Wie man externe Dienstleister richtig beauftragt

© Steve Cukrov, 123RF

Arbeit im Auftrag

Manches erledigt ein spezialisierter Dienstleister effizienter als man es selbst könnte, Stichwort Outsourcing. Wenn dabei personenbezogene Daten ins Spiel kommen, macht das Bundesdatenschutzgesetz sehr konkrete Vorgaben für die sogenannte Auftragsdatenverarbeitung. Ignoranz kann teuer werden.
Obwohl Linux als freie Software kostenlos verfügbar ist, setzen viele beim Unternehmenseinsatz auf Enterprise-Distributionen mit Support. Wo die Stärken der ... (mehr)

Ein Beispiel: Die Geschäftsführer eines Unternehmens aus Bremen versandten einen Newsletter an Kunden durch eine externe Medienfirma. Der bremische Landesbeauftragte für den Datenschutz verhängte ein Bußgeld von insgesamt 8 000 Euro und rügte: Die Aufträge waren nicht richtig erteilt worden, es fehlte an der Schriftform, der Vertrag enthielt nicht die Inhalte, die das Gesetz zwingend vorschrieb, und das Unternehmen habe es versäumt, vor Beginn des Auftrages zu prüfen, welche technischen und organisatorischen Maßnahmen der Dienstleister in datenschutzrechtlicher Hinsicht getroffen habe. Die Geschäftsführer zahlten die Bußgelder ohne Widerspruch.

Datenschutzfalle: Google Analytics

Viele Unternehmen nutzen Google Analytics auf ihren Webseiten, ein Statistikprogramm, das IP-Adressen speichert. Nach Ansicht von Datenschützern sind dies personenbezogene Daten, die Google im Auftrag des Webseitenbetreibers verarbeitet. Der Webseitenbetreiber ist für den Datenschutz verantwortlich. Der Hamburger Datenschutzbeauftragte hatte sich Ende 2011 mit Google daraufhin geeinigt, dass Webseitenbetreiber das Tool nutzen können, sofern diese mit Google einen Vertrag zur Auftragsdatenverarbeitung nach deutschem Bundesdatenschutzgesetz schließen. Zudem muss Google mithilfe eines Deaktiverungs-Add-ons für den Browser dafür sorgen, dass jeder Internetnutzer der Erfassung seiner Daten widersprechen kann. Der Datenschutzhinweis auf der Website des jeweiligen Anbieters müsse darauf hinweisen. Zudem muss der Webseitenbetreiber per Programmcode auf der Website die Möglichkeit haben, die IP-Adressen nur anonymisiert zu erfassen und die letzten Stellen zu löschen.

Der Bayerische Landesdatenschutzbeauftragte stellte fest, nur wenige Unternehmen halten sich daran und informierte einige Unternehmen [1] . Nachdem die Folgeprüfung ergab, dass einige noch immer nichts unternommen hatten, erließ man 106 Bußgeldbescheide. Auch dieses Beispiel zeigt, wie wichtig es ist, zu prüfen, ob die Vorgaben zur Auftragsdatenverarbeitung eingehalten werden.

Bis 50 000 Euro Bußgeld

Bei einem Verstoß gegen die Vorgaben zur Auftragsdatenverarbeitung kann dies mit einem Bußgeld von bis zu 50 000 Euro geahndet werden. In § 43 I Nr. 2 b BDSG heißt es: "Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig … entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder entgegen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt." Im Gesetz heißt es weiter: "Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden."

Die Aufsichtsbehörden prüfen, ob Unternehmen sich daran halten. Ein weiteres Beispiel: Die Europcar Autovermietung GmbH hatte einen Teil ihrer Autos ohne Wissen der Mieter per GPS orten lassen. Der Hamburgische Beauftragte für Datenschutzschutz und Informationsfreiheit ahndete dies mit einem Bußgeld von 54 000 Euro. Die Mieter der Fahrzeuge wussten nichts von der Ortung und hatten ihr nicht zugestimmt. Der Vertrag über die Auftragsdatenverarbeitung mit dem Ortungsunternehmen fehlte.

An die Auftragsdatenverarbeitung stellt das Bundesdatenschutzgesetz hohe Anforderungen. Sobald ein externer Dienstleister beauftragt wird und dieser personenbezogene Daten bearbeitet, die er vom Auftraggeber erhält, muss man sich mit dem Anbieter unterhalten: Wie steht es um den Datenschutz? Zwar delegiert man Aufgaben mit einem Werk- oder Dienstvertrag. Die Verantwortung für den Datenschutz für diese Kundendaten kann man aber oft nicht in derselben Weise delegieren.

Einen seriösen und kompetenten Dienstleister erkennt man daran, dass er auf die Frage nach der Auftragsdatenverarbeitung nicht die Stirn runzelt, sondern eine kompetente Antwort parat hat und vielleicht auch schon einen Vertragsvorschlag, sofern er nötig ist. Es kann gravierende Folgen haben, wenn man mit einem Dienstleister zusammenarbeitet, der den Datenschutz nicht ernst nimmt.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023