Kategorie: Aufsichtsbehördliche Maßnahmen

Bayern: Datenschutzverstöße bei der Anforderung von Kontoauszügen durch Sozialbehörden

7. Dezember 2015

Der Bayerische Landesbeauftragte für den Datenschutz Petri hat bei etwa 120 bayerischen Sozialbehörden geprüft, ob bei der an Antragsteller von Sozialleistungen gerichteten Anforderung von Kontoauszügen, z. B. um die Angaben zum Einkommen zu kontrollieren, die Vorgaben des Sozialgesetzbuchs und der Rechtsprechung eingehalten werden. Als ernüchterndes Ergebnis wurde festgestellt, dass eine sehr unterschiedliche Vorgehensweise herrscht und zudem die meisten Sozialbehörden  jedenfalls nicht alle datenschutzrechtlichen Vorgaben einhalten.

So dürfen beispielsweise Sozialbehörden von Antragstellern Kontoauszüge lediglich für einen Zeitraum von bis zu drei Monaten anfordern. Die Anforderung von Kontoauszügen von länger zurückliegenden Zeiträumen ist nur ausnahmsweise erforderlich. In solchen Ausnahmefällen muss die Behörde die Gründe dafür dokumentieren. Demgegenüber forderte nach den Prüfergebnissen des Bayerischen Landesbeauftragten für den Datenschutz eine Reihe der geprüften Sozialbehörden Kontoauszüge pauschal für deutlich längere Zeiträume an.
Auch sind die Antragsteller berechtigt, auf ihren Kontoauszügen bei den Ausgaben den Überweisungszweck bzw. den Empfänger schwärzen, sofern es sich um „besondere Arten personenbezogener Daten“ (=Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben, § 3 Abs. 9 BDSG) handelt. Nur etwa die Hälfte der Sozialbehörden soll sich an diese rechtlichen Vorgaben gehalten haben, die Übrigen sollen ausdrücklich keinerlei Schätzungen akzeptiert haben. Ferner seien nur wenige Behörden der Pflicht nachgekommen, auf das Recht zur Schwärzung hinzuweisen.

„Meine Prüfung ist noch nicht abgeschlossen. Ich habe die Sozialbehörden aufgefordert, die jeweils festgestellten Mängel zu beheben und mir über die ergriffenen Maßnahmen zu berichten. Außerdem behalte ich mir punktuelle weitere Überprüfungen vor Ort ausdrücklich vor.“, so Petri zu dem Stand der Prüfungen.

 

Safe Harbor und die Folgen – Fragen und Antworten im Webinar von marktforschung.de

4. Dezember 2015

Auch an dieser Stelle wurde das Safe-Harbor-Urteil des Europäischen Gerichtshofs (EuGH) umfassend diskutiert. Manche Kommentatoren mögen in der Tatsache, dass der EuGH die Grundsatzentscheidung der EU-Kommission zum Safe Harbor-Abkommen aus dem Jahr 2000 für ungültig erklärt hat, ein deutliches Signal, wenn ich gar einen kleinen Sieg gegen die Überwachungsmethoden der USA gesehen haben – vor allem die Spionagemethoden der NSA haben das Vertrauen der Bürger in die Datenschutzpolitik der Vereinigten Staaten nachhaltig beschädigt und die Debatte emotionalisiert.

In der Wirtschaftswelt, vor allem solchen Unternehmen, die transatlantisch operieren, ist die Freude erwartungsgemäß verhalten ausgefallen, die Verunsicherung hingegen groß.

Zum 1. Februar 2016 endet die Übergangsfrist, in welcher die nationalen Aufsichtsbehörden eine Lösung zur Datenübermittlung in die USA im Rahmen von EU-Standardvertragsklauseln noch akzeptieren. Was danach kommt, ist ungewiss. Die Aufsichtsbehörden werden aber mit Sicherheit die Umsetzung der EuGH-Entscheidung vorantreiben – Sanktionen wie vor allem Bußgelder sind dann nicht mehr ausgeschlossen, aber auch die Kappung von relevanten Systemen kann Unternehmen drohen, die nicht reagiert haben.

Bleibt das bange Warten, ob und unter welchen Voraussetzungen bis dahin die Politik ein neues „Safe Harbor 2.0“ auf die Beine gestellt bekommt, welches dann auch von den Datenschutzinstitutionen wie auch vom Gericht akzeptiert wird.

