Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 24.02.2011

Um diese Seite zu drucken, benutzen Sie bitte die "Drucken"-Funktion Ihres Browsers (etwa im Menü Datei->Drucken). Danach dieses Fenster bitte wieder schließen.

Auftragsdatenverarbeitung

Orientierungshilfe

1. Allgemeines

Immer mehr Behörden und Kommunen stehen vor dem Problem, dass die zunehmende Vernetzung, die ständig steigende Leistungsfähigkeit der DV-Systeme sowie die immer komplexeren Verfahren und die Nutzung moderner Technologien einen immer höheren Betreuungsaufwand erfordern, den sich insbesondere kleinere Behörden und Kommunen nicht mehr leisten können oder wollen. Häufig mangelt es auch an entsprechend qualifiziertem Personal oder der nötigen Infrastruktur. Deshalb bieten externe Dienstleister, die sich auf eine bestimmte Dienstleistung spezialisiert haben und über ein kompetentes Expertenteam verfügen, vermehrt DV-Services der unterschiedlichsten Art an, um den Anwender bei schwierigen Spezialaufgaben zu entlasten. Dabei kann es sich sowohl um manuelle Datenverarbeitung als auch um die Verarbeitung personenbezogener Daten unter Einsatz der elektronischen Datenverarbeitung handeln. Diese Art der Datenverarbeitung kann (im Rahmen eines so genannten Outsourcings) sowohl innerhalb der Räume des Auftraggebers als auch außerhalb stattfinden.

Wenn eine öffentliche Stelle personenbezogene Daten durch eine andere Stelle erheben, verarbeiten oder nutzen lässt, ohne dass dabei eine Funktionsübertragung stattfindet, so handelt es sich gemäß Art. 6 BayDSG um eine Datenverarbeitung im Auftrag.

Bei einer Auftragsdatenverarbeitung werden der Auftraggeber und der Auftragnehmer rechtlich einheitlich als eine einzige verantwortliche Stelle angesehen. Dies drückt sich beispielsweise in Art. 4 Abs. 10 Satz 2 BayDSG wie folgt aus: "Dritte sind nicht die Betroffenen sowie diejenigen Personen und Stellen, die im Inland oder innerhalb der Mitgliedstaaten der Europäischen Union personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen." Die Auftragsdatenverarbeitung ist somit gesetzlich privilegiert.

Die rechtlichen Vorteile einer Auftragsdatenverarbeitung liegen insbesondere darin, dass für ihre Durchführung keine zusätzliche Prüfung der Zulässigkeitsvoraussetzungen für eine Verarbeitung personenbezogener Daten durch den Auftragnehmer erforderlich ist. Ist der Auftragnehmer eine bayerische öffentliche Stelle, hat er gemäß Art. 6 Abs. 3 Satz 1 BayDSG nur die Art. 5 (Datengeheimnis), 7 (Technische und organisatorische Maßnahmen), 25 (Sicherstellung des Datenschutzes), 29 - 31 (Landesbeauftragter für den Datenschutz), 32 Abs. 1 - 3 (Unterstützung des Landesbeauftragten), 33 (Datenschutzkommission) und 37 (Ordnungswidrigkeiten, Strafvorschrift) BayDSG zu beachten.

Sofern der Auftraggeber eine öffentliche Stelle des Bundes ist, sind die Vorgaben des § 11 BDSG zu beachten.

2. Formen der Auftragsdatenverarbeitung

Für eine Auftragsdatenverarbeitung kommen insbesondere folgende Aufgaben infrage:

  • Konzeption von DV-Systemen und Netzwerken
  • Entwicklung, Wartung und Pflege von Software
  • Wartung von Hardware
  • Bereitstellung, Administration und Betrieb einzelner Rechnersysteme (z.B. Firewall-Rechner) bzw. ganzer Netzwerke
  • Bereitstellung und Betrieb des kompletten Rechenzentrums
  • Beschaffung, Installation und Betreuung der Bürokommunikation (User-Help-Desk)
  • Bereitstellung von Backup-Systemen
  • Abwicklung einzelner DV-Arbeiten (z.B. Programmierarbeiten, Datenerfassung, Datenpflege, Erledigung von Massenarbeiten wie Mailingaktionen, Erhebung und Auswertung von Daten)
  • Vollständige Abwicklung aller DV-Tätigkeiten
  • Transport von Informationen und Datenträgern
  • Lagerung, Archivierung und Verfilmung von Unterlagen
  • Vernichtung von Datenträgern

Einige der wichtigsten Formen der Auftragsdatenverarbeitung sind:

a) Datenerfassung

Handelte es sich bei den an Außenstehende vergebenen Datenverarbeitungsaufgaben früher meist um Datenerfassungsarbeiten, so hat diese Art der Auftragsdatenverarbeitung heute eine geringe Bedeutung, weil sie regelmäßig im Rahmen der Sachbearbeitung erledigt wird. Lediglich wenn umfangreiches Datenmaterial (beispielsweise aus Erhebungen) erfasst werden soll, bedient man sich heutzutage noch eines Erfassungsbüros, das solche Auftragsspitzen schneller und effektiver als das eigene Personal abarbeiten kann.

b) Outsourcing im klassischen Sinn

Im Vordringen ist das Auslagern von Versandarbeiten (ePost). Auch das Vorhalten von Backup-Kapazitäten für den Katastrophenfall ist heute noch ein klassisches Feld der Auftragsdatenverarbeitung.

Viele Behörden und Kommunen bedienen sich für ihre DV-Aktivitäten eines einzigen Rechenzentrums oder Serverraums. Für den Katastrophenfall weicht man häufig auf ein (mobiles) Backup-Rechenzentrum eines Dienstleisters oder des Herstellers aus.

Weiterhin häufig praktiziert wird die Auslagerung des Bereiches der Bürokommunikation. Die Beschaffung, Installation und Betreuung der entsprechenden Software (z. B. Textverarbeitung, E-Mail-Kommunikation) und teilweise der eingesetzten Hardware wird von einem Auftragnehmer übernommen. Gründe dafür sind neben Wirtschaftlichkeitsüberlegungen das fehlende eigene Fachpersonal und die Schaffung einheitlicher Standards für alle Arbeitsplätze. Bestandteil dieser Form der Auftragsdatenverarbeitung ist in der Regel auch die Einrichtung eines so genannten User-Help-Desks, den die firmeneigenen Anwender bei Auftreten von Problemen zu Rate ziehen können.

c) Programmerstellung

Gelegentlich werden auch Programmieraufträge an Dritte vergeben. Dabei sollte darauf geachtet werden, dass dem Auftragnehmer keine Echtdaten, insbesondere keine personenbezogenen Daten - auch nicht für Testzwecke - zur Verfügung gestellt werden. Da dem Auftraggeber in der Regel im Rahmen der Softwareüberlassung nicht der so genannte Quellcode (Programmlogik) sondern lediglich der maschinell erzeugte Objektcode überlassen wird, muss er sich Gedanken darüber machen, wie er im Notfall trotzdem Zugriff auf den Quellcode (Source Code) erhält. Dies bedeutet, dass die Programmlogik bei einer vertrauenswürdigen Person oder Instanz hinterlegt werden muss, die in vertraglich festgelegten Fällen den Zugriff gestattet. Diese Funktion wurde lange Zeit in erster Linie von Notaren oder Rechtsanwälten übernommen. In letzter Zeit wird allerdings immer mehr dazu übergegangen, den Quellcode bei anderen professionellen Stellen zu hinterlegen.

d) Erledigung von Massenarbeiten

Als Auftragsdatenverarbeitung weit verbreitet ist der Versand von Mitteilungsblättern, Informationsbroschüren, Beitragsrechnungen und sonstigen Drucksachen auf der Basis eines vom Auftraggeber zur Verfügung gestellten Adressenbestandes.

e) Datenumsetzung

In Bezug auf die Datenumsetzung sind insbesondere eine Verfilmung von Papier auf Mikrofilm bzw. Mikrofiches oder eine Konversion von magnetischen Datenträgern auf optische Speichermedien (Erstellen von CD-ROMs und DVDs) häufige Erscheinungsformen der Auftragsdatenverarbeitung.

f) Durchführung von Befragungen und Forschungsaufträgen

Insbesondere im Forschungsbereich werden häufig Befragungsaktionen und deren Auswertungen an dafür spezialisierte Institute übergeben.

g) Archivierung von Daten

Bei der Archivierung von maschinenlesbaren Datenträgern sowie von Altakten, auf die nicht mehr ständig zugegriffen werden muss, wird häufig auf die Dienste von darauf spezialisierten Unternehmen zurückgegriffen.

h) Löschung bzw. Vernichtung von Datenträgern

Die Löschung von magnetischen und optischen Datenträgern (z. B. Magnetbändern, Disketten, CD, DVD, Sticks) bzw. die Vernichtung von Datenträgern aller Art, insbesondere von nicht mehr benötigten Papierunterlagen, kann durch Dritte im Haus oder außer Haus erfolgen.

