Links überspringen
Customer review good rating concept hand pressing five star on visual screen and positive customer.

Auftragsdatenverarbeitung – Auftragskontrolle und Kontrollen von Auftragnehmern

Sollen personenbezogene Daten im Auftrag verarbeitet werden, muss durch geeignete Maßnahmen gewährleistet werden, dass die Daten nur entsprechend der Weisungen des Auftraggebers verarbeitet werden können. Zu den klassischen Stellen, die im Rahmen der Auftragsdatenverarbeitung beauftragt werden, gehören beispielsweise externe Lohn- und Gehaltsabrechnungsdienstleister, Callcenter, Entsorgungsunternehmen zur Entsorgung von Datenträgern oder auch IT-Dienstleister, die im Rahmen von Housing- oder Hostingdienstleistungen mit den Daten in Kontakt kommen können. Die Pflicht zur Gestaltung der als Auftragskontrolle bezeichneten Maßnahmen ergeben sich in der Regel aus § 9 BDSG in Verbindung mit Nr. 6 aus der Anlage zu § 9 BDSG.

Die innerbetriebliche oder innerbehördliche Organisation der Datenverarbeitung ist entsprechend dieser Vorgabe aufzubauen. Zur Gestaltung der Auftragsverhältnisse und der Kontrolle der Datenverarbeitung müssen ein Prozess definiert und Dokumente erstellt werden. Weiter sollte auch festgelegt werden, wer Verträge abschließen darf, welche Dokumente und Vorlagen hierbei verwendet werden und ob gegebenenfalls der Datenschutzbeauftragte zu beteiligen ist.

Auftragsdatenverarbeitung und Kontrollen von Auftragnehmern

Die Datenverarbeitung im Auftrag richtet sich in der Regel nach § 11 BDSG. Er nennt alle zwingenden Voraussetzungen für die Datenverarbeitung im Auftrag. Der Auftrag ist schriftlich zu erteilen, wobei die in § 11 Abs. 2 Satz 2 BDSG festzulegenden Punkte zwingend berücksichtigt werden müssen. Hierzu gehören beispielsweise der Gegenstand und die Dauer des Auftrags, etwaige Berechtigungen zur Beauftragung von Unterauftragnehmern oder die Festlegung, wann und wie überlassene Daten und Datenträger zurückgegeben oder entsorgt werden müssen. Ergänzend sind auch die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen zu beachten.

ADV-Dienstleister sind nach § 11 Abs. 2 Satz 1 unter besonderer Berücksichtigung der von ihm getroffenen Maßnahmen sorgfältig auszuwählen. Dies bedeutet, dass getroffenen Maßnahmen zwingend festgelegt und diese auch kontrolliert werden müssen. Nach § 11 Abs. 2 Satz 3 BDSG muss sich der Auftraggeber vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugen und hat das Ergebnis zu dokumentieren. Ist der ADV-Dienstleister bekannt (bspw. aus vorangegangen Aufträgen) und dem Auftraggeber liegen keine Anhaltspunkte für eine derzeitige Einschränkung der Zuverlässigkeit vor, kann eine Kontrolle vor Auftragsbeginn im Einzelfall unterbleiben.

Vor der Auftragsvergabe

Es muss demnach zunächst eine Kontrolle vor der Auftragsvergabe erfolgen. Ist die erste Kontrolle erfolgt und dokumentiert, sollen weitere Kontrollen regelmäßig erfolgen. „Regelmäßig“ ist gesetzlich nicht definiert. Die Bedeutung von „regelmäßig“ sollte sich aus einem angemessenen Verhältnis zwischen Kontrollaufwand und angestrebten Schutzzweck ergeben. Die verantwortliche Stelle bewertet dies und legt die zeitlichen Abstände fest. Bei wenigen, unkritischen Daten kann eine Kontrolle alle 24 Monate ausreichen, bei kritischen oder großen Mengen von Daten kann auch eine Kontrolle alle sechs Monate zwingend geboten sein. In der Regel ist eine Kontrolle alle zwölf Monate ausreichend. [nbsp]

