5-stelliges Bußgeld bei unzureichenden ADV-Verträgen

(28.8.2015) Es ist wichtig, Auftragsdatenverarbeitungen (ADV) gewissenhaft auszugestalten. Und insbesondere auch die technischen und organisatorischen Maßnahmen zum Schutz der verarbeiteten Daten konkret festzulegen!

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nach eigener Information im Fall einer unzureichenden Auftragserteilung eine Geldbuße in fünfstelliger Höhe festgesetzt. Das betroffene Unternehmen hatte in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt (lesen Sie Details in der Pressemitteilung ).

Typische Fälle von Auftragsdatenverarbeitungen sind laut BayLDA:

  • die dv-technischen Arbeiten für die Lohn- und Gehaltsabrechnungen oder die Finanzbuchhaltung,
  • Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing,
  • die Werbeadressenverarbeitung in einem Lettershop,
  • die Kontaktdatenerhebung durch ein Callcenter,
  • die Auslagerung eines Teils des eigenen Telekommunikationsanlagenbetriebs (soweit nicht TKG),
  • die Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten,
  • die Datenerfassung, die Datenkonvertierung oder das Einscannen von Dokumenten,
  • die Backup-Sicherheitsspeicherung und andere Archivierungen und
  • die Datenträgerentsorgung.

Das BayLDA hat einen Leitfaden zur ADV herausgegeben: Dort ist unter anderem auch aufgeführt, welche Leistungen in der Regel keine Auftragsdatenverarbeitung darstellen.

Bitte binden Sie uns immer frühzeitig mit ein, wenn Sie den Abschluss von Verträgen zur Auftragsdatenverarbeitung planen (bzw. wenn von geplanten Verarbeitungen personenbezogene Daten betroffen sind). Sie erhalten von uns ein Prüfprotokoll mit konkreten Hinweisen zu evtl. noch erforderlichen Anpassungen, das Sie auch Ihrem Dienstleister bzw. Auftraggeber zur weiteren Abstimmung vorlegen können.

Abschließend noch der Hinweis: Das BayLDA ist für Unternehmen in Bayern zuständig. Es ist jedoch zu vermuten, dass die Aufsichtsbehörden in anderen Bundesländern den Sachverhalt ähnlich bewertet und geahndet hätten.