Wer so oder ähnlich die technisch-organisatorischen Sicherheitsmaßnahmen in Verträgen zur Auftragsdatenverarbeitung gem. § 11 Bundesdatenschutzgesetz beschreibt, muss – zumindest in Bayern – künftig mit hohen Bußgeldern rechnen.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat laut einer kürzlich erschienenen Pressemitteilung bekannt gegeben, dass ein Unternehmen in Bayern mit einem fünfstelligen Bußgeld belangt wurde, weil es
„in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt [hatte]. Stattdessen enthielten die Aufträge nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes.“
Dies war der Aufsichtsbehörde eindeutig zu wenig und zu pauschal. Der Auftraggeber müsse als verantwortliche Stelle in der Lage sein, die Qualität der IT-Sicherheit beim Auftragnehmer konkret beurteilen zu können. Hierfür seien konkrete Informationen über die „8 Kostbarkeiten“ erforderlich, letztlich auch aus dem Grunde, da der Auftraggeber diese im Nachhinein auch kontrollieren müsse. Nur mit spezifisch beschriebenen technisch-organisatorischen Sicherheitsmaßnahmen sei dem Auftraggeber eine Einschätzung möglich, welches Gewicht der Dienstleister auf die IT-Sicherheit lege.
Was ist zu tun?
Die Aussagen der bayerischen Aufsichtsbehörde sind eindeutig. Eine bloße Aufzählung der in § 9 nebst Anlage BDSG genannten Oberbegriffe (Zugangskontrolle, Zutrittskontrolle etc.) in einem § 11-Vertrag entspricht nicht der o.g. Auslegung der gesetzlichen Vorgaben. Die vom Dienstleister eingerichteten Maßnahmen müssen konkret benannt werden.
Beispiel Zugangskontrolle: Hier müssten Angaben erfolgen wie z.B. individualisierte Benutzerkennungen, die Erstellung und Umsetzung eines Berechtigungskonzepts auf System- und Netzwerkebene, die Auswahl eines geeigneten Authentisierungsverfahrens, die Sicherstellung von Passwortanforderungen durch die Erstellung einer Passwortrichtlinie (zu deren beispielhaften Inhalt nachfolgend) etc.
Oder, hinsichtlich der Zugriffskontrolle: Die Passwortrichtlinie sieht folgende Voraussetzungen vor: Mindestlänge: 8 Zeichen, Maximalalter: 90 Tage, Historie: 10 Einträge, Minimalalter: 7 Tage, Zahlen, Sonderzeichen, Klein- und Großbuchstaben, Sperrung nach fünf Fehlauthentisierungen.
Wir haben zu sämtlichen gesetzlich genannten Sicherheitsmaßnahmen in den vergangenen Wochen in unserer Blog-Reihe: TOM und der Datenschutz konkrete Beispiele benannt. Aus diesen lässt sich sehr anschaulich eine aussagekräftige und auch den genannten Anforderungen der bayerischen Aufsichtsbehörde genügende Nennung der konkreten IT-Sicherheitsmaßnahmen erstellen. Wenn Sie also demnächst von Ihrem Dienstleister zu diesem Punkt gefragt werden „was soll ich´n da schreiben?“, dann verweisen Sie gern auf diese Beispiele. Denn eines scheint sicher (Zitat BayLDA):
„Wir werden auch künftig in geeigneten Fällen Verstöße in diesem Bereich mit Geldbußen ahnden.“