegt werden. Seine Vorstellungen führt das Landesamt in einem Leitfaden (PDF) detaillierter aus. Es verweist zudem darauf, dass nicht pauschal beantwortet werden könne, welche vertraglichen Festlegungen jeweils getroffen werden müssen, sondern sich diese nach dem Datensicherheitskonzept des jeweiligen Dienstleisters und den von ihm genutzten Datenverarbeitungssystemen richten.

Unter den Begriff Auftragsdatenverarbeitung fallen auf alle Fälle Vorgänge für die Lohn- und Gehaltsabrechnungen oder die Finanzbuchhaltung und das Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing. Und selbst wenn die komplette Telekommunikationsanlage oder auch nur ein Teil davon sowie die E-Mail-Verwaltung oder sonstige Datendienste in die Cloud verlagert werden, greifen die Regelungen. Dasselbe gilt für die Datenerfassung, die Datenkonvertierung oder das Einscannen von Dokumenten sowie Backup und Archivierung in der Cloud.

“Augen auf beim Einbinden von Dienstleistern. Jeder Auftraggeber muss wissen und gegebenenfalls auch prüfen, was sein Auftragnehmer mit den Daten macht”, empfiehlt der BayLAD-Präsident Kranig. Problematisch dürfte das besonders für kleinere Firmen werden, die standardisierte Dienste der Cloud-Anbieter nutzen wollen und mit diesen gar nicht wirklich ins Gespräch kommen, sondern den Vertrag per Klick im Netz abschließen. Andererseits wird sich das Amt bei seinen Kontrollen zumindest in absehbarer Zeit wohl vorwiegend auf große Unternehmen konzentrieren. Die Gefahr erwischt zu werden, ist für KMU daher eher gering. Ein Freibrief ist das allerdings nicht.

[mit Material von Peter Marwan, ITespresso.de]

Rainer Schneider

Zwischen September 2013 und Juni 2016 war Rainer zunächst als Volontär udn später als Redakteur hauptsächlich für ITespresso im Einsatz, schrieb aber gerne auch Artikel für silicon.de und ZDNet. Schwerpunkte waren IT-Security und Mobile.

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

4 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

5 Tagen ago