Bekanntmachung von Hinweisen des Innenministeriums (Nummer 31) zum Bundesdatenschutzgesetz für die private Wirtschaft vom 23. Dezember 1992

Az.: 2- 0552.1/6. Die Veröffentlichung erfolgt im Anschluß an die Hinweise Nr. 30 im Staatsanzeiger für Baden-Württemberg Nr. 101 vom 18. Dezember 1991 Seite 7.

  1. Beauftragter für den Datenschutz (§§ 36, 37 BDSG)
    1.1 Bestellung und Abberufung
    1.2 Aufgaben
    1.3 Unterstützung bei der Aufgabenerfüllung
    1.4 Betrieblicher Datenschutzbeauftragter und dezentrale Datenverarbeitung
  2. Verarbeitung oder Nutzung personenbezogener Daten im Auftrag (§ 11 BDSG)
  3. Vernichtung von Datenträgern

1. Beauftragter für den Datenschutz (§§ 36, 37 BDSG)

Bei der Verarbeitung und Nutzung personenbezogener Daten durch nicht-öffentliche Stellen ist die Unternehmensleitung für die Einhaltung der datenschutzrechtlichen Anforderungen des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Sie wird dabei vom betrieblichen Datenschutzbeauftragten als einem Organ der Selbstkontrolle unterstützt und beraten.

1.1 Bestellung und Abberufung

Nach § 36 Abs. 1 BDSG hat jede nicht-öffentliche Stelle, die personenbezogene Daten verarbeitet, die Pflicht, einen betrieblichen Datenschutzbeauftragten schriftlich zu bestellen, wenn sie in der Regel bei automatisierter Datenverarbeitung mindestens 5, bei Verarbeitung auf andere Weise mindestens 20 Arbeitnehmer ständig beschäftigt.

Der Datenschutzbeauftragte ist innerhalb einer Frist von einem Monat nach Aufnahme der Tätigkeit des Unternehmens zu bestellen. Wird der Datenschutzbeauftragte vorsätzlich oder fahrlässig nicht oder nicht rechtzeitig bestellt, so stellt dies eine Ordnungswidrigkeit dar, die mit einer Geldbuße bis zu 50 000 DM geahndet werden.

Als Datenschutzbeauftragter kann ein Mitarbeiter des Unternehmens (interner Datenschutzbeauftragter) oder eine außenstehende Person (externer Datenschutzbeauftragter) bestellt werden.

Voraussetzung für die Bestellung sind Fachkunde und Zuverlässigkeit. Bei der Fachkunde sind insbesondere datenschutzrechtliche, EDV-technische und organisatorische Kenntnisse von Bedeutung.

Nicht zu Datenschutzbeauftragten können von ihrer Funkion her bestellt werden, der Inhaber sowie Mitglieder der Geschäftsleitung und des Vorstands, da sie für die speichernde Stelle verantwortlich sind und sich nicht wirksam selbst kontrollieren können. Zur Vermeidung von Interessenkonflikten sollten auch keine Personen nebenamtlich zu Datenschutzbeauftragten bestellt werden, die von ihrer Stellung im Betrieb her für die Datenverarbeitung verantwortlich sind (Betriebsleiter, Leiter der EDV). Dagegen kommen als Datenschutzbeauftragte beispielsweise Mitarbeiter der Innen- oder EDV-Revision, Rechtsabteilung, Organisation oder der Sicherheitsbeauftragte in Betracht.

Wenn der betriebliche Datenschutzbeauftragte nicht voll, sondern nur nebenamtlich tätig werden soll, sollte bei der Bestellung darauf geachtet werden, daß er die Aufgaben des Datenschutzbeauftragten zeitlich neben seinen sonstigen Aufgaben auch tatsächlich ausüben kann.

Die unabhängige Stelle des Datenschutzbeauftragten kommt darin zum Ausdruck, daß er weisungsfrei tätig wird und wegen seiner Tätigkeit nicht benachteiligt werden darf. Er ist der Unternehmensleitung direkt zu unterstellen.

