checkliste outsourcing by ZsD433j7

VIEWS: 16 PAGES: 12

									          Handreichung zur Auslagerung von Aufgaben
                        (Outsourcing)
                                     Stand: 23.09.2004



gemeinsam erstellt durch das Ministerium des Innern des Landes Sachsen-Anhalt und den
Landesbeauftragten für den Datenschutz Sachsen-Anhalt in Anlehnung an
-   eine Orientierungshilfe und Checkliste zur Auftragsdatenverarbeitung des LfD
    Niedersachsen und
-   ein Muster des Regierungspräsidiums Darmstadt.


                                    Vorbemerkung

Der Begriff „Outsourcing“ stammt aus dem amerikanischen Wirtschaftsleben und setzt sich
aus den Worten „Outside Resource Using = Mittel von außen gebrauchen“ zusammen. Die
Erscheinungsformen des Outsourcing sind vielfältig. Es kann darin bestehen, dass einzelne
Tätigkeiten, z.B. der Wach- oder Reinigungsdienst, die bisher vom Unternehmen oder von
einer Verwaltungsbehörde selbst erledigt wurden, auf Externe übertragen werden. Möglich
ist aber auch, dass die Produktion ganz oder teilweise ausgelagert wird, z.B. in der
Automobilindustrie bei der Herstellung von Cabrios für verschiedene Hersteller durch ein
hierauf spezialisiertes Unternehmen.

Der Hauptgrund für Outsourcing ist Kostensenkung. Der Outsourcingnehmer ist regelmäßig
aufgrund von Vorteilen, die sich aus seiner Spezialisierung, aus seinem Standort (z.B.
Produktion in Billiglohnländern), mangelnder Tarifbindung usw. ergeben können, in der Lage
eine Leistung kostengünstiger zu erbringen oder ein Produkt billiger herzustellen, als der
Outsourcinggeber selbst.

Mit der Herstellung des Binnenmarktes ist Outsourcing innerhalb des Europäischen
Wirtschaftsraums längst zu einer Selbstverständlichkeit geworden. Angesichts der
zunehmenden Globalisierung der Wirtschaft macht Outsourcing aber nicht an den Grenzen
des Europäischen Wirtschaftsraums halt. Bedienten sich in der Vergangenheit noch
vorrangig ausländische und weltweit operierende deutsche Konzerne des weltweiten
Outsourcing („Offshore“), wird dieses Instrument jetzt auch von kleineren Firmen vermehrt
genutzt.

Nachfolgend wird auf die Aspekte des Outsourcing eingegangen, die sich auf den Umgang
mit personenbezogenen Daten beziehen.

1. Abgrenzung von Auftragsdatenverarbeitung und Funktionsübertragung

Datenschutzrechtlich zu unterscheiden sind beim Outsourcing die Auftragsdatenverarbeitung
und die Funktionsübertragung. Die Frage ob ein Outsourcing als Auftragsdatenverarbeitung
oder Funktionsübertragung anzusehen ist, hängt von der jeweiligen rechtlichen
Ausgestaltung ab und kann daher nur im Einzelfall beantwortet werden. Die rechtlichen
Ausgestaltungsmöglickeiten sind ähnlich vielfältig wie die tatsächlichen Erscheinungsformen
des Outsourcing.
                                             2



Bei der Datenverarbeitung im Auftrag wird nicht die Aufgabe selbst, zu deren Zweck die
Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten erfolgt, ausgelagert,
sondern lediglich der zur Aufgabenerledigung erforderliche Umgang mit den Daten. Der in
Anspruch genommenen Serviceeinrichtung wird der Umgang mit den Daten nach Weisung
und    unter    materieller   Verantwortung   des      Auftraggebers  übertragen.  Die
datenschutzrechtliche Verantwortung für die Erhebung, Verarbeitung oder Nutzung der
personenbezogenen Daten verbleibt beim Auftraggeber. Er schreibt die technischen und
organisatorischen Maßnahmen zur Datensicherheit beim Auftragnehmer vor.

      Erkennungsmerkmale für Auftragsdatenverarbeitung:

       fehlende Entscheidungsbefugnis des Auftragnehmers,
       Weisungsgebundenheit des Auftragnehmers bezüglich dessen, was mit den Daten
         geschieht,
       Umgang nur mit Daten, die der Auftraggeber zur Verfügung stellt; es sei denn, der
         Auftrag ist auch auf die Erhebung personenbezogener Daten gerichtet,
       Ausschluss der Verarbeitung oder Nutzung der Daten zu eigenen Zwecken des
         Auftragnehmers,
       keine (vertragliche) Beziehung des Auftragnehmers zum Betroffenen,
       Auftragnehmer tritt (gegenüber dem Betroffenen) nicht in eigenem Namen auf.


