Kontaktieren Sie uns!
Vom Mehrwert profitieren

Sie sind hier:

  1. IT, Daten und Marken
  2. Blog
Vorträge Newsletter

Blog

Hier finden Sie aktuelle Blogbeiträge unserer Rechtsanwälte zu rechtlichen Themen aus dem IT-Recht, dem Markenrecht und auch aktuelle Informationen zum Datenschutz,  insbesondere zur Datenschutzgrundverordnung (DSGVO).

21.08.2015 | Von: Rechtsanwältin Stefanie Speth LL.M.

Datenschutz: Geldbuße wegen unzureichender Auftragsdatenverarbeitung

Laut Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) vom 20.08.2015 hat das BayLDA wegen einer unzureichenden Auftragsdatenverarbeitung eine Geldbuße in fünfstelliger Höhe gegen den Auftraggeber festgesetzt.

Wer einen externen Dienstleister als Auftragsdatenverarbeiter mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt, muss mit diesem einen schriftlichen Vertrag über die Auftragsdatenverarbeitung abschließen. Die Anforderungen an diesen Vertrag sind in § 11 BDSG geregelt. Besonders wichtig sind dabei die Regelungen zu technischen und organisatorischen Maßnahmen, die der Auftragsdatenverarbeiter zum Schutz der Daten treffen muss. Diese Maßnahmen müssen konkret und spezifisch festgelegt werden. Werden die gesetzlichen Vorgaben nicht eingehalten, stellt dies eine Ordnungswidrigkeit dar, die mit Geldbuße von bis zu 50.000,- Euro geahndet werden kann.

Das Unternehmen, gegen welches das BayLDA das Bußgeld festgesetzt hat, habe in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt. Die Aufträge hätten nur einige wenige pauschale Aussagen und Wiederholungen des  Gesetzestextes enthalten. Aus Sicht des BayLDA reichte dies keinesfalls aus, da die datenschutzrechtliche Verantwortung auch im Falle der Einschaltung von Auftragsdatenverarbeitern nach wie vor der Auftraggeber trage. Dieser müss beurteilen können, ob der Auftragsdatenverarbeiter in der Lage ist, für die Sicherheit der Daten zu sorgen und dies auch kontrollieren.

Fazit:

Unternehmen, die  andere mit der Verarbeitung personenbezogener Daten beauftragen, müssen darüber Kraft Gesetzes einen wirksamen Vertrag abschließen. Wird ein solcher Vertrag nicht oder unzureichend abgeschlossen, droht ein Bußgeld.

Regensburg, 21.08.2015

Stefanie Speth, LL.M.
Rechtsanwältin
Referat IT- und Internetrecht
Geistige Schutzrechte

zurück zur Übersicht
Teilen:

Ansprechpartner

Fragen dazu?

Schreiben Sie uns, wir sind gerne für Sie da.

Michael Hannig

Partner, Rechtsanwalt

hannig@paluka.de
Michael Hannig

Lösungen finden für komplexe & anspruchsvolle Fragestellungen – mit Erfahrung, Exzellenz und Augenmaß.

nach oben scrollen