Auftragsdatenverarbeitung ohne richtigen Vertrag kann teuer werden

Sofern ein Unternehmen einen externen Dienstleister mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt, muss ein schriftlicher Auftragsdatenverarbeitungsvertrag abgeschlossen werden. Das Bundesdatenschutzgesetz schreibt vor, welche Regelungen in einem solchen Vertrag getroffen werden müssen. Besonders wichtig sind dabei die technischen und organisatorischen Maßnahmen, die der externe Dienstleister treffen muss. Diese müssen schriftlich festgelegt und hinreichend spezifiziert werden. Wenn derartige Regelungen fehlen oder unvollständig sind bzw. die sonstigen Vorgaben zur Beauftragung von externen Dienstleistern nach § 11 BDSG nicht eingehalten werden, können die Aufsichtsbehörden Bußgelder verhängen. 

Erst kürzlich hat das Bayerische Landesamt für Datenschutzaufsicht eine Geldbuße in fünfstelliger Höhe gegen ein Unternehmen verhängt, das zwar schriftliche Auftragsdatenverarbeitungsverträge mit seinen Dienstleistern abgeschlossen, jedoch keine hinreichend konkreten technischen und organisatorischen Datensicherheitsmaßnahmen festgelegt hatte. Pauschale Aussagen und Wiederholungen des Gesetzestextes reichen insoweit nicht aus – vielmehr muss eine abschließende Festlegung der konkret getroffenen Maßnahmen im Rahmen des Vertrages erfolgen. Nur so kann das beauftragende Unternehmen in der Praxis tatsächlich beurteilen, ob die personenbezogenen Daten beim Auftragnehmer hinreichend geschützt werden. 

Das bayerische Landesamt hat angekündigt, diese Thematik weiter zu verfolgen und bei unzureichenden Verträgen weitere Bußgelder zu verhängen. Andere Aufsichtsbehörden für den Datenschutz werden sich vermutlich dieser Vorgehensweise anschließen. Bei Beauftragung externer Dienstleister muss daher auf eine entsprechende vertragliche Ausgestaltung der Zusammenarbeit geachtet werden – insbesondere bei der Verwendung von Musterverträgen ist Vorsicht geboten!