Hohes Bußgeld wegen mangelhaftem ADV-Vertrag

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat wieder ein fünfstelliges Bußgeld verhängt. Diesmal trifft es ein Unternehmen, dass eigene Datenverarbeitungen an ein Subunternehmen ausgelagert und hierüber einen mangelhaften Vertrag zur Auftragsdatenverarbeitung abgeschlossen hatte.

Mangelhafter ADV-Vertrag führt zu Bußgeld

Vielen Unternehmen dürfte die folgende Situation durchaus bekannnt vorkommen: für die eigenen Geschäftszwecke werden notwendige personenbezogene Daten verarbeitet und diese Datenverarbeitung wird (teilweise) an Subunternehmer weitergegeben. Für solche Situationen sieht das Bundesdatenschutzgesetz das Schließen eines Vertrags zur Auftragsdatenverarbeitung vor (in der Praxis oft ADV-Vertrag genannt), der in § 11 BDSG geregelt ist. Ein solcher kann bspw. notwendig sein, wenn Server von Subunternehmern genutzt werden.

Unbedingt gesetzliche Anforderungen beachten

§ 11 BDSG schreibt u.a. vor, dass in dem ADV-Vertrag schriftlich die zu treffenden technisch-organisatorischen Maßnahmen festzuhalten sind (§ 11 Abs. 2 S. 1 Nr. 3 BDSG). Genau dies versäumte das Unternehmen, das jetzt mit dem fünfstelligen Bußgeld belegt wurde. Laut einer Pressemitteilung des BayLDA enthielten die ADV-Verträge hierzu nur „einige wenige pauschale Aussagen und Wiederholungen von Gesetzestexten“ – aus Sicht der Behörde eindeutig zu wenig.

Um ein solches Bußgeld zu vermeiden sind daher die gesetzlichen Vorgaben unbedingt zu beachten. Gerade das schriftliche Festhalten der zu treffenden technisch-organisatorischen Maßnahmen dient der Kontrolle des Auftragnehmers durch den Auftraggeber und dem Schutz der Daten vor Verlust, Zerstörung, Manipulation und dergleichen.