Paragrafenpuzzle

Vor ein paar Monaten habe ich in anderem Zusammenhang (Cloud Computing) einen Artikel zum Thema Auftragsdatenverarbeitung geschrieben. Darin habe ich unter anderem darauf aufmerksam gemacht, dass der Auftraggeber in einem solchen Fall immer für die Sicherheit seiner Daten verantwortlich bleibt und sich von der Einhaltung der im Vertrag vereinbarten Regelungen überzeugen muss. Wie wichtig das ist, zeigt ein Vorfall in Schneverdingen, über welchen bei heise.de berichtet wurde.

Was war geschehen?

Die Stadt hatte für einen Teil der Verwaltungsaufgaben eine Software eingesetzt und einen diesbezüglichen Wartungsvertrag geschlossen. Als ein Fehler an der Software auftauchte und dieser über die Fernwartung nicht behoben werden konnte, übertrug man die Software inklusive der Daten an den Dienstleister. Sowohl die Fernwartung als auch die Übertragung der Daten erfolgten verschlüsselt. Allerdings übertrug man beim Dienstleister dann die Daten auf einen ungesicherten Laptop übertragen. Und dieser wurde dann natürlich auch gleich gestohlen. Aus diesem Grunde gelangten zum Teil sensible personenbezogene Daten der Einwohner der Stadt Schneverdingen in die Hände Dritter.

Was lernen wir daraus?

Vereinbaren Sie in Ihren Verträgen nicht nur das Recht der Kontrolle vor Ort bei Ihrem Dienstleister, nehmen Sie dieses Recht auch wahr und lassen Sie sich genau zeigen, mit welcher Hardware und wie Ihr Vertragspartner arbeitet. Nur auf diese Weise können Sie sicherstellen, dass Ihre Daten auch dort sicher sind. Denn mit wem auch immer Sie einen Vertrag über eine Auftragsdatenverarbeitung schließen, SIE bleiben verantwortlich für Ihre Daten!