Auftragsverarbeitung

Von Datenverarbeitung im Auftrag spricht man, wenn die datenverarbeitende Stelle (verantwortliche Stelle) sich einer Stelle bedient (Dienstleister), die für die Einrichtung im Auftrag und weisungsabhängig personenbezogene Daten erhebt, verarbeitet oder nutzt.  Dabei haftet der Auftraggeber (die Einrichtung) dem Dateneigentümer (Betroffener) gegenüber.

In dem seit dem 24.Mai 2018 geltenden Gesetz über den Kirchlichen Datenschutz ist die Auftragsverarbeitung in § 29 KDG geregelt. Der Begriff „Auftragsdatenverarbeitung“, welcher sich in der KDO fand, wurde durch den Terminus „Auftragsverarbeitung“ ersetzt.

Beispiele für Auftragsverarbeitung sind: Rechenzentren, externe Personalagenturen (Leiharbeit), externe Agenturen (Headhunter, Assessment-Center), externe Dienstleister mit "Remote-Zugriff" (Server, Wartungsverträge, Softwarepflege), externe Dienstleister für Peripherie-Geräte (Fax, Drucker, Multifunktionsgeräte, Scanner, Kopierer), Entsorger (IT, TK, Aktenentsorgung), externe Berater mit Zugriff auf Software und personenbezogene Daten, externe Reinigungsdienste, Internet-Service-Provider (Fremdsoftware als Dienstleistung).

Nach § 29 Abs. 1 KDG ist der Auftragnehmer (Dienstleister), der personenbezogene Daten im Auftrag des Auftraggebers (Einrichtung) verarbeitet, sorgfältig auszuwählen. Dabei sind die vom Dienstleister getroffenen technischen und organisatorischen Maßnahmen zu Datenschutz und Datensicherheit gemäß § 26 KDG und Anlage IV KDO-DVO zu prüfen.  Die Überprüfung kann durch einen Termin vor Ort, über eine schriftliche Validierung der Umsetzung (z.B. per Fragebogen) oder durch Vorlage von passenden Zertifizierungen erfolgen. Die Prüfung erfolgt durch den betrieblichen Datenschutzbeauftragten.

Der Vertrag zur Datenverarbeitung im Auftrag ist schriftlich zu erteilen (Auftragsverarbeitungsvertrag) und muss den Anforderungen des § 29 KDG genügen.  Folgende Punkte müssen im Vertag aufgeführt werden:

  • Gegenstand und Dauer des Vertrages
    Der Auftrag der Verarbeitung muss verständlich bezeichnet werden. Auch wenn nicht einzelne Verarbeitungsschritte benannt werden müssen, so muss aber deutlich gemacht werden, welchen Umfang die Arbeiten haben, die vom Auftragnehmer erledigt werden.
  • Regelung von Umfang, Art und Zweck
    Im Auftragsdatenerarbeitungsvertrag sind konkrete Weisungen im Hinblick auf die Verarbeitung zu treffen, dies kann auch einzelne Verarbeitungsschritte betreffen. Im Vertrag sollten die Möglichkeiten aber auch die Grenzen der Datenverarbeitung durch den Auftragnehmer deutlich werden.
    Der Zweck der Verarbeitung der Daten ist im Vertag zu benennen. Die Art der Daten ist genau zu beschreiben (hier helfen die Angaben aus den Verfahrensverzeichnissen). Der Kreis der Betroffenen ist so konkret wie möglich zu erfassen.
  • Festlegung der zu treffenden technischen und organisatorischen Maßnahmen
    Der Vertrag muss konkrete Regelungen beinhalten, welche technischen und organisatorischen Maßnahmen vom Auftragnehmer bei der Durchführung des Auftrages eingehalten werden müssen. Diese Maßnahmen sind konkret zu bezeichnen.
  • Regelungen zu Berichtigung, Löschung und Sperrung von Daten im Auftrag
    Der Vertrag sollte Regelungen enthalten, aus denen sich Berichtigung, Löschung und Sperren von Daten durch den Auftraggeber ergeben. Diese Maßnahmen dürfen nur auf Weisung des Auftraggebers erfolgen.
  • Regelungen zu den Pflichten des Auftragnehmers
    Im Vertrag sind die gesonderten Anforderungen an den Auftragnehmer auszuführen, z. B. Verpflichtung auf das Datengeheimnis, Bestellung eines betrieblichen Datenschutzbeauftragten etc.
  • Regelungen zu Untervertragsverhältnisses
    Es ist zu regeln, ob und wie eine Beauftragung von Unterauftragnehmern durch den Auftragnehmer bei der Verarbeitung von Daten erfolgen kann. Diese können Support- und Entwicklungsangebote großer Softwarefirmen sein (24h-Dienstleistung; Tochterfirmen im Ausland).
  • Regelungen zu Kontrollrechten des Auftraggebers und entsprechenden Duldungspflichten des Auftragnehmers
    Um eine wirksame Kontrolle des Auftragnehmers vornehmen zu können, müssen Kontrollrechte vertraglich vereinbart werden. Damit gehen entsprechende Duldungspflichten des Auftragnehmers einher (Zugang zu den Geschäftsräumen).
  • Regelungen zu Informationspflichten des Auftragnehmers bei Verstößen gegen Datenschutzvorschriften oder Pflichten gegenüber dem Auftraggeber
    Bei Unregelmäßigkeiten bzw. Verstößen gegen Rechtsvorschriften oder vertragliche Pflichten ist der Auftraggeber zu informieren.
  • Regelung des Weisungsrechts
    Aus dem Vertrag muss sich ergeben, dass die dort getroffenen Regelungen abschließenden Charakter haben. Ergänzende Weisungsrechte des Auftraggebers sind genau zu regeln (Wer kann Weisungen aussprechen? In welcher Form werden diese kommuniziert?).
  • Regelungen zur Rückgabe bzw. Löschung der Daten nach Auftragsbeendigung
    Es muss gewährleistet sein, dass nach Beendigung des Auftrags keine personenbezogenen Daten mehr beim Auftragnehmer verbleiben.

