Checkliste Datenverarbeitung im Auftrag

Aus Datenschutz-Wiki
Wechseln zu: Navigation, Suche

Hilfsmittel zur Durchführung

Werden personenbezogene Daten einer Daten verantwortlichen Stelle (Auftraggeber) durch andere Stellen (Auftragnehmer) erhoben, verarbeitet oder genutzt, so ist der Auftrag gem. § 11 Abs. 2 BDSG schriftlich zu erteilen. Bei der Auftragserteilung und der Umsetzung der Datenverarbeitung im Auftrag sind eine Reihe von gesetzlichen Anforderungen zu beachten.


Die Checkliste zur Datenverarbeitung im Auftrag wurde von der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg [1] bereitgestellt und enthält auch Vorarbeiten und Empfehlungen der Datenschutzbeauftragten anderer Bundesländer. Sie dient zur Unterstützung bei der datenschutzgerechten Formulierung und Umsetzung des Vertrags.

Um eine möglichst allen gerecht werdende Liste zur Verfügung zu stellen, wurden die Hinweise inhaltlich nur in Bezug auf die Paragraphen des Bundesdatenschutzgesetzes angepasst. Einzelne Kriterien sind gem. der Verpflichtungen anzupassen; gleiches gilt bei der Berücksichtigung landesdatenschutzgesetzlicher Vorschriften (zu prüfende Paragraphen sind mit einem * gekennzeichnet). Zur Berücksichtigung der Besonderheiten eines konkreten Verfahrens bzw. seines beabsichtigten Einsatzes kann es erforderlich sein, Inhalte zu ergänzen oder anzupassen. Bitte auch die Punkte der Checkliste Datenverarbeitung Wartung beachten.


Datenverarbeitung im Auftrag oder Funktionsübertragung

Siehe auch
Auftragsdatenverarbeitung#Abgrenzung zur Funktionsübertragung

Erkennungsmerkmale für Datenverarbeitung im Auftrag

  • fehlende Entscheidungsbefugnis des Auftragnehmers,
  • Weisungsgebundenheit des Auftragnehmers bezüglich dessen, was mit den Daten geschieht,
  • Umgang nur mit Daten, die der Auftraggeber zur Verfügung stellt; es sei denn, der Auftrag ist auch auf die Erhebung personenbezogener Daten gerichtet,
  • Ausschluss der Verarbeitung oder Nutzung der Daten zu eigenen Zwecken des Auftragnehmers,
  • keine (vertragliche) Beziehung des Auftragnehmers zum Betroffenen,
  • Auftragnehmer tritt (gegenüber dem Betroffenen) nicht in eigenem Namen auf

Erkennungsmerkmale für Funktionsübertragung

  • Weisungsfreiheit des Dienstleisters bezüglich dessen, was mit den Daten geschieht,
  • Überlassung von Nutzungsrechten an den Daten,
  • eigenverantwortliche Sicherstellung von Zulässigkeit und Richtigkeit der Daten durch den Dienstleister, einschließlich des Sicherstellens der Rechte von Betroffenen (Benachrichtigungspflicht, Auskunftsanspruch),
  • Handeln des Dienstleisters (gegenüber dem Betroffenen) im eigenen Namen,
  • Entscheidungsbefugnis des Dienstleisters in der Sache,

