Checkliste Datenverarbeitung im Auftrag: Unterschied zwischen den Versionen

Aus Datenschutz-Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „==Hilfsmittel zur Durchführung== Werden personenbezogene Daten einer Daten verantwortlichen Stelle (Auftraggeber) durch andere Ste…“)
 
K (Typo)
Zeile 309: Zeile 309:
====Anmerkungen, Offene Punkte====
====Anmerkungen, Offene Punkte====


Für die Zwecke der vollständigen Dokumentation kann, sofern die Bemerkungen oder offenen Punkte nicht in der Checkliste gepflegt werden sollen, eine eigentständige Liste mit Anmerkungen angefertigt werden.
Für die Zwecke der vollständigen Dokumentation kann, sofern die Bemerkungen oder offenen Punkte nicht in der Checkliste gepflegt werden sollen, eine eigenständige Liste mit Anmerkungen angefertigt werden.


{| class="wikitable"
{| class="wikitable"

Version vom 7. Februar 2013, 19:35 Uhr

Hilfsmittel zur Durchführung

Werden personenbezogene Daten einer Daten verantwortlichen Stelle (Auftraggeber) durch andere Stellen (Auftragnehmer) erhoben, verarbeitet oder genutzt, so ist der Auftrag gem. § 11 Abs. 2 BDSG schriftlich zu erteilen. Bei der Auftragserteilung und der Umsetzung der Datenverarbeitung im Auftrag sind eine Reihe von gesetzlichen Anforderungen zu beachten.


Die Checkliste zur Datenverarbeitung im Auftrag wurde von der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg [1] bereitgestellt und enthält auch Vorarbeiten und Empfehlungen der Datenschutzbeauftragten anderer Bundesländer. Sie dient zur Unterstützung bei der datenschutzgerechten Formulierung und Umsetzung des Vertrags.

Um eine möglichst allen gerecht werdende Liste zur Verfügung zu stellen, wurden die Hinweise inhaltlich nur in Bezug auf die Paragraphen des Bundesdatenschutzgesetzes angepasst. Einzelne Kriterien sind gem. der Verpflichtungen anzupassen; gleiches gilt bei der Berücksichtigung landesdatenschutzgesetzlicher Vorschriften (zu prüfende Paragraphen sind mit einem * gekennzeichnet). Zur Berücksichtigung der Besonderheiten eines konkreten Verfahrens bzw. seines beabsichtigten Einsatzes kann es erforderlich sein, Inhalte zu ergänzen oder anzupassen. Bitte auch die Punkte der Checkliste Datenverarbeitung Wartung beachten.


Datenverarbeitung im Auftrag oder Funktionsübertragung

Die Handreichung zur Auslagerung von Aufgaben [2] gibt eine Hilfestellung bei der Einschätzung ob eine Datenverarbeitung in Auftrag oder eine Funktionsübertragung vorliegt. Nachfolgend sind einzelne Kriterien skizziert, weitergehende Informationen können in der Handreichung nachgelesen werden.

Erkennungsmerkmale für Datenverarbeitung im Auftrag

  • fehlende Entscheidungsbefugnis des Auftragnehmers,
  • Weisungsgebundenheit des Auftragnehmers bezüglich dessen, was mit den Daten geschieht,
  • Umgang nur mit Daten, die der Auftraggeber zur Verfügung stellt; es sei denn, der Auftrag ist auch auf die Erhebung personenbezogener Daten gerichtet,
  • Ausschluss der Verarbeitung oder Nutzung der Daten zu eigenen Zwecken des Auftragnehmers,
  • keine (vertragliche) Beziehung des Auftragnehmers zum Betroffenen,
  • Auftragnehmer tritt (gegenüber dem Betroffenen) nicht in eigenem Namen auf

Erkennungsmerkmale für Funktionsübertragung

  • Weisungsfreiheit des Dienstleisters bezüglich dessen, was mit den Daten geschieht,
  • Überlassung von Nutzungsrechten an den Daten,
  • eigenverantwortliche Sicherstellung von Zulässigkeit und Richtigkeit der Daten durch den Dienstleister, einschließlich des Sicherstellens der Rechte von Betroffenen (Benachrichtigungspflicht, Auskunftsanspruch),
  • Handeln des Dienstleisters (gegenüber dem Betroffenen) im eigenen Namen,
  • Entscheidungsbefugnis des Dienstleisters in der Sache,


