Auftragsdatenverarbeitung – Teil VI – Auftragnehmer


Wie im letzten Beitrag angesprochen, welche Dokumente muss jeder unabhängig der Mitarbeiteranzahl erarbeiten. Für den §9 gibt es eine eindeutige Anlage und die umfasst folgende Punkte:

• Zutrittskontrolle
Alle Schutzmaßnahmen zur Sicherung der betrieblichen Räume
• Zugangskontrolle
Schutzmaßnahmen der technischen Geräte
• Zugriffskontrolle
Berechtigung der Zugriffe auf die IT
• Weitergabekontrolle
Schutzmaßnahmen zur unberechtigten Weitergabe und Sicherung beim Transport der Daten
• Eingabekontrolle
Im Wesentlichen die Protokollierung und Nachvollziehbarkeit der Eingabe, Änderung und Löschung der Daten
• Auftragskontrolle
Arbeiten entsprechend der Weisungen des Auftraggebers
• Verfügbarkeitskontrolle
Schutz vor Verlust
• Zwecktrennungsgebot
die getrennte Verarbeitung


Diese Zusammenstellung wird auch „Verarbeitungsübersicht“ genannt. Schaut man sich die einzelnen Punkte an, wird man feststellen, dass im Bezug des §11 der ADV in der Vertragsgestaltung Dopplungen auftreten können (z.B. Auftragskontrolle) bzw. die Verantwortung neu geregelt wird. Gerade bei Portallösungen und der neuen Entwicklung der „Wolkenbildung“ wird es komplizierter. Die oben genannten Punkte in dieser Zusammenstellung finde ich auch altbackend. Denn in meinen Augen gehört auch das „Verfahrensverzeichnis“ dazu. Das Verfahrensverzeichnis ist nicht so eindeutig in seiner Gestaltung geklärt. Wie schon in meinen Ausführungen zur Vertragsgestaltung nach §11 und seiner Ausarbeitung, stelle ich mal eine sinnvolle Zusammenstellung beider Verzeichnisse vor.

1. Zutrittskontrolle bleibt erhalten
2. Zugangskontrolle bleibt erhalten
Diese beiden Punkte regeln die räumlichen Schutzmaßnahmen
Die nachfolgenden Punkte regeln den eigentlichen Raum der IT.
3. Netzstruktur
3.1 Darstellung
3.2 Protokolle
3.3 Server
3.4 Rechner am Arbeitsplatz
3.5 Software
3.6 Datensicherung und Datenschutz
4. Nutzerverwaltung
4.1 Administratoren
4.2 Nutzer
4.3 spezielle Nutzer, die von außerhalb auf das Netz zugreifen
5. spezielle Verfahren
Zu diesem Raum gehört auch der nachfoldende Punkt
6. Datenstruktur
6.1 Personenbezogene Daten
6.2 Sensible Daten
6.3 Sperrvermerke
6.4 Löschfristen
Dieser Teil ist nur für den internen Gebrauch bestimmt und dürfte nicht in die ADV einfließen.


Damit müsste sich jeder mit dem Thema Datenschutz und Datensicherheit beschäftigen. Dieser Komplex geht weit über die juristische Sichtweise hinaus und erfordert auch technisches Verständnis. Eine detaillierte Darstellung sprengt natürlich die Kommunikationsform eines Bloges.

Einen Kommentar schreiben

Du mußt angemeldet sein, um kommentieren zu können.