Auftragskontrolle

Die Auftragskontrolle ist nur anwendbar im Falle der Auftragsdatenverarbeitung im Sinn des § 11 des Bundesdatenschutzgesetzes (BDSG) und/oder der entsprechenden Paragraphen in den Landesdatenschutzgesetzen.

Ein Auftrag liegt dann vor, wenn die personenbezogenen Daten der Speicherstelle durch einen Dritten verarbeitet werden (Beispiele sind: Putzdienst, externe Buchhaltung, externe Netzwerkbetreuung, Datenvernichtung durch eine externe Firma, der komplette “Outsourcing-Bereich” aber auch externe Mitarbeiter, die von Fall zu Fall arbeiten, fallen darunter).

In diesem Fall ist sicherzustellen, dass personenbezogene Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können! Sie als Auftraggeber haben dem Auftragnehmer exakt vorzuschreiben, wie und in welchem Umfang die Datenverarbeitung zu erfolgen hat. Der Gesetzgeber verlangt folgerichtig, dass der Auftraggeber den Auftragnehmer dahingehend zu kontrollieren hat!

Rechtlich geregelt und gefordert wird die Auftragskontrolle in den technisch-organisatorischen Maßnahmen des BDSG (Anlage zu § 9 BDSG, Nr. 6).
In ¬ß 9 Satz 2 BDSG wird pr√§zisiert, dass die Ma√ünahmen verh√§ltnism√§√üig sein sollen, also in einem angemessenen Verh√§ltnis zu ihrem jeweils angestrebten Schutzzweck stehen sollten. Unter diese Sollbestimmung f√§llt allerdings nicht die Kontrolle des Auftragnehmers ansich, allenfalls die Intensit√§t und Tiefe der Pr√ľfung.

Maßnahmen können sein:

  • Intern darstellen und begr√ľnden was Auftragsdatenverarbeitung f√ľr den Auftraggeber, also die Stelle, bedeutet und welche Gef√§hrdungen und Haftungsfragen bei der Stelle verbleiben
  • Unterweisung gerade des eigenen Personals zu diesem extrem sensiblen Datenschutzaspekt
  • vertragliche Regelung der ADV
  • immer gleiches und formalisiertes Vergabe-/Auswahlkriterium
  • Kontrolle und √úberwachung
  • Ansprechpartner und Vertreter bestimmen
  • Verpflichtung des Auftragnehmers auf BDSG, Geheimhaltung und stellenbezogene Notwendigkeiten
  • Regeln der zeitlichen und umf√§nglichen Datenzugriffe des AN
  • Regeln des Zugriffverfahrens (Technik. Wie, mit was)
  • Auswahl des AN nach dem Ort der Datenverarbeitung (BDSG-Bereich, EU, Drittstaaten)
  • erweiterte Unterweisungen an diese Personen
  • Auswertung von Logfiles bez√ľglich “Zugang” und “Zugriff”
  • Einfordern von Nachweisen wie etwa Datenschutz- oder IT-Sicherheits-Zertifikat, bestellter DSB, Unterweisungsstand der AN-Mitarbeiter
  • ...

Der BSI-Grundschutz enth√§lt 72 Ma√ünahmen zur Umsetzung der Auftragskontrolle. Der Gro√üteil dieser Ma√ünahmen unterst√ľtzt gleichzeitig die Umsetzung weiterer Datenschutzgebote.

Siehe auch: Datenschutz-Ist-Analyse

(c) kronsoft (r)                          Referenzen | Presse | Auszeichnungen | IT-Tag | Sitemap | Kundenbereich | Freeware

kronsoft-Datenschutz-Glossar

Ihr Datenschutz-Glossar
bereitgestellt von kronsoft

Archivierung
Akteneinsicht
Audit
Aufgabe des Datenschutzes
Aufsichtsbehörde
Auftragsdatenverarbeitung
Auftragskontrolle
Auskunftsrecht
Automatisierte Verarbeitung
Automatisiertes Abrufverfahren
Bundesdatenschutzgesetz (BDSG)
Benutzerkontrolle
Besondere Arten personenbezogener Daten
Bring Your Own Device (BYOD)
Callcenter
Cloud
Customer Relationship Management (CRM)
Computerviren/Diskettenlaufwerke/ CD-ROM-Laufwerke/USB-Stick
Datengeheimnis
Datenschutz-Ist-Analyse
Datenschutz-Zertifizierung
Datenschutzaudit
Datenschutzbeauftragter
Datenschutzbeauftragter Software
Datenschutzgrundlagen
Datenschutzumsetzung
Datenschutzumsetzung 2
Datenschutzumsetzung 3
Datenschutzumsetzung 4
Datenschutzzertifikat
Datensparsamkeit
Datentransfer in Drittländer
Datenträgerkontrolle
Datenverarbeitung
Datenverarbeitungsanlage
Digitale Signatur
Drittstaat
Dokumentenmanagement
Eingabgekontrolle
Fernwartung
Interessenabwägung
Internet
IT-Sicherheit
Kontrolle beim Einsatz von PCs
Konventionelle Telefaxgeräte
Laptops/Notbeooks/Blackberry
Letter Shops
Löschungskonzept
Meldepflicht
nicht-öffentliche Stelle
öffentliches Verfahrensverzeichnis
Organisationskontrolle
öffentliche Stelle
personenbezogene Daten
private Computer
Safe Harbor
Schutzstufe
Sicherheitsbereich
Speicherkontrolle
Technisch-organisatorische Maßnahmen (TOM)
Telearbeit
Telekommunikationseinrichtungen
Transportkontrolle
Trennungsgebot
√úbermittlungskontrolle
verantwortliche Stelle
Verarbeitung
Verarbeitungs√ľbersicht
Verfahren
Verfahrensverzeichnis
Verfahrensverzeichnis, öffentliches
Verfahrenverzeichnis
Verf√ľgbarkeitskontrolle
Vernichtung von Schrifgut und Datenträgern
Video-Beobachtung und Video√ľberwachung
Weitergabekontrolle
Zugangskontrolle
Zugriffskontrolle
Zutrittskontrolle
Zweckbindung