Eine Abberufung des Datenschutzbeauftragten kann nur auf Verlangen der Aufsichtsbehörde erfolgen oder wenn entsprechend § 626 BGB ein wichtiger Grund vorliegt, aufgrund dessen dem Betriebsinhaber die weitere Ausübung des Amtes durch den Datenschutzbeauftragten unter Berücksichtigung aller Umstände nicht zugemutet werden kann.

1.2 Aufgaben

Der Datenschutzbeauftragte hat darauf hinzuwirken, daß bei der Verarbeitung und Nutzung personenbezogener Daten das Bundesdatenschutzgesetz und andere Vorschriften über den Datenschutz beachtet werden. Der Datenschutzbeauftragte hat insbesondere folgende Aufgaben:

  • Beratung der Geschäftsleitung sowie der einzelnen Organisationseinheiten und Fachbereiche in Fragen des Datenschutzes und der Datensicherheit;
  • Beteiligung an der Entwicklung von Datenverarbeitungsprogrammen und an technischen und organisatorischen Maßnahmen um datenschutzrechtlichen Anforderungen Rechnung zu tragen;
  • Kontrolle der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme (§ 37 Abs. 1 Satz 2 Nr. 1 BDSG) unter Heranziehung der Programmdokumentation und Überwachung der Einhaltung sonstiger datenschutzrechtlicher Anforderungen durch betriebsinterne Prüfungen sowie Berichte hierüber an die Geschäftsleitung;
  • Kontrolle der Einhaltung datenschutzrechtlicher Anforderungen bei der Datenverarbeitung durch Auftragnehmer;
  • Erarbeitung von allgemeinen betriebsinternen Regelungen zu Datenschutz und Datensicherheit (etwa über Speicherdauer, Benachrichtigung der Betroffenen, Auskunftserteilung, Berichtigung, Löschung und Sperrung von Daten sowie Löschungsfristen);
  • Bearbeitung datenschutzrechtlicher Beschwerden von Betroffenen;
  • Mitwirkung bei der Verpflichtung der Mitarbeiter auf das Datengeheimnis und der Meldung zum Datenschutzregister der Aufsichtsbehörde;
  • Durchführung von Schulungen und Informationsveranstaltungen für Mitarbeiter (§ 37 Abs. 1 Satz 2 Nr. 2 BDSG);
  • Mitwirkung bei der Personalauswahl für Arbeitsplätze, an denen personenbezogene Daten verarbeitet oder genutzt werden (§ 37 Abs. 1 Satz 2 Nr. 3 BDSG). Die Mitwirkung bezieht sich sowohl auf Neueinstellungen wie auf interne Umsetzungen und betrifft vom Personenkreis her die Mitarbeiter, die nach § 5 BDSG auf das Datengeheimnis zu verpflichten sind. Die Mitwirkung kann generell in Form von Richtlinien oder konkret durch Beratung im Einzelfall ausgeübt werden, je nachdem, um welchen Personenkreis mit welcher Aufgabenstellung es sich handelt sowie unter Berücksichtigung der Art und Schutzbedürftigkeit der zu verarbeitenden personenbezogenen Daten.
1.3 Unterstützung bei der Aufgabenerfüllung

Die datenverarbeitende Stelle hat nach § 36 Abs. 5 BDSG die Verpflichtung, den Datenschutzbeauftragten bei der Wahrnehmung seiner Aufgaben zu unterstützen, beispielsweise durch die Gewährung von Zutritt, Auskunft und Einsicht sowie durch Entsendung zu Fortbildungsveranstaltungen. Insbesondere ist der Datenschutzbeauftragte durch folgende Maßnahmen zu unterstützen:

