Bausteine
Erich von Maurnböck

Erich von Maurnböck

TOMs: Die Auftragskontrolle

Wir haben den TOMs bereits zwei Beiträge gewidmet und uns darin die ersten fünf Kontrollschritte angesehen. Diese Woche gehen wir auf die besonders wichtige Auftragskontrolle ein und sehen uns an, was zu beachten ist, wenn Daten im Auftrag weiterverarbeitet werden.

Hier ein kleiner Überblick, um sich die acht Gebote der technischen und organisatorischen Maßnahmen zum Datenschutz wieder ins Gedächtnis zu rufen:

  1. Zutrittskontrolle
  2. Zugangskontrolle
  3. Zugriffskontrolle
  4. Weitergabekontrolle
  5. Eingabekontrolle
  6. Auftragskontrolle
  7. Verfügbarkeitskontrolle
  8. Datentrennungskontrolle

Was kann man sich nun in der Praxis unter dem Begriff „Auftragskontrolle“ vorstellen?

Hierzu ein kleiner Exkurs zu den Hauptakteuren im Datenschutz:

Der Verantwortliche ist das Unternehemen, der Verein, die Behörde oder andere Stelle, das/der/die über die Verarbeitung von personenbezogenen Daten entscheidet. Er ist dafür verantwortlich, dass die Daten und somit die Privatsphäre der betroffenen Personen vor Missbrauch geschützt werden.

Der Auftragsverarbeiter (AVV) ist hingegen jede Stelle, die im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet. Hierbei handelt es sich beispielsweise um (fast jeden) IT-Dienstleister, Software-Anbieter, Werbeagenturen, Cloud-Anbieter oder auch Externe Lohnverrechner. Die genannten Unternehmen verarbeiten im Auftrag Kundendaten oder Mitarbeiterdaten.

ACHTUNG: Sind Sie sich dessen bewusst, dass Sie ausnahmslos mit JEDEM Auftragsverarbeiter einen Vertrag abschließen müssen – einen sogenannten Auftragsverarbeiter-Vertrag?

Wie Sie in unserem neuesten Beitrag lesen können, müssen Sie ansonsten mit einer DSGVO-Strafe rechnen!

Nun können Sie sich wohl schon viel besser vorstellen, worum es bei der Auftragskontrolle geht, nämlich um die Kontrolle Ihres Auftragsverarbeiters. Dadurch soll sichergestellt werden, dass Daten von einem Auftragsverarbeiter gemäß Ihrer Weisungen verarbeitet werden. Sie sind schließlich dafür verantwortlich, die Daten entsprechend zu schützen. Vor allem, wenn diese „das Unternehmen verlassen“.

Unsere heutiger Praxistipp:

Kontrollieren Sie sofort, wer Ihre Auftragsverarbeiter sind. Am einfachsten geht das über Ihre Kreditorenliste. Prüfen Sie, ob Sie schon mit allen Auftragsverarbeiter-Verträge abgeschlossen haben.

Nächste Woche widmen wir uns dem Thema Inhalt des AV-Vertrages und weitere Kontrollen des Auftragsverarbeiters.

Denken Sie stets daran: Ihr Unternehmen ist nur so datenschutzsicher wie jeder einzelne Mitarbeiter UND Auftragsverarbeiter!

Share on linkedin
Share on xing
Share on facebook
Share on twitter
Share on pinterest
Share on email

Weitere Beiträge

Und gleich abonnieren