Auftragsverarbeitung

Von Datenverarbeitung im Auftrag spricht man, wenn die datenverarbeitende Stelle (verantwortliche Stelle) sich einer Stelle bedient (Dienstleister), die für die Einrichtung im Auftrag und weisungsabhängig personenbezogene Daten erhebt, verarbeitet oder nutzt.  Dabei haftet der Auftraggeber (die Einrichtung) dem Dateneigentümer (Betroffener) gegenüber.

In dem seit dem 24.Mai 2018 geltenden Gesetz über den Kirchlichen Datenschutz ist die Auftragsverarbeitung in § 29 KDG geregelt. Der Begriff „Auftragsdatenverarbeitung“, welcher sich in der KDO fand, wurde durch den Terminus „Auftragsverarbeitung“ ersetzt.

Beispiele für Auftragsverarbeitung sind: Rechenzentren, externe Agenturen (Headhunter, Assessment-Center), externe Dienstleister mit "Remote-Zugriff" (Server, Wartungsverträge, Softwarepflege), externe Dienstleister für Peripherie-Geräte (Fax, Drucker, Multifunktionsgeräte, Scanner, Kopierer), Entsorger (IT, TK, Aktenentsorgung), externe Berater mit Zugriff auf Software und personenbezogene Daten, Internet-Service-Provider (Fremdsoftware als Dienstleistung).

Nach § 29 Abs. 1 KDG ist der Auftragnehmer (Dienstleister), der personenbezogene Daten im Auftrag des Auftraggebers (Einrichtung) verarbeitet, sorgfältig auszuwählen. Dabei sind die vom Dienstleister getroffenen technischen und organisatorischen Maßnahmen zu Datenschutz und Datensicherheit gemäß § 26 KDG zu prüfen.  Die Überprüfung kann durch einen Termin vor Ort, über eine schriftliche Validierung der Umsetzung (z.B. per Fragebogen) oder durch Vorlage von passenden Zertifizierungen erfolgen. Die Prüfung erfolgt durch den betrieblichen Datenschutzbeauftragten.

Der Vertrag zur Datenverarbeitung im Auftrag ist schriftlich zu erteilen (Auftragsverarbeitungsvertrag) und muss den Anforderungen des § 29 KDG genügen.  Folgende Punkte müssen im Vertag aufgeführt werden:

  • Gegenstand und Dauer des Vertrages
    Der Auftrag der Verarbeitung muss verständlich bezeichnet werden. Auch wenn nicht einzelne Verarbeitungsschritte benannt werden müssen, so muss aber deutlich gemacht werden, welchen Umfang die Arbeiten haben, die vom Auftragnehmer erledigt werden.
  • Regelung von Umfang, Art und Zweck
    Im Auftragsdatenerarbeitungsvertrag sind konkrete Weisungen im Hinblick auf die Verarbeitung zu treffen, dies kann auch einzelne Verarbeitungsschritte betreffen. Im Vertrag sollten die Möglichkeiten aber auch die Grenzen der Datenverarbeitung durch den Auftragnehmer deutlich werden.
    Der Zweck der Verarbeitung der Daten ist im Vertag zu benennen. Die Art der Daten ist genau zu beschreiben (hier helfen die Angaben aus den Verfahrensverzeichnissen). Der Kreis der Betroffenen ist so konkret wie möglich zu erfassen.
  • Festlegung der zu treffenden technischen und organisatorischen Maßnahmen
    Der Vertrag muss konkrete Regelungen beinhalten, welche technischen und organisatorischen Maßnahmen vom Auftragnehmer bei der Durchführung des Auftrages eingehalten werden müssen. Diese Maßnahmen sind konkret zu bezeichnen.
  • Regelungen zu Berichtigung, Löschung und Sperrung von Daten im Auftrag
    Der Vertrag sollte Regelungen enthalten, aus denen sich Berichtigung, Löschung und Sperren von Daten durch den Auftraggeber ergeben. Diese Maßnahmen dürfen nur auf Weisung des Auftraggebers erfolgen.
  • Regelungen zu den Pflichten des Auftragnehmers
    Im Vertrag sind die gesonderten Anforderungen an den Auftragnehmer auszuführen, z. B. Verpflichtung auf das Datengeheimnis, Bestellung eines betrieblichen Datenschutzbeauftragten etc.
  • Regelungen zu Untervertragsverhältnisses
    Es ist zu regeln, ob und wie eine Beauftragung von Unterauftragnehmern durch den Auftragnehmer bei der Verarbeitung von Daten erfolgen kann. Diese können Support- und Entwicklungsangebote großer Softwarefirmen sein (24h-Dienstleistung; Tochterfirmen im Ausland).
  • Regelungen zu Kontrollrechten des Auftraggebers und entsprechenden Duldungspflichten des Auftragnehmers
    Um eine wirksame Kontrolle des Auftragnehmers vornehmen zu können, müssen Kontrollrechte vertraglich vereinbart werden. Damit gehen entsprechende Duldungspflichten des Auftragnehmers einher (Zugang zu den Geschäftsräumen).
  • Regelungen zu Informationspflichten des Auftragnehmers bei Verstößen gegen Datenschutzvorschriften oder Pflichten gegenüber dem Auftraggeber
    Bei Unregelmäßigkeiten bzw. Verstößen gegen Rechtsvorschriften oder vertragliche Pflichten ist der Auftraggeber zu informieren.
  • Regelung des Weisungsrechts
    Aus dem Vertrag muss sich ergeben, dass die dort getroffenen Regelungen abschließenden Charakter haben. Ergänzende Weisungsrechte des Auftraggebers sind genau zu regeln (Wer kann Weisungen aussprechen? In welcher Form werden diese kommuniziert?).
  • Regelungen zur Rückgabe bzw. Löschung der Daten nach Auftragsbeendigung
    Es muss gewährleistet sein, dass nach Beendigung des Auftrags keine personenbezogenen Daten mehr beim Auftragnehmer verbleiben.

