Datenschutzbehörde verhängt fünfstelliges Bußgeld
Unternehmen gehen oftmals unzutreffend davon aus, dass ein Vertrag zur Auftragsdatenverarbeitung ein reiner Papiertiger sei und eine pauschale Vorlage für alle Verträge dieser Art genüge. Dass dies eine Falschbeurteilung der Lage ist, beweist die oben erwähnte Bußgeldverhängung.
Ausgangslage
Entscheiden sich Unternehmen dafür, einzelne Tätigkeiten im Rahmen einer Auftragsdatenverarbeitung auszulagern, ist in Deutschland ein entsprechender Auftragsdatenverarbeitungsvertrag gem. § 11 BDSG abzuschließen. Das österreichische Pendant dazu ist die Dienstleistervereinbarung gemäß § 11 DSG 2000. Der Inhalt dieses Vertrages ist größtenteils gesetzlich vorgeschrieben. Die konkrete Ausgestaltung obliegt in Österreich dem Auftraggeber der Datenverarbeitung. Vereinbarungen zwischen dem Auftraggeber und dem Dienstleister über die nähere Ausgestaltung der vereinbarten Pflichten sind zum Zweck der Beweissicherung schriftlich festzuhalten.
Beachtet werden müssen insbesondere die zu treffenden und zu dokumentierenden technischen und organisatorischen Datensicherheitsmaßnahmen, vgl. § 14 DSG 2000.
Was ist zu beachten?
Um Datensicherheit zu erreichen, dürfen die vereinbarten Maßnahmen nicht nur auf dem Papier existieren, sondern müssen in der technsichen und organisatorischen betriebsstruktur des Dienstleisters implementiert sein. Es ist daher zwecklos, wenn der Auftraggeber dem Dienstleister technische und organisatorische Maßnahmen formelhaft vorgibt, ohne die tatsächlichen Umsetzungsmöglichkeiten zu beachten.
Je detaillierter man dabei vorgeht, desto besser. Es ist also nicht ausreichend, in der Dienstleistungsvereinbarung festzulegen, dass ein Passwortmanagement zu implementieren ist. Die dokumentierten Datensicherheitsvereinbarungen sollten auch darüber Aufschluss geben, wie dieses im Detail ausgestaltet ist. In konkreten, deutschen Fall sollte demnach angegeben werden, wie viele Stellen das Passwort haben muss, welche Komplexitätsanforderungen gestellt werden, wie oft das Passwort gewechselt werden muss und nach wie viel Fehlversuchen eine Sperrung erfolgt.
Kontrollpflicht des Auftraggebers
Man halte sich immer vor Augen, dass die schriftliche Fixierung der Diesntleistervereinbarung dazu dient, dem Auftraggeber die gesetzlich vorgeschriebene Kontrolle des Dienstleisters zu ermöglichen. Erst wenn dies im Einzelfall problemlos möglich ist, kann die Festlegung der Diesntleistervereinbarung als ausreichend angesehen werden.
Diese Pflicht betont auch Thomas Kranig, Präsident des BayLDA in seinem Statement: „Jeder Auftraggeber muss wissen und gegebenenfalls auch prüfen, was sein Auftragnehmer mit den Daten macht. Die Datensicherheitsmaßnahmen müssen konkret und spezifisch im Vertrag festgelegt werden. Unspezifische oder pauschale Beschreibungen reichen nicht aus.“
Im vorliegenden Fall wurde ein Bußgeld im fünfstelligen Bereich verhängt.
Man muss auch in Östererich davon ausgehen, dass in ähnlich gelagerten Fällen einen Auftraggeber eine Strafmaßnahme nach dem DSG 2000 treffen kann.
Links
Die Presseaussendung des Bayerische Landesamts für Datenschutzaufsicht im Wortlaut: http://bit.ly/1OkbUfI