Bei der Funktionsübertragung wird dagegen auch die der Erhebung, Verarbeitung oder
Nutzung personenbezogner Daten zugrunde liegende Aufgabe ganz oder teilweise
abgegeben. Die in Anspruch genommene Serviceeinrichtung erbringt - über die technische
Durchführung des Umgangs mit personenbezogenen Daten hinaus - materielle Leistungen
mit Hilfe der überlassenen Daten. Sie handelt hierbei eigenverantwortlich, auch im Sinne des
Datenschutzrechts.

      Erkennungsmerkmale für Funktionsübertragung:

       Weisungsfreiheit des Dienstleisters bezüglich dessen, was mit den Daten geschieht,
       Überlassung von Nutzungsrechten an den Daten,
       eigenverantwortliche Sicherstellung von Zulässigkeit und Richtigkeit der Daten
        durch den Dienstleister, einschließlich des Sicherstellens der Rechte von
        Betroffenen (Benachrichtigungspflicht, Auskunftsanspruch),
       Handeln des Dienstleisters (gegenüber dem Betroffenen) im eigenen Namen,
       Entscheidungsbefugnis des Dienstleisters in der Sache,

2. Sonderfall Wartung und Pflege

Einen Sonderfall bildet die Prüfung oder Wartung automatisierter Verfahren oder von
Datenverarbeitungsanlagen. Solche Tätigkeiten sind z.B.

   Installation, Wartung, Pflege und Prüfung von Netzwerken, Hardware (einschließlich
    Telekommunikationsanlagen)
     und Software u.a. (Betriebssysteme, Middleware, Anwendungen)
   Parametrisieren von Software
   Programmentwicklungen/-anpassungen/-umstellungen, Fehlersuche und Tests
   Durchführung von Migrationen im Produktivsystem.
                                              3



Sie können direkt vor Ort oder per Fernwartung durchgeführt werden. Die Tätigkeiten sind
nicht auf den Umgang mit personenbezogenen Daten gerichtet, allerdings ist die
Kenntnisnahme von personenbezogenen Daten nicht immer ausgeschlossen. Daher
unterwirft der Bundesgesetzgeber im Bundesdatenschutzgesetz (BDSG) gänzlich und der
Landesgesetzgeber im Gesetz zum Schutz personenbezogener Daten der Bürger
(Datenschutzgesetz Sachsen-Anhalt - DSG LSA) weitgehend die Erbringung von Wartungs-
und Pflegearbeiten den Regelungen zur Auftragsdatenverarbeitung, soweit bei diesen
Tätigkeiten ein Zugriff auf personenbezogene Daten unvermeidlich ist (vgl.: § 11 Abs. 5
BDSG, § 8 Abs. 7 DSG LSA).


3.   Rechtsstellung von Auftraggeber           und    Auftragnehmer     zu    einander   bei
     Auftragsdatenverarbeitung:

Die Auftragsdatenverarbeitung ist, soweit sie durch eine Stelle

-    im Inland,
-    in einem anderen Mitgliedstaat der Europäischen Union oder
-    in einem anderen Vertragsstaat des Abkommens über                  den    Europäischen
     Wirtschaftsraum

erfolgt, privilegiert. Ein solcher Auftragnehmer gilt nach § 3 Abs. 8 BDSG / § 2 Abs. 9 DSG
LSA nicht als Dritter. Daher finden im Rahmen des Auftrags auf den Datenaustausch
zwischen Auftraggeber und Auftragnehmer nicht die einschränkenden Regelungen der
Datenschutzgesetze für Übermittlungen Anwendung. Der Auftragnehmer ist aber Empfänger
im Sinne des § 3 Abs. 8 Satz 1 BDSG / § 2 Abs. 10 DSG LSA.

Die Erhebung, Verarbeitung oder Nutzung personenbezogner Daten im Auftrag ist für
öffentliche Stellen des Bundes und für nicht-öffentliche Stellen bereichsübergreifend in § 11
BDSG und für öffentliche Stellen des Landes in § 8 DSG LSA geregelt.