Aktuelle Meldungen zum Datenschutz

Abschluss der Querschnittsprüfung zur E-Mail Sicherheit

Dortmund, 25.04.2024: Das Katholische Datenschutzzentrum hat seine Querschnittsprüfung kirchlicher Einrichtungen bezüglich der E-Mail-Sicherheit abgeschlossen. Insgesamt wurden 125 katholische Einrichtungen per Zufallsprinzip ausgewählt. Die Prüfung umfasste Fragen zur Schulung und Awareness, Verwaltung der Benutzer und Postfächer, Administration, Überprüfung des Datenverkehrs sowie zum Patch- und Updatemanagement und Backup. Die Ergebnisse dieser Prüfung zeigen, dass die notwendigen Maßnahmen […]

>> weiterlesen

Abschluss der Querschnittsprüfung „betriebliche Datenschutzbeauftragte“

Dortmund, 05.04.2024: Das Katholische Datenschutzzentrum hat seine Querschnittsprüfung kirchlicher Einrichtungen bezüglich der Tätigkeiten des betrieblichen Datenschutzbeauftragten abgeschlossen. Insgesamt wurden 100 katholische Einrichtungen per Zufallsprinzip ausgewählt. Die Prüfung umfasste Fragen zur Einrichtungsgröße, Qualifikation des Datenschutzbeauftragten, Ressourcen des Datenschutzbeauftragten, weiterer Aufgaben und Pflichten und Interessenkonflikten, der Eingliederung in die Einrichtung, Tätigkeitsberichten und durch den Datenschutzbeauftragten durchgeführte Datenschutzaudits. […]

>> weiterlesen

Hinweisgeberschutzgesetz tritt in Kraft

Dortmund, 12.06.2023: Am 2. Juli 2023 wird das Hinweisgeberschutzgesetz in Kraft treten. Bundestag und Bundesrat haben einem Kompromiss für einen Gesetzesentwurf im Vermittlungsausschuss zugestimmt, nachdem der Bundesrat die im Bundestag verabschiedete Version zunächst abgelehnt hatte. Mit dem Hinweisgeberschutzgesetz hat der Gesetzgeber nun mit einiger Verspätung die Richtlinie 2019/1937 der EU umgesetzt. Ziel des Gesetzes ist […]

>> weiterlesen

Einsatz neuer Informations- und Kommunikationstechnologien bei Sitzungen der Mitarbeitervertretungen in Zeiten der Corona-Pandemie

Dortmund, 15.04.2020: Bisher sah das Mitarbeitervertretungsrecht eine Präsenzpflicht der Mitglieder bei Sitzungen der Mitarbeitervertretung vor. Dies war die Voraussetzung für das Fassen wirksamer Beschlüsse. Vor dem Hintergrund der Corona-Pandemie und der damit verbundenen Schwierigkeiten, Sitzungen der Mitarbeitervertretungen als Präsenz-Sitzung durchzuführen, wurde Anfang April 2020 der § 14 Abs. 4 Mitarbeitervertretungsordnung (MAVO) um folgende Sätze ergänzt: […]

>> weiterlesen