Nach der Auftragsvergabe

Der Gesetzgeber hat neben den zeitlichen Abständen der Kontrollen auch den Umfang und die Art der Kontrollen bewusst offengelassen. Wie die Kontrollen durchgeführt werden, kann entsprechend durch den Auftraggeber selbst festgelegt werden. Es muss sich daher nicht zwingend um eine Vor-Ort-Kontrolle handeln. Möglich ist es auch, Kontrollen anhand von Nachweisen durchzuführen. Existieren Prüfprotokolle, Siegel oder Zertifikate, die sich auf den Datenschutz beziehen (z.B. ISO 27001, BSI-Grundschutz, Safe Harbor Zertifizierung), können diese als Grundlage für eine Kontrolle verwendet werden. Wichtig ist hierbei darauf zu achten, von welcher Stelle diese Dokumente angefertigt werden und ob sich der Nachweis auch tatsächlich auf die Datenverarbeitung im Auftrag bezieht. Letztlich muss hierbei kontrolliert werden, dass die Nachweise aktuell sind.

Nachweisdokumentation

Die Durchführung von Kontrollen muss nach § 11 Abs. 2 Satz 5 BDSG nachweislich dokumentiert werden. Hierfür kann ein Prüfprotokoll entwickelt werden, in dem die kontrollierten Dokumente detailliert beschrieben werden, wann die Kontrolle durchgeführt wurde, welche Personen beteiligt waren etc. Die dokumentierten Prüfungen werden beim Datenschutzbeauftragten aufbewahrt, der sie als Nachweis gegenüber der Aufsichtsbehörde verwahrt. Hierbei ist es nicht zwingend erforderlich, dass der Datenschutzbeauftragte die Kontrollen selbst durchführt. Er muss diese aber nachvollziehen und die Ergebnisse bewerten können.

Die durchzuführenden Kontrollen und die Kontrollrechte des Auftraggebers müssen vertraglich festgelegt werden. Hierbei sollten unter anderem die Häufigkeit der Kontrollen, der Zeitpunkt der Kontrollen (z.B. nur zu Bürozeiten, nach Ankündigung im Voraus), mögliche Kosten bei der Prüfung durch Dritte, Duldungspflichten des Auftragnehmers und die Art der Erbringung von Nachweisen (z.B. Zertifikate, Bestätigung der Einhaltung der festgelegten Maßnahmen durch unabhängige Dritte, den Datenschutzbeauftragten oder die Revision) festgelegt werden.

Abweichungen und Folgen

Was tun bei Auffälligkeiten/Problemen/Nichteinhaltung? Hierbei sind die vertraglichen Regelungen zu beachten. Der Auftragnehmer darf die Daten nur nach den Weisungen des Auftraggebers verarbeiten. Dies ist auch vertraglich so festzulegen. Handelt der Auftragnehmer nicht entsprechend der vertraglichen Vereinbarung, sollte zunächst eine Weisung erfolgen, die Arbeitsprozesse anzupassen und die fehlerhafte oder unbefugte Datenverarbeitung zu unterlassen. Möglicherweise sind Vertragsstrafen definiert worden, die durch eine rechtswidrige [nbsp]Verarbeitung fällig werden. Hierbei kommt es auf die konkrete Formulierung an und die Berechtigung zur Datenverarbeitung muss im Einzelfall geprüft werden. Letztendlich kann auch schon bei der erstmaligen unbefugten oder fehlerhaften Datenverarbeitung die Möglichkeit der Kündigung bestehen.

Generell kommt es bei der ADV darauf an, einen gut ausgearbeiteten Vertrag zu schließen. Fehlen geforderte Regelungen aus § 11 Abs. 2 BDSG, handelt es sich nicht mehr um eine privilegierte Datenverarbeitung im Auftrag, so dass möglicherweise bereits stattfindende Übermittlungen ohne eine gesetzliche Grundlage oder Einwilligung nicht zulässig sind.