Das Privileg besteht nicht, wenn der Auftragnehmer eine nicht privilegierte ausländische
Stellen ist, also in einem Drittland ansässig ist. In diesem Fall (Offshore-
Auftragsdatenverarbeitung) müssen für die Weitergabe von Daten durch den Auftraggeber
an den Auftragnehmer die Voraussetzungen für eine Übermittlung ins Ausland erfüllt sein.

Entsprechend der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom
24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien Datenverkehr (Abl. EG Nr. L 281/31 vom
23.11.1995) – nachfolgend EG-Datenschutzrichtlinie genannt - bestimmt § 4 b Abs. 2 Satz 2
BDSG / § 13 Abs. 2 Satz 2 DSG LSA, dass die Übermittlung an eine Stelle in einem Drittland
unterbleibt, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der
Übermittlung hat, insbesondere wenn bei dem Dritten ein angemessenes Datenschutzniveau
nicht gewährleistet ist. Danach kommt eine Auftragsdatenverarbeitung in einem Drittland in
Betracht wenn:

1.   die Kommission nach Art. 25 Abs. 6 der EG-Datenschutzrichtlinie die Feststellung
     getroffen hat, dass in dem Drittland ein angemessenes Datenschutzniveau besteht
     (bisher festgestellt für Argentinien, Guernsey, Kanada, Insel Man, Schweiz und Ungarn),

2.   ohne Feststellung nach Nummer 1
     a) bei Verwendung der von der Europäischen Kommission angenommenen
         „Standardvertragsklauseln für die Übermittlung personenbezogner Daten an
         Auftragsdatenverarbeiter in Drittländern“ (Abl. EG Nr. L 6 vom 10.1.2002, S. 52);
                                      4


     siehe                                                                    auch
     http://europa.eu.int/comm/internal_market/privacy/modelcontracts_de.htm,
b)   bei Anwendung einer verbindlichen Unternehmensregelung im Sinne des § 4c Abs.
     2 Satz 1 BDSG im Konzernverbund,
                                                        5



       c)    wenn der Auftragnehmer in den USA ansässig ist und sich verpflichtet hat, sich den
             „Grundsätzen des sicheren Hafens zum Datenschutz (Safe-Harbor)“ und den
             „Häufig gestellten Fragen (Frequently Asked Questions (FAQ)“ unterworfen hat,
       d)    Feststellung eines angemessenen Datenschutzniveaus nach § 4b Abs. 2 Satz 2
             i.V.m. Abs. 3 BDSG beim Auftragnehmer durch den Auftraggeber,
       e)    Genehmigung der zuständigen Aufsichtsbehörde nach § 4c Abs. 2 Satz 1 BDSG.*

Die einschlägigen Entscheidungen im Sinne vorstehender Nrn. 1 und 2 der Europäischen
Kommission zur Angemessenheit des Schutzes personenbezogener Daten in Drittstaaten
sind im Internet unter http://europa.eu.int/comm/internal_market/privacy/adequacy_de.htm
abrufbar.

Es erscheint unwahrscheinlich, dass bei einer öffentlichen Stelle bei Erledigung öffentlich-
rechtlicher Aufgaben die rechtlichen Voraussetzungen vorliegen, um personenbezogene
Daten zum Zwecke der Auftragsdatenverarbeitung an eine nicht privilegierte ausländische
Stelle zu übermitteln.


4. Rechtsvorschriften zur Auftragsdatenverarbeitung

Regelungen zur Auftragsdatenverarbeitung treffen für nicht-öffentliche Stellen, also
insbesondere für die Wirtschaft, § 11 BDSG und für öffentliche Stellen des Landes § 8 DSG
LSA. Beide Vorschriften stimmen inhaltlich weitergehend überein, auch bezüglich der
Auftragsdatenverarbeitung durch von öffentlichen Stellen beherrschte Auftragnehmer in § 11
Abs. 4 Nr. 1b BDSG und § 8 Abs. 5 DSG LSA. Eine Besonderheit des Landesrechts ist, dass
der Auftragnehmer nach § 8 Abs. 3 DSG LSA zur Unterrichtung des Landesbeauftragten für
den Datenschutz verpflichtet ist, wenn der Auftraggeber an einer datenschutzwidrigen
Weisung festhält. Ferner muss sich ein Auftragnehmer, der nicht Adressat des DSG LSA ist,
nach § 8 Abs. 6 des Gesetzes vertraglich verpflichten, die Bestimmungen des DSG LSA
einzuhalten und sich der Kontrolle durch den Landesbeauftragten für den Datenschutz
entsprechend
§§ 22 bis 24 DSG LSA unterwerden.