Und dann ist da noch der Ausblick auf die Europäische Datenschutzgrundverordnung, welche aller Voraussicht nach im kommenden Jahr verabschiedet wird, und dann ab 2018 in Kraft tritt – inklusive „Marktortprinzip“, welches eine Verarbeitung europäischer Daten auch außerhalb der EU die Regelungen der EU-Verordnung verbindlich vorschreiben wird.

Einen Überblick über die Hintergründe des Urteils, die Reaktionen und die Folgen, sowie die Gelegenheit zu Frage und Antwort bietet das Portal für Markt-, Medien- und Meinungsforschung marktforschung.de in dem Webinar Q&A zum Thema “Safe Harbor” am 7. Januar 2016, 11 Uhr, in dem der Externe Datenschutzbeauftragte und Rechtsanwalt Dr. Karsten Kinast von der Kanzlei Kinast & Partner Rede und Antwort stehen wird.

Eine Anmeldung ist bis zum Veranstaltungsbeginn unter diesem Link möglich.

Fach-Tagung zur Datenschutz-Grundverordnung der EU in der IHK München

17. November 2015

Am 16.11. fand in der Münchener Industrie- und Handelskammer eine große Fachtagung mit Vertretern aus Politik, Wissenschaft und Wirtschaft zur neuen EU-Datenschutz-Grundverordnung statt. Diskutiert wurden unter anderem die Veränderungen, die auf die Wirtschaft zukommen, der Stand der Trilog-Verhandlungen sowie – aus aktuellem Anlass – die Zukunft von Safe Harbour.

Die Kanzlei Kinast & Partner war mit zwei Rechtsanwälten vor Ort, um aktuelle Informationen einzuholen und sich an Diskussionen mit Entscheidungsträgern zu beteiligen. Insbesondere was die Zukunft des BDSG angeht, besteht noch große Unklarheit. Denkbar ist hier sowohl ein kompletter Wegfall des Gesetzes als auch ein weitgehendes Bestehenbleiben von wesentlichen Vorschriften bis hin zu einer Neufassung deutscher Regelungen. Insbesondere im Hinblick auf die Planbarkeit für deutsche Unternehmen erscheint diese bestehende Rechtsunsicherheit unbefriedigend. Das Bundesinnenministerium wird insoweit über die Zukunft dieser und andere Vorschriften entscheiden. Mehrere Redner ließen jedoch bereits durchblicken, dass Entscheidungen diesbezüglich wohl nicht vor der Bundestagswahl 2017 fallen dürften.

Da mit einer endgültigen Verabschiedung der Verordnung noch vor Weihnachten 2015 zu rechnen ist und dann – nach Übersetzung in alle Amtssprachen – ein Inkrafttreten für Anfang 2016 geplant ist, wird die Verordnung nach zwei Jahren Anfang 2018 Anwendung finden. Den politischen Entscheidungsträgern wird dann nur wenig Zeit verbleiben, um hier die richtigen Weichen zu stellen. Zudem muss dies in einer Zeit erfolgen, in der womöglich um eine Regierungsbildung gerungen wird.

Sofern Deutschland aufgrund von Öffnungsklauseln in der Verordnung eigene datenschutzrechtliche Traditionen beibehalten kann und will, wird also einiges an Anstrengungen nötig sein, um hier Rechtssicherheit für betroffene Unternehmen zu schaffen.

Insgesamt werden auf die Wirtschaft weitaus größere Meldepflicht zukommen, die es in dieser Form in Deutschland bisher nicht gegeben hat. Seitens des Präsidenten des bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) wurde außerdem darauf hingewiesen, dass zukünftig kaum Ermessenspielraum hinsichtlich von Bußgeldern bestehen wird. Die bisher gelebte Praxis, dass Bußgelder nur in Ausnahmefällen verhängt werden, wird nach den neuen Vorschriften nicht mehr umsetzbar sein. Dies ist vor allem deshalb beachtlich, da zukünftig voraussichtlich bis zu fünf Prozent des weltweiten Umsatzes als Bußgeld herangezogen werden kann.

Im Ergebnis lässt sich festhalten, dass die neue Verordnung wohl trotz aller ungeklärten Fragen noch 2015 verabschiedet wird und sich die Wirtschaft mit nicht ganz klaren Vorschriften auf eine neue Rechtslage wird einstellen müssen.