  • Rechtzeitige Unterrichtung über laufende und geplante Vorhaben der automatisierten Datenverarbeitung (§ 37 Abs. 1 Satz 2 Nr. 1 BDSG);
  • Zurverfügungstellen von Hilfspersonal sowie Räumen, Einrichtungen, Geräten und Mitteln, soweit dies zur Aufgabenerledigung des Datenschutzbeauftragten erforderlich ist (vor allem bei externen Datenschutzbeauftragten - beispielsweise bei Konzerndatenschutzbeauftragten - ist es wichtig, daß diese im jeweiligen Unternehmen durch geeignete Mitarbeiter unterstützt werden);
  • Die speichernde Stelle hat dem Datenschutzbeauftragten nach § 37 Abs. 2 BDSG eine Übersicht zur Verfügung zu stellen über
    • eingesetzte Datenverarbeitungsanlagen;
    • Bezeichnung und Art der Dateien;
    • Art der gespeicherten Daten;
    • Geschäftszwecke, zu deren Erfüllung die Kenntnis dieser Daten erforderlich ist;
    • deren regelmäßige Empfänger;
    • zugriffsberechtigte Personengruppen oder Personen, die allein zugriffsberechtigt sind.

Die Übersicht soll dem Datenschutzbeauftragten die Wahrnehmung seiner Kontrolltätigkeit erleichtern. Um die Aktualität der Übersicht sicherzustellen, ist es erforderlich, daß alle Unternehmensbereiche, die personenbezogene Daten verarbeiten, Änderungen rechtzeitig mitteilen. Die Übersicht muß dem betrieblichen Datenschutzbeauftragten jederzeit zur Verfügung stehen. Dazu reicht es auch aus, wenn der Datenschutzbeauftragte jederzeit Zugriff auf eine von der speichernden Stelle aktuell - ggf. automatisiert - geführte Übersicht hat, die mindestens die Angaben des § 37 Abs. 2 BDSG enthalten muß.

Die Übersicht ist auch dann zu führen, wenn die Datenverarbeitung vollständig außer Haus im Auftrag durch Dienstleistungsunternehmen erledigt wird. Gerade in diesen Fällen kann nicht auf die Übersicht verzichtet werden, damit die vom Auftraggeber vorzunehmende Kontrolle wirksam ausgeübt werden kann. Dabei kann es sich aus Zweckmäßigkeitsgründen anbieten, mit dem Dienstleistungsunternehmen vertraglich zu vereinbaren, daß die Bereitstellung und laufende Ergänzung der Übersicht durch dieses vorgenommen wird.

In Zweifelsfällen kann sich der Datenschutzbeauftragte zur Unterstützung an die Aufsichtsbehörde wenden, um sich dort Rat und Auskunft einzuholen. Ob er die Geschäftsleitung von der Einschaltung der Aufsichtsbehörde unterrichtet, wird von den jeweiligen Umständen des Einzelfalles abhängen, eine Verpflichtung hierzu besteht nicht.

1.4 Betrieblicher Datenschutzbeauftragter und dezentrale Datenverarbeitung

Nach den Erfahrungen der Aufsichtsbehörde besteht Anlaß, darauf hinzuweisen, daß sich die genannten Aufgaben des betrieblichen Datenschutzbeauftragten auch auf die dezentrale Datenverarbeitung beziehen (z.B. beim Einsatz von Personalcomputern). Bei dezentraler Datenverarbeitung muß die Aufsichtsbehörde immer wieder feststellen, daß die gesetzlichen Anforderungen bezüglich der Datenschutz- und Datensicherungsmaßnahmen nicht im erforderlichen Maß beachtet und eingehalten werden. In die Übersicht nach § 37 Abs. 2 BDSG sind auch die dezentralen Datenverarbeitungsanlagen aufzunehmen.

Die dezentrale Datenverarbeitung erfordert betriebsinterne Regelungen, damit der Datenschutzbeauftragte aktuell und vollständig davon unterrichtet ist, wo im Betrieb welche personenbezogenen Daten auf welchem Gerät verarbeitet werden, welche Datenflüsse bestehen und wer fachlich dafür verantwortlich ist.