Bereichsspezifische Regelungen zur Auftragsdatenverarbeitung haben gegenüber den
Regelungen der allgemeinen Datenschutzgesetze Vorrang, z.B. bei

      Auftragsdatenverarbeitung von Sozialdaten
       § 80 Abs. 2 bis 5 SGB X. Die Regelungen entsprechen weitgehend § 11 BDSG.
       Besonderheiten sind u.a. Beschränkungen und              Anzeigepflichten gegenüber
       Aufsichtsbehörden bei der Beauftragung nicht-öffentlicher Stellen in § 80 Abs. 3 und 5
       SGB X.
      Auftragsdatenverarbeitung von Statistikdaten
       § 17 des Landesstatistikgesetzes Sachsen-Anhalt, der die Vergabe statistischer
       Arbeiten an Dritte regelt.
      Auftragsdatenverarbeitung von durch besondere Berufsgeheimnisse geschützte
       personenbezogene Daten
       In der Weitergabe von fremden Geheimnissen an den Auftragnehmer durch Ärzte,
       Apotheker, Angehörige der privaten Kranken-, Unfall- oder Lebensversicherungen,
       Rechtsanwälte, Steuerberater u.a. läge grundsätzlich eine unbefugte Offenbarung im
       Sinne des § 203 Abs. 1 StGB, so dass Auftragsdatenverarbeitung nur mit Einwilligung
       der Betroffenen möglich erscheint.

*
    dem Vorgehen, nach Buchst. b, d) und e) ist die Verwendung von Standardvertragsklauseln vorzuziehen; nicht
    alle Aufsichtsbehörden verzichten bei der Festsstellung des angemessenen Datenschutzniveaus, durch den
    Auftraggeber auf die Genehmigung nach § 4 c Abs. 2 Satz 1 BDSG. Das Genehmigungsverfahren ist in jedem
    Fall zeitaufwändig und mit Kosten verbunden.
                                              6



   Auftragsdatenverarbeitung von Steuerdaten
    Aus      §     30   Abgabenordnung        (Steuergeheimnis)     wird   von     mehreren
    Datenschutzkontrollinstitutionen im Hinblick auf Art. 108 GG sowie § 2 Abs. 2 und § 17
    Abs.      3    des    Finanzverwaltungsgesetzes       auf   die     Unzulässigkeit   der
    Auftragsdatenverarbeitung durch nicht-öffentliche Stellen geschlossen; siehe auch Walz
    in Simitis u.a., BDSG, § 11 Randnr. 37.
    Dagegen ist in Sachsen-Anhalt bezüglich der Beteiligung eines privaten
    Dienstleistungsunternehmens        bei   der   Ausstellung    und     Versendung     von
    Lohnsteuerkarten die Befugnis für die hierzu erforderliche Offenbarung von dem
    Steuergeheimnis unterliegenden Verhältnissen auf § 30 Abs. 4 Nr. 1 AO gestützt
    worden; vgl. 3. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz, S. 36.


Bei der Auftragsdatenverarbeitung für öffentliche Stellen durch nicht-öffentliche Stellen ist,
soweit Aufgaben der öffentlichen Verwaltung ausgeführt werden, zu fordern, dass die dabei
beschäftigten Personen des Auftragnehmers neben der Verpflichtung auf das
Datengeheimnis auch nach dem Verpflichtungsgesetz verpflichtet sind. Verpflichtungen auf
das Datengeheimnis nimmt der Auftragnehmer, die nach dem Verpflichtungsgesetz die
durch Verordnung bestimmte zuständige öffentliche Stelle, regelmäßig ist dies der
Auftraggeber, vor.

Die Auftraggeber in Wirtschaft und Verwaltung sind in gleicher Weise verpflichtet, die zu
übertragende Datenverarbeitung, die vom Auftragnehmer einzuhaltenden technischen und
organisatorischen Datensicherheitsmaßnahmen sowie etwaige Unterauftragsverhältnisse
schriftlich festzulegen.

Sollte der Auftragnehmer ausnahmsweise eine nicht privilegierte ausländische Stelle sein,
gelten die Regelungen zur Auftragsdatenverarbeitung nicht. Gleichwohl sollte in einem
solchen Fall den Anforderungen des § 11 Abs. 2 Sätze 1 und 3 sowie Abs. 3 Satz 1 BDSG
durch entsprechende Vertragsgestaltung genügt werden. Nur dann dürfte – ein
angemessenes Datenschutzniveau beim Auftragsdatenverarbeiter vorausgesetzt – die
übrigen Übermittlungsvoraussetzungen, die sich aus § 4b Abs. 1 in Verbindung mit §§ 28
bzw. 29 BDSG ergeben, erfüllt sein.

