DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Auf­trags­da­ten­ver­ar­beitung

 

Der Gesetz­geber hat die ver­trag­lichen Vor­aus­set­zungen für die Ver­ar­beitung per­so­nen­be­zo­gener Daten im Auftrag neu geregelt und die Nicht­be­achtung mit einem Bußgeld von bis zu 50.000 Euro belegt. Was das für Sie bedeutet erfahren Sie hier.

 

Was ist Auftragsdatenverarbeitung?
In Ihrem Unter­nehmen fallen häufig per­so­nen­be­zogene Daten an, selbst wenn Sie nicht zur Branche der Daten- oder Adress­händler gehören. Kunden- und Lie­fe­ran­ten­daten werden ver­waltet, mög­li­cher­weise sprechen Sie zu Akquise- oder Wer­be­zwecken poten­zielle Kunden an. Die Daten Ihrer Mit­ar­beiter werden bear­beitet und natürlich muss die Lohn­ab­rechnung durch­ge­führt werden. Für eine schnelle Ver­ar­beitung steht heute die EDV bereit. Doch bleiben diese Daten immer in Ihrem Haus oder setzen Sie nicht doch den einen oder anderen Dienst­leister ein, um die Daten­ver­ar­beitung effi­zient zu gestalten?

Das Bun­des­da­ten­schutz­gesetz (BDSG) bezeichnet die Zuhil­fe­nahme eines externen Dienst­leisters zur Daten­ver­ar­beitung unter bestimmten Vor­aus­set­zungen als Auftragsdatenverarbeitung.
Dies ist immer dann der Fall, wenn Ihr Dienst­leister nur eine Hilfs- bzw. Unter­stüt­zungs­funktion hat und voll­kommen von Ihren Vor­gaben abhängig ist. Erhebt, ver­ar­beitet oder nutzt Ihr Dienst­leister Ihre Daten für seine eigenen Zwecke, handelt es sich nicht um Auftragsdatenverarbeitung.
Wichtig für Sie ist, dass bei einem Auf­trags­da­ten­ver­ar­bei­tungs­ver­hältnis gem. § 11 Abs. 1 Satz 1 BDSG für die Ein­haltung des Daten­schutzes immer Sie als der Auf­trag­geber ver­ant­wortlich bleibent.

Wer kann Auf­trags­da­ten­ver­ar­beiter sein?
In Zeiten von Cloud-Lösungen und App­­li­­cation-Service-Pro­­­viding kommt Auf­trags­da­ten­ver­ar­beitung quasi täglich vor: Sie nutzen die Angebote externer Dienst­leister zur Spei­cherung Ihrer Daten oder gar zur Aus­la­gerung Ihrer gesamten IT. Ihre Daten liegen dabei auf den Sys­temen dieser Dienstleister!
Gleiches gilt, wenn die Lohn- und Gehalts­ab­rechnung an ein externes Lohnbüro oder ein anderes Unter­nehmen in Ihrem Konzern aus­ge­lagert wurde.
Oftmals gibt es aber auch Auf­trags­da­ten­ver­ar­bei­tungs­ver­hält­nisse, an die man im ersten Moment gar nicht denkt:

  • Hosting und Admi­nis­tration eines E‑Mail-Servers
  • Gestaltung und Hosting Ihres Inter­net­auf­tritts (zumindest, wenn dort per­so­nen­be­zogene Daten per For­mular, Web­ana­ly­se­pro­gramm etc. erhoben und ver­ar­beitet oder Mit­ar­bei­ter­daten ver­öf­fent­licht werden)
  • Beauf­tragung eines Call-Centers für Umfragen, Support etc.
  • Ver­nichtung von Daten­trägern oder ver­trau­lichen Unterlagen
  • Fern­wartung Ihrer IT durch einen EDV-Partner oder Programmsupport
  • usw.

Welche Pflichten treffen Sie?
Für alle Fälle einer Auf­trags­da­ten­ver­ar­beitung schreibt § 11 Abs. 2 BDSG vor, dass der Auf­trag­nehmer unter beson­derer Berück­sich­tigung der Eignung sorg­fältig aus­zu­wählen und der Auftrag schriftlich zu erteilen ist. Im schrift­lichen Auftrag müssen min­destens die zehn in § 11 Abs. 2 Satz 2 BDSG genau auf­ge­zählten Punkte ent­halten sein!
Und damit nicht genug: Sie müssen sich vor Beginn der Daten­ver­ar­beitung und später regel­mäßig von der Ein­haltung der Schutz­maß­nahmen beim Auf­trag­nehmer über­zeugen und das Ergebnis dieser Kon­trolle dokumentieren!
Prüfen Sie also:

  1. Welche Auf­trags­da­ten­ver­ar­bei­tungs­ver­hält­nisse liegen vor?
  2. Liegt zu allen Auf­trags­da­ten­ver­ar­bei­tungs­ver­hält­nissen ein schrift­licher Vertrag vor?
  3. Sind im Vertrag alle zehn in § 11 Abs. 2 Satz 2 BDSG auf­ge­zählten Punkte enthalten?
  4. Wurde der Auf­trag­nehmer sorg­fältig ausgewählt?
  5. Wurden die beim Auf­trag­nehmer getrof­fenen Schutz­maß­nahmen vor Beginn der Daten­ver­ar­beitung und sodann regel­mäßig kontrolliert?
  6. Wurden die Ergeb­nisse der Kon­troll­maß­nahmen dokumentiert?

Und was pas­siert, wenn Sie die Pflichten missachten?
Wie so oft, droht das BDSG auch hier mit einem Bußgeld. Bis zu 50.000 Euro werden fällig, wenn der Auftrag nicht richtig, nicht voll­ständig oder nicht in der vor­ge­schrie­benen Weise erteilt wurde oder die Kon­trolle der Schutz­maß­nahmen beim Auf­trag­nehmer vor Beginn der Daten­ver­ar­beitung nicht durch­ge­führt wurde.
 

Bild:  © Udo Domnick / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Bosch, DATEV eG

Abschluss der Aus­bildung mit dem zweiten juris­ti­schen Staats­examen 1997. Seitdem in unter­schied­lichen Bereichen bei der DATEV eG in Nürnberg tätig. Prak­tische Erfahrung im IT-Umfeld hat er ins­be­sondere in seiner zehn­jäh­rigen Tätigkeit in der Soft­ware­ent­wicklung gesammelt. Hierbei war er u.a. mit der Ein­richtung und Aktua­li­sierung von Netz­werk­um­ge­bungen in Steu­er­be­rater- und Rechts­an­walts­kanz­leien betraut. Seit fünf Jahren ist Bernd Bosch als externer Daten­schutz­be­rater für Kanz­leien tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.