Auftragskontrolle

Trennlinie

Vertrauen ist gut, Kontrolle ist besser -
Wie gut kennen Sie Ihre Dienstleister?

Hannover im März 2015 von Ulrike Hauser

Gesetzestext - Anlage zu § 9 Satz 1 Nr. 6

Das BDSG sagt: „Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, …"

Um folgende Kontrollmaßnahmen handelt es sich dabei:

1. Zutrittskontrolle

2. Zugangskontrolle

3. Zugriffskontrolle

4. Weitergabekontrolle

5. Eingabekontrolle

6. Auftragskontrolle

7. Verfügbarkeitskontrolle

8. Trennungsgebot

Das BDSG formuliert die Eingabekontrolle so […] 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden,
nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können […]

Früher war nicht alles besser - aber anders!

Früher wurden Verträge mit einem Handschlag besiegelt. Früher war das wertvolle Gut aber auch noch physisch zu schützen. Heutzutage besteht ihr abzusicherndes Vermögen oftmals aus digitalen Daten, wie die personenbezogenen Daten Ihrer Kunden, Mandanten, Patienten etc. und Ihrer Mitarbeiter aber auch Ihre Geschäftsinterna. Verträge sollten gemacht werden, um schriftlich festzuhalten, was der Vertragspartner zusichert.

Wenn Sie Berufsgeheimnisträger sind -
Denken Sie an Ihr Berufsrecht!

Grundsätzlich müssen Sie stets Ihr Berufsrecht beim Outsourcing von Datenverarbeitungen von personenbezogenen Daten beachten.

Das Datenschutzniveau

Sie als Organisationsleitung haben für sich ein Datenschutzniveau definiert, welches in Ihren Büroräumen auch eingehalten wird, dies können Sie persönlich überwachen. Aber wissen Sie auch, wie Ihr Dienstleister mit Ihren Daten umgeht und ob er sie wirklich so verarbeitet, wie Sie es angewiesen haben?

 

 

 

 

 

Kaskade der Auftragsdatenverarbeitung

Klicken Sie auf die Zeichnung, um sie zu vergrößern.
Kaskade der Auftragsdatenverarbeitung

Inhalt eines Vertrags zur Auftragsdatenverarbeitung

Da Sie nicht alle Auftragnehmer ständig kontrollieren können, schließen Sie vor der Beauftragung und nachdem Sie sich von der Qualität des Unternehmens überzeugt haben, einen Vertrag zur Auftragsdatenverarbeitung (ADV).


In diesem werden folgende Einzelbestimmungen vertraglich festgelegt:

  • Gegenstand und Dauer des Auftrags
  • Umfang, Art und Zweck der vorgesehenen Erhebung,
  • Verarbeitung oder Nutzung von Daten, Daten und Datenkategorien sowie Kreis der Betroffenen
  • Technisch-organisatorische Maßnahmen gem. § 9 BDSG nebst Anlage
  • Berichtigung, Sperrung und Löschung von Daten
  • Kontrollen und sonstige Pflichten des Auftragnehmers
  • Unterauftragsverhältnisse
  • Kontrollrechte des Auftraggebers
  • Mitteilung bei Verstößen des Auftragnehmers
  • Weisungsbefugnis des Auftraggebers
  • Löschung von Daten und Rückgabe von Datenträgern

Vertragsmuster für die Auftragsdatenverabeitung

Hier gelangen Sie zur Mustervereinbarung der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.

Hier gelangen Sie zu den Vertragsmustern der Bitkom
(Muster in deutscher und englischer Sprache)

Hier gelangen Sie zu den Informationen des Landesbeauftragten für den Datenschutz Niedersachsen

Aufsätze: Steuerberater und die Auftragsdatenverarbeitung

"Der Steuerberater zwischen Funktionsübertragung und Auftragsdatenverarbeitung"
aus: BvD-News Das Mitgliedermagazin, Ausgabe 1/2013, Seite 20

"Keine ADV bei Übernahme der Lohn- und Gehaltsabrechnung durch Steuerberater"
--> Online nur mit Anmeldung abrufbar
aus: DstR 2012 Seite 1771 von Dirk Oetterich, LL.M., Nürnberg