Als Anlage ist eine Checkliste beigefügt, die beim Abschluss von Verträgen zur Erhebung,
Verarbeitung oder Nutzung personenbezogener Daten im Auftrag abgearbeitet werden
sollte.
                                             7


                                                                                    Anlage

                              Checkliste
            - Datenschutz bei Auftragsdatenverarbeitung –


Die Checkliste dient der Wahrnehmung der Sorgfaltspflichten des Auftraggebers (AG) aus
§ 11 Abs. 2 BDSG / § 8 Abs. 2 DSG LSA bei der
Auswahl eines geeigneten Auftragnehmers,
Erarbeitung datenschutzgerechter Lösungen,
Ausgestaltung der vertraglichen Vereinbarungen.

Ihr liegen ausschließlich Anforderungen zum Datenschutz und zur Datensicherheit
zu Grunde.

Die Auftragsdatenverarbeitung kann in verschiedenen Varianten vorkommen. Folgende
Varianten lassen sich z. B unterscheiden:

Externe Datenhaltung, z.B. teilweise oder gesamtes Outsourcing in ein Rechenzentrum
Marktforschung,
Zugriff auf personenbezogene Daten vor Ort beim Auftraggeber,
„Remote“ Zugriff des Auftragnehmers auf personenbezogene Daten beim Auftraggeber;
  z.B. Fernwartung von Hard- und Software,
Papier-/Aktenvernichtung, Vernichtung von Datenträgern,
Archivierungsservice (manuell und elektronisch),
Werbung,
Telefonmarketing,
Kundenservice.

Die verschiedenen Varianten der Auftragsdatenverarbeitung erfordern unterschiedliche
Anforderungen an den Auftragnehmer und an die vertragliche Ausgestaltung.

Dienstleistungsverträge mit z. B. Gebäudereinigung, Umzugsservice, Sicherheitsdienste sind
grundsätzlich nicht auf Auftragsdatenverarbeitung gerichtet. Bei ihrem Abschluss sind daher
Vorschriften über die Auftragsdatenverarbeitung regelmäßig nicht zu beachten. Es ist aber
auch sicherzustellen, dass Verschwiegenheitspflichten vereinbart werden.

Je nach Situation sind die Fragen in der Checkliste von mehr oder weniger großer
Bedeutung, oder auch gar nicht anwendbar. In Zweifelsfällen und bei Rückfragen wenden
Sie sich bitte an ihren Beauftragten für den Datenschutz.
                                               8


1. Allgemeine Anforderungen

Welche Stellen
verarbeiten im
Auftrag
personenbezogene
Daten?


Für welche Stellen
werden
personenbezogene
Daten im Auftrag
verarbeitet?

Wird der Auftrag im
Ausland ausgeführt
(wenn ja: EU oder
außerhalb der EU?)?


Gibt es
Unterauftragsverhältn
isse?




Auftragsdatenverarbe
itung nach
§ 80 SBG X

Ggf. Zusatzfrage:




2. Auftragsorganisation

                                     Erfüllt   Nicht     Nicht      Bemerkungen
                                                         zutreffe
                                               erfüllt
                                                         nd


Der Auftragnehmer wurde durch
Überprüfung der von ihm
getroffenen technischen und
organisatorischen Maßnahmen
sorgfältig ausgewählt (§ 11 Abs. 2
Satz 1 BDSG / § 8 Abs. 2 Satz 1
DSG LSA).
                                                  9


                                        Erfüllt   Nicht     Nicht      Bemerkungen
                                                            zutreffe
                                                  erfüllt
                                                            nd




Die Ergebnisse der
Auftragsdatenverarbeitung werden
zumindest stichprobartig auf
Richtigkeit überprüft.


Es sind jeweils schriftliche Aufträge
in einer der folgenden Formen
erteilt worden (§ 11 Abs. 2 BDSG /
§ 8 Abs. 2 Satz 2 DSG LSA):
- Einzelverträge oder
- Rahmenverträge mit
  Einzelaufträgen (Lieferscheine,
  Belege, Quittungen).

