Von Dr. Tobias Fuchs, Partner – KPMG Rechtsanwaltsgesellschaft mbH
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat kürzlich gegen ein Unternehmen ein Bußgeld über einen fünfstelligen Euro-Betrag verhängt. Das betroffene Unternehmen hatte mangelhafte Vereinbarungen zur Auftragsdatenverarbeitung geschlossen. Das ist kein Einzelfall. Vor dem Hintergrund der Gefährdungslage sollten Unternehmen ihre Auftragsdatenverarbeitung jetzt umfassend auf den Prüfstand stellen.
Das Thema Datenschutz ist in Zeiten von Wirtschaftsspionage und Digitalisie-rung immer wieder im Brennpunkt. Zwischenzeitlich ist zwar allgemein bekannt, dass mit einem Verstoß gegen Datenschutzrecht auch Bußgeld- oder sogar Straftatbestände verwirklicht werden können. Für viele Unternehmen ist der Datenschutz aber immer noch ein eher lästiges Thema; Verstöße gegen den Datenschutz wurden schon mal als Kavaliersdelikt angesehen. Und in der Tat: Die Bedrohung durch Strafen oder Bußgelder erschien dem einen oder anderen in der Vergangenheit als eher gering. Das dürfte sich jetzt ändern!
Insbesondere bei der Einbindung von Dienstleistern ist ab sofort Vorsicht geboten. Der Präsident des BayLDA (Thomas Kranig) sagt dazu:
„Augen auf beim Einbinden von Dienstleistern. Jeder Auftraggeber muss wissen und gegebenenfalls auch prüfen, was sein Auftragnehmer mit den Daten macht.“
Generell gilt: Nach dem Gesetz muss ein schriftlicher Vertrag abgeschlossen werden, wenn ein externer Dienstleister (der sogenannte Auftragsdatenverarbeiter) mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt wird. Ein solcher Vertrag ist selbst dann erforderlich, wenn es sich bei dem Auftragsdatenverarbeiter um ein Unternehmen handelt, das dem gleichen Konzern bzw. der gleichen Unternehmensgruppe angehört (z. B. Shared Service Center). Bei der Ver-tragserstellung gelten eine Reihe von rechtlichen Vorgaben, die im Einzelfall zu beachten sind.
Wird gegen die rechtlichen Vorgaben verstoßen, stellt dies eine Ordnungs-widrigkeit dar, die mit einer Geldbuße von bis zu € 50.000 geahndet werden kann.
Doch was ist im aktuellen Fall genau passiert?
Der konkrete Fall
Das BayLDA hat ein Unternehmen überprüft, das mit mehreren Dienstleis-tern Vereinbarungen zur Auftragsdatenverarbeitung geschlossen hatte. Dabei stellte das BayLDA fest, dass die beteiligten Unternehmen in den überprüften Vereinbarungen keine spezifischen technischen und organisatorischen Maßnahmen zum Datenschutz und zu Datensicherheit vereinbart hatten. Stattdessen enthielten die überprüften Vereinbarungen zur Auftragsdatenverar-beitung lediglich wenige pauschale Aussagen und Wiederholungen des Gesetzestextes.
Nach Auffassung des BayLDA reichte dies aber nicht aus, um die gesetzlichen Vorgaben zu erfüllen. Hintergrund ist: Unternehmen tragen ihre datenschutzrechtliche Verantwortung auch dann, wenn sie externe Dienstleister (Auftragsdatenverarbeiter) beauftragen. In diesem Fall müssen die auftraggebenden Unternehmen stets beurteilen können, ob die Auftragsdatenverarbeiter in der Lage sind, für die Sicherheit der Daten zu sorgen. Die Unternehmen sind auch dazu verpflichtet, die Einhaltung der technischorganisatorischen Maßnahmen bei ihren Auftragsdatenverarbeitern zu kon-trollieren. Dazu müssen diese aber hinreichend spezifisch in einem schriftli-chen Vertrag festgelegt werden.
In dem aktuellen Fall war dies nach Auf-fassung des BayLDA nicht der Fall. Die
konkret geschlossene Vereinbarung zur Auftragsdatenverarbeitung genügte den gesetzlichen Anforderungen nicht.
Was ist jetzt zu tun?
Bei dem vom BayLDA entschiedenen Fall handelt es sich nicht um einen Ein-zelfall. Nach unserer Erfahrung nutzen viele Unternehmen beim Abschluss von Vereinbarungen zur Auftragsdatenverarbeitung Vertragsmuster, die nicht oder nicht hinreichend auf den konkreten Einzelfall angepasst werden. In vielen Fällen sind dabei auch die zum Schutz der Daten zu treffenden technischorganisatorischen Maßnahmen nicht spezifisch genug festgelegt.
Zusammengefasst gilt: Für die Wirksamkeit einer Vereinbarung zur Auftragsdatenverarbeitung ist ein schriftlicher Vertrag erforderlich, der alle gesetzlich vorgeschriebenen Regelungsinhalte konkret und auf den Einzelfall bezogen berücksichtigt (z. B. Vereinbarung von Zweck und Dauer der Auftragsdatenverarbeitung, Kontrollrechte des Auftraggebers). Vor allem sind technische und organisatorische Maßnahmen zum Datenschutz und zur Datensicherheit konkret zu vereinbaren. Dabei müssen unter anderem die im Einzelfall getroffenen technischen und organisatorischen Maßnahmen konkret benannt werden.
Auftragsdatenverarbeitung ohne richtigen Vertrag kann damit in Zukunft teuer werden. Vor dem Hintergrund der steigenden Gefährdungslage sollten Unternehmen ihre Auftragsdatenverarbeitung jetzt umfassend auf den Prüfstand stellen. Vor allem sollten Vereinbarungen zur Auftragsdatenverarbeitung dahingehend überprüft werden, ob diese die konkret vom Auftraggeber getroffenen technischen und organisatorischen Maßnahmen beinhalten, bzw. ob die ge-troffenen Maßnahmen im Einzelfall ein ausreichend hohes Schutzniveau gewährleisten.
Leistungen von KPMG Law
Unser Team von hoch spezialisierten Rechtsanwälten berät nationale und internationale Konzerne, Finanzinvestoren und öffent-liche Körperschaften, sowie mittelständische Unternehmen, inhabergeführte Unternehmen und Start-Ups umfassend im Bereich Informationsmanagement (Datenschutz und IT–Sicherheit), insbesondere
- bei der Identifikation, Analyse und Bewertung bestehender rechtlicher Dokumentation und interner Prozessen zum Um-gang mit personenbezogenen Daten („Privacy Impairment Check“) sowie deren Optimierung;
- gestaltend bei der datenschutzkonformen Einführung eines Informations-/Datenmanagements sowie der Entwicklung und Markteinführung von Produkten („Privacy-by-Design“);
- anlassbezogen bei internen oder externen Untersuchungsverfahren, z.B. nach einem „Data Loss Incident“ (Krisenfall);
- in allen behördlichen oder gerichtlichen Verfahren (Prozessvertretung).
Kontakt
KPMG Rechtsanwaltsgesellschaft mbH
Dr. Tobias Fuchs
Rechtsanwalt, Partner
Leiter der Practice Group Technologie, Medien & Telekommunikation (V.i.S.d.P.)
Ganghoferstraße 29,
80339 München
T +49 89 5997606-1384
tobiasfuchs@kpmg-law.com
www.kpmg-law.de