Status quo und Entwicklung von Safe-Harbor 2.0

29. Oktober 2015

Die EU-Justizkommissarin Vĕra Jourová hat den Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) am 25. Oktober 2015 über den aktuellen Stand der Verhandlungen über ein neues Safe-Harbor-Abkommen informiert. Zwischen der EU-Kommission und dem US-Handelsministerim bestehe zwar im Grundsatz Einigkeit, jedoch müsse noch über eine Vielzahl kritischer Punkte diskutiert werden.

Die Kommissarin äußerte sich vorsichtig optimistisch, dass die derzeitig stattfindenden Verhandlungen über technische Lösungen bis zu ihrem Besuch Mitte November in Washington fortgeschritten seien. Die Vereinigten Staaten hätten bereits jetzt Zusagen bezüglich einer strengeren Kontrolle der Safe-Harbor-Zertifizierungsverfahrens durch das US-Handelsministerium und einer engeren Zusammenarbeit mit europäischen Datenschutzbehörden gemacht. Neben der Einführung von Datenschutzvorschriften, die denjenigen der EU entsprechen, sei die Regelung des Zugriffs der US-Geheimdienste auf Daten von EU-Bürgern sowie die gerichtliche Kontrolle von Überwachungsmaßnahmen wesentlicher Punkt der Verhandlungen. Dabei sei der letzte Aspekt, die Einführung einer wirksamen gerichtliche Kontrolle der US-Geheimdienste, die größte Herausforderung auf dem Weg zu einem Abkommen.

Mit einer Einigung über ein Safe-Harbor 2.0 könne daher vor Ende Januar 2016 nicht gerechnet werden.

Die Kommissarin macht insoweit deutlich, dass Safe-Harbor 2.0 wesentlich von der Haltung der Vereinigten Staaten zu dem behördlichen Zugriff auf die übermittelten Daten von EU-Bürgern abhängt. Bis zu einem Abschluss eines neuen Abkommens bleibt die Übermittlung im Rahmen von Standardvertragsklauseln und Binding Corporate Rules vorläufig zulässig.

Positionspapier der Datenschutzkonferenz zu Safe-Harbor-Urteil

28. Oktober 2015

Die Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) hat in einem nun veröffentlichten Positionspapier zum Safe-Harbor-Urteil des EuGH vom 6. Oktober 2015 klar gestellt, dass die deutschen Datenschutzbehörden solche Datenübertragungen in Zukunft untersagen wollen, die ausschließlich auf das Safe-Harbor-Abkommen gestützt sind, soweit sie davon Kenntnis erlangen. Damit verdeutlichen sie einen ersten Punkt ihrer zentralen Strategie. Des weiteren sind sie sich ebenfalls einig, derzeit keine neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage von verbindlichen Unternehmensregelungen (Binding Corporate Rules) oder Datenexportverträgen zu erteilen.

Noch Uneinigkeit herrscht hingegen im Umgang mit Übermittlungen personenbezogener Daten in die USA auf Basis der EU-Standardvertragsklauseln. Sie seien nach dem Positionspapier zwischenzeitlich “in Frage” zu stellen, ohne dass jedoch eine einheitliche Vorgehensweise postuliert wird. Der Hamburgische Landesdatenschutzbeauftragte beispielsweise erklärte, dass seine Behörde erst dann eine Datenübermittlung auf Basis der Standverträge beanstanden werde, wenn die Aufsichtsbehörden geklärt hätten, welche Konsequenzen aus dem o. g. EuGH-Urteil diesbezüglich genau zu ziehen sind. Fest steht jedoch, dass die deutschen Datenschutzbehörden bereits jetzt den transatlantischen Datenverkehr auf Beschwerden hin im Einzelfall überprüfen werden. Vor einer Entscheidung in den jeweiligen Verfahren ist jedoch nicht vor Februar 2016 zu rechnen.

Die britischen und die irischen Aufsichtsbehörden hingegen zeigen eine weniger strenge Haltung: Sie argumentieren hinsichtlich der Folgen des Urteils mit dem Wortlaut der Entscheidungsgründe, der sich allein auf die rechtliche Zulässigkeit des Abkommens beschränke. Sowohl Standardvertragsklauseln als auch Binding Corporate Rules seien von der Entscheidung unberührt, so dass diese nach wie vor rechtliche Grundlage für einen Datentransfer in die Vereinigten Staaten sein sollen.