[top]


2. Verarbeitung oder Nutzung personenbezogener Daten im Auftrag (§ 11 BDSG)

Werden personenbezogene Daten im Auftrag durch andere Stellen verarbeitet oder genutzt, ist der Auftraggeber weiterhin für die Einhaltung datenschutzrechtlicher Vorschriften verantwortlich (§ 11 Absatz 1 Satz 1 BDSG), insbesondere für die Zulässigkeit der Verarbeitung und Nutzung personenbezogener Daten, die Wahrung der Rechte der Betroffenen, sowie die Einhaltung der nach § 9 BDSG erforderlichen Datensicherungsmaßnahmen.

2.1

Um eine ordnungsgemäße Verarbeitung und Nutzung der Daten zu gewährleisten, ist der Auftraggeber verpflichtet, folgendes zu berücksichtigen:

Der Auftragnehmer muß sorgfältig ausgewählt werden. Wichtiges Auswahlkriterium ist das Datensicherungskonzept des Auftragnehmers. Ein solches schriftlich festgelegten Datensicherungskonzept erleichtert dem Auftraggeber auch den Vergleich und die Entscheidung zwischen mehreren Anbietern. Die Umsetzung dieses Konzeptes sollte, z.B. durch den Datenschutzbeauftragten des Auftraggebers, vor Ort in Augenschein genommen werden (vgl. § 37 Abs. 1 Satz 2 Nr. 1 BDSG). Dazu gehört auch die Überprüfung, ob der Auftragnehmer seiner Meldepflicht bei der Aufsichtsbehörde nach § 32 Absatz 1 Nr. 3 BDSG nachgekommen ist. Dies kann durch Einsicht in die Unterlagen des meldepflichtigen Dienstleistungsunternehmens oder durch Anfrage bei der zuständigen Aufsichtsbehörde geschehen (vgl. auch Hinweis Nr. 8 im Staatsanzeiger vom 6. Oktober 1979 unter Nr. 4). Die Eintragung im Register besagt jedoch noch nichts über die Eignung des Auftragnehmers.

2.2

Der Auftrag ist schriftlich zu erteilen, wobei zwingend festzulegen sind:

  • die Art und der Umfang der Datenverarbeitung oder -nutzung;
  • die vom Auftragnehmer einzuhaltenden technischen und organisatorischen Datensicherungsmaßnahmen;
  • ob und unter welchen Voraussetzungen es zulässig ist, Subunternehmen heranzuziehen (§ 11 Abs. 2 Satz 2 BDSG).

Dabei ist insbesondere verantwortlich zu regeln:

  • die Zuordnung der Auftragsarbeiten zu den verfügbaren DV-Verfahren und den vom Auftragnehmer veralteten Datenbeständen nach Art und Umfang;
  • Beschreibung der organisatorischen, räumlichen und personellen Maßnahmen zur Abgrenzung der Datenverarbeitung an anderen Unternehmensbereichen;
  • die Verpflichtung der Mitarbeiter des Auftragnehmers zur Wahrung des Datengeheimnisses gemäß § 5 BDSG;
  • Zeitpunkt, Ort und Berechtigung/Verpflichtung zur Anlieferung bzw. Abholung der Datenträger (Daten, Programme, vorgenommene Auswertungen bzw. Arbeitsergebnisse);
  • Transport-/Versendungs-/Aufbewahrungsformen von Datenträgern;
  • Art und Dauer der Aufbewahrung der Datenträger beim Auftragnehmer (auch für den Fall der Beendigung des Auftragsverhältnisses);
  • Zeitpunkt und Art der Vernichtung manueller Datenträger und von Ausschuß- oder Testmaterial;
  • Maßnahmen bei Verlust oder Beschädigung von Datenträgern;
  • Zeitpunkt und Maßnahmen zur Löschung von Ein-/Ausgabedateien beim Auftragnehmer;
  • Kontrollrechte des Auftraggebers;
  • beiderseits durchzuführende Kontrollen der Verfahren;
  • Festlegung der Verfügungsberechtigungen;
  • Verpflichtung des Auftragnehmers, die für die Übersicht nach § 37 Abs. 2 BDSG notwendigen Angaben zu machen;
  • Zulässigkeit der Beauftragung von Subunternehmen und Verpflichtung des Auftragnehmers, die Verfügungsberechtigung und das Kontrollrecht des Auftraggebers auch gegenüber dem Subunternehmen vertraglich abzusichern.
2.3

