Bundesamt für Sicherheit in der Informationstechnik

G 2.169 Fehlende oder unzureichende Absicherung der Datenverarbeitung im Auftrag bei der Verarbeitung personenbezogener Daten

Die Vergabe von Tätigkeiten der Datenverarbeitung nach Außen im Wege einer Auftragsdatenverarbeitung ist unter der Voraussetzung zulässig, dass der Auftraggeber für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich ist. Die Vergabe des Auftrags hat unter besonderer Berücksichtigung der technischen und organisatorischen Eignung des Auftragnehmers zu erfolgen. Der Auftrag hat schriftlich zu erfolgen, wobei die Datenverarbeitung selber sowie die zugehörigen technischen und organisatorischen Maßnahmen zu beschreiben sind. Zu diesen Maßnahmen gehört insbesondere auch die Gewährleistung der Auftragskontrolle. Der Auftragnehmer bleibt bezogen auf die Datenverarbeitung weisungsgebunden.

Diese Bestimmungen gelten auch für die Prüfung und Wartung von technischen Anlagen, die der automatisierten Verarbeitung personenbezogener Daten dienen (Fernwartung).

Beispiele:

  • Ein Unternehmen möchte die technische Abwicklung der Lohnbuchhaltung im Rahmen eines Application-Services an einen Dienstleister auslagern. Die Datenverarbeitung findet so statt, dass Mitarbeiter des Dienstleisters im Zuge der Administration und Datensicherung auch Zugriff auf die Lohndaten nehmen können. Die vertraglichen Vereinbarungen regeln lediglich die Verfügbarkeit und das Wiederanlaufen des Dienstes der Lohnbuchhaltung. Aus ungeklärter Ursache kommen Lohndaten von Mitarbeitern des Auftraggebers in die Öffentlichkeit. Sie werden zur Anprangerung der Einkommen der Mitarbeiter benutzt. Konkurrierende Unternehmen versuchen Mitarbeiter mit besseren Angeboten abzuwerben und den Konkurrenten damit zu schädigen. Betroffene Mitarbeiter beschweren sich bei der zuständigen Aufsichtsbehörde.
  • Im Zuge der Überprüfung der Datenverarbeitung des Auftraggebers stellt die Aufsichtsbehörde fehlende Regelungen der Auftragsdatenverarbeitung fest, da wesentliche vertragliche Vereinbarungen zur Sicherstellung der datenschutzrechtlichen Bestimmungen (hier insbesondere bezogen auf die Umsetzung der Sicherheitsziele des Datenschutzrechtes, Überprüfung der Umsetzung beim Dienstleister und Vereinbarungen für den Fall der mangelhaften Umsetzung) fehlen. Die Aufsichtsbehörde muss dies beanstanden und fordert dazu auf, die Mängel kurzfristig abzustellen.

Stand: 9. EL Stand 2007