Die DSK macht ihererseits schließlich deutlich, dass die Verantwortung für eine neue rechtliche Grundlage, die den Vorgaben des EuGH-Urteils Rechnung trägt, bei der EU-Kommission liegt. Diese solle bei den Verhandlungen mit den USA “auf die Schaffung ausreichend weitreichender Garantien zum Schutz der Privatsphäre zu drängen.” Darüber hinaus seien die Kommissionsentscheidungen aus den Jahren 2004 und 2010 zu den Standardvertragsklauseln schnellstmöglich an die in dem EuGH-Urteil gemachten Vorgaben anzupassen. Die DSK begrüßt die in dieser Sache von der Art. 29-Gruppe gesetzte Frist bis zum 31. Januar 2016.

Oberstes Irisches Gericht ordnet Überprüfung von Facebook an

21. Oktober 2015

Die Grundsatzentscheidung des EuGH vom 6. Oktober 2015 führt zu ersten praktischen Konsequenzen für Facebook Ireland Ltd., dem europäischen Hauptquartier des amerikanischen Unternehmens Facebook Inc.

So urteilte der irische High Court nunmehr, dass die irische Datenschutzbeauftragte verpflichtet sei, die Beschwerde von Max Schremms, die Gegenstand des EuGH-Urteils war, vollumfänglich zu prüfen. Bei dieser Überprüfung werden insbesondere die Schutzmaßnahmen, die bei der Übermittlung personenbezogener Daten von Facebook Ireland Ltd. an Facebook Inc. in den USA gelten, unter die Lupe genommen werden. Facebook küdigte dabei seine “kontruktive Mitarbeit” an.

Die irische Datenschutzaufsicht hatte die Einleitung von Ermittlungen zunächst abgelehnt. Wie genau der Prüfungsprozess ablaufen wird, steht noch nicht fest.

Artikel-29-Datenschutzgruppe: Datenübermittlungen in die USA auf Grundlage von Standardvertragsklauseln und Binding Corporate Rules vorläufig zulässig

19. Oktober 2015

In der Pressemitteilung vom 16. Oktober 2015 nimmt die Artikel-29-Datenschutzgruppe zu den Konsequenzen und Folgen des Safe-Harbor-Urteils Stellung.

Die Entwicklung politischer, rechtlicher und technischer Lösungen um einen Datentransfer in die USA, der die Grundrechte der EU-Bürger gewährleistet, zu ermöglichen sei nun von hoher Dringlichkeit. Die bereits seit 2013 laufenden Verhandlungen über ein neues Safe-Harbor-Abkommen könnten hierbei die Grundlage bilden bzw. Teil einer neuen Vereinbarung werden.

Die Artikel-29-Datenschutzgruppe werde die Auswirkungen des Urteils auf die Standardvertragsklauseln und die Binding Corporate Rules weiter untersuchen. Bis auf Weiteres werde der Datentransfer auf Grundlage der genannten Regelungen ausdrücklich als zulässig betrachtet. Standardvertragsklauseln und Binding Corporate Rules seien daher bei Datenübermittlungen weiterhin verwendbar. Dies bedeute jedoch nicht, dass die Aufsichtsbehörden gehindert seien, Datenübermittlungen im Einzelfall, beispielsweise aufgrund von Beschwerden, zu überprüfen.

Deutsche Datenschutzbehörden zweifeln an der Zulässigkeit von Datenübermittlungen in die USA auf Grundlage von Standardvertragsklauseln

15. Oktober 2015

Nach der Safe-Harbor-Entscheidung des EuGH vom 06. Oktober 2015 sind Datenübermittlungen auf Grundlage des Abkommens nicht mehr zulässig.  Hintergrund der Entscheidung ist der Zugriff der amerikanischen Behörden auf der Basis des Patriot Act, der unabhängig von der gewählten rechtlichen Grundlage zur Anwendung kommen kann und europäische Daten nicht ausnimmt.

Nach wie vor in Betracht kommt indes ein Transfer auf der Basis der Standardvertragsklauseln bzw. Binding Corporate Rules, deren Zulässigkeit nicht Gegenstand des Verfahrens war. Datenschutzrechtliche Bedenken hiergegen bestanden jedoch bereits vor der Entscheidung des EuGH und werden erneut vor dem erläuterten Hintergrund der Entscheidung diskutiert.


Deutsche Datenschutzbehörden haben bereits im Jahr 2013 in einer gemeinsamen Presseerklärung erklärt, dass ihnen diese Standard-Vertragsklauseln nicht (mehr) ausreichten, solange die genauen Zugriffsmöglichkeiten der amerikanischen Geheimdienste nicht geklärt seien:

“Deshalb fordert die Konferenz die Bundesregierung auf, plausibel darzulegen, dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv im Sinne der genannten Grundsätze begrenzt wird.
Bevor dies nicht sichergestellt ist, werden die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind.”