3. Vor- und Nachteile

Vorteile können beispielsweise sein:

  • Kosteneinsparung
  • zusätzliche Einnahmen aus dem Verkauf der vorhandenen Hard- und Software
  • Erhöhung der Planungssicherheit während der Dauer des Vertrages
  • Beseitigung historisch gewachsener Probleme durch Neukonzeption
  • Unabhängigkeit von Hard- und Softwareaufrüstungen bzw. -wechseln
  • Unabhängigkeit von Personalqualifikationsproblemen und Personalengpässen
  • hohe Flexibilität
  • Konzentration auf die eigentlichen Kernaufgaben der öffentlichen Verwaltung
  • Steigerung der Qualität der Datenverarbeitung (Verbesserung von Arbeitsprozessen)
  • effektiverer Datenschutz durch geschultes Personal und örtliche Gegebenheiten
  • Sicherstellung der Verfügbarkeit von Informationen und Diensten: 24 Stunden-Betrieb/365 Tage (Hochverfügbarkeit)

Allerdings muss sich jede Behörde in jedem Einzelfall fragen, ob es nicht aus Datenschutzgründen besser wäre oder es notwendig ist, einzelne dieser Aufgaben durch eigene Kräfte zu erledigen. Soweit keine gesetzlichen Regelungen existieren, ist besondere Zurückhaltung geboten.

Generell sollte eine Auftragsdatenverarbeitung bei der Verarbeitung sehr sensibler Daten gut überlegt sein, da das Ansehen der verantwortlichen Stelle bereits darunter leiden kann, wenn bekannt wird, dass Außenstehende Zugang zu empfindlichen Bürger- oder Mitarbeiterdaten erhalten.

Aber auch bei dem Umgang mit weniger sensiblen Daten können große Schäden für den Auftraggeber (z. B. bei einer Löschung bzw. Beschädigung von Daten) durch eine unsachgemäße Datenverarbeitung durch einen (unzuverlässigen) Auftragnehmer entstehen.

Ein weiterer Nachteil besteht darin, dass bei einer Auftragsdatenverarbeitung die Kontrolle der Einhaltung des Datenschutzes und der Datensicherheit nur im eingeschränkten Maße möglich ist.

Somit kann in manchen Fällen sehr schnell der Zustand erreicht werden, dass die Erreichung der mit dem Outsourcing angestrebten Ziele (Einsparung von Ressourcen) aufgrund der zu ergreifenden Datenschutz- und Datensicherungsmaßnahmen in Frage gestellt oder gar verfehlt wird. Auch eine Wirtschaftlichkeitsbetrachtung der Outsourcingmaßnahme unter Berücksichtigung des Aufwandes für die erforderlichen Sicherheitsmaßnahmen ist hier dringend geboten.

Zu bedenken ist auch, dass Outsourcing eine mittelfristig kaum widerrufbare Entscheidung ist, da es nach Aufgabe des eigenen IT-Know-Hows schwierig bis fast unmöglich wird, ein solches Know-How kurzfristig wieder aufzubauen.

4. Rechtliche Hinweise

Die folgenden Ausführungen beziehen sich insbesondere auf Art. 6 BayDSG (Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag). Allerdings ist zu berücksichtigen, dass bereichsspezifische Vorschriften dem Bayerischen Datenschutzgesetz vorgehen und zum Teil eine Auftragsdatenverarbeitung aus Geheimhaltungspflichten verbieten. Bereichsspezifische Vorschriften sind beispielsweise:

  • Art. 33 Gesetz über das Meldewesen (MeldeG)
  • Verletzung von Privatgeheimnissen (Berufsgeheimnissen) gemäß § 203 Abs. 1 StGB (z. B. für Ärzte), siehe auch Art. 2 Abs. 9 BayDSG
  • § 30 Abgabenordnung (Steuergeheimnis)
  • § 80 SGB X (Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag)
  • Art. 27 Abs. 4 - 6 Bayerisches Krankenhausgesetz (Verarbeitung von Patientendaten im Auftrag)

4.1 Verantwortliche Stelle

Eine Auftragsdatenverarbeitung liegt immer vor, wenn die Voraussetzungen des Art. 6 BayDSG erfüllt werden. Datenschutzrechtlich wird der externe Dienstleister in seiner Eigenschaft als Auftragnehmer so behandelt, als sei er eine interne Abteilung des Auftraggebers.

Bei der Auftragsdatenverarbeitung wird lediglich eine "Hilfsfunktion" der eigentlichen Aufgabe ausgelagert, nicht jedoch die Aufgabe selbst. Es findet somit keine Datenübermittlung im Sinne der Art. 18 und 19 BayDSG statt.

Der externe Dienstleister erhält keine Entscheidungsbefugnis bezüglich der Daten und wird weder "Herr der Daten" noch verantwortliche bzw. speichernde Stelle. Er darf die erhaltenen Daten nicht zu eigenen Zwecken nutzen und muss sich strikt an die schriftlichen Weisungen des Auftraggebers halten. Der Auftragnehmer wird lediglich zum "verlängerten Arm" des Auftraggebers.

4.2 Rechte und Pflichten des Auftraggebers

a) Allgemeines

Der Auftraggeber bleibt gemäß Art. 6 Abs. 1 BayDSG für die Einhaltung der Vorschriften des Bayerischen Datenschutzgesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Dies betrifft insbesondere die Vorschriften über die Zulässigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten, die Wahrung der Rechte des Betroffenen sowie die Einhaltung der nach Art. 7 BayDSG erforderlichen Datensicherheitsmaßnahmen. Hierbei sind insbesondere Maßnahmen der Zutritts-, Datenträger-, Speicher-, Zugriffs-, Übermittlungs-, Auftrags- und der Transportkontrolle zu treffen.

Der Auftraggeber ist sowohl gegenüber den Fachaufsichts- und Kontrollbehörden als auch gegenüber dem Betroffenen verantwortlich. Er kann sich dieser Pflichten und Verantwortlichkeiten nicht dadurch entledigen, dass er die Datenverarbeitung auslagert.

Der Auftraggeber bleibt somit Adressat der Betroffenenrechte bezüglich Auskunft, Berichtigung, Löschung oder Sperrung und ist auch weiterhin bezüglich der Gewährleistung der Rechte des Betroffenen (z. B. bezüglich Auskunft der über ihn gespeicherten bzw. Berichtigung und Löschung seiner personenbezogenen Daten) verantwortlich.

Die Frage der Haftung im Verhältnis zwischen Auftraggeber und Auftragnehmer ("Innenverhältnis") sollte bei der Auftragserteilung vertraglich geregelt werden, ist jedoch keine originär datenschutzrechtliche Frage.

Soweit im Rahmen der Auftragsdatenverarbeitung personenbezogene Daten in einem automatisierten Verfahren verarbeitet werden, hat der Auftraggeber die datenschutzrechtliche Freigabe, die Erstellung und Führung einer entsprechenden Verfahrensbeschreibung sowie die Aufnahme des Verfahrens in sein öffentliches Verfahrensverzeichnis zu veranlassen.

Bezüglich einer etwaigen Auskunftserteilung aus dem öffentlichen Verfahrensverzeichnis muss vertraglich abgesichert sein, dass der Auftraggeber in diesem Zusammenhang auch Zugriff auf die Datenverarbeitung des Auftragnehmers nehmen kann.

b) Überprüfung der zu ergreifenden Sicherheitsmaßnahmen

Gemäß Art. 6 Abs. 2 Satz 3 BayDSG hat sich der Auftraggeber soweit erforderlich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen beim Auftragnehmer zu überzeugen.

Art und Umfang der zu ergreifenden Sicherungsmaßnahmen richten sich nach den Grundsätzen der Erforderlichkeit und Angemessenheit. Dabei gilt: je sensibler die verarbeiteten Daten sind, desto umfangreicher und wirkungsvoller müssen die Datensicherheitsmaßnahmen sein. Natürlich ist auch in diesem Rahmen die Kosten-Nutzen-Analyse zu berücksichtigen. Dies bedeutet, dass die zu ergreifenden Maßnahmen nicht außer Verhältnis zu dem angestrebten Zweck und den dabei entstehenden Kosten stehen dürfen.

Bei der Überprüfung handelt es sich in der Regel - insbesondere bei längerfristigen Auftragsdatenverarbeitungen - nicht nur um eine einmalige Angelegenheit. Der Gesetzgeber hat aber bewusst auf die Festlegung eines starren Überprüfungsturnus verzichtet, da ein solcher der in der Praxis vorkommenden Bandbreite an Auftragsdatenverarbeitung nicht gerecht werden würde.

Gesetzlich nicht ausdrücklich vorgeschrieben ist, dass sich der Auftraggeber unmittelbar beim Auftragnehmer vor Ort und persönlich überzeugt. Dies wäre nach Ansicht des Gesetzgebers regelmäßig nicht angemessen und mit einem Verlust an Flexibilität verbunden, z. B. wenn der Auftraggeber ein Testat eines Sachverständigen einholen möchte oder wenn eine schriftliche Auskunft des Auftragnehmers (z. B. in Form der Vorlage eines Sicherheitskonzeptes) genügt. In der Praxis wird der Auftraggeber aber häufig nicht darum herumkommen, sich selbst von der Angemessenheit und Wirksamkeit der vom Auftragnehmer ergriffenen Sicherheitsmaßnahmen zu überzeugen. Eine Vorortprüfung kann insbesondere bei konkreten Anlässen (z. B. Hinweisen auf Fehlverhalten des Auftragnehmers) rechtlich geboten sein. Deshalb muss der Auftraggeber sich die Option einer Überprüfung vor Ort offenlassen und vertraglich ausbedingen.

Das Ergebnis einer Überprüfung ist zu dokumentieren. Nur dadurch lässt sich die Durchführung einer Überprüfung gegenüber den Aufsichtsbehörden nachweisen. Eine nähere Beschreibung der Art und des Umfangs der Dokumentation hat der Gesetzgeber für entbehrlich gehalten, da z. B. der Umfang der Dokumentation je nach Größe und Komplexität der durchzuführenden Datenverarbeitung im Auftrag variieren kann.

4.3. Pflichten des Auftragnehmers

Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen (Art. 6 Abs. 3 Satz 2 BayDSG). Die Speicherung von personenbezogenen Daten ist nur während der Durchführung des Auftrages gestattet. Eine Weitergabe von personenbezogenen Daten an Dritte ist nur im Rahmen des Vertrages zulässig. Auch eine Verarbeitung der personenbezogenen Daten zu anderen als den vertraglich geregelten Zwecken ist unzulässig.

Im Rahmen der Auftragsdatenverarbeitung hat der Auftragnehmer die allgemeinen Sicherungsziele des Datenschutzes und der Datensicherheit zu gewährleisten, insbesondere die

  • Gewährleistung der Vertraulichkeit der Daten,
  • Sicherstellung der Integrität der Daten,
  • Gewährleistung der Authentizität der Daten,
  • Gewährleistung der Authentifikation der Benutzer,
  • Sicherstellung der Verfügbarkeit und
  • Sicherstellung der Revisionsfähigkeit.

Ist ein Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen das BayDSG oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen (Art. 6 Abs. 3 Satz 3 BayDSG). Verantwortlich bleibt aber immer der Auftraggeber.

Außerdem besteht keine Verpflichtung des Auftragnehmers, jede einzelne Weisung sorgfältig auf die Vereinbarkeit mit den Datenschutzvorschriften hin zu überprüfen.

Andererseits muss der Auftragnehmer erkannte Datenschutzmängel, für die er im Innenverhältnis die Verantwortung trägt, unverzüglich beseitigen. Von der Beseitigung dieser Mängel ist der Auftraggeber zu unterrichten.

Der Auftragnehmer hat dafür Sorge zu tragen, dass mit der Datenverarbeitung im Rahmen der Auftragsdatenverarbeitung nur geeignetes Personal betraut wird, das auch Gewähr dafür bietet, die Vorschriften des Datenschutzes und der Datensicherheit zu beachten. Diese Personen sind gemäß § 5 BDSG auf das Datengeheimnis zu verpflichten bzw., wenn es sich um eine bayerische öffentliche Stelle als Auftragnehmer handelt, auf das Datengeheimnis gemäß Art. 5 BayDSG hinzuweisen. Ihnen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.

Sowie möglich sollte eine namentliche Festlegung der mit der Auftragsdatenverarbeitung betrauten Personen erfolgen.

Außerdem muss im Regelfall vom Auftragnehmer ein Datenschutzbeauftragter bestellt werden, der über die notwendige Fach- und Sachkunde verfügt und alle charakterlichen Anforderungen an seine Stellung (z. B. Zuverlässigkeit) erfüllt.

4.4 Auswahlkriterien

Soweit nicht in Ausnahmefällen entsprechende gesetzliche Regelungen bestehen, bleibt es grundsätzlich dem Auftraggeber überlassen, wen er mit der Abwicklung der Auftragsdatenverarbeitung betraut. Allerdings sind Auftragnehmer gemäß Art. 6 Abs. 2 Satz 1 BayDSG unter besonderer Berücksichtigung der Eignung der von ihnen getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Damit soll der Auftraggeber in die Pflicht genommen werden, nur seriöse Partner mit der Auftragsdatenverarbeitung zu beauftragen.

Wichtiges Auswahlkonzept ist somit das Datensicherheitskonzept des Auftragnehmers. Die Umsetzung dieses Konzeptes sollte durch den Datenschutzbeauftragten des Auftraggebers vor Ort in Augenschein genommen werden (siehe Art. 6 Abs. 2 Satz 3 BayDSG).

Ein weiteres Indiz bezüglich der Eignung der vom Auftragnehmer zu treffenden technischen und organisatorischen Maßnahmen kann das Vorliegen eines entsprechenden Datenschutzaudits oder eines "Datenschutzgütesiegels" sein.

Es besteht auch jederzeit die Möglichkeit, sich bei Fachverbänden oder anderen öffentlichen Stellen bezüglich geeigneter Auftragnehmer zu erkundigen.

Das vom Auftraggeber überprüfte und für ausreichend befundene Datenschutzkonzept sollte dann Bestandteil des abzuschließenden Vertrages werden.

Keine entscheidende Rolle bei der Auswahl des Auftragnehmers darf die Kostenfrage spielen. In erster Linie muss derjenige Bewerber den Zuschlag bekommen, der das schlüssigste Datenschutz- und -sicherheitskonzept vorweisen kann, und nicht derjenige, der zwar das günstigste Angebot abgibt, aber keine ausreichenden technischen und organisatorischen Sicherheitsmaßnahmen vorweisen kann. Die Auswahl eines "geeigneten" Auftragnehmers sollte dabei schon im eigenen Interesse erfolgen, denn jede Beeinträchtigung des Datenschutzes und der Datensicherheit durch den Auftragnehmer muss sich der Auftraggeber als Verantwortlicher zurechnen lassen, auch wenn er unter Umständen vom Auftragnehmer Regress für entstandene Schäden verlangen kann.

Gemäß Nr. 1 der Vollzugsbekanntmachung zum Bayerischen Datenschutzgesetz gelten das Landesamt für Statistik und Datenverarbeitung und die Anstalt für Kommunale Datenverarbeitung (AKDB) als sorgfältig ausgewählte Auftragnehmer im Sinne des Art. 6 Abs. 2 Satz 1 BayDSG. Somit bleibt einem Auftraggeber eine Prüfung der Eignung der von diesen Stellen getroffenen technischen und organisatorischen Maßnahmen erspart.

4.5 Vertragsgestaltung

Der Auftrag ist schriftlich zu erteilen (Art. 6 Abs. 2 Satz 2 BayDSG), wobei detailliert festzulegen sind:

  • die Beschreibung des Vertragsgegenstandes,
  • die Dauer des Auftrags und der Realisierungszeitraum,
  • die Art, der Umfang und der Zweck der Datenerhebung, -verarbeitung oder -nutzung,
  • die Art der Daten,
  • der Kreis der Betroffenen,
  • das Verbot der Nutzung der Daten zu anderen Zwecken und der unerlaubten Weitergabe der Daten,
  • die Berichtigung, Löschung und Sperrung von Daten,
  • die vom Auftragnehmer einzuhaltenden technischen und organisatorischen Maßnahmen (inklusive deren Fortschreibung),
  • die bestehenden Rechte und Pflichten des Auftraggebers, insbesondere die von ihm vorzunehmenden Kontrollen sowie die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  • die vom Auftragnehmer zu beachtenden Pflichten,
  • die mitzuteilenden Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  • die Festlegung der Örtlichkeit der Datenverarbeitung,
  • die Modalitäten einer vorzeitigen Kündigung,
  • die Eigentumsrechte an Hard- und Software,
  • die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags,
  • die System- und Benutzerdokumentation,
  • die Aufbewahrungspflichten,
  • die Gewährleistungsansprüche,
  • die Haftung,
  • der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält und
  • die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen.

Dabei ist insbesondere zu regeln:

  • die Beschreibung der organisatorischen, räumlichen und personellen Maßnahmen zur Gewährleistung der Datensicherheit
  • die Verpflichtung der Mitarbeiter des Auftragnehmers zur Wahrung des Datengeheimnisses gemäß § 5 BDSG bzw. der Hinweis gemäß Art. 5 BayDSG
  • die Versendungs- und Aufbewahrungsrichtlinien für Datenträger
  • der Zeitpunkt und die Art der Löschung bzw. Vernichtung von Datenträgern
  • die Kontroll- und Weisungsrechte des Auftraggebers (auch gegenüber etwaigen Subunternehmern).

Bei einer Auftragsdatenverarbeitung, die sehr sensible Daten betrifft, sollte der Auftragnehmer vertraglich dazu verpflichtet werden, das von ihm im Rahmen der Auftragsdatenverarbeitung eingesetzte Personal namentlich zu benennen.

Es sollten auch Klauseln in den Vertrag aufgenommen werden, die den Schutz des Eigentums und der personenbezogenen Daten des Auftraggebers vor Zugriffen Dritter (z.B. bezüglich Pfändung, Beschlagnahme, Zwangsvollstreckung oder Insolvenz des Auftragnehmers) dokumentieren. Dem Auftragnehmer ist diesbezüglich die Pflicht auferlegen, in einem derartigen Falle den Auftraggeber unverzüglich davon in Kenntnis zu setzen.

Die Einrede des Zurückbehaltungsrechts nach § 273 BGB hinsichtlich der verarbeiteten Daten und der dazugehörigen Datenträger ist vertraglich ebenfalls auszuschließen.

Außerdem sind die Eigentumsverhältnisse an den im Rahmen der Auftragsdatenverarbeitung zu erhebenden, verarbeitenden oder zu nutzenden personenbezogenen Daten vertraglich zu regeln.

Im Vertrag oder in einer Anlage dazu sollte detailliert aufgeführt werden, welche Maßnahmen der Auftraggeber und der Auftragnehmer ergreifen müssen, damit der Datenschutz und die Datensicherheit im Rahmen der Auftragsdatenverarbeitung gewährleistet sind. Dazu zählen beispielsweise

  • die Gestaltung des physikalischen Schutzes der genutzten Server und Serverräume,
  • die revisionsfähige Berechtigungsvergabe für den Zugriff auf die zu erhebenden, zu verarbeitenden oder zu nutzenden Daten,
  • welche Maßnahmen im Katastrophenfall und
  • welche Maßnahmen zur Gewährleistung der Revisionsfähigkeit zu ergreifen sind.

Als Richtlinie für die zu ergreifenden Maßnahmen können die IT-Grundschutzanforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) dienen (nachzulesen unter https://www.bsi.bund.de (externer Link)

Sollte es für einzelne Tätigkeitsbereiche der Datenerhebung, -verarbeitung bzw. -nutzung notwendig sein, Subunternehmer zu beschäftigen (z. B. für den Transport oder die Vernichtung von Akten und sonstigen Datenträgern, die Mikroverfilmung von Daten), muss dies vertraglich abgesichert sein. Soweit möglich, sollte der Subunternehmer gleich im Vertrag benannt oder festgelegt werden. Ansonsten sind Name und Anschrift des Subunternehmens mitzuteilen, sobald das Unternehmen feststeht.

Der Auftragsdatenverarbeitungsvertrag sollte auch Auskunft darüber geben, ob und in welcher Höhe Vertragsstrafen bezüglich Vertragsverletzungen vereinbart wurden. Ebenso sind eine vorzeitige Vertragskündigung bei schwerwiegenden Verstößen und eventuelle Schadensersatzansprüche in den Vertrag aufzunehmen.

Vertragsänderungen bedürfen grundsätzlich der Schriftform. Ist die Einhaltung der Schriftform aufgrund von Eilbedürftigkeit nicht möglich, muss eine schriftliche Fixierung sobald wie möglich nachgeholt werden.

5. Überprüfung der Einhaltung der Regelungen

Der Auftraggeber muss - wie erwähnt - die Einhaltung der getroffenen Regelungen (insbesondere hinsichtlich der zu ergreifenden Datensicherheitsmaßnahmen) überprüfen (Art. 6 Abs. 2 Satz 3 BayDSG), um zu gewährleisten, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch den Auftragnehmer nur entsprechend seinen Weisungen erfolgt. Der Auftraggeber darf sich dabei nicht mit der bloßen Erklärung des Auftragnehmers zufrieden geben, dass dieser die Vorschriften der Datenschutzgesetze beachten werde. Stattdessen ist häufig eine fortdauernde Kontrolle (zumindest einmal jährlich) durch den Auftraggeber hinsichtlich der Einhaltung der vertraglichen Bestimmungen und der Datenschutzgrundsätze erforderlich.

5.1 Durchführung von Überprüfungen durch den Auftraggeber

Schwerpunkt dieser Überprüfung wird natürlich die Frage sein, ob und inwieweit die Sicherheitsmaßnahmen des vorzulegenden Sicherheitskonzeptes umgesetzt wurden. Stellt sich im Rahmen der Kontrolle heraus, dass das vorgelegte Sicherheitskonzept nicht ausreichend ist, sind ergänzende Maßnahmen zu vereinbaren, deren Umsetzung wiederum überwacht werden muss.

Allerdings ist darauf zu achten, dass dem Auftraggeber im Rahmen seiner Überprüfungstätigkeit nicht personenbezogene Daten unzulässigerweise bekannt werden, die der Auftragnehmer zu anderen Zwecken erhebt, verarbeitet oder nutzt (z. B. Daten eines anderen Auftraggebers). Eine Misch-Datenverarbeitung ist daher zu untersagen.

Zur Ermöglichung der Überprüfung bedarf es der Einräumung eines jederzeitigen Betretungsrechtes hinsichtlich der Betriebs- oder Geschäftsräume des Auftragnehmers sowie der Privaträume eines etwaigen Telearbeiters. Dazu muss der Auftraggeber natürlich auch die Örtlichkeit der Datenverarbeitung kennen. Daher sollte im Rahmen des Vertrages diese Örtlichkeit so detailliert wie möglich festgeschrieben werden. Jede Veränderung dieser Örtlichkeit muss dem Auftraggeber schriftlich mitgeteilt werden, damit dieser sich auch davon überzeugen kann, dass der Datenschutz und die Datensicherheit im Rahmen der Auftragsdatenverarbeitung auch an dem neuen Ort gewährleistet sind.

Ebenso ist eine umfassende Zugriffsberechtigung des Auftraggebers auf die im Rahmen der Auftragsdatenverarbeitung durchgeführte elektronische Datenverarbeitung des Auftragnehmers vertraglich abzusichern.

Der Inhalt und der Umfang der Kontrollmaßnahmen sowie die Modalitäten der Durchführung und die hiermit korrespondierenden Unterstützungs- und Duldungsverpflichtungen des Auftragnehmers sind ebenfalls vertraglich festzulegen (siehe Nr. 4.5).

Zur Durchführung der Kontrollen muss der Auftraggeber über entsprechend fachkundiges Personal verfügen. Während bei vielen Behörden und Kommunen diese Kontrollen vom behördlichen Datenschutzbeauftragten oder IT-Sicherheitsbeauftragten vorgenommen werden (soweit diese über das nötige Fachwissen verfügen), beauftragen andere öffentliche Stellen - soweit dies rechtlich möglich ist - Wirtschaftsprüfungsgesellschaften oder Sicherheitsberater damit zu prüfen, ob der Auftragnehmer alle Sicherheitsvorkehrungen einhält.

Wesentliche Änderungen des Datensicherheitskonzeptes des Auftragnehmers müssen dem Auftraggeber unverzüglich mitgeteilt werden. Dies gilt auch für Störungen, Mängel oder andere Unregelmäßigkeiten im Verarbeitungsablauf.

5.2 Zuständigkeit der Aufsichtsbehörden

Unberührt bleiben die Kontrollrechte der jeweils zuständigen Datenschutzaufsichtsbehörden. Während der Bayerische Landesbeauftragte für den Datenschutz für die Datenschutzkontrolle bei einer bayerischen öffentlichen Stelle als Auftraggeber zuständig ist, sind im Hinblick auf denkbare Auftragnehmer verschiedene Varianten möglich.

Der Bayerische Landesbeauftragte für den Datenschutz prüft als für den Auftraggeber zuständige Kontrollbehörde auch,

  • ob der Umfang der Beauftragung den Datenschutzvorschriften entspricht,
  • ob die schriftliche Vereinbarung alle notwendigen formellen und materiellen Anforderungen erfüllt und
  • ob der Auftraggeber die gesetzlich vorgesehenen Weisungs- und Kontrollrechte ausübt.

Ebenso kann sich der Bayerische Landesbeauftragte für den Datenschutz jederzeit vom Auftraggeber die Dokumentationen (z. B. hinsichtlich der Durchführung von Überprüfungen beim Auftragnehmer) aushändigen lassen, um sich davon zu überzeugen, dass der Auftragnehmer die notwendigen technischen und organisatorischen Maßnahmen einhält, die Weisungen des Auftraggebers umsetzt und sich auch sonst an die schriftlichen Vereinbarungen hält.

Hinsichtlich der Kontrollbefugnis beim Auftragnehmer ist entscheidend, ob es sich dabei um eine öffentliche oder eine nicht-öffentliche Stelle handelt und ob der Auftragnehmer seinen Sitz im gleichen Bundesland wie der Auftraggeber hat.

Im Regelfall ist für die Kontrolle des Auftragnehmers die Kontroll- bzw. Aufsichtsbehörde zuständig, die für die Datenverarbeitung des Auftragnehmers zu eigenen Zwecken originär zuständig ist.

6. Abgrenzung zur Funktionsübertragung

Um keine Form der Auftragsdatenverarbeitung im Sinne des Bayerischen Datenschutzgesetzes handelt es sich bei der so genannten Funktionsübertragung. Bei einer Funktionsübertragung wird nicht nur eine genau definierte Dienstleistung, sondern (zumindest wesentliche Teile) einer bestimmten Aufgabe (z.B. die Lohn- und Gehaltsabrechnung) übertragen.

Bei einer Funktionsübertragung findet im Gegensatz zu einer Auftragsdatenverarbeitung eine Datenübermittlung im rechtlichen Sinne statt. Der Auftragnehmer wird damit zur speichernden Stelle. Er erhält die Nutzungsrechte an den Daten und ist für die Zulässigkeit und Richtigkeit der Datenverarbeitung verantwortlich. Außerdem ist bei einer Funktionsübertragung der Auftragnehmer für die Gewährleistung des Datenschutzes und der Datensicherheit im Rahmen der übertragenen Aufgabe verantwortlich.

Als Rechtsgrundlage für eine Datenübermittlung im Rahmen einer Funktionsübertragung kann der Art. 6 BayDSG somit nicht dienen. Fehlen gesetzliche Spezialregelungen, kann die Weitergabe personenbezogener Daten lediglich unter den Voraussetzungen der Art. 18 und 19 BayDSG oder auf der Grundlage einer wirksamen Einwilligung aller Betroffenen erfolgen. Danach ist beispielsweise gemäß Art. 19 Abs. 1 BayDSG die Übermittlung personenbezogener Daten an nicht-öffentliche Stellen zulässig, wenn

  1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Nutzung nach Art. 17 Abs. 1 Nr. 2, Abs. 2 bis 4 zulassen würden oder
  2. die nicht-öffentliche Stelle ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegt und der Betroffene kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat.

Abgrenzungskriterien zwischen Auftragsdatenverarbeitung und Funktionsübertragung:

Eine Auftragsdatenverarbeitung liegt in der Regel bei folgenden Kriterien vor:

  • Der Auftragnehmer besitzt keine Entscheidungsbefugnis über die Daten, er wird lediglich unselbstständig tätig.
  • Der Auftragnehmer ist den Weisungen des Auftraggebers unterworfen.
  • Die Daten werden dem Auftragnehmer vom Auftraggeber lediglich zur Verfügung gestellt. Dieser darf keine eigenen Daten erheben oder verarbeiten.
  • Der Vertrag beinhaltet nur Angaben bezüglich der Art und des Umfangs der durchzuführenden Datenverarbeitung, gewährt aber keine eigenen Nutzungsrechte. Ein besteht somit ein vertragliches Nutzungsverbot.
  • Der Auftraggeber bleibt für die Zulässigkeit der Datenverarbeitung verantwortlich und gewährleistet die Rechte des Betroffenen.
  • Es fehlt eine eigenständige rechtliche Beziehung des Auftragnehmers zum Betroffenen.

Eine Funktionsübertragung ist dementsprechend bei folgenden Kriterien anzunehmen:

  • Die Daten empfangende Stelle erhält das Recht zur Nutzung der personenbezogenen Daten zu eigenen Zwecken. Es findet somit eine Übertragung der zugrunde liegenden Aufgabe auf den Dienstleister statt.
  • Der Auftraggeber besitzt keinen entscheidenden Einfluss auf die Datenerhebung, -verarbeitung und -nutzung durch die beauftragte Stelle.
  • Der Auftragnehmer entscheidet selbst darüber, auf welche Weise, wann und welche Daten erhoben oder verarbeitet werden.
  • Es wird eine Dienstleistung erbracht, die über die weisungsabhängige technische Datenverarbeitung hinausgeht.
  • Der Auftragnehmer übernimmt die volle Verantwortung für die Zulässigkeit der Datenverarbeitung und die Ergreifung der erforderlichen Sicherheitsmaßnahmen.

7. Nähere Erläuterungen zu einzelnen Formen der Auftragsdatenverarbeitung

7.1 Vernichtung von Datenträgern

a) Allgemeines

Gemäß Art. 12 Abs. 1 BayDSG sind personenbezogene Daten in Dateien zu löschen, wenn ihre Speicherung unzulässig ist oder ihre Kenntnis für die speichernde Stelle zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist

Das Löschen stellt gemäß Art. 4 Abs. 6 Satz 1 Nr. 5 BayDSG eine Form der Verarbeitung dar und bedeutet das Unkenntlichmaen gespeicherter personenbezogener Daten.

Eine Löschung von Daten kann auch durch die Vernichtung von Datenträgern erfolgen. Dabei ist zu beachten, dass die Anforderungen an technische und organisatorische Maßnahmen bei der Vernichtung von Datenträgern umso höher sein müssen, je höher die Sensibilität der Daten ist. Hierbei können die Festlegungen zur Informationsdatenträgervernichtung bei unterschiedlichen Sicherheitsstufen in der 1985 erstmals veröffentlichten DIN-Norm 32757 Teil I und Teil II als Anhaltswert herangezogen werden.

Teil 1 der DIN 32757 beschreibt die Anforderungen an Maschinen und Einrichtungen zum Vernichten von Datenträgern durch Stoffumwandlung oder Verkleinerung (z. B. durch Aktenvernichter) sowie an Prüfmaterial, -verfahren und -zeugnisse. In Teil 2 werden die Mindestanforderungen für derartige Maschinen und Einrichtungen festgelegt. Abhängig vom Reproduktionsaufwand der zu vernichtenden Daten legt die Norm dazu fünf Sicherheitsstufen (S1 - S5) fest. Diese werden zur Klassifizierung der Maschinen und Einrichtungen verwendet und liefern somit eine Aussage über den Vernichtungsgrad in Abhängigkeit von der Art der zu vernichtenden Datenträger. Dabei sind die Anforderungen an die Schriftgutvernichtung ab der Sicherheitsstufe 3 (vertrauliches Schriftgut) bereits derart hoch, dass sie die meisten Aktenvernichter nicht mehr erfüllen. Ab der Sicherheitsstufe 4 (geheimes Schriftgut) sind herkömmliche Aktenvernichter nicht mehr einsetzbar, da sie nicht den erforderlichen Partikelschnitt bieten können. Für die Sicherheitsstufen 4 und 5 sind somit nur so genannte Cross Cutter geeignet, die allerdings nicht für die Massenvernichtung dienen können. Verpressung, Verbreiung oder Brikettierung führen in Kombination mit Aktenvernichtern zu einer Erhöhung der bei einem isolierten Einsatz des Aktenvernichters erreichbaren Sicherheitsstufe.

Die Sicherheitsstufen der DIN 32757 bieten einer speichernden Stelle eine geeignete Hilfe, um das Schutzbedürfnis ihrer Daten nach ihrer Bedeutung und den jeweiligen Umgebungsbedingungen zu beurteilen und daraus eine geeignete Sicherheitsstufe abzuleiten.

b) Vernichtung in Form einer Auftragsdatenverarbeitung

Schon so manche Behörde, die ihre Datenträger in Form einer Auftragsdatenverarbeitung entsorgen lassen wollte, erlebte dabei eine unangenehme Überraschung. So kann leider immer wieder den Medien entnommen werden, dass personenbezogene Unterlagen einer öffentlichen Stelle ungeschützt in dem Hof eines Auftragnehmers gelagert waren bzw. auf einer Straße gefunden wurden.

Es kann daher nicht oft genug betont werden: Der Auftraggeber trägt auch dann die Verantwortung für die Einhaltung der Datenschutzvorschriften, wenn er einen Auftragnehmer mit der Vernichtung der Datenträger mit personenbezogenen Daten beauftragt (Art. 6 Abs. 1 Satz 1 BayDSG). Der Auftraggeber muss gerade bei dieser Form der Auftragsdatenverarbeitung den Auftragnehmer unter Berücksichtigung seiner Eignung und der von ihm getroffenen technischen und organisatorischen Maßnahmen auswählen. Der Auftraggeber sollte sich deshalb bereits vor Vertragsunterzeichnung vor Ort davon überzeugen, dass der Auftragnehmer auch tatsächlich dazu in der Lage ist, die datenschutzgerechte Entsorgung sicherzustellen. Auch die ordnungsgemäße Durchführung der Vernichtung der Datenträger ist zumindest stichprobenartig zu überprüfen. Ein Recht auf unangemeldete Kontrollen bei der Entsorgung ist im Rahmen der Beauftragtund des Entsorgungsunternehmens zu vereinbaren.

Ein Entsorgungskonzept darf sich aber nicht auf Maßnahmen zur Vernichtung der Datenträger beschränken, sondern muss auch die Sammlung und Lagerung (einschließlich einer etwaigen Zwischenlagerung), den Transport, die Organisation sowie die mit externen Entsorgungsunternehmen zu vereinbarenden vertraglichen Regelungen einbeziehen und damit den gesamten Entsorgungsvorgang und seine Vorphasen entsprechend berücksichtigen. Maßnahmen für den Fall menschlichen Versagens sind ebenso zu berücksichtigen wie solche für den Fall von Funktionsstörungen technischer Systeme. Das Ziel muss sein, von der Sammlung des Vernichtungsgutes bis zur endgültigen Entsorgung ein gleichmäßig hohes Sicherheitsniveau zu erreichen, das der festgelegten Sicherheitsstufe entspricht.

Der Auftraggeber kann sich auch vertraglich gegen etwaige Unregelmäßigkeiten absichern und durch Vereinbarung einer Vertragsstrafe einen etwaig entstehenden Schaden abdecken, aber in einem Schadensfall bleibt zumindest trotzdem die Rufschädigung. Besonders groß kann das Risiko bei einem Auftragnehmer sein, dessen Unternehmensgegenstand weniger die datenschutzgerechte Entsorgung von Datenträgern, sondern in erster Linie die Wiederverwendung von Rohstoffen ist.

Bei der Vernichtung von personenbezogenen Daten im Auftrag ist insbesondere folgendes zu regeln:

  • Festlegung der Art und Menge der zu entsorgenden Datenträger und der dabei zu berücksichtigenden Schutzstufe
  • Auswahl eines geeigneten Vernichtungsverfahrens
  • Bestimmung des Ortes und des Zeitpunktes der Vernichtung (z. B. vor Ort beim Auftraggeber oder in der Betriebsstätte des Auftragnehmers) und der dabei zu ergreifenden Maßnahmen der Zugangskontrolle (z. B. Maßnahmen zur Gebäudesicherung)
  • Festlegung der Verantwortlichkeiten für die Aufbewahrung und den Transport der Datenträger (evtl. durch Subunternehmer) und der dabei zu ergreifenden Maßnahmen der Transportkontrolle (z. B. Beschreibung der Transportwege und von Transportbehältnissen)
  • Verpflichtung/Hinweis des Personals des Auftragnehmers auf das Datengeheimnis
  • Gewährleistung durch den Auftragnehmer, dass Unbefugte keine Kenntnis der auf den Datenträgern gespeicherten Daten erhalten können
  • Informationspflicht des Auftragnehmers in bestimmten Ausnahmefällen (beispielsweise bei Betriebsstörungen, im Fehlerfalle, bei Verstößen)
  • Haftungsregelung
  • Regelung von Unterauftragsverhältnissen
  • Berechtigung des Auftraggebers zur Durchführung von Kontrollen bei der Aufbewahrung, dem Transport und bei der Vernichtung der Datenträger
  • Festlegung von Art und Form der zu übergebenden Bescheinigungen bei Abholung bzw. nach der ordnungsgemäßen Vernichtung durch den Auftragnehmer bei jedem Entsorgungsvorgang

c) Zwischenlagerung des Entsorgungsgutes

Eine zusätzliche Schwachstelle stellt gelegentlich auch die ungesicherte Lagerung des Entsorgungsgutes bis zu seiner Abholung durch den Auftragnehmer dar. Datenträger mit personenbezogenen Daten sind bis zu ihrer endgültigen Vernichtung unter Verschluss in abschließbaren Räumen oder Containern zu bewahren.

7.2 (Fern-)Wartung

In Behörden und Kommunen wird heute eine Vielzahl von speziellen Rechnern und Verfahren eingesetzt, deren alleinige Wartung durch das eigene Personal wegen der dafür benötigten Spezialkenntnisse vielfach nicht mehr möglich ist, so dass bei Störungen sowie bei in der Hard- oder Software auftretenden Fehlern oft der Hersteller oder ein anderer Sachverständiger eingeschaltet werden muss. Das kann vor Ort geschehen, meist jedoch im Rahmen des Teleservice, also in Form einer Ferndiagnose und -wartung. Bei der Hardwarewartung wird in der Regel nur auf bestimmte Statusinformationen in eigens dafür eingerichteten Diagnosedateien zugegriffen, die keine personenbezogenen Daten enthalten. Bei vielen DV-Systemen kann aber die Fehlerdiagnose und -behebung mit einer Offenbarung geschützter personenbezogener Daten verbunden sein. Aber selbst für den Fall, dass im Rahmen der Wartung grundsätzlich keine personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ist diese Wartung datenschutzrechtlich einer Auftragsdatenverarbeitung gleichgestellt.

Dabei ist eine Fernwartung datenschutzrechtlich besonders problematisch. Bei einer Wartung vor Ort sind die Kontroll- und Eingriffsmöglichkeiten des eigenen Personals im Regelfall größer. Es ist dann eher erkennbar und prüfbar, welche konkreten Personen in Erscheinung treten; zudem ist ein "Entfernen", Verändern, unzulässiges Lesen oder Übertragen von Daten durch die Kontrolle erschwert.

Bei Einsatz einer Fernwartung ist daher insbesondere auf die Einhaltung folgender Regeln zu achten:

  • Der Auftraggeber definiert Art und Umfang der Fernwartung sowie die Abgrenzung der Kompetenzen und Pflichten zwischen Wartungs- und Kundenpersonal im Wartungsvertrag. Für Zuwiderhandlungen sind empfindliche Vertragsstrafen vorzusehen.
  • Das Wartungspersonal muss auf das Datengeheimnis verpflichtet/hingewiesen sein.
  • Eine Weitergabe der im Rahmen der Fernwartung anfallenden Daten ist zu untersagen.
  • Für die Durchführung der Fernwartung muss eine eigene Benutzerkennung eingerichtet werden. Das dazugehörige Passwort ist nach jedem Wartungsvorgang zu ändern.
  • Bei der Fernwartung ist die Verbindung oder die Freischaltung (nach einem Authentifikationsprozess) stets vom Auftraggeber aus aufzubauen (z. B. mittels Call-Back-Verfahren) oder frei zu geben, damit sichergestellt ist, dass keine unbefugten Einwählversuche stattfinden können. Nach Abschluss der Wartungsarbeiten ist diese Verbindung wieder zu deaktivieren.
  • Eine Benutzung des Internets für die Datenübertragung sollte nur dann erfolgen, wenn sowohl Auftragnehmer als auch Auftraggeber durch geeignete Firewall-Systeme vom offenen Netz abgeschottet sind.
  • Vom Auftraggeber sind der Wartung/Fernwartung nur solche Zugriffsmöglichkeiten zu eröffnen, die für die Fehlerbehebung unbedingt erforderlich sind (Prinzip der geringsten Rechtevergabe). Es ist ferner darauf zu achten, dass im Rahmen der Wartung bzw. Fernwartung soweit möglich keine Funktionen frei geschaltet werden, die eine Übertragung oder Auswertung von Auftragggeberdatenbeständen zulassen. Falls eine Übertragung personenbezogener Daten unbedingt erforderlich ist, dürfen diese Daten in der Fernwartungszentrale nur temporär gespeichert werden. Ein zweckwidriger Zugriff auf andere Rechner im Netz ist zu unterbinden.
  • Soweit möglich müssen alle Aktivitäten im Rahmen der Fernwartung vom Auftragggeber online mitverfolgt werden. Im Zweifelsfalle muss dieser auch die Aktivitäten abbrechen können.
  • Außerdem sind alle Aktivitäten der Fernwartung aufzuzeichnen und die entsprechenden Protokolle auszuwerten. Bei besonders kritischen Aktionen ist der gesamte Dialog zu protokollieren, damit später erkennbar wird, auf welche Daten zugegriffen wurde.
  • Zur Sicherung der Vertraulichkeit der übertragenen Daten auf dem Übertragungswege kann es erforderlich sein, dass die Daten verschlüsselt werden. Es ist in diesem Falle jedoch darauf zu achten, dass die Protokollierung vor Ort unverschlüsselt erfolgt. Nur so ist eine effektive Kontrolle durch den Auftraggeber gewährleistet.

7.3 Outsourcing im klassischen Sinn

Eine pauschale Bewertung und Aussage, welche Datenschutz- und Datensicherungsmaßnahmen bei welchem Umfang von Outsourcing notwendig und angemessen sind, lässt sich selten treffen. Es ist stets eine Einzelfallprüfung erforderlich. Hinzu kommt, dass natürlich die Art der gespeicherten, be- und verarbeiteten Daten hinsichtlich ihrer besonderen Schutzbedürftigkeit berücksichtigt werden muss, so dass schon aus diesen Gründen das Outsourcing vielfach ausscheiden wird. Im übrigen kann gerade in solchen Fällen sehr schnell der Zustand erreicht werden, dass die mit dem Outsourcing angestrebten Ziele (Kosteneinsparung) aufgrund der zu ergreifenden Datenschutz- und Datensicherungsmaßnahmen nur schwer oder gar nicht erreicht werden. Auch eine Wirtschaftlichkeitsbetrachtung der Outsourcingmaßnahme unter Berücksichtigung des Aufwandes für die erforderlichen Sicherheitsmaßnahmen ist hier dringend zu empfehlen.

a) Auslagerung der Systemadministration

Eine Übernahme der Systemadministration der Server und der Überwachung des lokalen Netzwerkes einer öffentlichen Stelle mittels Fernwartung durch eine andere damit beauftragte Stelle ist nicht als Teilaspekt der Speicherung und sonstigen Verarbeitung von personenbezogenen Daten anzusehen, weil Aufgabe der Systemadministration die Herstellung und Aufrechterhaltung des ordnungsgemäßen Betriebs der DV-Anlagen, nicht aber die fachspezifische Verarbeitung personenbezogener Daten ist. Die beauftragte Stelle wird daher in der Regel nicht Auftragnehmer einer Auftragsdatenverarbeitung. Zur ausreichenden Wahrung der datenschutzrechtlichen Belange der Betroffenen sieht Art. 6 Abs. 4 BayDSG wegen der ähnlich gelagerten Interessenlage jedoch die entsprechende Geltung der Absätze 1 bis 3 dieser Vorschrift vor, wenn ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Damit ist gemäß Art. 6 Abs. 2 Satz 2 BayDSG beispielsweise der Auftrag schriftlich zu erteilen, wobei u. a. die technischen und organisatorischen Maßnahmen festzulegen sind. Unbedingt erforderlich sind insbesondere Maßnahmen zur:

  • Zugangskontrolle (z. B. Identifikation und Authentisierung, sicherer Verbindungsaufbau mittels Call Back-Verfahren über eine Firewall, dezidierte Vergabe von Zugriffsrechten und Wartungsprivilegien, Protokollierung aller Zugriffe, Ergreifung von Maßnahmen beim unberechtigten Datenzugriff)
  • Wahrung der Vertraulichkeit (z. B. Einsatz von Datenverschlüsselungskomponenten bei der Datenspeicherung und der Datenübertragung, Errichtung von "Virtuellen Privaten Netzen")
  • Kontrollmaßnahmen des Auftraggebers (z. B. Kontrolle der Wartungsaktivitäten online oder mittels ausgewerteter Wartungsprotokolle, ggf. Unterbrechungsmöglichkeit der Fernwartung)
  • Organisatorische Maßnahmen des Auftragnehmers (z. B. Einhaltung der Verschwiegenheitsvorschriften, schriftliche Festlegung der Wartungsaktivitäten, Kontrolle der Protokolle)

Da im Gegensatz zu einer reinen Hard- bzw. Softwarefernwartung auch die Systemadministrierung durch den Auftragnehmer erfolgt, ist neben einer Datenverschlüsselung - soweit möglich - insbesondere Wert auf eine umfassende Protokollierung aller Systemaktivitäten und Fernwartungszugriffe zu legen. Aus den Protokollen muss sich die Frage beantworten lassen: "Wer hat wann mit welchen Mitteln was veranlasst bzw. worauf zugegriffen?" Außerdem müssen sich Systemzustände ableiten lassen: "Wer hatte von wann bis wann welche Zugriffsrechte?"

Folgende Aktivitäten sind zur Überwachung der Systemadministrations- und Fernwartungsaktivitäten vollständig zu protokollieren:

  • Systemgenerierung und Modifikation von Systemparametern
  • Einrichten von Benutzern
  • Verwaltung von Befugnistabellen
  • Änderungen an der Dateiorganisation
  • Durchführung von Backup-, Restore- und sonstigen Datensicherungsmaßnahmen
  • Aufruf von Administrations-Tools
  • Versuche des unbefugten Einloggens sowie der Überschreitung von Befugnissen
  • Datenübermittlungen
  • Benutzung von automatisierten Abrufverfahren
  • Eingabe, Veränderung und Löschung von Daten durch den Auftragnehmer
  • Aufruf von besonders "sensiblen" Programmen

Die Zwangsläufigkeit und damit die Vollständigkeit der Protokolle muss gewährleistet werden. Das Gleiche gilt für die Manipulationssicherheit der Einträge in den Protokolldateien. Die Protokolle müssen durch den Auftraggeber ausgewertet werden. Dazu sind sie so zu gestalten, dass eine effektive Überprüfung möglich ist.

Im Übrigen muss darauf hinweisen werden, dass bei einer Auslagerung von Systemadministrationstätigkeiten an eine andere Stelle die Aufrechterhaltung eines ordnungsgemäßen Betriebes der Datenverarbeitungsanlagen z.B. im Falle eines Streiks beim Auftragnehmer nicht gewährleistet ist.

b) Outsourcing des gesamten Datenbestandes bzw. Teile davon

Die Vorhaltung personenbezogener Daten von Behörden und Kommunen in einer Datenbank eines privaten Rechenzentrumsbetreibers im Rahmen der Auftragsdatenverarbeitung ist unter Beachtung der nachstehenden Ausnahmen generell zulässig, wenn auch nicht unbedingt wünschenswert, da sich die Gefahr erhöht, dass Unberechtigte auf die den Gemeinden und Behörden größtenteils gezwungenermaßen und nicht freiwillig anvertrauten Daten der Bürger Zugriff nehmen können.

Allerdings schließen einige spezielle gesetzliche Bestimmungen (z. B. § 80 Abs. 5 Nr. 2 SGB X oder Art. 2 Abs. 9 BayDSG) eine Datenauslagerung für bestimmte Daten aus.

Bei allen anderen Datenbeständen, die in Form einer Auftragsdatenverarbeitung ausgelagert werden dürfen, muss darauf geachtet werden, dass eine Kenntnisnahme und ein Zugriff insbesondere auf sensible Datenbestände durch den Auftragnehmer im Hinblick auf die schutzwürdigen Belange der Betroffenen z. B. durch Verschlüsselung auszuschließen ist.

Außerdem ist zur Wahrung der Vertraulichkeit und Integrität der Daten eine Verschlüsselung der Daten auf dem Übertragungsweg zwingend erforderlich. Als hinreichend sichere Algorithmen gelten derzeit beispielsweise Triple-DES mit 112 oder IDEA mit 128 Bit Schlüssellänge. Für asymmetrische Verfahren wie RSA wird empfohlen, eine Schlüssellänge von wenigstens 2048 Bit zu verwenden.

Zur Durchführung der Verschlüsselung bietet sich die Einrichtung eines virtuellen privaten Netzes (VPN) an. Ein VPN ist ein privates Netzwerk, welches von der öffentlichen Telekommunikationsstruktur Gebrauch macht, gleichzeitig die Privatsphäre durch den Einsatz von so genannten Tunneling- und Sicherheitsprotokollen schützt und in der Regel über das Internet realisiert wird. Virtuell bedeutet dabei, dass der Anwender glaubt, seine Daten laufen über exklusive (private) Verbindungen. In Wirklichkeit wird die vorhandene Netzstruktur jedoch - aus Kostengründen - von verschiedenen Anwendern gemeinsam genutzt.

Neben den allgemein bekannten Sicherheitsmaßnahmen (z. B. rigorose Einschränkung der Zugriffs- und Nutzungsrechte auf das unbedingt Notwendige, Ergreifung von Maßnahmen zur Virenbekämpfung, Auswertung von Sicherheitsverletzungen in den maschinell geführten Protokollen und effektiver Passwortschutz) müssen im Rahmen eines Outsourcings von Datenbeständen zur Absicherung der Auftraggeberdaten zusätzliche Maßnahmen ergriffen werden. So müssen beispielsweise alle Server durch Maßnahmen der Zugangskontrolle physisch geschützt werden. Die Datenzugriffe auf Server und insbesondere die Nutzung administrativer Berechtigungen müssen intensiv mit Hilfe der Protokollierung überwacht werden.

Natürlich ist es gerade bei dieser Form der Auftragsdatenverarbeitung zwingend erforderlich, dass sich der Auftraggeber davon überzeugt, dass der Auftragnehmer die Datensicherheit durch Ergreifung der oben angeführten Datensicherheitsmaßnahmen gewährleistet.

c) zentrale Datenbank verschiedener Auftraggeber

Bei der Vorhaltung personenbezogener Daten verschiedener Auftraggeber in einer zentralen Datenbank ist zusätzlich darauf zu achten, dass die Datenbestände zumindest logisch getrennt voneinander gespeichert werden. Bei einer zentralen Datenbank für verschiedene Auftraggeber ist ein Missbrauch dieser Datenbank regelmäßig schwerwiegender als der der Daten und Verfahren eines einzelnen Auftraggebers, da die zentrale Datenbank einen wesentlich umfassenderen Datenbestand aufweist. Aus allgemeinen datenschutzrechtlichen Überlegungen heraus ist es zudem wünschenswert, zentrale Datensammlungen möglichst zu verhindern bzw. soweit sie sich nicht vermeiden lassen, ihre Zahl möglichst gering zu halten, da sie eine erhöhte Gefahr in sich bergen, unzulässigerweise oder gegebenenfalls auch für andere Zwecke als den, zu dem sie angelegt wurden, genutzt zu werden.

Der Zugriff auf die Daten ist darüber hinaus insoweit zu beschränken, als jeder Auftraggeber nur seine eigenen Daten abrufen kann. Daher muss sichergestellt sein, dass geeignete Vorkehrungen getroffen werden, um einen Zugriff unbefugter Dritter auf die gespeicherten Daten zu verhindern.

d) Backup-Service

Viele kleinere Behörden und Gemeinden sichern zwar täglich ihre Daten, prüfen jedoch nicht, ob diese Sicherungen vollständig und korrekt sind. Hinzu kommt, dass vielfach beim Anwender gar nicht das Know-How vorhanden ist, nach einem Systemzusammenbruch mit den Sicherungsbeständen einen Wiederanlauf erfolgreich durchzuführen.

So gibt es heute Anbieter, die die Sicherungsbestände unter Anwenderbedingungen auf ihre Verwendbarkeit hin testen. Eine solche Dienstleistung ist für viele Anwender wertvoll und unverzichtbar, wenn man bedenkt, dass wegen fehlerhafter Datensicherungen Datenverluste auftreten können. Das kann im ungünstigsten Fall sogar dazu führen, dass die Datenbestände unter Umständen überhaupt nicht mehr rekonstruierbar sind. Aus diesem Grunde sollten zumindest die halb- oder vierteljährlich gezogenen Datensicherungen auf ihre Verwendbarkeit hin überprüft und als Katastrophensicherungen bis zur nächsten getesteten Vollsicherung unbedingt aufbewahrt werden.

Einige Hersteller von Standardanwendungssystemen bieten ihren Kunden einen so genannten Backup-Service an. Gerade kleinere Anwender sind häufig nicht dazu in der Lage, qualifizierte DV-Mitarbeiter zu beschäftigen. Da aber auch diese Anwender in einem immer größer werdenden Maße von der Verfügbarkeit ihrer DV-Anwendungen abhängig sind, sollten sie diesen Service nutzen, ihre täglich gezogene Datensicherung bei Experten auf ihre Brauchbarkeit hin untersuchen zu lassen. Auf diese Weise kann frühzeitig - also bereits vor dem Eintritt eines "K-Falls" - auf Fehler und Unstimmigkeiten in der Datensicherung reagiert werden.

Natürlich müssen auch bei dieser Art von Auftragsdatenverarbeitung der Datenschutz und die Datensicherheit gewährleistet sein. Die Überprüfung der Backup-Bänder sollte daher - soweit möglich - in den Räumen des Auftraggebers und unter Aufsicht seines Personals stattfinden. Dabei ist darauf zu achten, dass der Auftragnehmer keine Kopien der Datenbänder erstellt, die er außer Haus schafft.

8. Checkliste

Die folgende Checkliste soll (sowohl Auftraggebern als auch Auftragnehmern) Hilfestellungen bezüglich der Entscheidung über eine Auftragsdatenverarbeitung, des Abschlusses entsprechender Verträge und der Überwachung der outgesourcten Dienstleistungen unter datenschutzrechtlichen Gesichtspunkten (insbesondere des Bayerischen Datenschutzgesetzes) bieten. So kann mit der Checkliste geprüft werden, ob die bestehenden oder beabsichtigten vertraglichen Vereinbarungen den datenschutzrechtlichen Anforderungen entsprechen. Der regelungsfreie Raum sollte dabei möglichst klein gehalten werden.

Die Checkliste erhebt keinen Anspruch auf Vollständigkeit.

Frage

Ja

Nein

Anmerkungen

Wurden die auszulagernden Geschäftsbereiche bzw. Tätigkeiten genau definiert?

 

Bleibt die Verantwortung für die ausgelagerten Bereiche bzw. Tätigkeiten beim Auftraggeber?

 

Hat der Auftragnehmer die Weisungsgebundenheit seiner Aufgabenerfüllung versichert?

 

Kann die Aufgabenerfüllung auch im Falle eines (vorzeitigen) Vertragsendes, eines Vertragsbruches, der Geschäftsaufgabe, des Konkurses des Leistungserbringers usw. sichergestellt werden?

 

Erfolgte eine sorgfältige Auswahl des Dienstleisters unter Berücksichtigung der von diesem geplanten technischen und organisatorischen Maßnahmen?

 

Liegen entsprechende Referenzen und/oder Zertifikate vor?

 

Wurde ein schriftlicher Vertrag geschlossen?

 

Entspricht dieser Vertrag den datenschutzrechtlichen Anforderungen des Art. 6 BayDSG?

 

Sind Beginn, Mindestdauer und Ende des Vertrages eindeutig geregelt?

 

Enthält der Vertrag eine präzise Auftragsbeschreibung und den genauen Verarbeitungszweck?

