Vor einigen Wochen verhängte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) ein Bußgeld in fünfstelliger Höhe gegen ein Unternehmen aufgrund „unzureichender Auftragserteilung“. Diese sog. Auftragsdatenverarbeitung ist üblicherweise ein Teil von Cloud-Angeboten (z.B. für Datensicherung, Kalender, E-Mail und Telefonie). Das Landesamt rügte hierbei formale Fehler und setzte erstmals ein Bußgeld in dieser Größenordnung fest.

Ein historischer Moment für den Datenschutz?

Sachliche Grundlage

Ausgangspunkt ist die Beauftragung eines externen Dienstleisters als sog. Auftragsdatenverarbeiter mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten. Dies setzt einen schriftlichen Vertrag zwischen den Parteien voraus. Die gesetzliche Grundlage hierzu (Bundesdatenschutzgesetz BDSG) schreibt eine Vielzahl von Einzelheiten vor, die zum Schutz der personenbezogenen Daten explizit in diesem Vertrag benannt und festgelegt werden müssen. Besonders relevant sind dabei auch die Datensicherheitsmaßnahmen (technische und organisatorische Maßnahmen), die vom Dienstleister zum Schutz der Daten getroffen werden müssen. All diese Maßnahmen müssen konkret und spezifisch festgelegt werden – sind sie jedoch löchrig, etwa wenn die korrekte Festlegungen zu unzureichend ist, eröffnet sich die Möglichkeit eines Ordnungswidrigkeitsverfahrens, welches mit einer Geldbuße von bis 50.000,- € geahndet werden kann.

Zum Sachverhalt

Nun verhängte das BayLDA gegen ein Unternehmen eine Geldbuße in fünfstelliger Höhe. Die Grundlage hierfür sah das Landesamt in den schriftlichen Aufträgen des Unternehmens mit mehreren externen Dienstleistern. In diesen legte die Firma nur unzureichend den Schutz der Daten durch Datensicherheitsmaßnahmen dar. Die Angaben zu den erforderlichen Maßnahmen enthielten nur Wiederholungen des Gesetzes und pauschale Aussagen – nicht jedoch konkrete Maßnahmen. Richtigerweise ist dies unzureichend. Grund hierfür ist, dass ich die datenschutzrechtliche Verantwortung auch bei der Einschaltung von externen Dienstleistern, beim Auftraggeber liegt. Auch unterliegt der Auftraggeber einer Kontrollpflicht hinsichtlich der Datensicherheitsmaßnahmen gegenüber dem Dienstleister. Um all dies gewährleisten zu können, müssen die festgelegten technisch-organisatorischen Maßnahmen in dem abzuschließenden schriftlichen Auftrag spezifisch festgelegt werden. Allein dadurch kann der Auftraggeber seiner Kontrollpflicht nachkommen und beurteilen, ob die personenbezogenen Daten bei seinem Auftragnehmer z.B. gegen Auslesen oder Kopieren durch Unbefugte, gegen Verfälschung oder sonstige unberechtigte Abänderung oder gegen zufällige Zerstörung geschützt sind.

Stellungnahme des BayLDA

„Augen auf beim Einbinden von Dienstleistern. Jeder Auftraggeber muss wissen und gegebenenfalls auch prüfen, was sein Auftragnehmer mit den Daten macht.“, appelliert Thomas Kranig, der Präsident des BayLDA an die Auftraggeber. „Die Datensicherheitsmaßnahmen müssen konkret und spezifisch im Vertrag festgelegt werden. Unspezifische oder pauschale Beschreibungen reichen nicht aus. Wir werden auch künftig in geeigneten Fällen Verstöße in diesem Bereich mit Geldbußen ahnden.“

Fazit

Datenschutzrechtliche Themen sind oftmals sehr komplex. Welche vertraglichen Festlegungen bzgl. der Datensicherheitsmaßnahmen getroffen werden müssen, kann nicht ohne Einzelfallbetrachtung des jeweiligen Dienstleisters und den von diesem zum Einsatz gebrauchten Datenverarbeitssystemen beantwortet werden. Der gesetzliche Maßstab im Bezug auf die Datensicherheitsmaßnahmen bemisst sich nach § 9 BDSG. In dieser Norm werden Maßnahmen in den Bereichen Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle verlangt. Grundsätzlich muss der schriftliche Auftrag daher also spezifische Festlegungen zu diesen Fragen enthalten. Weiterhin bietet das BayLDA einen Leitfaden (ausgehend von § 11 BDSG) für diese Fragestellung.

Abschließend setzt das BayLDA mit dieser Entscheidung ein klares Signal: Nicht nur fehlender, sondern auch unzureichender Datenschutz bei der Verarbeitung von personenbezogenen Daten wird verfolgt und bestraft. Die Festsetzung in der Höhe des Bußgeldes, sowie die Aussage von Thomas Kranig verdeutlichen nochmals die Wichtigkeit der Einhaltung des BDSG. Insofern sorgte das BayLDA für einen historischen Moment im Themenfeld Datenschutz und Datensicherheit.

__

Bildquelle

Pixabay (CCO Public Domain)

__