Checkliste

Datenverarbeitung im Auftrag gem. § 11 BDSG*
Verantwortliche Stelle (Auftraggeber): ...
Dienstleister (Auftragnehmer): ...
Vereinbarung/Vertrag (Bezeichnung, Aktenzeichen etc.): ...
Verfahren (Bezeichnung, Aktenzeichen etc.): ...
Anlage (Offene Punkte etc): ...
1 Auftragsorganisation
1.1 Ist eine Auftragsdatenverarbeitung für das Verfahren rechtlich zulässig?  √ Ja oder √ Nein
1.2 Ist die Auftragsdatenverarbeitung fachlich und sachlich begründet? ... Ja ... Nein
1.3 Wurde der Auftragnehmer unter Berücksichtigung seiner Eignung und der bei ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig ausgewählt? ... Ja ... Nein
1.4 Wurde der Datenschutzbeauftragte bei der Planung der Auftragsdatenverarbeitung, der Vertragsgestaltung und -umsetzung einbezogen? ... Ja ... Nein
1.5 Ist die Erteilung von Unteraufträgen für die Datenverarbeitung geplant? ... Ja ... Nein
1.6 Erfolgt die Auftragsdatenverarbeitung im Ausland? Falls ja, besteht bei der ausländischen Stelle ein angemessenes Datenschutzniveau? (Siehe auch Empfänger, BDSG Kommentar § 1 Abs.5 und Kommentar § 4b Abs.3 ff.) ... Ja ... Nein
1.7 Wurden Vorkehrungen getroffen, die eine Rückabwicklung der Datenverarbeitung im Auftrag gestatten? ... Ja ... Nein
2 Vertragsgestaltung
2.1 Sind die Vertragspartner eindeutig bezeichnet (Name, Rechtsform, Anschrift, Vertreter)? ... Ja ... Nein
2.2 Ist der Gegenstand der Auftragsdatenverarbeitung eindeutig festgelegt? ... Ja ... Nein
2.3 Ist der Umfang der vom Auftragnehmer zu erfüllenden Aufgaben eindeutig und vollständig dokumentiert? ... Ja ... Nein
2.4 Wurde der Ort der zu erbringenden Leistungen (der Auftragsdatenverarbeitung) genau festgelegt? ... Ja ... Nein
2.5 Wurde die Weisungsgebundenheit des Auftragnehmers schriftlich fixiert? ... Ja ... Nein
2.6 Sind die weisungsberechtigten Personen des Auftraggebers und die Kontaktpersonen des Auftragnehmers benannt? ... Ja ... Nein
2.7 Sind die technischen und organisatorischen Maßnahmen, die der Auftragnehmer umzusetzen hat, beschrieben? ... Ja ... Nein
2.8 Ist die Umsetzung der Maßnahmen beim Auftragnehmer gewährleistet? ... Ja ... Nein
2.9 Werden die Mitarbeiter des Auftragnehmers schriftlich auf die Einhaltung des Datengeheimnisses gem. § 5 BDSG* verpflichtet? ... Ja ... Nein
2.10 Wurden Unterauftragsverhältnisse ausgeschlossen bzw. Unterauftragnehmer sowie die von Ihnen auszuführenden

Teilaufgaben schriftlich und eindeutig benannt?

... Ja ... Nein
2.11 Treffen die vertraglichen Verpflichtungen auch auf die Unterauftragnehmer zu? ... Ja ... Nein
2.12 Sind Regelungen zu den Eigentums- und Nutzungsverhältnissen an Hard- und Software getroffen worden? ... Ja ... Nein
2.13 Sind Regelungen zur Verarbeitung und ggf. Vernichtung der durch den Auftraggeber bereit gestellten Daten getroffen worden? ... Ja ... Nein
2.14 Ist der Zweck der Datenverarbeitung beim Auftragnehmer auf die Auftragsausführung beschränkt? ... Ja ... Nein
2.15 Wurde der „Eigentumsvorbehalt“ der Daten für den Auftraggeber fixiert? ... Ja ... Nein
2.16 Ist das Anfertigen von Kopien der Daten durch den Auftragnehmer verboten (bis auf Datensicherungsmaßnahmen)? ... Ja ... Nein
2.17 Wurden Vereinbarungen zur Änderung wesentlicher Vertragsbestandteile getroffen, insbesondere Modalitäten zum Test und zur Freigabe bei Änderungen des Verfahrens oder der technischen und organisatorischen Maßnahmen? ... Ja ... Nein
2.18 Gibt es die Pflicht des Auftragnehmers, Unregelmäßigkeiten, Störungen, Vorfälle oder Verdacht auf Datenschutzverletzungen bei der Auftragsdatenverarbeitung dem Auftraggeber unverzüglich mitzuteilen? ... Ja ... Nein
2.19 Hat sich der Auftragnehmer verpflichtet, die Vorschriften des BDSG* zu befolgen? ... Ja ... Nein
2.20 Hat sich der Auftragnehmer verpflichtet, jederzeit vom Auftraggeber veranlasste Kontrollen zu ermöglichen? ... Ja ... Nein
2.21 Sind der Umfang sowie die Modalitäten der Durchführung der Kontrollen schriftlich fixiert? ... Ja ... Nein
2.22 Sind Laufzeit und Kündigungsfristen der Auftragsdatenverarbeitung vereinbart? ... Ja ... Nein
2.23 Besteht das Recht zur fristlosen Kündigung des Vertrages bei datenschutzrechtlichen Verstößen durch den Auftragnehmer? ... Ja ... Nein
2.24 Wurden die Pflichten von Auftraggeber und Auftragnehmer nach Vertragsende klar definiert? ... Ja ... Nein
3 Technische und organisatorische Maßnahmen
3.1 Sind die Risikoanalyse und das Sicherheitskonzept gem. * unter Berücksichtigung der Datenverarbeitung im Auftrag fortgeschrieben worden? ... Ja ... Nein
3.2 Sind die abgeleiteten technischen und organisatorischen Maßnahmen zur Beherrschung der durch die Auftragsdatenverarbeitung entstehenden Risiken geeignet und angemessen? ... Ja ... Nein
3.3 Wurden im Falle hohen oder sehr hohen Schutzbedarfs der zu verarbeitenden Daten besondere technische und organisatorische Maßnahmen beim Auftragnehmer umgesetzt? ... Ja ... Nein
3.4 Werden die Daten des Auftraggebers beim Auftragnehmer von anderen Daten getrennt verarbeitet und können sie ihm jederzeit ausgehändigt werden? ... Ja ... Nein
3.5 Wurden Maßnahmen zur Gewährleistung der Vertraulichkeit der Auftragsdatenverarbeitung getroffen, insbesondere Zutritts-, Zugangs- und Zugriffsregelungen beim Auftragnehmer? ... Ja ... Nein
3.6 Wurden Maßnahmen zur Verschlüsselung und Integritätsprüfung/Signatur von Daten bei ihrer Übertragung über

