Wenn ein Unternehmen personenbezogene Daten (z. B. die Lohn- und Gehaltsdaten der Mitarbeiter) durch ein fremdes Dienstleistungsunternehmen (Auftragnehmer) verarbeiten lässt, steht der Auftraggeber datenschutzrechtlich weiterhin in der Verantwortung. Ein Auftragnehmer ist daher sehr sorgfältig auszuwählen, besonderes Augenmerk ist auf dessen Sicherheitsvorkehrungen zu legen. Ein entsprechender Auftrag ist schriftlich zu erteilen und muss insbesondere eindeutige Regelungen zu folgenden Teilbereichen enthalten: Art der ausgelagerten Datenerhebung, Datenverarbeitung und Datennutzung, Darstellung der beim Auftragnehmer implementierten technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit sowie die vertragliche Festlegung etwaiger Unterauftragsverhältnisse (Subunternehmer). Ein Auftragnehmer darf die ihm übermittelten Daten nur im Rahmen der vertraglich vereinbarten Weisungen des Auftraggebers verarbeiten bzw. nutzen.

22.05.2009