Auftragskontrolle

Daten dürfen nur den Anweisungen entsprechend verarbeitet werden.

Werden personenbezogene Daten im Auftrag verarbeitet (Auftragsdatenverarbeitung, kurz ADV), hat der Auftraggeber zu gewährleisten, dass die Daten nur entsprechend seinen Weisungen verarbeitet werden. Dies fordert die Auftragskontrolle (§ 9 BDSG). Sie besagt, dass der Auftragnehmer, die erhaltenen Weisungen einzuhalten hat. Der Auftraggeber hat im Gegenzug dafür zu sorgen, dass seine Weisungen klar und eindeutig sind.

Maßnahmen zur Auftragskontrolle sind:

  • Klare, eindeutige Weisungen
  • Verhinderung von Zugriffen unbefugter Dritter auf die Daten
  • Verbot, Daten unzulässigerweise zu kopieren
  • Aufträge und Weisungen sind schriftlich zu vergeben
  • Mündliche Aufträge müssen schriftlich bestätigt werden
  • Vergabe von Einzelauftrage nur über namentlich benannte Ansprechpartner
  • Datenübergabe erfolgt gegen Quittung
  • Vereinbarungen über Art des Datentransfers und deren Dokumentation
  • Kontrollrechte durch den Auftraggeber
  • Vereinbarung von Vertragsstrafen

Rechtsgrundlage: Anlage Nr. 6 zu § 9 BDSG – technische und organisatorische Kontrollbereiche (Datensicherheit)