Das Bayrische Landesamt für Datenschutz (BayLDA) hat laut eigenen Angaben ein Bußgeld in fünfstelliger Höhe gegen einen Auftraggeber verhängt, der Auftragnehmer mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt hatte, ohne mit diesen gemäß dem Bundesdatenschutzgesetzt (§ 11 BDSG) hinreichende Vereinbarungen zur Auftragsdatenverarbeitung zu treffen. Speziell die Festlegung konkreter technischer und organisatorischer Maßnahmen (TOM) wurde vernachlässigt (vgl. § 11 (1) Abs. 3 BDSG).

Das betroffene und nun abgestrafte Unternehmen hatte stattdessen nur pauschale Aussagen und Wiederholungen des Gesetzestextes in die Vereinbarungen mit den Auftragnehmern geschrieben. Dies reicht laut dem BayLDA keinesfalls aus. Denn der Auftraggeber ist und bleibt für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz auch in Fällen einer Auftragsdatenverarbeitung verantwortlich.

Typische Fälle von Auftragsdatenverarbeitung

Auftragsdatenverarbeitung sind laut dem BayLDA regelmäßig z. B. folgende Dienstleistungen:

• die edv-technischen Arbeiten für die Lohn- und Gehaltsabrechnungen oder die Finanzbuchhaltung,
• Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing,
• die Werbeadressenverarbeitung in einem Lettershop,
• die Kontaktdatenerhebung durch ein Callcenter,
• die Auslagerung eines Teils des eigenen Telekommunikationsanlagenbetriebs (soweit nicht TKG),
• die Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten,
• die Datenerfassung, die Datenkonvertierung oder das Einscannen von Dokumenten,
• die Backup-Sicherheitsspeicherung und andere Archivierungen,
• die Datenträgerentsorgung, usw.

Diese Liste erhebt keinen Anspruch auf Vollständigkeit.

Was Sie als Auftraggeber jetzt tun sollten

Sie sind laut § 11 BDSG in der Pflicht, eine hinreichende schriftliche Vereinbarung mit allen Auftragsdatenverarbeitern zu schließen. Falls Sie das nicht tun, zahlen Sie gegebenenfalls das Bußgeld. Falls noch nicht geschehen, sollten Sie jetzt eine Liste Ihrer Auftragsdatenverarbeiter aufstellen.

yourIT unterstützt Auftraggeber mit dem Beratungskonzept "Datenschutz", das unter anderem auch die Erhebung der Liste der Auftragsdatenverarbeiter und die Überprüfung der bisherigen Vertragsstände enthält. Vorteil für mittelständische Unternehmen: Das Beratungspaket "Datenschutzkonzept" von yourIT wird gefördert mit Mitteln aus dem Europäischen Sozialfonds. Sie erhalten bis zu 1.500 Euro Fördermittel bei Durchführung der Beratung bis 31.12.2015.

Auf Anfrage liefert yourIT ein kostenloses Muster einer solchen Liste der Auftragsdatenverarbeiter. Danach sollten Sie überprüfen, mit welchen der in der Liste notierten Auftragsdatenverarbeiter bereits schriftliche Vereinbarungen getroffen wurden und ob diese den Anforderungen des § 11 BDSG entsprechen. Mit allen anderen sollten Sie schnellstmöglich entsprechende Vereinbarungen treffen.