In dem Positionspapier zu dem Safe-Harbor-Urteil hält die schleswig-holsteinische Datenschutzbauftragte bei konsequenter Anwendung der Vorgaben des EuGH in seinem Urteil eine Datenübermittlung auf Basis von Standardvertragsklauseln für nicht mehr zulässig. Nichtöffentliche Stellen, die für ihren Datentransfer in die USA Standardvertragsklauseln verwenden, müssten nun in Erwägung ziehen, den zugrunde liegenden Standardvertrag mit dem Datenimporteur in den USA zu kündigen oder die Datenübermittlungen auszusetzen. Eine dauerhafte Lösung könne nur in einer Änderung des amerikanischen Rechts liegen.

Es werde nun geprüft, ob Anordnungen gegenüber nichtöffentlichen Stellen getroffen werden müssen, auf deren Basis Datenübermittlungen in die USA ausgesetzt oder verboten werden müssen.

Erste Reaktionen nationaler Datenschutzbehörden auf die Safe-Harbor-Entscheidung und Folgen für die Praxis

7. Oktober 2015

Nach der Entscheidung des EuGH vom 06. Oktober 2015 über die Gültigkeit des Safe-Harbor-Abkommens haben sich einzelne nationale Datenschutzbehörden zu möglichen Konsequenzen geäußert, die teilweise unterschiedlich bewertet werden. In Rede steht die Aussetzung des Datentranfers in die Vereinigten Staaten, aber auch die fortbestehende Rechtmäßigkeit einer Datenübermittlung im Rahmen von Standardvertragsklauseln oder verbindlichen Unternehmensvereinbarungen.


Die Artikel 29-Datenschutzgruppe hat in der Pressemitteilung vom 06. Oktober 2015 die Safe-Harbor-Entscheidung des EuGH ausdrücklich begrüßt. Sie teilte zudem mit, bereits in der folgenden Woche das Urteil in einer Expertenrunde zu analysieren und die Folgen für den Datentransfer in die Vereinigten Staaten zu diskutieren. Ein Termin für eine außerordentliche Plenarsitzung folge in Kürze.


Der Hamburgische Beauftragte für Datenschutz geht davon aus, dass die Aufsichtsbehörden bei der Umsetzung des Urteils eine Schlüsselrolle einnehmen werden. Dabei sei zu prüfen, ob Datentransfers in die Vereinigten Staaten auszusetzen seien. Dies gelte auch, wenn sie auf andere Rechtsgrundlagen wie Standardvertragsklauseln, Einwilligung oder Binding Corporate Rules gestützt würden. Die Aufsichtsbehörden würden dafür noch in dieser Woche ihr Vorgehen auf nationaler und europäischer Ebene koordinieren. Die EU-Kommission ihrerseits müsse die USA drängen, ein angemessenes Datenschutzniveau herzustellen.


Zustimmend äußerte sich zudem die britische Datenschutzbehörde ICO. Sie werde die Folgen des Urteils analysieren und in den kommenden Wochen bekanntgeben. Bereits jetzt erkennbare Folgen für die Praxis:

  • Personenbezogene Daten seien nun nicht verstärkt gefährdet, jedoch seien Unternehmen jetzt verpflichtet sicherzustellen, dass Daten mit dem europäischen Datenschutzrecht konform übermittelt werden.
  • Der Datenschutzbehörde sei dabei bewusst, dass den Unternehmen ein gewisser Zeitraum für Erfüllung dieser Pflichten eingeräumt werden müsse.
  • Es bestünden bereits jetzt Möglichkeiten für eine rechtskonforme Übertragung.
  • Verhandlungen über den Abschluss eines neuen Abkommens zwischen der EU und den Vereinigten Staaten seinen bereits fortgeschritten.
  • Die Folgen des Urteils werden durch die ICO analysiert und Ergebnisse in den kommenden Wochen bekanntgegeben.

Die spanische Agencia Española de Protección de Datos – AEPD führt in ihrer Pressemitteilung zu der Entscheidung aus:

Bisher hat die AEPD internationale Datenübermittlungen an Safe Harbor zertifizierte amerikanische Unternehmen rechtlich anerkannt. Diese Unternehmen hatten demnach das Privileg, dass bei einer Meldung eines Systems an die zuständige Behörde keine weitere Genehmigung durch die Datenschutzbehörde erfoderlich war um die Übermittlung datenschutzkonform durchzuführen.

