Die Auftragskontrolle ist für Sie überwiegend in der Zusammenarbeit mit Dienstleistern und Auftragsverarbeitern relevant. Wie der Begriff vermuten lässt, geht es dabei um die Kontrolle der Aufträge. Generell geht es dabei natürlich um den Schutz von personenbezogenen Daten – aber eben bei der Zusammenarbeit mit Externen außerhalb Ihres Unternehmens.
Im folgenden Artikel lesen sie, was Auftragskontrolle ist und was Sie tun müssen ums Sie umzusetzen.
Auftragskontrolle in der Theorie
Als Auftraggeber sind Sie Verantwortlicher, als Auftragnehmer sind Sie Auftragsverarbeiter. Mit der Auftragskontrolle steuern Sie als Verantwortlicher, dass Ihr Dienstleister einzig und allein die für den Auftrag notwendigen personenbezogenen Daten verarbeitet.
Die Daten, die dafür nicht notwendig sind, soll der Dienstleister gar nicht erst bekommen. Es geht dabei also um die personenbezogenen Daten, die benötigt werden, damit der Auftrag erfüllt werden kann.
Der Auftragsverarbeiter (Auftragnehmer) darf die ihm zur Verfügung gestellten Daten ausschließlich gemäß der Weisungen des Auftraggebers (Verantwortlicher) verarbeiten.
Der Auftraggeber muss im Rahmen der Auftragskontrolle sicherstellen, dass seine Weisungen vom Auftragsverarbeiter eingehalten werden.
Maßnahmen der Auftragskontrolle
Mit technischen und organisatorischen Maßnahmen stellen Auftragsverarbeiter die Einhaltung und Umsetzung von Vorgaben sicher. Kurz zur Widerholung: …dass der Auftragsverarbeiter alle personenbezogenen Daten nur so verarbeitet, wie es der Auftraggeber festlegt und vorgibt.
Hier geht es speziell um die Weisung. Personenbezogene Daten dürfen nur weisungsgebunden verarbeitet werden. Legen Sie fest, wer Weisungen geben und ausführen darf.
Die verantwortliche Stelle bestimmt was passiert.
Sobald personenbezogene Daten (für die Sie als Auftraggeber verantwortlich sind) ihr Unternehmen verlassen, müssen Sie also weiterhin für die Kontrolle über das Geschehen sorgen.
Damit Sie als Verantwortlicher die Abläufe datenschutzkonform steuern können, müssen Sie sich um ein paar Dinge kümmern.
Aufgaben des Auftraggebers und Verantwortlichen
Beispiel zur Auftragskontrolle
Konkrete Maßnahmen der Auftragskontrolle möchte ich Ihnen anhand eines Beispiels erläutern:
Nehmen wir an Sie müssen Ihr Kind bei einer Tagesmutter betreuen lassen. Bestimmt möchten Sie unter den gegebenen Umständen die beste Lösung sicherstellen.
Zuerst überlegen Sie sich, wer für die Aufgabe überhaupt in Frage kommt. Vielleicht haben Sie über einen Anbieter schon etwas in Erfahrung gebracht, oder sogar Empfehlung erhalten. Eventuell sehen Sie sich Referenzen an.
Sie vergleichen Rahmenbedingugnen, überlegen bezüglich der Entfernung, Fahrzeit, usw.
Haben Sie jemanden gefunden der die ersten Kriterien erfüllt, kümmern Sie sich um weitere Details zur Situation vor Ort. Liegen die notwendigen Qualifikationen, Wissen und Erfahrung vor? Gibt es ein pädagogisches Konzept, bekommt das Kind etwas zu essen (was?), sind die Räume „kindersicher“ ausgestattet, gibt es weitere Mitarbeiter, usw.?
Vielleicht genügen Ihnen die Aussagen am Telefon nicht und Sie wollen sich noch einen persönlichen Eindruck von Mensch und Ort verschaffen? Sie fahren dorthin und sehen sich alles an.
Irgendwann sind Sie sich sicher haben alle Fragen geklärt. Sie haben ein gutes Gefühl und bringen Ihr Kind dorthin.
All das ist die sorgfältige Auswahl eines Dienstleisters. Sie kontrollieren und stellen sicher, dass vor Ort notwendige Maßnahmen umgesetzt werden und das Kind in Ihrem Sinn betreut wird. Wenn Ihnen etwas komisch vorkommt, möchten Sie sich ihr eigenes Bild vor Ort machen dürfen. Vielleicht vereinbaren Sie das ganze auch noch in einem Vertrag damit alle Beteiligten ihr Aufgaben kennen.
Lesen Sie den Text noch einmal mit den Gedanken einen Dienstleister für die Verarbeitung von personenbezogenen Daten auszuwählen.
