Anlage zum § 9 BDSG (alt)
Die Auftragskontrolle ist eines der sogenannten „acht Gebote“ zum Datenschutz aus der Anlage zum § 9 BDSG (alt). Ansonsten ist die Auftragskontrolle abzuleiten aus Art. 32 DSGVO und damit Bestandteil der vom Verantwortlichen zu treffenden technischen und organisatorischen Maßnahmen zum Datenschutz.
Gegenstand der Auftragskontrolle ist es, zu gewährleisten, dass Verhältnisse der Auftragsverarbeitung gesetzeskonform ausgestaltet und ausgeführt werden. Verantwortlich für die Durchführung der Auftragskontrolle ist der Auftraggeber. Die gesetzlichen Anforderungen an die Auftragsverarbeitung sind in Art. 28 DSGVO genannt. Ihre Missachtung kann für den Auftraggeber eine Ordnungswidrigkeit darstellen, welche mit einem Bußgeld geahndet werden kann. Die Auftragsdatenverarbeitung ist von der Funktionsübertragung strikt abzugrenzen. Auch zwischen konzernzugehörigen Unternehmen kann es Auftragsverarbeitungen im Sinne des Art. 28 DSGVO geben.
Umgesetzt wird die Auftragskontrolle in der Praxis zunächst durch eine besonders sorgfältige Auswahl des Auftragnehmers. Des Weiteren müssen zwischen Auftraggeber und Auftragnehmer stets schriftliche Verträge geschlossen werden, welche sämtliche in Art. 28 DSGVO aufgeführten Regelungsgehalte umfassen müssen.
Die anderen „Gebote“ der Anlage zum § 9 Abs. 1 BDSG (alt) sind:
- Zutrittskontrolle,
- Zugangskontrolle,
- Zugriffskontrolle,
- Weitergabekontrolle
- Eingabekontrolle,
- Verfügbarkeitskontrolle und
- Zweckbestimmung (Trennungsgebot).