Heute erscheint eine weitere Ausgabe unserer Serie „TOM und der Datenschutz“. Nachdem wir Sie bisher über die Themen Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle und Eingabekontrolle informiert haben, berichten wir heute über Maßnahmen, die bei der Auftragskontrolle getroffen werden müssen.

Was regelt die Auftragskontrolle?

Unter den Begriff der Auftragskontrolle fallen Maßnahmen, die geeignet sind, „zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können“. So regelt es das Gesetz in der Anlage zu § 9 Satz 1 des Bundesdatenschutzgesetzes.

In ihrem Kern soll die Auftragskontrolle die weisungsgemäße Durchführung der Auftragsdatenverarbeitung sicherstellen. Adressat von Maßnahmen der Auftragskontrolle ist daher zunächst der Auftragnehmer. Dieser muss seine interne Organisation so gestalten, dass Weisungen des Auftraggebers berücksichtigt werden und sich die Datenverarbeitung innerhalb der Grenzen des abgeschlossenen Vertrags bewegt.

Darüber hinaus richtet sich die Vorschrift über die Auftragskontrolle aber auch an den Auftraggeber. Dieser ist verpflichtet, seinem Auftragnehmer klare und eindeutige Weisungen zu erteilen und die Einhaltung der erteilten Weisungen zu kontrollieren.

Damit in der Praxis kein Streit über den Inhalt der Weisungen entsteht, empfiehlt es sich, diese schriftlich zu erteilen. Dies ermöglicht dem Auftraggeber, die Einhaltung der Weisungen zu kontrollieren. Dem Auftragnehmer erlaubt es, sich im Fall der Fälle zu entlasten, sollte er sich dem Vorwurf ausgesetzt sehen, entgegen einer erteilten Weisung gehandelt zu haben.

Mit der Pflicht des Auftragsnehmers zur streng weisungsgemäßen Datenverarbeitung korrespondiert die Pflicht des Auftraggebers, die bei dem Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu kontrollieren. Die Art und Weise der erforderlichen Kontrollmaßnahmen schreibt das Gesetz nicht vor. In der Praxis hängt dies im Wesentlichen von Art und Umfang der verarbeiteten Daten sowie den Risiken bei einer Datenpanne ab.

Verarbeitet der Auftragnehmer lediglich Name und Kontaktdaten von Ansprechpartnern bei Geschäftskunden, ist es ausreichend, die getroffenen technischen und organisatorischen Maßnahmen mithilfe einer Checkliste zu kontrollieren. Verarbeitet der Auftragnehmer hingegen in großem Umfang Gesundheitsdaten, ist eine Vor-Ort-Kontrolle ratsam.

Maßnahmen

Im Bereich der Auftragskontrolle sind insbesondere folgende Maßnahmen umzusetzen:

  • sorgfältige Auswahl des Auftragnehmers,
  • eindeutige Vertragsgestaltung, insbesondere Abgrenzung der Verantwortlichkeiten zwischen Auftraggeber und Auftragnehmer und Festlegung der durchzuführenden Kontrollmaßnahmen,
  • klare und eindeutige Erteilung von Weisungen (im besten Fall in schriftlicher Form),
  • Festlegung der zur Erteilung und zum Empfang von Weisungen berechtigten Personen,
  • Kontrolle der bei dem Auftragnehmer getroffenen technischen und organisatorischen Sicherheitsmaßnahmen,
  • Regelung des Einsatzes von Unterauftragnehmern,
  • Verpflichtung der Beschäftigten des Auftragnehmers auf das Datengeheimnis gemäß § 5 BDSG,
  • soweit erforderlich, Bestellung eines Datenschutzbeauftragten bei dem Auftragnehmer,
  • Vereinbarung von Vertragsstrafen für Verstöße gegen erteilte Weisungen.

Im nächsten Teil der Serie „TOM und der Datenschutz“ berichten wir über technische und organisatorische Maßnahmen, die im Rahmen Verfügbarkeitskontrolle zu treffen sind.