Auftragskontrolle umsetzen
Damit Sie die Auftragskontrolle umsetzen und auch gleich noch die gesetzlichen Vorgaben aus der DSGVO erfüllen, benötigen Verantwortlicher und Auftragsverarbeiter technische und organisatorische Maßnahmen.
Auftraggeber und Dienstleister schließen einen Vertrag, der Weisungen vorsieht und es erlaubt die Einhaltung zu kontrollieren. Der Dienstleister sichert der Auftraggeber die Einhaltung zu und weist auch nach, dass er geeignet ist, und mit den personenbezogenen Daten richtig umgehen kann.
Aufgaben des Auftraggebers und Verantwortlichen
Am besten Schriftform, denn alles andere ist schlecht nachweisbar. Am Ende dürfen nur erteilte Weisungen umgesetzt werden.
Von den erteilten Weisungen darf der Verarbeiter nicht abweichen.Kontrolle auf Einhaltung der Weisungen
Ob und damit der Auftragsverarbeiter die Weisungen des Verantwortlichen einhält, muss der Auftraggeber kontrollieren (dürfen).
Während der Zusammenarbeit kontrolliert die verantwortliche Stelle die Einhaltung der Weisungen regelmäßig, z.B. jährlich.
Kontrolle zur Einhaltung des Datenschutzes
Auch die Einhaltung des Datenschutzes durch den Auftragnehmer prüft der Auftraggeber. Der Auftragnehmer weist das nach.
Der Auftraggeber ist für das was der Auftragnehmer macht verantwortlich gegenüber den Betroffenen.
Aufgaben des Auftragnehmers und Auftragsverarbeiters
Weisung und Schulung der Mitarbeiter
So kann der Auftrag entsprechend der Weisungen ausgeführt werden.
Auftragsverarbeitungsvertrag
In Art. 28 Abs. 2 DSGVO ist eine allgemeine oder gesonderte schriftliche Festlegung gesetzlich verankert – der Auftragsverarbeitungsvertrag. In einem solchen Vertrag legen Sie fest, wie der Auftragsverarbeiter die personenbezogenen Daten behandeln muss – siehe vorherige Aufgaben.
Im ersten Schritt legen sie den Gegenstand der Zusammenarbeit fest und gehen dann auf die Rechte und Pflichten ein. Weil es auf die technischen und organisatorischen Details ankommt, prüfen Sie als Auftraggeber auch gleich die technischen und organisatorischen Maßnahmen. Fügen Sie diese dem Auftragsverarbeitungsvertrag hinzu.
Je nach Umfang der Verarbeitung von personenbezogenen Daten und einem möglichen Risiko für Betroffene prüfen Sie die technischen und organisatorischen Maßnahmen auch gleich. Alternativ reicht je nach Daten auch ein Nachweis der Umsetzung. Beispielsweise ein (unabhängiger) Audit- oder Prüfbericht, oder Zertifikat, o.ä.
Wichtig ist in dem Zusammenhang, dass die Maßnahmen des Dienstleisters Ihren Anforderungen als Verantwortlicher genügen.
Maßnahmen der Auftragskontrolle
An diesen Maßnahmen der Auftragskontrolle erkennen Sie, dass ein Auftragsverarbeiter seine Aufgaben versteht.
Es ist ein Datenschutzbeauftragter benannt. Die Wahrscheinlichkeit ist hoch, dass regelmäßige Datenschutzaudits des betrieblichen Datenschutzbeauftragten stattfinden.
Der Dienstleister hat ein internes Verfahren für die sorgfältige Auswahl (mit Kriterien) von weiteren Auftragnehmern unter Sorgfaltsgesichtspunkten, besonders bezüglich Datensicherheit, festgelegt.
All das wird laufend Überprüft und ist auch nachweisbar – Prüfprotokolle oder Zertifikate helfen dabei.
Weil Datenschutz kein einfaches Thema ist finden regelmäßig Schulungen aller zugriffsberechtigten Mitarbeiter statt – auch hier helfen Konzepte.
Die Mitarbeiter des Dienstleisters sind auf die Vertraulichkeit verpflichtet. (Ein Datengeheimnis gibt es unter der DSGVO nicht mehr.)
Achtung, nur weil etwas auf einem Papier steht, bedeutet das noch lange nicht, dass das auch so umgesetzt und gelebt wird. Kontrolle ist besser.
Auftragskontrolle zusammengefasst
Wählen Sie ihre Auftragnehmer sorgfältig aus. Sehen Sie genau hin. Geben Sie als Auftraggeber eindeutige Weisungen in einem Auftragsverarbeitungsvertrag vor. Kontrollieren Sie, ob der Dienstleister mit den Datenschutzanforderungen umgehen kann. In dem Zusammenhang auch, ob die dafür notwendigen technischen und organisatorischen Maßnahmen und Vorgaben nach Ihren Weisungen umgesetzt werden können. Denken Sie auch an mögliche Unterauftragnehmer – hier gelten die gleichen Punkte.