Auftragsdatenverarbeitung

Die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten wird heute aus organisatorischen und wirtschaftlichen Gründen immer häufiger durch beauftragte Service-Unternehmen durchgeführt. Wichtig ist, dass dabei das Recht der Betroffenen auf informationelle Selbstbestimmung im gleichen Umfang gewahrt wird, wie es bei einer Direktverarbeitung durch die jeweilige Dienststelle oder Einrichtung der Fall wäre.

Mit Erlass der neuen Anordnung über den Kirchlichen Datenschutz (KDO-2014) haben die Diözesanbischöfe daher die Anforderungen für eine datenschutzgerechte Auftragsdatenverarbeitung genau festgelegt. Dabei sind folgende Gesichtspunkte entscheidend:

  • Der Auftraggeber bleibt datenschutzrechtlich verantwortlich!
  • Der Auftragnehmer muss durch einen schriftlichen Auftrag zur Einhaltung datenschutzrechtlicher Regeln verpflichtet werden.
  • Das bei der Durchführung des Auftrags angewandte Verfahren muss schriftlich vereinbart werden, einschließlich der Sicherheitsmaßnahmen.
  • Unterauftragsverhältnisse, Speicherung, Sperrung und Löschung von Daten, einschließlich der Herausgabe an den Auftraggeber müssen von Anfang an geregelt sein.
 
Um die Verwirklichung dieser Anforderungen zu erleichtern, werden hier Mustervereinbarungen angeboten. Sie können an die jeweilige Situation vor Ort angepasst werden. Selbstverständlich ist der Diözesandatenschutzbeauftragte bereit, die Schaffung datenschutzgerechter Lösungen zu begleiten, soweit Probleme mit der Anpassung der Muster bestehen sollten.