Auftragsdatenverarbeitung?

Man könnte einen ganzen Adventskalender mit Beispielen für eine Auftragsdatenverarbeitung füllen, so weit ist sie in unserer spezialisierten und arbeitsteiligen Welt verbreitet: Das Unternehmen, das eine IT-Firma mit der Hilfestellung für die Anwender bei Computerproblemen beauftragt. Arztbriefe und OP-Berichte eines großen Krankenhauses werden von Schreibkräften in einem Schreibbüro geschrieben. Eine Lebensversicherung lässt mehrere Millionen Datensätze zu Versicherungsverträgen bei einem Dienstleister von einem alten System auf ein neues übertragen. Ein Steuerbüro mietet in einem Rechenzentrum einen Server und speichert dort seine Kundendaten.

Sorgfältige Auswahl der Dienstleister ist Pflicht

Allen diesen Beispielen ist gemein, dass die jeweiligen Auftraggeber (das Unternehmen, das Krankenhaus …) für die Sicherheit ihrer Daten verantwortlich bleiben. Deshalb müssen die Auftraggeber schon bei der Auswahl der Auftragnehmer, bevor also Aufträge erteilt und Daten übergeben werden, sehr genau prüfen, ob der Auftragnehmer genügend Sicherheitsmaßnahmen während des Umgangs mit fremden Daten einhält. Dies sollte nicht nur das ganz eigene Interesse der Auftraggeber sein, sondern ist auch ihre gesetzliche Pflicht (§ 11 Abs. 2 BDSG).

„Soll ich da hingehen?“

Es gibt eine Reihe von Möglichkeiten, die Zuverlässigkeit eines Dienstleisters vor Auftragsvergabe einschätzen zu können. Ein Besuch vor Ort ist eine davon. Findet die Datenverarbeitung in einer als Büro zweckentfremdeten Wohnung statt und werden die Sicherungsmedien in einer Badewanne mit einem Brett darüber gelagert, sollte man von der Beauftragung dieses Dienstleisters Abstand nehmen. (Nein, kein Scherz. Das ist noch vor wenigen Jahren so passiert, allerdings weit südlich von Hamburg).

Vorlage von aussagekräftigen Dokumenten

Weniger aufwändig ist, die Vorlage von Datenschutz- und Sicherheitskonzepten zu verlangen und eine Liste der technischen und organisatorischen Maßnahmen, die der Dienstleister etabliert hat. Auditsiegel, die nahelegen, dass in dem Unternehmen datenschutzkonforme Zustände gelten, sind eine weitere Möglichkeit. So ist beispielsweise eine ISO 27001 Zertifizierung ein Hinweis für die Zuverlässigkeit des Dienstleisters, auch wenn der Focus dieses Zertifikats eigentlich auf IT-Sicherheit ausgelegt ist. Seit einiger Zeit gibt es auch ein Datenschutzsiegel speziell für Auftragsdatenverarbeiter, das vom Bundesverband der Datenschutzbeauftragten und der Gesellschaft für Datenschutz und Datensicherheit entwickelt wurde.

Papier ist geduldig, aber trotzdem ist anhand solcher Unterlagen schon eine Einschätzung möglich, ob ein Dienstleister gut organisiert ist und vollständige und überzeugende Beschreibungen seiner Sicherheitsmaßnahmen vorlegt oder ob er schnell im Netz zusammen kopierte Papiere übersendet.

Zwei Verträge

Der Auftrag zur Verarbeitung fremder Daten muss schriftlich geregelt werden. Es muss also zwei Verträge geben: Den eigentlichen Dienstleistungsvertrag („migriere meine Daten von System A nach System B zu Preis XX“) und den Vertrag über Auftragsdatenverarbeitung („diese Daten werden übergeben“ … „nach Abschluss des Auftrages wieder gelöscht“). Bezüglich der zu regelnden Inhalte verweise ich auf den Wortlaut des  § 11 BDSG, der die Vorgaben durchaus klar beschreibt.

Pingelig sein! Individuelle Regelungen treffen

Im Internet kursiert eine ganze Reihe Musterverträge zur Regelung einer Auftragsdatenverarbeitung. Es reicht jedoch nicht – wie es in der Praxis immer wieder vorkommt – einen solchen Mustervertrag mit je einer Unterschrift von Auftragnehmer und Auftraggeber zu versehen und das für einen vollständigen Vertrag zu halten. Es müssen individuelle und genau auf den in Frage stehenden Auftrag zugeschnittene Vereinbarungen getroffen werden. Für die Beauftragung eines Schreibbüros muss beispielsweise festgelegt werden

– In welcher Form die Originaldateien (Diktate) übermittelt werden
– Wo sie gespeichert werden
– Wer Zugriff auf die Originaldateien hat
– Wer nach Abschluss eines Schreibauftrags noch Änderungen vornehmen darf und auf wessen Anweisung
– Wie die Rückübermittlung der fertigen Aufträge an den Auftraggeber erfolgt
– Wann die Originaldateien und die geschriebenen Aufträge gelöscht werden
– Wer für die Löschung verantwortlich ist.

Die Mühe lohnt sich

Diese Festlegungen zu treffen verursacht durchaus Aufwand und Mühe. Davon abgesehen, dass ein nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilter Auftrag zur Datenverarbeitung durch Auftragnehmer ein Bußgeld bis 50.000 EUR kosten kann, sollte es wie gesagt im eigenen Interesse der Auftraggeber liegen, eine sorgfältige Regelung herbei zu führen. Alle Datenschutzpannen beim Dienstleister fallen direkt auf den Auftraggeber zurück.

Soweit meine Übersicht für heute. Zur Frage der laufenden Kontrolle der Einhaltung der Vereinbarungen durch den Dienstleister folgt in den nächsten Tagen ein gesonderter Beitrag.