Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

25. März 2020

DSGVO: Auftragskontrolle in der Praxis

DP+
DSGVO: Auftragskontrolle in der Praxis
Bild: iStock.com / AndreyPopov
0,00 (0)
Auftragsverarbeitung
Für einen Auftragnehmer ist es sinnvoll, selbst tätig zu werden, statt auf Prüfungen durch den Auftraggeber zu warten. Erfahren Sie, wie Sie als Auftragnehmer am besten an die Auftragskontrolle herangehen.

„Auftragskontrolle? Das gibt es doch gar nicht mehr in der Datenschutz-Grundverordnung (DSGVO)!“ So könnte manch Datenschutzbeauftragter (DSB) denken, wenn er diesen Beitrag liest. Das stimmt jedoch nur teilweise.

Auftragskontrolle in der DSGVO

Erfahrene DSB kennen die Auftragskontrolle noch aus dem alten Bundesdatenschutzgesetz. Sie verpflichtete dazu, personenbezogene Daten im Auftrag nur entsprechend den Weisungen des Auftraggebers zu verarbeiten.

In der DSGVO hingegen taucht der Begriff so nicht mehr auf. Hier heißt es aber in den Anforderungen an die Auftragsverarbeitung (AV): Ein Auftragnehmer muss dem Verantwortlichen alle Nachweise dafür zur Verfügung stellen, dass er die Anforderungen an die AV einhält, und ihm Überprüfungen ermöglichen.

Indirekt lässt sich darin die bisherige Auftragskontrolle erkennen.

Was tue ich also als Auftragnehmer, um meinem Auftraggeber zu beweisen, dass ich den Auftrag gemäß seinen Vorgaben durchführe?

Wie eine Auftragskontrolle vorbereiten?

Quellen zur Vorbereitung sind

  • die Inhalte der AV-Vereinbarung (AVV),
  • die vereinbarten technischen und organisatorischen Maßnahmen (TOMs),
  • erteilte Weisungen während der Auftragsdurchführung und
  • die generelle Auftragserbringung.

1. Inhalte der AVV

Die AVV enthält eine Vielzahl vertraglicher Vorgaben, die Auftragnehmer zu erfüllen haben. Nutzen Sie diese Punkte für Ihre spätere Prüfung, z.B.:

  • Haben wir Lösch- oder Korrekturaufträge wie vorgegeben umgesetzt?
  • Ist der damals kommunizierte Datenschutzbeauftragte noch aktiv?
  • Haben wir neue Subunternehmer? Wurden h…
Julian Häcker
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Julian Häcker
Julian Häcker
Julian Häcker, Geschäftsführer der ENSECUR GmbH, löst als Datenschutzberater seit 2010 die Praxisherausforderungen im Datenschutzalltag von Unternehmen. Sein Antrieb: Datenschutz besser machen – damit die Digitalisierung datenschutzkonform gelingt.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.