198
3.3. Umsetzung der Vorgaben zur Datensicherheit
Wichtiger Punkt sind dabei die Anforderungen an die Datensicherheit, die die verantwortliche Stelle dem Dienstleister vorgeben muss. Der Auftraggeber muss sich weiterhin zu Beginn und dann regelmäßig davon überzeugen, dass diese Datensicherheit in ausreichendem Maß gewährleistet wird. Der Gesetzgeber hat davon Abstand genommen, eine jährliche Überprüfung vorzuschreiben. Letztlich hängt es von der Art der Daten und deren Schutzbedürftigkeit ab, in welchen Zeiträumen eine Prüfung erfolgen soll.Die Prüfung muss dokumentiert werden! Nach der Gesetzesbegründung kann die verantwortliche Stelle die Prüfung selbst durchführen, einen Dritten mit der Prüfung beauftragen oder aber sich vom Dienstleister eine entsprechende Bestätigung erteilen lassen.
Eine praktische Herangehensweise könnte wie folgt aussehen:
Die verantwortliche Stelle gibt dem Dienstleister die Datensicherheitsmaßnahmen vor. Dies kann etwa anhand einer Checkliste erfolgen, die die Mindestvorgaben zur Datensicherheit enthält. Der Dienstleister bestätigt die Einhaltung dieser Maßnahmen. Insbesondere in Fällen, in denen der Dienstleister große Datenbestände für den Auftraggeber verarbeitet, sollte auch eine Überprüfung vor Ort erfolgen. Diese Prüfung muss der Auftraggeber nicht zwingend selbst durchführen. Er kann auch jemanden mit der Prüfung beauftragen. Das Ergebnis der Prüfung ist zu dokumentieren.
In der Praxis dürfte gerade dieser Bereich ein wichtiges Betätigungsfeld für den betrieblichen Datenschutzbeauftragten sein.
ZURÜCK 2. Anforderungen an den Vertrag mit dem Dienstleister
