Unsachgemäße Auftragsdatenverarbeitung mit hohem Bußgeld geahndet

Vergangene Woche hat das Bayerische Landesamt für Datenschutzaufsicht aufgrund “unzureichender Auftragserteilung” eine Bußgeldstrafe in fünfstelliger Höhe gegen ein Unternehmen verhängt (PDF). Eine konkrete Summe nannte das BayLDA nicht. Laut Gesetz handelt es sich jedoch um eine Ordnungswidrigkeit, für die Geldbußen von bis zu 50.000 Euro festgesetzt werden können. “Wir werden auch künftig in geeigneten Fällen Verstöße in diesem Bereich mit Geldbußen ahnden”, kündigte Thomas Kranig, Präsident des BayLDA, an.

Deshalb sollten all jene Firmen aufhorchen, die in irgendeiner Form Cloud-Computing einsetzen. Denn, wie Sebastian Kraska, Rechtsanwalt und als externer Datenschutzbeauftragter tätig, anlässlich der Meldung des BayLDA mitteilt, ist immer dann, “wenn personenbezogene Daten im Auftrag durch ein anderes Unternehmen verarbeitet werden gemäß § 11 Bundesdatenschutzgesetz (BDSG) ein Vertrag zur sogenannten Auftragsdatenverarbeitung abzuschließen.” Darüber hinaus sind – was von dem nun mit einer Geldbuße belegten Unternehmen offenbar versäumt wurde – in der Vereinbarung zur Auftragsdatenverarbeitung auch die zu treffenden technischen und organisatorischen Maßnahmen zu definieren.

Im konkreten Fall standen dort offenbar nur pauschale Aussagen und es wurde lediglich der Gesetzestext wiederholt. Das reicht aber nicht aus. Dem BayLDA zufolge müssen darin die in der Anlage zu § 9 BDSG erwähnten technisch-organisatorischen Maßnahmen in den Bereichen Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle spezifisch festgelegt werden. Seine Vorstellungen führt das Landesamt in einem Leitfaden (PDF) detaillierter aus. Es verweist zudem darauf, dass nicht pauschal beantwortet werden könne, welche vertraglichen Festlegungen jeweils getroffen werden müssen, sondern sich diese nach dem Datensicherheitskonzept des jeweiligen Dienstleisters und den von ihm genutzten Datenverarbeitungssystemen richten.

Unter den Begriff Auftragsdatenverarbeitung fallen auf alle Fälle Vorgänge für die Lohn- und Gehaltsabrechnungen oder die Finanzbuchhaltung und das Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing. Und selbst wenn die komplette Telekommunikationsanlage oder auch nur ein Teil davon sowie die E-Mail-Verwaltung oder sonstige Datendienste in die Cloud verlagert werden, greifen die Regelungen. Dasselbe gilt für die Datenerfassung, die Datenkonvertierung oder das Einscannen von Dokumenten sowie Backup und Archivierung in der Cloud.

“Augen auf beim Einbinden von Dienstleistern. Jeder Auftraggeber muss wissen und gegebenenfalls auch prüfen, was sein Auftragnehmer mit den Daten macht”, empfiehlt der BayLAD-Präsident Kranig. Problematisch dürfte das besonders für kleinere Firmen werden, die standardisierte Dienste der Cloud-Anbieter nutzen wollen und mit diesen gar nicht wirklich ins Gespräch kommen, sondern den Vertrag per Klick im Netz abschließen. Andererseits wird sich das Amt bei seinen Kontrollen zumindest in absehbarer Zeit wohl vorwiegend auf große Unternehmen konzentrieren. Die Gefahr erwischt zu werden, ist für KMU daher eher gering. Ein Freibrief ist das allerdings nicht.

[mit Material von Peter Marwan, ITespresso.de]