Nur für öffentliche Auftraggeber:
Soweit auf den Auftragnehmer das
DSG LSA nicht anwendbar ist,
Unterrichtung des
Landesbeauftragten für den
Datenschutz LSA durch den
Auftraggeber nach
§ 8 Abs. 6 Satz 2 DSG LSA.

Nur für öffentliche Auftraggeber bei
Auftragsdatenverarbeitung nach
§ 80 SGB X:
- Sind beim Auftragnehmer die
  Datenschutzanforderungen nach
  § 80 Abs. 2 Satz 1 SGB X erfüllt?
- Unterrichtung der
  Aufsichtsbehörde nach § 80 Abs.
  3 SGB X?
- Liegen bei Einschaltung eines
  privaten Auftragnehmers die
  Voraussetzungen des § 80
  Abs.5 SGB X vor?

Ggf. Zusatzfrage:
                                             10


3. Vertragsgestaltung


                                            Erfüllt   Nicht     Nicht        Bemerkungen
                                                      erfüllt   zutreffend
Genaue Bezeichnung des
Vertragspartners

Beschreibung des Gegenstandes des
Vertragsverhältnisses, ggf. mit
Leistungsverzeichnis, Pflichtenheft oder
sonstigen Unterlagen, die die Art und den
Umfang der zu erbringenden Leistungen
festschreiben

Wichtige technische und organisatorische
Maßnahmen zur Datensicherheit bei der
Auftragsabwicklung, z.B.
- Protokollierung
- Aufbewahrung
- Zugriffskontrolle
- Umgang mit nicht mehr benötigten
  Arbeitsergebnissen
- sonstige:____________

Vereinbarung über das Recht des
Auftragnehmers, zur Erbringung der
Leistungen Dritte heranzuziehen

Festlegung der Unterauftragsverhältnisse

Genaue Bezeichnung des Speicherungs-
und des Verarbeitungsortes

Bestimmung der Eigentumsverhältnisse
an Soft- und Hardware

Regelungen über „Eigentumsvorbehalte“
des Auftragnehmers an gespeicherten
Daten und maschinellen Ergebnissen bei
Nichterfüllung des Vertrages durch den
Auftraggeber

Bezeichnung der Weisungsberechtigten
beim Auftraggeber

Bezeichnung der Weisungsberechtigten
beim Auftragnehmer

Verantwortung, Art, schriftliche
Bestätigung, Transportkontrolle sowie
Protokollierung für den
Datenträgertransport

Prüfung der Richtigkeit der Ergebnisse
durch den Auftraggeber
                                             11


                                            Erfüllt   Nicht     Nicht        Bemerkungen
                                                      erfüllt   zutreffend

Unterrichtung des Auftraggebers bei
Störungen

Bereitstellung von Testmaterial durch den
Auftraggeber

Information des Auftragnehmers über
Programm- und Verfahrensänderungen

Einwilligung zu Verfahrensänderungen

Festlegung des Umfangs der Verfahrens-
und Programmdokumentation

Nachweis der tatsächlich gespeicherten
Daten

Nachweis der ordnungsgemäßen
Berichtigungs-, Sperrungs- und
Löschungsmöglichkeiten

Festlegung der Aufbewahrungsdauer der
Datenbestände und der Software

Verknüpfung der
Datensicherheitsmaßnahmen des
Auftraggebers mit denen des
Auftragnehmers

Definition der Weisungs- und
Kontrollrechte des Auftraggebers


Recht zur sofortigen Kündigung bei
Nichtbeachtung von Verpflichtungen, evtl.
Vertragsstrafen.

Verpflichtung der Mitarbeiter des
Auftragnehmers auf das Datengeheimnis.
                                              12


Bei      Auftragsdatenverarbeitung      für
öffentliche         Stellen          durch
Auftragsdatenverarbeiter, die nicht dem
DSG LSA unterfallen:
Vertraglich sicherzustellen nach § 8 Abs.
6 Satz 1 DSG LSA:
- Befolgung der Bestimmungen des
    DSG LSA,
- Unterwerfung unter die Kontrolle
    durch den Landesbeauftragten für den
    Datenschutz entsprechend den §§ 22
    bis 24 DSG LSA,
- Bei Erledigung öffentlicher Aufgaben
    Verpflichtung nach dem
    Verpflichtungsgesetz

Bei Auftragsdatenverarbeitung nach § 80
SGB X durch eine nicht-öffentliche Stelle:
- Einräumung der Rechte nach
  § 80 Abs. 2 Satz 4 Nr. 1 bis 3 SGB X.

								
To top