Iissengart consulting

  • Allgemein

Keine Auftragsdatenverarbeitung ohne Kontrollen durch den Auftraggeber

Wuppertal –

Keine Auftragsdatenverarbeitung ohne Kontrollen durch den Auftraggeber

Die UIMCert stellt fest: Die BDSG-Novelle (Bundesdatenschutzgesetz 2009) verpflichtet Auftraggeber zu mehr Kontrollen bei Auftragsdatenverarbeitung.

In vielen Fällen ? vor allem wenn eine Konzerngesellschaft mit der Datenverarbeitung beauftragt wird – werden Verträge zwischen Auftraggeber und Auftragnehmer häufig wenig präzise formuliert und insbesondere werden die Kontrollrechte, die ein Auftraggeber wahrzunehmen hat, nur selten zum Vertragsbestandteil gemacht. Hiermit ist – was datenschutzspezifische Inhalte einer Auftragsdatenverarbeitung betrifft – nach der Gesetzesnovelle des BDSG Schluss.

Die Novelle zum BDSG hat eine Anzahl von neuen exakteren Bedingungen für die Auftragsdatenverarbeitung festgelegt. Im § 11 des Gesetzes hatte der Gesetzgeber präzisiert, was der Auftraggeber dem Auftragnehmer vorzugeben hat. Hierbei sind die Inhalte des schriftlichen Auftrags vom Gesetzgeber im Einzelnen vorgegeben worden und es wurde weiterhin festgelegt, was der Auftraggeber zu kontrollieren und zu dokumentieren hat. Wichtig sind in diesem Zusammenhang insbesondere folgende Punkte:

1. Der Auftrag ist schriftlich zu erteilen und verschiedene Einzelheiten sind festzulegen. Dies sind u. a.:
? die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen
? die dem Auftragnehmer auferlegten Kontrollen
? die Kontrollrechte des Auftraggebers
? der Umfang der Weisungsbefugnis des Auftraggebers.

2. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und dann regelmäßig, d. h. nicht nur einmalig vor Beginn der Zusammenarbeit, von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen und das Ergebnis zu dokumentieren.

3. Der Auftraggeber ist berechtigt, schriftliche Aufzeichnungen des Auftragnehmers bei seinen Kontrollen und ihrer Bewertung zu berücksichtigen.

Sowohl die Festlegung von präzisen Vertragseinzelheiten als auch insbesondere die Durch-führung von regelmäßigen Kontrollen ist nicht nur bei den oben erwähnten Konzernrechen-zentren ein Problem. Auch dann, wenn das Rechenzentrum als Auftragnehmer Bestandteil oder Tochtergesellschaft eines Konzerns und der Auftraggeber ein Mittelständler ist, sind die Machtverhältnisse häufig ungleich verteilt und die gemäß Gesetz geforderten Kontrollen werden zum Problem: der Kleine muss den Großen kontrollieren. Hier hilft es oft, wenn der Auftraggeber einen Dritten, wie zum Beispiel die UIMCert, mit der Wahrnehmung der Kontrollen beauftragt. Die UIMCert kann als neutrale, kompetente und akkreditierte Institution die erforderlichen Kontrollen und Prüfungen mit der “geliehenen Autorität” eines Unabhängigen wahrnehmen. Der auf Basis dieser Prüfungen erstellte Bericht kann nicht nur als Nachweis gegenüber den Kontrollbehörden für den Datenschutz gelten, sondern auch zur Vorlage bei z. B. Wirtschaftsprüfern und externen Revisoren dienen.

Nähere Informationen zu den Möglichkeiten von Datenschutzprüfungen unter www.uimcert.de=384369″ width=”1″ height=”1″>

Wuppertal {