Hohe Geldbuße für unsachgemäße Auftragsdatenverarbeitung verhängt
Auftragsdatenverarbeitung ist vielfach Teil von Cloud-Angeboten, etwa für personenbezogene Datenverarbeitung, Telefonie-, E-Mail oder Backup. Wegen formalen Fehlern hat das Bayerische Landesamt für Datenschutzaufsicht jetzt erstmals ein Bußgeld in fünfstelliger Höhe festgesetzt.
Das Bayerische Landesamt für Datenschutzaufsicht hat vergangene Woche wegen “unzureichender Auftragserteilung” ein Bußgeld in fünfstelliger Höhe gegen ein Unternehmen festgesetzt (PDF). Zur genauen Höhe machte das BayLDA keine Angaben. Laut Gesetzt handelt es sich aber um eine Ordnungswidrigkeit, für die es Geldbußen bis zu 50.000 Euro geben kann. “Wir werden auch künftig in geeigneten Fällen Verstöße in diesem Bereich mit Geldbußen ahnden”, kündigte Thomas Kranig, Präsident des BayLDA, an.
Aufpassen sollten daher alle Unternehmen, die in irgendeiner Form Cloud-Computing nutzen. Denn, wie Sebastian Kraska, Rechtsanwalt und als externer Datenschutzbeauftragter tätig, anlässlich der Meldung des BayLDA mitteilt, ist immer dann, “wenn personenbezogene Daten im Auftrag durch ein anderes Unternehmen verarbeitet werden gemäß § 11 Bundesdatenschutzgesetz (BDSG) ein Vertrag zur so genannten Auftragsdatenverarbeitung abzuschließen.” Außerdem sind – was von dem jetzt mit Geldbuße bestraftem Unternehmen offenbar versäumt wurde – in der Vereinbarung zur Auftragsdatenverarbeitung auch die zu treffenden technischen und organisatorischen Maßnahmen festzulegen.
Im konkreten Fall standen dort offenbar nur pauschale Aussagen und wurde lediglich der Gesetzestext wiederholt. Das reicht aber nicht aus. Laut BayLDA müssen darin die in der Anlage zu § 9 BDSG erwähnten technisch-organisatorischen Maßnahmen in den Bereichen Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle spezifisch festgelegt werden. Seine Vorstellungen legt das Amt in einem Leitfaden (PDF) ausführlicher dar. Es weist zudem darauf hin, dass nicht pauschal beantwortet werden könne, welche vertraglichen Festlegungen jeweils getroffen werden müssen, sondern sich diese nach dem Datensicherheitskonzept des jeweiligen Dienstleisters und den von ihm verwendeten Datenverarbeitungssystemen richten.
Unter den Begriff Auftragsdatenverarbeitung fallen auf alle Fälle Arbeiten für die Lohn- und Gehaltsabrechnungen oder die Finanzbuchhaltung und das Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing. Aber auch wenn ein Teil oder die ganze Telekommunikationsanlage, die E-Mail-Verwaltung oder sonstigen Datendienste in die Cloud verlagert werden, greifen die Regelungen. Dasselbe gilt für die Datenerfassung, die Datenkonvertierung oder das Einscannen von Dokumenten sowie Backup- und Archivierung in der Cloud.
“Augen auf beim Einbinden von Dienstleistern. Jeder Auftraggeber muss wissen und gegebenenfalls auch prüfen, was sein Auftragnehmer mit den Daten macht”, empfiehlt der BayLAD-Präsident Kranig. Problematisch dürfte das besonders für kleinere Firmen werden, die standardisierte Dienste der Cloud-Anbieter nutzen wollen und mit diesen gar nicht wirklich ins Gespräch kommen, sondern den Vertrag per Klick im Web abschließen. Anderseits wird sich das Amt bei seinen Kontrollen zumindest in absehbarer Zeit wohl in erster Linie auf große Firmen konzentrieren. Die Gefahr erwischt zu werden, ist daher bei KMU eher gering. Ein Freibrief ist das allerdings nicht.
Tipp der Redaktion: Sie möchten Ihre persönlichen Dateien nicht mehr auf fremden Servern speichern, aber dennoch überall Zugriff darauf haben und zwischen mehreren Rechnern bequem synchronisieren? Dann richten Sie eine private Cloud ein, in der nur Sie über Datenschutz und Privatsphäre entscheiden. ITespresso erklärt, wie das geht