Auftragsdatenverarbeitung – Teil III – Auftraggeber

Jetzt möchte ich auf einige Punkte eingehen.
In (1) wird dem Auftraggeber klar aufgegeben, dass er im Bezug des Datenschutzes verantwortlich ist. Dies geht sogar so weit, dass bevor er den Auftrag erteilt, eine Prüfung und Auswahl des Auftragnehmers vornehmen soll.
Diese Vorfeldprüfung sehe ich etwas kritisch. Das mit Auftragserteilung eine Prüfung und dessen Dokumentation erfolgen kann, steht für mich außer Frage. Bei einer Prüfung im Vorfeld muss in meinem Sinne eine Güterabwägung erfolgen. Meine Schutzmaßnahmen im Bezug der Daten ist ein wichtiges Gut und unterliegt natürlich auch einer Geheimhaltung. So ohne weiteres würde ich diese nicht preisgeben. Für mich ist es schwierig ob eine Anfrage vertrauenswürdig ist oder ob es nur eine Anfrage zur Vorratsspeicherung ist. Ich habe lange gerungen und mich jetzt dazu entschlossen, wenn kein Auftrag erteilt wird, eine Aufwandentschädigung zu verlangen. Im Zeitalter der Globalisierung ist die Auftragsvergabe nicht ortsgebunden und Auftraggeber wie Auftragsnehmer können räumlich weit auseinander liegen. Eine Vorortüberprüfung wird sich im Zuge einer langen Zusammenarbeit ergeben. Bei Einzelaufträgen wohl eher eine Anfrage der entsprechenden Dokumente und hier speziell das Verfahrensverzeichnis. Wobei hier das BDSG eine Grenze gesetzt hat, was die Meldepflicht (§4d) und die Bestellung des Datenschutzbeauftragten (§4f) belangt; es müssen mehr wie 9 Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt sein. Kleinstfirmen werden diese Grenze nicht schaffen und sie wissen bestimmt auch nicht die Vorgehensweise. Größere Unternehmen können ohne weiteres die Kommunikation über die Datenschutzbeauftragten laufen lassen, im Bezug zwischen Groß- und Kleinstunternehmen wird dies schon eher schwieriger. Die praktische Erfahrung läuft eher bei dem letztgenannten Beispiel auf Knebelverträgen hinaus.

Bei (2) wird es schon richtig spannend. Die Deutsche Post, die PIN AG und weitere Firmen bieten über das Internet die Leistung an, mittels der personenbezogenen Daten (Anschrift) den Versand vornehmen zu wollen. Damit gelten die Bestimmungen des Auftragnehmers und nicht die eventuellen des Auftraggebers. Denn der Auftraggeber ist laut BDSG gebunden, den Auftrag laut Katalog schriftlich auslösen zu müssen, denn er steht in der Haftung. Wenn da mal was Schief geht, dann stehen beide richtig tief in der ….. . Weiterhin möchte ich mal die Gesichter erleben, wenn ein kleiner Auftraggeber z.B. bei der Deutschen Post AG eine Vorfeldprüfung vornehmen will.

Im nächsten Teil gehe ich auf die einzelnen Punkte ein.

Einen Kommentar schreiben

Du mußt angemeldet sein, um kommentieren zu können.