Checkliste

Datenverarbeitung im Auftrag gem. § 11 BDSG*
Verantwortliche Stelle (Auftraggeber): ...
Dienstleister (Auftragnehmer): ...
Vereinbarung/Vertrag (Bezeichnung, Aktenzeichen etc.): ...
Verfahren (Bezeichnung, Aktenzeichen etc.): ...
Anlage (Offene Punkte etc): ...
1 Auftragsorganisation
1.1 Ist eine Auftragsdatenverarbeitung für das Verfahren rechtlich zulässig?  √ Ja oder √ Nein
1.2 Ist die Auftragsdatenverarbeitung fachlich und sachlich begründet? ... Ja ... Nein
1.3 Wurde der Auftragnehmer unter Berücksichtigung seiner Eignung und der bei ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig ausgewählt? ... Ja ... Nein
1.4 Wurde der Datenschutzbeauftragte bei der Planung der Auftragsdatenverarbeitung, der Vertragsgestaltung und -umsetzung einbezogen? ... Ja ... Nein
1.5 Ist die Erteilung von Unteraufträgen für die Datenverarbeitung geplant? ... Ja ... Nein
1.6 Erfolgt die Auftragsdatenverarbeitung im Ausland? Falls ja, besteht bei der ausländischen Stelle ein angemessenes Datenschutzniveau? (Siehe auch Empfänger, BDSG Kommentar § 1 Abs.5 und Kommentar § 4b Abs.3 ff.) ... Ja ... Nein
1.7 Wurden Vorkehrungen getroffen, die eine Rückabwicklung der Datenverarbeitung im Auftrag gestatten? ... Ja ... Nein
2 Vertragsgestaltung
2.1 Sind die Vertragspartner eindeutig bezeichnet (Name, Rechtsform, Anschrift, Vertreter)? ... Ja ... Nein
2.2 Ist der Gegenstand der Auftragsdatenverarbeitung eindeutig festgelegt? ... Ja ... Nein
2.3 Ist der Umfang der vom Auftragnehmer zu erfüllenden Aufgaben eindeutig und vollständig dokumentiert? ... Ja ... Nein
2.4 Wurde der Ort der zu erbringenden Leistungen (der Auftragsdatenverarbeitung) genau festgelegt? ... Ja ... Nein
2.5 Wurde die Weisungsgebundenheit des Auftragnehmers schriftlich fixiert? ... Ja ... Nein
2.6 Sind die weisungsberechtigten Personen des Auftraggebers und die Kontaktpersonen des Auftragnehmers benannt? ... Ja ... Nein
2.7 Sind die technischen und organisatorischen Maßnahmen, die der Auftragnehmer umzusetzen hat, beschrieben? ... Ja ... Nein
2.8 Ist die Umsetzung der Maßnahmen beim Auftragnehmer gewährleistet? ... Ja ... Nein
2.9 Werden die Mitarbeiter des Auftragnehmers schriftlich auf die Einhaltung des Datengeheimnisses gem. § 5 BDSG* verpflichtet? ... Ja ... Nein
2.10 Wurden Unterauftragsverhältnisse ausgeschlossen bzw. Unterauftragnehmer sowie die von Ihnen auszuführenden Teilaufgaben schriftlich und eindeutig benannt? ... Ja ... Nein
2.11 Treffen die vertraglichen Verpflichtungen auch auf die Unterauftragnehmer zu? ... Ja ... Nein
2.12 Sind Regelungen zu den Eigentums- und Nutzungsverhältnissen an Hard- und Software getroffen worden? ... Ja ... Nein
2.13 Sind Regelungen zur Verarbeitung und ggf. Vernichtung der durch den Auftraggeber bereit gestellten Daten getroffen worden? ... Ja ... Nein
2.14 Ist der Zweck der Datenverarbeitung beim Auftragnehmer auf die Auftragsausführung beschränkt? ... Ja ... Nein
2.15 Wurde der „Eigentumsvorbehalt“ der Daten für den Auftraggeber fixiert? ... Ja ... Nein
2.16 Ist das Anfertigen von Kopien der Daten durch den Auftragnehmer verboten (bis auf Datensicherungsmaßnahmen)? ... Ja ... Nein
2.17 Wurden Vereinbarungen zur Änderung wesentlicher Vertragsbestandteile getroffen, insbesondere Modalitäten zum Test und zur Freigabe bei Änderungen des Verfahrens oder der technischen und organisatorischen Maßnahmen? ... Ja ... Nein
2.18 Gibt es die Pflicht des Auftragnehmers, Unregelmäßigkeiten, Störungen, Vorfälle oder Verdacht auf Datenschutzverletzungen bei der Auftragsdatenverarbeitung dem Auftraggeber unverzüglich mitzuteilen? ... Ja ... Nein
2.19 Hat sich der Auftragnehmer verpflichtet, die Vorschriften des BDSG* zu befolgen? ... Ja ... Nein
2.20 Hat sich der Auftragnehmer verpflichtet, jederzeit vom Auftraggeber veranlasste Kontrollen zu ermöglichen? ... Ja ... Nein
2.21 Sind der Umfang sowie die Modalitäten der Durchführung der Kontrollen schriftlich fixiert? ... Ja ... Nein
2.22 Sind Laufzeit und Kündigungsfristen der Auftragsdatenverarbeitung vereinbart? ... Ja ... Nein
2.23 Besteht das Recht zur fristlosen Kündigung des Vertrages bei datenschutzrechtlichen Verstößen durch den Auftragnehmer? ... Ja ... Nein
2.24 Wurden die Pflichten von Auftraggeber und Auftragnehmer nach Vertragsende klar definiert? ... Ja ... Nein
3 Technische und organisatorische Maßnahmen
3.1 Sind die Risikoanalyse und das Sicherheitskonzept gem. * unter Berücksichtigung der Datenverarbeitung im Auftrag fortgeschrieben worden? ... Ja ... Nein
3.2 Sind die abgeleiteten technischen und organisatorischen Maßnahmen zur Beherrschung der durch die Auftragsdatenverarbeitung entstehenden Risiken geeignet und angemessen? ... Ja ... Nein
3.3 Wurden im Falle hohen oder sehr hohen Schutzbedarfs der zu verarbeitenden Daten besondere technische und organisatorische Maßnahmen beim Auftragnehmer umgesetzt? ... Ja ... Nein
3.4 Werden die Daten des Auftraggebers beim Auftragnehmer von anderen Daten getrennt verarbeitet und können sie ihm jederzeit ausgehändigt werden? ... Ja ... Nein
3.5 Wurden Maßnahmen zur Gewährleistung der Vertraulichkeit der Auftragsdatenverarbeitung getroffen, insbesondere Zutritts-, Zugangs- und Zugriffsregelungen beim Auftragnehmer? ... Ja ... Nein
3.6 Wurden Maßnahmen zur Verschlüsselung und Integritätsprüfung/Signatur von Daten bei ihrer Übertragung über Netze bzw. beim Transport von Datenträgern getroffen? ... Ja ... Nein
3.7 Wurden Vereinbarungen zu Datensicherungsmaßnahmen bei Auftraggeber bzw. Auftragnehmer getroffen? ... Ja ... Nein
3.8 Gibt es Regelungen zur Aufbewahrung von Datenträgern beim Auftragnehmer bzw. zu deren Rückgabe an den Auftraggeber? ... Ja ... Nein
3.9 Erfolgt eine revisionssichere Protokollierung der Datenverarbeitung im Auftrag, insbesondere aller Veränderungen? ... Ja ... Nein
3.10 Werden im Protokoll Zeitpunkt, Art und Grund der Änderung sowie die ausführende Person festgehalten? ... Ja ... Nein
3.11 Wurden Regelungen zur Auswertung der Protokolle getroffen? ... Ja ... Nein
3.12 Sind Regelungen zur ordnungsgemäßen Löschung von Daten bzw. Entsorgung von Datenträgern nach Vertragsende beim Auftragnehmer vereinbart? ... Ja ... Nein
4 Kontrolle der Vertragseinhaltung
4.1 Werden die Ergebnisse der Auftragsdatenverarbeitung vom Auftraggeber zumindest stichprobenartig geprüft? ... Ja ... Nein
4.2 Wird die Einhaltung des Vertrags durch den Auftragnehmer vom Auftraggeber regelmäßig und umfassend geprüft? ... Ja ... Nein
4.3 Wird die Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen beim Auftragnehmer vom Auftraggeber regelmäßig und umfassend kontrolliert? ... Ja ... Nein
4.4 Wird die Einhaltung der Vereinbarungen zur Änderung deszum Auftragnehmer ausgelagerten Verfahrens, einzelner Vertragsinhalte oder technischer und organisatorischer Maßnahmen (z.B. im Rahmen der Fortschreibung des Sicherheitskonzepts) vom Auftraggeber kontrolliert? ... Ja ... Nein


