05.10.2015 — Hans Sebastian Helmschrott

LDA verhängt Bußgelder im fünfstelligen Bereich wegen unzureichender ADV

Nach einer aktuellen Pressemitteilung der bayrischen Datenschutzbehörden hat das LDA gegen ein Unternehmen ein hohes Bußgeld wegen unzureichender vertraglicher Ausgestaltung der Auftragsdatenverarbeitung verhängt. Das Unternehmen hatte bei der Beschreibung der vom Auftragnehmer zu ergreifenden technisch-organisatorischen Maßnahmen lediglich pauschale Angaben gemacht.

Der Hintergrund

Nach § 11 BDSG sind Übermittlungen personenbezogener Daten zwischen einen Auftraggeber und einem Dienstleister privilegiert, wenn die Parteien einen Vertrag mit dem in § 11 BDSG definierten Inhalt abschließen. Dazu gehört u.a. die Festlegung bestimmter technischer und organisatorischer Schutzmaßnahmen (sog. „TOMs“) für die vom Dienstleister zu verarbeitenden Daten, z.B. die Festlegung von Zugangskontrollen, Schutz durch Passwörter, usw.

Der Sinn und Zweck der ADV ist, dass die Vertragsparteien sich jeweils genau überlegen sollen, welche Art von Daten von den Leistungen betroffen ist und welche Art von Schutzmaßnahmen deshalb angemessen sind. Je sensibler die konkret erfassten Daten, desto höher müssen natürlich auch die Anforderungen an deren Schutz sein. Deshalb genügt es nicht, hier lediglich den Gesetzestext zu wiederholen oder ganz allgemeine Floskeln aufzunehmen. Genau dies ist dem Unternehmen jedoch zum Verhängnis geworden.

Tipp

Es ist dringend von der ungeprüften Verwendung von Standardvorlagen aus dem Internet abzuraten. Diese müssen in jedem Fall auf den konkreten Einzelfall angepasst werden. Es bleibt natürlich Dienstleistern möglich, eigene standardisierte Vorlagen zu verwenden. Jedoch muss sichergestellt werden, dass diese auch alle unter die Leistung fallenden Daten abbilden und ein diesbezüglich ausreichendes Schutzniveau gewährleisten. Für unterschiedliche Datentypen bei verschiedenartigen Leistungen sollten daher unterschiedliche Templates verwendet werden.  Ist die Art der Daten schwer vorhersehbar, so wie bei Storage-Leistungen, die, ohne dass der Dienstleister hier von der konkreten Datenart Kenntnis erhält, ganz verschiedene Daten erfassen können (z.B. bei Gesundheitsdaten  sollte bei der Festlegung der TOMs generell ein besonders hohes Maß angelegt werden). 

Zur Pressemitteilung geht es hier!

Dieser Beitrag wurde veröffentlicht unter Datenschutzrecht, Tags: Datenschutzrecht, Auftragsdatenverarbeitung, Verschlüsselung