Outsourcing von (IT-)Services – Anforderungen gemäß BDSG: Vorsicht Bußgeldgefahr!

Sobald Fremddienstleistungen eine „Auftragsdatenverarbeitung“ beinhalten, greifen Detailvorgaben des Bundesdatenschutzgesetzes an explizit im Vertrag zu regelnde Details, siehe §11 BDSG. Bereits das Speichern von Daten ist Datenverarbeitung im Sinne des Gesetzes, und damit sind z.B. Verträge mit Cloud-Providern im Fokus von §11 BDSG, sobald zumindest anteilig personenbezogene Daten in der Cloud gespeichert werden könnten.

Gefordert ist eine explizite Formulierung von Vorgaben bzgl. technischer/ organisatorischer Maßnahmen bzgl. Datensicherheit. Dies müssen konkrete Vorgaben sein, ein einfaches Referenzieren oder Zitieren des BDSG reicht nicht. Ist der Vertrag zu unspezifisch, so kann dies als Ordnungswidrigkeit eingestuft werden.

§43 (Bußgeldvorschriften) Abschnitt 2.b lässt erkennen, dass sogar eine Prüfung der Maßnahmen beim AN zu den Pflichten des AG gehört, und nennt eine Bußgeldhöhe bis 50.000 €. Erst kürzlich wurde etwa in Bayern aus solchen Gründen ein Bußgeld in „fünfstelliger Höhe“ verhängt, siehe Pressemitteilung BayLDA Bußgeld wg. unspezifischem Vertrag