Der Auftraggeber muß die Einhaltung der an den Auftragnehmer erteilten Weisungen überprüfen, um zu gewährleisten, daß die Verarbeitung und Nutzung der Daten durch den Auftragnehmer nur entsprechend seinen Weisungen erfolgt. Kein Auftraggeber darf sich mit der bloßen Erklärung des Auftragnehmers zufrieden geben, daß dieser die Vorschriften des Bundesdatenschutzgesetzes beachten werde. Um diese Überprüfung durchführen zu können, bedarf es der Einräumung einer Kontrollbefugnis für Beauftragte des Auftraggebers in den Betriebs- oder Geschäftsräumen des Auftragnehmers (z.B. für den Datenschutzbeauftragten des Auftraggebers). Dieses Kontrollrecht kann jedoch nur wirksam ausgeübt werden, wenn in der dem Datenschutzbeauftragten zur Verfügung zu stellenden Übersicht gemäß § 37 Abs. 2 BDSG auch die beim Auftragnehmer verarbeiteten Daten berücksichtigt sind.

2.4

Bei aufsichtsrechtlichen Überprüfungen von Dienstleistungsunternehmen, die im Auftrag personenbezogene Daten geschäftsmäßig verarbeiten oder nutzen, hat die Aufsichtsbehörde festgestellt, daß bisher ganz überwiegend keine oder keine ausreichenden schriftlichen Weisungen des Auftraggeber erteilt worden sind. Außerdem wurden vom Auftraggeber meist keinerlei Kontrollen der Datenverarbeitung beim Auftragnehmer durchgeführt. Mangels vorhandener schriftlicher Weisungen kann auch die Aufsichtsbehörde nicht überprüfen, ob die Datenverarbeitung oder - nutzung auftragsgemäß erfolgt ist.

2.5

Da der Auftragnehmer seine Leistungen nach Maßgabe der bei ihm verfügbaren Einrichtungen anbietet und regelmäßig auf einheitliche Verfahren in seinem Unternehmen angewiesen ist, hat auch der Auftragnehmer ein Interesse an schriftlichen vertraglichen Regelungen. Auch unter haftungsrechtlichen Gesichtspunkten empfiehlt es sich für den Auftragnehmer, die technischen und organisatorischen Vorgaben der Datenverarbeitung schriftlich festzulegen. Dies kann in Form eines Rahmenvertrages oder allgemeiner Geschäftsbedingungen des Auftragnehmers geschehen. Solche generellen Regelungen müssen dann noch durch Zusatzvereinbarungen dem konkreten Einzelfall angepaßt werden.

Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten oder nutzen. Er hat den Auftraggeber jedoch unverzüglich darauf hinzuweisen, wenn er der Ansicht ist, daß eine Weisung gegen datenschutzrechtliche Vorschriften verstößt (§ 11 Absatz 3 BDSG).

[top]


3. Vernichtung von Datenträgern
3.1

Nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten verarbeiten, sind nach § 9 BDSG verpflichtet, die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um eine den Anforderungen des Bundesdatenschutzgesetzes entsprechende Datenverarbeitung zu gewährleisten. Dies gilt auch für das Löschen, d.h. das Unkenntlichmachen personenbezogener Daten (§§ 3 Abs. 5, Nr. 5, 35 Abs. 2 BDSG), soweit die Daten geschäftsmäßig oder für berufliche oder gewerbliche Zwecke in Dateien gespeichert oder offensichtlich aus Dateien entnommen und in Akten gespeichert worden sind (§ 27 Abs. 2 BDSG).

Die Löschung erfolgt häufig durch Vernichtung von Datenträgern. Welche Maßnahmen dabei erforderlich sind, kann nicht allgemein, sondern nur für den jeweiligen Einzelfall festgelegt werden. Erforderlich sind die Maßnahmen, deren Aufwand in einem angemessenen Verhältnis zur Schutzbedürftigkeit der Daten stehen (§ 9 Abs. 1 Satz 2 BDSG).

Ob eine Maßnahme als verhältnismäßig in diesem Sinne anzusehen ist, kann nur anhand der konkreten Umstände des Einzelfalles entschieden werden. Dabei ist zwischen dem vom Gesetz verlangten Schutz der Daten und dem durch die Maßnahme verursachten Aufwand abzuwägen. Als Entscheidungshilfe bei der Angemessenheitsprüfung können neben der Art der Daten und ihrer Schutzbedürftigkeit auch die Menge der verarbeiteten Daten sowie die Art der eingesetzten Verfahren dienen. Personenbezogene Daten, die z.B. dem Personalgeheimnis, Bankgeheimnis, Steuergeheimnis oder einem Berufsgeheimnis unterliegen, erfordern stärkere Datensicherungsmaßnahmen.

Daraus ergibt sich, daß die Anforderungen an technische und organisatorische Maßnahmen bei der Vernichtung von Datenträgern um so höher sein müssen, je höher die Sensibilität der Daten ist.

Dabei können die Festlegungen zur Informationsträgervernichtung bei unterschiedlichen Sicherheitsstufen in der DIN-Norm 32 757 Teil I und II vom Oktober 1985 als Anhaltswerte herangezogen werden. Die DIN-Norm ist zu beziehen über: Beuth-Verlag GmbH, Burggrafenstr. 6, 1000 Berlin 30.

3.2

Die datenverarbeitende Stelle trägt die Verantwortung für die Einhaltung der Datenschutzanforderungen bis zum Abschluß der Vernichtung der Datenträger mit personenbezogenen Daten. Wenn die datenverarbeitende Stelle die Datenträger selbst vernichtet, empfiehlt es sich, insbesondere folgende technische und organisatorische Regelungen zu treffen,

  • wie die Datenträger mit Personenbezug hinsichtlich ihrer unterschiedlichen Schutzbedürftigkeit einzustufen und von den Mitarbeitern zu deklarieren sind;
  • wie die Datenträger zum Zwecke der Vernichtung eingesammelt, transportiert und aufbewahrt werden (dabei sollte sichergestellt werden, daß unbefugte Personen möglichst keine Kenntnis von den Daten bzw. Zugriff auf die Datenträger erlangen können, etwa durch Aufbewahrung in verschlossenen Räumen oder Containern);
  • wer für den Transport, die Lagerung und die Vernichtung zuständig ist;
  • auf welche Weise Datenträger mit personenbezogenen Daten zu vernichten sind (dabei empfiehlt e sich, nur nach der Schutzbedürftigkeit der Daten zu differenzieren, nicht aber danach, ob es sich um Datenträger handelt, die den Vorschriften des Bundesdatenschutzgesetzes unterfallen oder um sonstige Datenträger. Eine solche Unterscheidung läßt sich in der Praxis nur schwer treffen. Auch sonstige Datenträger mit personenbezogenen Daten sollten wegen des Schutzes des allgemeinen Persönlichkeitsrechts der Betroffenen sowie aus geschäftlichen Geheimhaltungsgründen möglichst unter Beachtung der Vorschriften des Bundesdatenschutzgesetzes vernichtet werden);
  • wie der gesamte Ablauf der Sammlung, Aufbewahrung und der ordnungsgemäßen Durchführung der Vernichtung der Datenträger kontrolliert (etwa Stichprobenkontrollen durch den betrieblichen Datenschutzbeauftragten) und protokolliert wird.
3.3

Die datenverarbeitende Stelle trägt auch dann die Verantwortung für die Einhaltung der Datenschutzanforderungen bis zum Abschluß der Vernichtung de Datenträger mit personenbezogenen Daten, wenn sie ein Dienstleistungsunternehmen mit der Vernichtung der Datenträger beauftragt (§§ 9, 11 BDSG).

Der Auftraggeber hat den Auftragnehmer unter Berücksichtigung seiner Eignung und der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftraggeber muß sich deshalb anhand geeigneter Unterlagen oder ggf. vor Ort davon überzeugen, daß der Auftragnehmer auch tatsächlich in der Lage ist, die datenschutzgerechte Entsorgung vorzunehmen. Dabei sollte er neben der gerätemäßigen und räumlichen Ausstattung des Auftragnehmers auch darauf achten, ob dieser über zuverlässiges und auf das Datengeheimnis verpflichtetes Personal verfügt.

Der Auftraggeber sollte sich auch nachweisen lassen, daß der Auftragnehmer im Datenschutzregister der Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich eingetragen ist. Dies besagt allerdings noch nichts über die Eignung, sondern bringt nur zum Ausdruck, daß das Dienstleistungsunternehmen seiner Meldepflicht nach § 32 Abs. 1 Nr. 3 BDSG nachgekommen ist.

Das Bundesdatenschutzgesetz verlangt zwingen, daß der Auftrag schriftlich zu erteilen ist und dabei die Einzelheiten des Auftrags sowie die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen sind. Der Auftraggeber hat darüber hinaus auch die Pflicht, die ordnungsgemäße Durchführung der Vernichtung der Datenträger zu überprüfen. Bei der Vernichtung von Datenträgern mit personenbezogenen Daten sollte der Auftraggeber im Vertrag mit dem Auftragnehmer insbesondere regeln, um welche Art von Datenträgern und Daten es sich handelt (z.B. Rechnungen, Personalunterlagen) und wie die Schutzbedürftigkeit der Daten einzustufen ist;

  • auf welche Weise die Vernichtung unter Berücksichtigung der Schutzbedürftigkeit der Daten zu erfolgen hat (bei Datenträgern in Papierform ist in jedem Fall die Papierstreifenbreite bzw. Partikelgröße der Vernichtung zu vereinbaren; bei der Löschung und Entsorgung elektronischer/magnetischer Speichermedien sind die näheren Einzelheiten festzulegen);
  • wo die Vernichtung durchgeführt wird (vor Ort beim Auftraggeber, in der Betriebsstätte des Auftragnehmers oder bei einem Subunternehmer);
  • von wem die Datenträger abgeholt werden (Auftragnehmer oder beauftragte Speditionsfirma) und auf welche Weise sie transportiert werden (z.B. in verschlossenen Behältnissen);
  • wie die Datenträger bis zur Vernichtung aufzubewahren sind (etwa in verschlossenen Räumen oder Containern) und wann sie zu vernichten sind (am Tag der Abholung oder innerhalb welchen Zeitraums);
  • daß die Verfügungsbefugnis des Auftraggebers bis zum Abschluß der Vernichtung weiterbesteht;
  • ob und welche Unterauftragnehmer der Auftragnehmer zur Erfüllung seiner Vertragspflichten einschalten darf und die Verpflichtung, im Vertrag zwischen dem Auftragnehmer und Subunternehmern sicherzustellen, daß sich diese der Kontrolle des Auftraggebers und des Auftragnehmers unterwerfen;
  • daß der Auftraggeber berechtigt ist, den Transport, die Aufbewahrung und die Vernichtung der Datenträger vor Ort zu überwachen (bei wiederholter oder ständiger Überlassung von Vernichtungsgut genügt es, wenn eine solche Überwachung stichprobenweise erfolgt);
  • daß der Auftragnehmer zur Abgabe einer schriftlichen Vernichtungsbescheinigung verpflichtet ist, aus der sich ergibt, wann welche Unterlagen auf welche Weise vernichtet worden sind.
3.4

Neben dem Auftraggeber ist auch das beauftragte Dienstleistungsunternehmen selbst verpflichtet, die datenschutzrechtlichen Anforderungen bei der Vernichtung von Datenträgern mit personenbezogenen Daten einzuhalten (§ 9 Satz 1 BDSG).

Auch für das beauftragte Dienstleistungsunternehmen gelten die Ausführungen oben in Nr. 3.1, vor allem der Hinweis auf die DIN-Norm 32757.

