DSGVO: Auftragskontrolle in der Praxis

„Auftragskontrolle? Das gibt es doch gar nicht mehr in der Datenschutz-Grundverordnung (DSGVO)!“ So könnte manch Datenschutzbeauftragter (DSB) denken, wenn er diesen Beitrag liest. Das stimmt jedoch nur teilweise.

Auftragskontrolle in der DSGVO

Erfahrene DSB kennen die Auftragskontrolle noch aus dem alten Bundesdatenschutzgesetz. Sie verpflichtete dazu, personenbezogene Daten im Auftrag nur entsprechend den Weisungen des Auftraggebers zu verarbeiten.

In der DSGVO hingegen taucht der Begriff so nicht mehr auf. Hier heißt es aber in den Anforderungen an die Auftragsverarbeitung (AV): Ein Auftragnehmer muss dem Verantwortlichen alle Nachweise dafür zur Verfügung stellen, dass er die Anforderungen an die AV einhält, und ihm Überprüfungen ermöglichen.

Indirekt lässt sich darin die bisherige Auftragskontrolle erkennen.

Was tue ich also als Auftragnehmer, um meinem Auftraggeber zu beweisen, dass ich den Auftrag gemäß seinen Vorgaben durchführe?

Wie eine Auftragskontrolle vorbereiten?

Quellen zur Vorbereitung sind

• die Inhalte der AV-Vereinbarung (AVV),
• die vereinbarten technischen und organisatorischen Maßnahmen (TOMs),
• erteilte Weisungen während der Auftragsdurchführung und
• die generelle Auftragserbringung.

1. Inhalte der AVV

Die AVV enthält eine Vielzahl vertraglicher Vorgaben, die Auftragnehmer zu erfüllen haben. Nutzen Sie diese Punkte für Ihre spätere Prüfung, z.B.:

• Haben wir Lösch- oder Korrekturaufträge wie vorgegeben umgesetzt?
• Ist der damals kommunizierte Datenschutzbeauftragte noch aktiv?
• Haben wir neue Subunternehmer? Wurden h…