Infobüro für Unternehmen Aachen

Wann braucht ein Unternehmen eine Vereinbarung zur Auftragsdatenverarbeitung?

Beauftragt ein Unternehmen die Verarbeitung von personenbezogenen Daten durch ein anderes Unternehmen, spricht man von einer Auftragsdatenverarbeitung. Diese unterliegt gesetzlichen Vorgaben nach § 11 des Bundesdatenschutzgesetzes.

Was heißt das genau?

So Sie in diesem Beispiel Ihr Rechenzentrum im Fremdbetrieb betreiben lassen, sollten Sie sich genau ansehen, auf welche Daten der Rechenzentrumsbetreiber Zugriff hat. Sobald personenbezogene Daten im Auftrag verarbeitet werden, ist Ihr Unternehmen verpflichtet, eine Vereinbarung zur Auftragsdatenverarbeitung mit dem Dienstleister abzuschließen. Für eine Analyse des Fremdbetriebs eignet sich der Ratgeber Datenschutz-Prüfung von Rechenzentren der Gesellschaft für Datenschutz und Datensicherheit e.V. .

Dort wird in übersichtlichen Tabellen zwischen Colocation, Housing und Hosting unterschieden. Entsprechend der jeweiligen Ausprägung und Aufgaben des Dienstleisters kann hier entnommen werden, dass eine Vereinbarung  zur Auftragsdatenverarbeitung bei Hosting immer notwendig ist, da hier bewusst Benutzer verwaltet, Datensicherungen ausgeführt und Betriebssysteme gepflegt werden - also Tätigkeiten, bei denen personenbezogenen Daten verarbeitet werden. Anders sieht es bei der Stellung einer Colocation aus. Bei dieser wird eine abgegrenzte Fläche für den Betrieb eigener Server bereitgestellt. Unbefugte haben keinen Zugang zu den Servern. Daher wird der Auftragnehmer nicht direkt in die Datenverarbeitung aufgenommen, sodass hier auch keine personenbezogenen Daten im Auftrag verarbeitet werden. Beim Housing werden die Systeme in Serverschränken bereitgestellt. Hier sollte im Einzelfall betrachtet werden, ob personenbezogene Daten verarbeitet werden. Ist dies nicht der Fall, muss auch keine Vereinbarung zur Auftragsdatenverarbeitung abgeschlossen werden. Sowohl bei Hosting, Housing als auch Colocation empfiehlt sich der Abschluss einer Vertraulichkeitsvereinbarung sowie von Service-Level-Agreements mit dem Auftragnehmer.

Neben dem Abschluss der Vereinbarung zur Auftragsdatenverarbeitung muss der Auftraggeber die technischen und organisatorischen Maßnahmen (TOMs) des Auftragnehmers vor Inbetriebnahme und danach regelmäßig prüfen. Die TOMs gelten in Sachen Datenschutz als die acht Gebote oder auch als die Visitenkarte der Auftragnehmer in Sachen Datenschutz. Auch hier bietet der Ratgeber Checklisten an, welche für die Kontrolle der Rechenzentrumsbetreiber verwendet werden können. An diesen Checklisten können sich zudem auch die Betreiber halten, um ihre eigene TOMs auf- oder auszubauen. Schließlich hat der Auftraggeber die Pflicht, den Auftragnehmer  unter besonderer Berücksichtig der Eignung auszuwählen.

Das Fehlen einer Prüfung des Auftragnehmers vor der Inbetriebnahme kann durch die zuständige Aufsichtsbehörde sanktioniert und mit Bußgeldern belegt werden! Hier sollten Sie also die Kontrollen unbedingt dokumentieren.

Quelle: Deutschland sicher im Netz - Blog

Publiziert am 27.07.2015