Die Bayerische Datenschutzaufsichtsbehörde hat zum Beispiel erst jüngst mit Pressemitteilung vom 20.08.2015 erklärt, dass sie in einem ersten Fall hohe Bußgelder für eine unvollständige Auftragsdatenvereinbarung verhängt habe. Im konkreten Fall wurde u.a. bemängelt, dass das Unternehmen in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technischen und organisatorischen Maßnahmen nach § 9 Bundesdatenschutzgesetz (BDSG) zum Schutz der Daten festgelegt habe. Stattdessen enthielten die Aufträge nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes.
Die Pressemeldung kann als PDF hier abgerufen werden: https://www.lda.bayern.de/...
Hintergrund ist der, dass nach § 11 BDSG bei einer Verarbeitung personenbezogener Daten im Auftrag zwingend ein schriftlicher Vertrag zu schließen ist, der in der Vorschrift im Einzelnen aufgeführte Mindestinhalte aufweisen muss. Dazu gehören eben auch die Darstellung und Vereinbarung der technischen und organisatorischen Maßnahmen, die der Auftragnehmer zum Schutz der Daten bei sich umgesetzt hat.
Eine solche Auftragsdatenverarbeitung schlummert in vielen Aufträgen und wird oftmals gar nicht erkannt. Das beginnt bei Outsourcing-Vorgängen und geht bis hin zu Cloud-Nutzungen.
Gibt es keinen schriftlichen Vertrag, dann ist das bereits eine Ordnungswidrigkeit und wird eben mit entsprechenden Bußgeldern geahndet.
Daher ist es sehr zu empfehlen sich immer dann – am besten vorab – anwaltliche Beratung zu holen, wenn Daten mit Bezug auf eine oder mehrere natürliche Personen im Rahmen eines Auftrages übermittelt, weitergegeben oder outgesourct werden sollen.
Sprechen Sie uns dazu jederzeit gerne an.
Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht