Die Auftragskontrolle – das sechste der acht Gebote des Datenschutzes

activeMind AG - 8 Datenschutzgebote - Auftragskontrolle

Die Auftragskontrolle ist nur unter der Bedingung relevant, dass personenbezogene Daten „im Auftrag“, also von externen Dienstleistern verarbeitet werden. Ist sie zu beachten, sind allerdings Auftraggeber und Auftragnehmer angesprochen. Dabei stellt die Auftragskontrolle an Auftraggeber und Auftragnehmer verschiedene Anforderungen.

Die acht Gebote des Datenschutzes

Für Organisationen, die personenbezogene Daten verarbeiten oder nutzen, schreibt das Bundesdatenschutzgesetz (BDSG) konkrete Schutzmaßnahmen vor. Diese, als die „acht Gebote des Datenschutzes“ bekannten Regelungen (Anlage zu § 9, Satz 1), führen als sechsten Punkt die Auftragskontrolle auf.

Auftragskontrolle aus Sicht des Auftraggebers

Der Auftraggeber bleibt für ausgelagerte Aufgaben voll verantwortlich und haftet im Außenverhältnis für Schäden, die vom Outsourcing-Dienstleister verschuldet sind. Ob dann im Innenverhältnis ein Regress möglich sein wird, ist eine andere Frage. Der Gesetzgeber sah sich genötigt, das, was sich hier nach dem gesunden Menschenverstand eigentlich aufdrängen müsste, dennoch explizit vorzuschreiben: Ein Dienstleister ist, nachdem er sorgfältig ausgewählt wurde, auch detailliert zu verpflichten und angemessen zu kontrollieren bzw. zu überwachen.

Die Hauptpflichten des Auftraggebers im Rahmen der Auftragskontrolle sind demnach:

  1. Konkrete und eindeutige Weisungen! Diese werden größtenteils bereits in dem zwingend zu schließenden Vertrag erfolgen. Aber auch im laufenden Geschäftsverhältnis bleibt der Auftragnehmer verpflichtet, exakt und nur entsprechend der Weisungen des Auftraggebers zu handeln. Was nicht angewiesen wurde, darf nicht getan werden – so sinnvoll es auch sein mag.
  2. Kontrolle des Auftragnehmers! Neben der initialen Prüfung, ob der Auftragnehmer die vereinbarten technischen und organisatorischen Maßnahmen auch tatsächlich umsetzt, steht die zusätzliche Pflicht, dies auch im Laufe der Zusammenarbeit regelmäßig zu kontrollieren. Auch in diesem Zusammenhang ist wesentlich, dass die Pflichten detailliert festgelegt wurden.
  3. Kontrolle auch der allgemeinen datenschutzrechtlichen Pflichten! Soweit in der Praxis überhaupt Prüfungen erfolgen, beschränken diese sich oft allein auf die technischen und organisatorischen Maßnahmen. Es wird völlig übersehen, dass in § 11 Abs. 4 BDSG klargestellt ist, dass den Auftragnehmer auch andere Pflichten treffen: Neben anderen insbesondere die Verpflichtung auf das Datengeheimnis (§ 5 BDSG) und die Bestellung eines geeigneten (!) Datenschutzbeauftragten (§ 4f BDSG) oder, falls keine Pflicht zur Bestellung besteht, die Sorge dafür, dass die Erfüllung der Aufgaben des Beauftragten in anderer Weise sichergestellt wird (§ 4g Abs. 2a BDSG). Auftraggeber müssen sich hier also angemessen davon überzeugen, dass Fachkunde und Zuverlässigkeit beim Beauftragten für den Datenschutz vorliegen und dieser auch keinen Interessenskonflikten unterliegt. Bietet der Dienstleister etwa den IT-Leiter oder den Chef persönlich als Datenschutzbeauftragten an, ist eine wesentliche Voraussetzung für die Beauftragung nicht gegeben!

Auftragskontrolle aus Sicht des Auftragnehmers

Die Pflichten des Dienstleisters im Rahmen der Auftragskontrolle bestehen im Wesentlichen genau andersherum. Er hat Auftrag und Weisungen exakt nachzukommen und die Kontrollen und Prüfungen zu ermöglichen bzw. zu dulden. Nicht selten versuchen hier Dienstleister, Auftraggebern die Möglichkeit zur Durchführung eigener Kontrollen zu versagen. Dies ist unzulässig, wie auch etwa das Bayerische Landesamt für Datenschutzaufsicht in seinem letztem Tätigkeitsbericht ausdrücklich feststellt.

Der Dienstleister hat aber neben den bereits genannten auch zusätzliche Verpflichtungen: Wesentlich ist auch, dass die Mitarbeiter so geschult und angeleitet werden, dass diese in der Lage sind, den Auftrag so auszuführen, wie er erteilt wurde und auch unabhängig davon den Datenschutz zu beachten. Die Verpflichtung auf das Datengeheimnis genügt hier alleine nicht.

Zusätzlich sind auch Schulungen im Datenschutz und konkrete Anleitung und auch eine Überwachung notwendig. Auch hiervon muss sich der Auftraggeber überzeugen können, weshalb es sehr zu empfehlen ist, hierüber Aufzeichnungen (etwa Teilnahmelisten) zu führen. Ebenso müssen Mitarbeiter des Auftragnehmers wissen, wer überhaupt befugt ist, eine Weisung zu erteilen und auf welchem Wege dies zu geschehen hat.

Fazit: Bei der Auftragskontrolle ist Kooperation gefragt

Die Auftragskontrolle zu erfüllen, stellt sowohl Auftraggeber als auch Auftragnehmer vor größere Anforderungen. Zudem können die Pflichten oft auch nur gemeinsam erfüllt werden; Abstimmung ist unverzichtbar.

Bitte bewerten Sie diese Inhalte!
[3 Bewertung(en)/ratings]