Neues Datenschutzgesetz zwingt Unternehmen zum Handeln

Zehn Punkte für die Auftragsdatenverarbeitung

Für die im datenschutzrechtlichen Alltag weit verbreitete Auftragsdatenverarbeitung stellt das BDSG (§ 11 Abs. 2) jetzt einen aus zehn Punkten bestehenden Katalog an Mindestangaben auf. Sie müssen in der schriftlichen Auftragserteilung thematisiert werden. Fehlt es an einer schriftlichen Fixierung dieser Punkte, verhalten sich beide Parteien des Auftragsdatenverarbeitungsvertrages ordnungswidrig, so dass ein Bußgeld verhängt werden kann. Es empfiehlt sich, bestehende Altverträge auf ihre Rechtskonformität hin zu prüfen.

Die zehn Punkte lauten:

• Leistungsumfang der Arbeiten sowie vorübergehende beziehungsweise dauernde Datenspeicherung;

• Transport- und Versendungsformen des Datenmaterials;

• klare Kompetenz- und Pflichtenabgrenzung zwischen Auftraggeber und Auftragnehmer;

• Festlegung über Einzelweisungen durch den Auftraggeber, anweisungsberechtigte Personen des Auftraggebers;

• Sicherheitsmaßnahmen;

• Vernichtung und Entsorgung von Schriftstücken und sonstigen Datenträgern;

• Protokollierung;

• Maßnahmen beim Verlust von Datenträgern;

• Einschaltung von Subunternehmen;

• Kündigungsmöglichkeiten und Vertragsstrafen bei Datenschutzverletzungen.