Auftragsdatenverarbeitung – Bußgeld
Das kann teuer werden. Die noch immer weit verbreitete Praxis, bei der Übergabe von personenbezogenen Daten an externe Dienstleister entweder keinen Vertrag über Auftragsdatenverarbeitung zu schließen oder aber einen, der nur ein Papiertiger ist, wurde jetzt vom Bayerischen Landesamt für Datenschutzaufsicht mit einem Bußgeld in fünfstelliger Höhe sanktioniert. Wie das Bayerische Landesamt in einer Pressemitteilung darstellt, hatte das betroffene Unternehmen in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten festgelegt. Die Aufträge enthielten statt einer detaillierten Regelung nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes. Die Bayern haben damit den vom Bundesdatenschutzgesetz vorgesehenen Bußgeldrahmen für solche Verstöße gründlich ausgeschöpft – er liegt bei maximal 50.000 EUR (§ 43 Abs. 2b i.V.m. Abs. 3 BDSG).
Schlecht geregelte Auftragsdatenverarbeitung ist Alltag
Fehlende oder mangelhaft geregelte Verträge über Auftragsdatenverarbeitung erleben wir in unserer Beratungstätigkeit auch so gut wie täglich. Eine ebenfalls immer noch kursierende Variante ist das Kopieren eines Mustervertrages aus dem Netz, in den dann einfach nur die Kontaktdaten von Auftraggeber und Auftragnehmer eingefügt werden. Übersehen wird dabei, dass eine sorgfältige Regelung der Pflichten eines Auftragnehmers von Datenverarbeitung letztlich beide Parteien vor den Folgen schlampiger oder gar missbräuchlicher Datenverarbeitung schützt. Wer noch einmal etwas ausführlicher zu den grundsätzlichen Aspekten einer Auftragsdatenverarbeitung lesen möchte, kann dies hier in den alten Blogartikeln „Anforderungen an eine Auftragsdatenverarbeitung“ und „Auftragsdatenverarbeitung?“ tun.