Aktuelle Meldungen zum Datenschutz

Verpflichtungserklärung zum Datengeheimnis nach § 5 KDG

Dortmund, 06. Juli 2018: Um die mit der Verarbeitung personenbezogener Daten tätigen Mitarbeiter für das Datenschutzrecht zu sensibilisieren und auf ihre Pflicht zur Einhaltung der einschlägigen Datenschutzregelungen hinzuweisen, dient die von der Konferenz der Diözesandatenschutzbeauftragten kürzlich veröffentlichte Formulierungshilfe. Die enthaltenen Erläuterungen geben einen guten Überblick über die Zweckmäßigkeit dieser gesetzlichen Verpflichtung. Sie finden die Formulierungshilfe zur […]

>> weiterlesen

Hilfestellung für die Veröffentlichung von Fotos

Dortmund, 11. Juli 2018: Um eine Hilfestellung bei der Frage zu geben, wie mit der Veröffentlichung von Fotos allgemein und insbesondere von Kindern und Jugendlichen unter 16 Jahren umgegangen werden sollte, hat die Konferenz der Diözesandatenschutzbeauftragten Erläuterungen zu dem Beschluss der Konferenz vom 17. April 2018 verfasst. Den informativen Text finden Sie auch in unserer […]

>> weiterlesen

Erweitertes Führungszeugnis

Dortmund, 09. Mai 2018: Personen, die mit der Betreuung, Beaufsichtigung, Erziehung oder Ausbildung von Kindern und Jugendlichen betraut sind sowie Personen, die im Bereich der Sozialhilfe tätig sind, haben ein erweitertes Führungszeugnis nach § 30a BZRG vorzulegen, um ihre persönliche Eignung nachzuweisen. Neben den gesetzlichen Bestimmungen der Sozialgesetzbücher acht und zwölf gilt im (katholisch-) kirchlichen […]

>> weiterlesen

Mitteilungspflicht der Kontaktdaten von Datenschutzbeauftragten nach KDG

Dortmund, 19. Januar 2018: Ab dem 24. Mai 2018 sind dem Katholischen Datenschutzzentrum als Aufsichtsbehörde die Kontaktdaten der betrieblichen Datenschutzbeauftragten der kirchlichen Stellen und Einrichtungen mitzuteilen. Mit Inkrafttreten des Gesetzes über den Kirchlichen Datenschutz (KDG) zum 24. Mai 2018 werden Verantwortliche und Auftragsverarbeiter dazu verpflichtet sein, die Kontaktdaten ihrer betrieblichen Datenschutzbeauftragten der zuständigen Datenschutzaufsicht mitzuteilen. […]

>> weiterlesen