 

Wurden sowohl von Seiten des Auftraggebers als auch des Auftragnehmers verantwortliche Ansprechpartner zur Klärung eventuell auftretender fachlicher, technischer und organisatorischer Fragen benannt?

 

Sind die Rechte und Pflichten der Vertragspartner eindeutig geregelt?

 

Sind die Vertragspartner zur Einhaltung der maßgebenden gesetzlichen Bestimmungen verpflichtet?

 

Dürfen die im Rahmen der Auftragsdatenverarbeitung erhobenen, verarbeiteten und genutzten Daten ausschließlich zur Erfüllung der vertraglich vereinbarten Dienstleistung verwendet werden (Gebot der Zweckbindung)?

 

Wurden dem Auftragnehmer Bekanntgabe, Verkauf, Vermietung oder anderweitige Verwendung der Daten durch Dritte bzw. die kommerzielle Verwendung verboten?

 

Kann der Vertrag (unter Einhaltung einer entsprechenden Kündigungsfrist) beendet werden?

 

Wurden die entsprechenden Zeitpunkte und Bedingungen geregelt?

 

Kann eine Vertragsauflösung bei krassen Vertragsverletzungen (z. B. bei groben Verletzungen von Geheimhaltungs- und Sicherheitsanforderungen) erfolgen?

 

Ist geregelt, in welchen Fällen Schadenersatz oder Konventionalstrafen zu zahlen sind?

 

Ist geregelt, welches Gericht in

Streitfällen anzurufen ist und welches Recht dabei zur Anwendung kommt?

 

Erfolgte eine Festlegung der Schutzziele (z. B. Gewährleistung der Vertraulichkeit, der Datenintegrität, der Authentizität)?

 

Bleiben die (datenschutz)rechtli­chen Geheimhaltungspflichten gewahrt?

 

Wurden detaillierte Sicherheitsanforderungen erarbeitet?

 

Wurde daraufhin vom Auftragsnehmer ein entsprechendes Sicherheitskonzept entworfen und umgesetzt?

 

Entspricht das Sicherheitskonzept den Anforderungen des Art. 7 BayDSG?

 

Wurde der Auftraggeber bei der Erstellung des Sicherheitskonzeptes einbezogen?

 

Wurden sowohl die Vorgehensweise bei Sicherheitsverletzungen als auch das Eskalationsverfahren gemeinsam festgelegt?

 

Werden revisionsfähige Aufzeichnungen über alle die Informationssicherheit betreffenden Vorkommnisse (z. B. Zugriffsverletzungen, Manipulationen, Hacking) geführt?

 

Erfolgt eine regelmäßige Auswertung dieser Sicherheitsverletzungen?

 

Wird dieses Sicherheitskonzept regelmäßig hinsichtlich seiner Gültigkeit überprüft und gegebenenfalls neuen Sicherheitsanforderungen angepasst?

 

Liegt dieses Sicherheitskonzept dem Auftraggeber in schriftlicher Form vor?

 

Wurde dieses Sicherheitskonzept vom Auftraggeber überprüft?

 

Enthält der Auftragsdatenverarbeitungsvertrag ein Revisions- und Kontrollrecht des Auftraggebers?

 

Wurde die eventuelle Einbindung von Subunternehmen vertraglich geregelt?

 

Sind die Übermittlung bzw. Weitergabe von Daten und der Transport von Datenträgern vertraglich geregelt?

 

Sind die Erhebung, Verarbeitung, Nutzung oder Auslagerung von personenbezogenen Daten bzw. die Verschiebung von Dienstleistungen in das Ausland geregelt bzw. verboten?

 

Ist der Auftragnehmer dazu verpflichtet, den Auftraggeber schriftlich über Verfahrensveränderungen und Probleme (z. B. bezüglich der Datensicherheit) im Rahmen der Auftragsdatenverarbeitung zu informieren?

 

Informiert der Auftraggeber den Auftragnehmer über Veränderungen von vertragsrelevanten Vorhaben und Daten, zum Beispiel bei Veränderungen gesetzlicher

Grundlagen?

 

Sind dem Auftraggeber die mit der Durchführung der Auftragsdatenverarbeitung beauftragten Personen des Auftragnehmers bekannt?

 

Wird beim Personalwechsel der Auftraggeber informiert?

 

Wurden diese Personen gemäß § 5 BDSG / Art. 5 BayDSG auf das Datengeheimnis verpflichtet / hingewiesen?

 

Hat sich der Auftraggeber davon durch eine Einsicht in die Verpflichtungs-/Hinweiserklärungen überzeugt?

 

Wurden die Mitarbeiter des Auftragnehmers bezüglich der Einhaltung des Datenschutzes und der Datensicherheit informiert und geschult?

 

Werden im Rahmen der Auftragsdatenverarbeitung ausschließlich fachlich geeignete Mitarbeiter eingesetzt?

 

Wurde beim Auftragnehmer ein betrieblicher / behördlicher Datenschutzbeauftragter bestellt?

 

Sind dessen Kontaktdaten bekannt?

 

Wurden der Auftragnehmer und das von ihm beschäftigte Personal dazu verpflichtet, alle im Rahmen der Auftragsdatenverarbeitung erworbenen Kenntnisse und Informationen über den Auftraggeber und die in seinem Auftrag verarbeiteten Daten auch nach der Vertragsauflösung vertraulich zu behandeln?

 

Ist die Örtlichkeit der Datenhaltung beim Auftragnehmer eindeutig bestimmt und schriftlich festgehalten?

 

Ist die Zugangskontrolle am Ort der Auftragsdatenverarbeitung gewährleistet (z. B. durch Einsatz von Schließkontaktsystemen, Einbruchmeldeanlagen, revisionsfähige Schlüsselvergabe, Zutrittsregelungen)?

 

Ist die Zugriffsrechtevergabe auf eventuell ausgelagerte Datenbestände revisionsfähig geregelt und dokumentiert?

 

Existieren Vorgaben bezüglich der Benutzereinrichtung, der Änderung von Benutzerberechtigungen und der Vorgehensweise bei einem Ausscheiden von Benutzern?

 

Wurden und werden geeignete Maßnahmen zur Gewährleistung der Zugangs- und Zugriffskontrolle ergriffen (z. B. Anmeldung mittels eindeutiger Benutzer-Identifikation, Authentisierung eines Benutzers mittels Passwort und/oder Chipkarte, revisionsfähige Anmelde- und Zugriffsaufzeichnungen)?

 

Ist gewährleistet, dass jeder Mitarbeiter des Auftragnehmers nur auf die Daten des Auftraggebers zugreifen darf, die er zur Erfüllung seiner Aufgaben benötigt?

 

Sind besonders schützenswerte Daten durch organisatorische und technische Maßnahmen (z. B. verschlüsselte Datenspeicherung)  vor einer Einsichtnahme durch das Personal des Auftragnehmers geschützt?

 

Wurden bzw. werden Maßnahmen zur Notfallvorsorge festgelegt und ergriffen?

 

Liegt ein detailliertes Notfallkonzept vor?

 

Wird dieses Notfallkonzept regelmäßig auf Aktualität und Angemessenheit überprüft und getestet?

 

Ist die Aufbewahrungsdauer von Daten und Datenträgern beim Auftragnehmer geregelt?

 

Wurden dabei die gesetzlichen Anforderungen berücksichtigt?

 

Stellt der Auftragnehmer während der Vertrags- und Aufbewahrungsdauer sicher, dass jederzeit die Verfügbarkeit, Integrität und Authentizität der Daten gewährleistet und die notwendigen IT-Systeme und -anwendungen zur Verfügung stehen?

 

Sind die Rückgabe der Daten(träger) und Unterlagen vertraglich geregelt?

 

Wurden Regelungen bezüglich der datenschutzgerechten Vernichtung von Daten(trägern) auf Verlangen des Auftraggebers getroffen?

 

Wurden und werden die Betroffenen bezüglich der Auslagerung ihrer Daten bzw. der Datenverarbeitung informiert?

 

Sind die Rechte der Betroffenen bezüglich Auskunft, Berichtigung und Löschung im Rahmen der Auftragsdatenverarbeitung gewährleistet?

 

Hat der Auftragnehmer sich dazu verpflichtet, unterstützend bei der Wahrung der Rechte der Betroffenen mitzuwirken?

 

Erfolgt eine regelmäßige Kontrolle der Auftragsdatenverarbeitung durch den Auftraggeber?

 

Verfügt das mit der Kontrolle der Auftragsdatenverarbeitung betreute Personal über genügend Fachkenntnisse?

 

Werden die Ergebnisse der Auftragsdatenverarbeitung zumindest stichprobartig auf Richtigkeit überprüft?

 

9. Mustervertrag zur Auftragsdatenverarbeitung

Aufgrund der hohen Anforderungen an die Gewährleistung des Datenschutzes und der Datensicherheit im Rahmen einer Auftragsdatenverarbeitung ist die Ausarbeitung eines detaillierten Vertrages von größter Wichtigkeit. Deshalb hat der Bayerische Landesbeauftragte für den Datenschutz einen Mustervertrag für die Verarbeitung personenbezogener Daten im Auftrag entworfen, der möglichst universell gehalten ist und daher insbesondere an den besonders gekennzeichneten Stellen noch aufgabenspezifisch angepasst und konkretisiert werden muss. Dies gilt auch für die Empfehlungen bezüglich der technischen und organisatorischen Sicherungsmaßnahmen.

Der Mustervertrag ist auf der Homepage des Bayerischen Landesbeauftragten für den Datenschutz www.datenschutz-bayern.de in den Bereichen "Veröffentlichungen / Broschüren / Mustervordrucke" und "Themen / Allgemeines" abrufbar.