Jetzt hat die Datenschutzbehörde im Einzelfall zu prüfen, ob die Datenübermittlungen an Safe Harbor zertifizierte amerikanische Unternehmen rechtmäßig sind.

Die Europäischen Datenschutzbehörden hätten bereits in der Vergangenheit auf Mängel des Safe Harbor Abkommens aufmerksam gemacht. Nun arbeiteten sie zusammen, um koordinierte Maßnahmen bezüglich des EuGH-Urteils herbeizuführen, damit es gleichmäßig in allen EU Mitgliedstaaten interpretiert und umgesetzt werde.

BayLDA: Auftragsdatenverarbeitung ohne richtigen Vertrag kann teuer werden!

2. September 2015

Wer einen externen Dienstleister als so genannten Auftragsdatenverarbeiter mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt, muss mit diesem einen schriftlichen Vertrag abschließen. Das Gesetz – so auf Bundesebene § 11 Bundesdatenschutzgesetz (BDSG) –  schreibt eine Reihe von Einzelheiten vor, die zum Schutz der personenbezogenen Daten darin ausdrücklich festgelegt werden müssen. Von besonderer Bedeutung sind dabei die technischen und organisatorischen Maßnahmen (Datensicherheitsmaßnahmen), die der Auftragsdatenverarbeiter zum Schutz der Daten treffen muss. Diese Maßnahmen müssen im schriftlichen Auftrag konkret und spezifisch festgelegt werden. Fehlen konkrete Festlegungen hierzu, stellt dies eine Ordnungswidrigkeit dar, die mit Geldbuße von bis zu 50.000,- € geahndet werden kann. So viel die Theorie.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nun nach eigenen Angaben gegen ein Unternehmen eine Geldbuße in fünfstelliger Höhe festgesetzt, weil dieses in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt hatte, sondern dort nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes aufzufinden waren. Das BayLDA wies darauf hin, dass die keinesfalls ausreichend ist. Die datenschutzrechtliche Verantwortung trage auch im Falle der Einschaltung von Auftragsdatenverarbeitern nach wie vor der Auftraggeber. Dieser müsse daher beurteilen können, ob der Auftragsdatenverarbeiter in der Lage ist, für die Sicherheit der Daten zu sorgen. Auch müsse der Auftraggeber die Einhaltung der technisch-organisatorischen Maßnahmen bei seinem Auftragnehmer kontrollieren. Hierfür sei es unerlässlich, dass die beim Auftragsdatenverarbeiter zum Schutz der Daten zu treffenden technisch-organisatorischen Maßnahmen in dem abzuschließenden schriftlichen Auftrag spezifisch festgelegt werden. Nur so könne der Auftraggeber beurteilen, ob die personenbezogenen Daten bei seinem Auftragnehmer z. B. gegen Auslesen oder Kopieren durch Unbefugte, gegen Verfälschung oder sonstige unberechtigte Abänderung oder gegen zufällige Zerstörung geschützt sind.

Das BayLDA betont, dass nicht pauschal beantwortet werden kann, welche vertraglichen Festlegungen zu den technisch-organisatorischen Maßnahmen getroffen werden müssen. Dies richtet sich nach dem Datensicherheitskonzept des jeweiligen Dienstleisters und den von diesem zum Einsatz gebrachten spezifischen Datenverarbeitungssystemen. Den gesetzlichen Maßstab für die festzulegenden technisch-organisatorischen Maßnahmen bildet jedenfalls die Anlage zu § 9 BDSG, die Maßnahmen in den Bereichen Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle verlangt. Der schriftliche Auftrag muss daher spezifische Festlegungen zu diesen Fragen enthalten.

„Augen auf beim Einbinden von Dienstleistern. Jeder Auftraggeber muss wissen und gegebenenfalls auch prüfen, was sein Auftragnehmer mit den Daten macht.“, so der Präsident des BayLDA Kranig. „Die Datensicherheitsmaßnahmen müssen konkret und spezifisch im Vertrag festgelegt werden. Unspezifische oder pauschale Beschreibungen reichen nicht aus. Wir werden auch künftig in geeigne- ten Fällen Verstöße in diesem Bereich mit Geldbußen ahnden.“

1 22 23 24 25 26 31