Netze bzw. beim Transport von Datenträgern getroffen?

... Ja ... Nein
3.7 Wurden Vereinbarungen zu Datensicherungsmaßnahmen bei Auftraggeber bzw. Auftragnehmer getroffen? ... Ja ... Nein
3.8 Gibt es Regelungen zur Aufbewahrung von Datenträgern beim Auftragnehmer bzw. zu deren Rückgabe an den Auftraggeber? ... Ja ... Nein
3.9 Erfolgt eine revisionssichere Protokollierung der Datenverarbeitung im Auftrag, insbesondere aller Veränderungen? ... Ja ... Nein
3.10 Werden im Protokoll Zeitpunkt, Art und Grund der Änderung sowie die ausführende Person festgehalten? ... Ja ... Nein
3.11 Wurden Regelungen zur Auswertung der Protokolle getroffen? ... Ja ... Nein
3.12 Sind Regelungen zur ordnungsgemäßen Löschung von Daten bzw. Entsorgung von Datenträgern nach Vertragsende beim Auftragnehmer vereinbart? ... Ja ... Nein
4 Kontrolle der Vertragseinhaltung
4.1 Werden die Ergebnisse der Auftragsdatenverarbeitung vom Auftraggeber zumindest stichprobenartig geprüft? ... Ja ... Nein
4.2 Wird die Einhaltung des Vertrags durch den Auftragnehmer vom Auftraggeber regelmäßig und umfassend geprüft? ... Ja ... Nein
4.3 Wird die Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen beim Auftragnehmer vom

Auftraggeber regelmäßig und umfassend kontrolliert?

... Ja ... Nein
4.4 Wird die Einhaltung der Vereinbarungen zur Änderung deszum Auftragnehmer ausgelagerten Verfahrens, einzelner Vertragsinhalte oder technischer und organisatorischer Maßnahmen (z.B. im Rahmen der Fortschreibung des Sicherheitskonzepts) vom Auftraggeber kontrolliert? ... Ja ... Nein


...................................................... ......................................................
Ort, Datum Unterschrift


Anmerkungen, Offene Punkte

Für die Zwecke der vollständigen Dokumentation kann, sofern die Bemerkungen oder offenen Punkte nicht in der Checkliste gepflegt werden sollen, eine eigenständige Liste mit Anmerkungen angefertigt werden.

Offene Punkte zur Datenverarbeitung im Auftrag gem. § 11 BDSG*
Anlage Nr. ...
Vereinbarung/Vertrag (Bezeichnung, Aktenzeichen etc.): ...
Verfahren (Bezeichnung, Aktenzeichen etc.): ...
Zeitraum für Klärung: ...
2 Vertragsgestaltung
2.1 Bemerkungen zu offenen bzw. klärungsbedürftigen Punkten, Hindernissen; Begründungen ... erledigt:
 √ Ja oder √ Nein, Datum
2.17 Klärung Aktenvernichtung beim AN, ADV-Vertrag nicht vorhanden ... Ja  √ Nein 30.05.2013
... weitere Auflistung je nach Erforderlichkeit.


Einzelnachweise

1 Checklisten der LDA Brandenburg

2 Handreichung zur Auslagerung von Aufgaben (Outsourcing) - Stand 23.09.2004

Weitere Infos

Checkliste Datenverarbeitung Wartung

Mustervereinbarung Auftragsdatenverarbeitung