Unternehmen, die als Verantwortliche für personenbezogene Daten (z. B. ihrer Kunden, Geschäftspartner oder Mitarbeiter) diese im Zuge von „Outsourcing“-Maßnahmen von „anderen Stellen“ kostenoptimierend in deren Auftrag erheben, verarbeiten oder nutzen lassen, benötigen hierfür unter bestimmten Umständen (und unabhängig von diesbezüglichen Informationspflichten) nicht die vorherige ausdrückliche Zustimmung der Betroffenen. Die Unternehmen als Auftraggeber bleiben dann aber nach der datenschutzrechtlichen ratio legis gleichwohl selbst für die Einhaltung der gesetzlichen Vorschriften über den Datenschutz verantwortlich – und müssen also insbesondere unter Berücksichtigung der Eignung der getroffenen technischen und organisatorischen Maßnahmen den jeweiligen „Auftragsdatenverarbeiter“ sorgfältig auszuwählen. Um diesen Prozess transparent und nachprüfbar zu gestalten, muss der Auftrag zur Datenverarbeitung grundsätzlich schriftlich und unter Festlegung einer ganzen Reihe von sicherheits- bzw. schutzspezifischen Merkmalen (Datensicherheitsmaßnahmen) erteilt werden, siehe § 11 BDSG.

Verstöße hiergegen können (unabhängig von zivilrechtlichen Haftungsfolgen) immerhin als Ordnungswidrigkeit nach § 43 Abs. 1 Nr. 2b, Abs. 3 BDSG von den zuständigen Behörden geahndet und mit einer Geldbuße von bis zu fünfzigtausend Euro verfolgt werden.

Wie wir nun zuletzt aus einer Pressemitteilung des Bayerische Landesamt für Datenschutzaufsicht (BayLDA) vom 20.08.2015 erfahren, sind die damit einhergehenden (und in einer schon unübersehbaren Vielzahl von Seminaren, Vorträgen und Beratungssitzungen beschworenen) Risiken heutzutage keineswegs theoretischer Natur:

Hiernach wurde kürzlich im Fall einer unzureichenden Auftragserteilung im vorbezeichneten Sinn tatsächlich eine Geldbuße in fünfstelliger Höhe festgesetzt. Das sanktionierte Unternehmen hatte dem Vernehmen nach in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt. Stattdessen enthielten die Aufträge offenbar nur einige wenige pauschale Aussagen und im Übrigen bloße Wiederholungen des Gesetzestextes. Das BayLDA befand dies für keinesfalls ausreichend, da die datenschutzrechtliche Verantwortung eben auch im Falle der Einschaltung von Auftragsdatenverarbeitern nach wie vor der Auftraggeber trägt. Dieser müsse daher beurteilen können, ob der Auftragsdatenverarbeiter in der Lage ist, für die Sicherheit der Daten zu sorgen. Auch müsse der Auftraggeber die Einhaltung der technisch-organisatorischen Maßnahmen bei seinem Auftragnehmer kontrollieren können.

Gemäß der gesetzlichen Vorgaben sei es hierfür unerlässlich, dass die beim Auftragsdatenverarbeiter zum Schutz der Daten zu treffenden technisch-organisatorischen Maßnahmen in dem abzuschließenden schriftlichen Auftrag überhaupt erst einmal spezifisch festgelegt werden. Denn nur so könne der Auftraggeber beurteilen, ob die personenbezogenen Daten bei seinem Auftragnehmer z. B. gegen Auslesen oder Kopieren durch Unbefugte, gegen Verfälschung oder sonstige unberechtigte Abänderung oder gegen zufällige Zerstörung geschützt sind.

BayLDA wies freilich zurecht auf darauf hin, dass die Frage, welche konkreten vertraglichen Festlegungen zu den technisch-organisatorischen Maßnahmen getroffen werden müssen, nicht pauschal beantwortet werden könnte, sondern „sich nach dem Datensicherheitskonzept des jeweiligen Dienstleisters und den von diesem zum Einsatz gebrachten spezifischen Datenverarbeitungssystemen“ richte.

Anmerkung:

In der Tat können daher die Formulare der Aufträge für die Datenverarbeitung (häufig in Verbindung mit allgemeinen oder ergänzenden Geschäftsbedingungen des Anbieters, welche den Abschluss eines Auftrages in Schriftform thematisieren) inhaltlich nie völlig standardisiert werden; lediglich den gesetzlichen Rahmen für die festzulegenden technisch-organisatorischen Maßnahmen bildet zuverlässig die Anlage zu § 9 BDSG. Im Übrigen benötigen die Aufträge immer der Konkretisierung anhand der jeweils obwaltenden technischen, organisatorischen und rechtlichen Umstände des Vertragsverhältnisses und seines Gegenstandes. Das macht natürlich für viele Anbieter die Vertragsgestaltung unbequem aufwendig, aber die von dort unternommenen „Mühen“ indizieren für den Auftraggeber wiederum die Qualität und Professionalität der hochsensiblen Dienstleistung: Denn die Frage der datenschutzrechtlichen Compliance ist längst ein wichtiges Unterscheidungs- und Wettbewerbsmerkmal seriöser Auftragsdatenverarbeiter im Rahmen des Outsourcings. Eine solche Differenzierung und Sensibilität durch das Unternehmen als Auftraggeber macht daher unbedingt Sinn, (nicht nur) aber schon allein aufgrund der warnenden Ankündigung des Präsidenten des BayLDA:

Wir werden auch künftig in geeigneten Fällen Verstöße in diesem Bereich mit Geldbußen ahnden.

Quelle: PM BayLDA vom 20.08.2015