...................................................... ......................................................
Ort, Datum Unterschrift


Anmerkungen, Offene Punkte

Für die Zwecke der vollständigen Dokumentation kann, sofern die Bemerkungen oder offenen Punkte nicht in der Checkliste gepflegt werden sollen, eine eigenständige Liste mit Anmerkungen angefertigt werden.

Offene Punkte zur Datenverarbeitung im Auftrag gem. § 11 BDSG*
Anlage Nr. ...
Vereinbarung/Vertrag (Bezeichnung, Aktenzeichen etc.): ...
Verfahren (Bezeichnung, Aktenzeichen etc.): ...
Zeitraum für Klärung: ...
2 Vertragsgestaltung
2.1 Bemerkungen zu offenen bzw. klärungsbedürftigen Punkten, Hindernissen; Begründungen ... erledigt:
 √ Ja oder √ Nein, Datum
2.17 Klärung Aktenvernichtung beim AN, ADV-Vertrag nicht vorhanden ... Ja  √ Nein 30.05.2013
... weitere Auflistung je nach Erforderlichkeit.


Checkliste als RTF-Datei

Weitere Infos

Checkliste Datenverarbeitung Wartung

Mustervereinbarung Auftragsdatenverarbeitung

Einzelnachweise

  1. ^ Checklisten der LDA Brandenburg zu den Themen Vorabkontrolle, Datenverarbeitung im Auftrag, Wartung durch externe Dritte, zuletzt abgerufen 19.04.2016


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.