Der Auftragnehmer muß insbesondere folgende Punkte beachten:

  • Er darf nur aufgrund eines schriftlichen Auftrags tätig werden, der mindestens die zuvor unter Nr. 3.3 genannten Festlegungen enthält.
  • Er darf den Transport, die Aufbewahrung und die Vernichtung der Datenträger nur entsprechend den Weisungen des Auftraggebers durchführen (§ 11 Abs. 3 Satz 1, Nr. 8 der Anlage zu § 9 Satz 1 BDSG).
  • Er muß zuverlässiges Personal einsetzen und dafür sorgen, daß seine Mitarbeiter auf das Datengeheimnis verpflichtet werden und dieses einhalten.
  • Er hat sich vertraglich der Kontrolle des Auftraggebers zu unterwerfen.
  • Er darf Unterauftragsverhältnisse nur eingehen, soweit der Auftraggeber dies vertraglich zugelassen hat.
  • Er ist verantwortlich dafür, daß Subunternehmer die notwendigen rechtlichen und organisatorischen Maßnahmen treffen und sich vertraglich der Kontrolle des Auftraggebers und des Auftragnehmers unterwerfen.

Beim Auftragnehmer müssen die technischen und organisatorischen Voraussetzungen für eine datenschutzgerechte Entsorgung der Datenträger vorliegen. Wie oben in Nr. 3.1 näher ausgeführt, verpflichtet § 9 BDSG auch den Auftragnehmer, die erforderlichen technischen und organisatorischen Maßnahmen zu treffen. Bei automatisierten Verfahren sind dabei die Anforderungen der Anlage zu § 9 BDSG zu beachten.

Personenbezogene Daten auf Datenträgern sind bis zu ihrer endgültigen Vernichtung unter Aufsicht bzw. Verschluß zu verwahren; dies gilt sowohl für stationäre als auch für mobile Datenträgervernichtung. Die Datenträgervernichtungsunternehmen haben im wesentlichen die nachstehenden Datensicherungsmaßnahmen zu beachten:

a) Zugangskontrolle

Festlegung von Sicherheitszonen und befugter Personen;

ausreichende Maßnahmen der Außen-/Innensicherung des Gebäudes und Betriebsgeländes innerhalb und außerhalb der Arbeitszeit (etwa durch bauliche Schutzmaßnahmen wie den Einbau von Türsicherungen, durch eindeutige Schlüsselregelungen sowie durch Alarmanlage oder Werkschutz);

Anwesenheitsaufzeichnungen für Personal und Zugangsregelungen für Betriebsfremde;

Einrichtung von getrennten Bereichen für die Datenträgervernichtung gegenüber der übrigen Papier- oder Altmaterialverwertung oder sonstigen Geschäftszweigen.

b) Transportkontrolle

Beschreibung der Transportwege und -ziele (schriftliche Festlegung, Anweisungen an Personal, Weg/Zeitkontrolle);

Festlegung von Transportberechtigungen (Direktabholung, Legitimation der Boten, Subunternehmer, Zwischenlagerung) und von Transportbehältnissen (z.B. verschließbare Metallcontainer) mit entsprechenden Funktionskontrollen.

c) Organisationskontrolle

Festlegung des Betriebsablaufs und der Verantwortlichkeiten in einer schriftlichen Organisations- und Arbeitsanweisung, wenn in dem Betrieb mehrere Mitarbeiter beschäftigt sind;

Festlegung, wie die Einhaltung der Organisations- und Arbeitsanweisung kontrolliert wird;

Aufstellung von "Lieferscheinen" für den Auftraggeber, aus denen sich Art und Menge des vom Auftragnehmer in Empfang genommenen Materials ergeben. Der Auftragnehmer muß sich dabei vom Auftraggeber angeben lassen, um welche Art von Datenträgern und Daten es sich handelt (z.B. Rechnungen, Personalunterlagen), ob diese personenbezogene Daten enthalten und wie deren Schutzbedürftigkeit einzustufen ist. Stichprobenweise Überprüfung der Schutzbedürftigkeit der Daten. Stellt sich dabei etwa heraus, daß als Altpapier deklarierte Unterlagen sensible personenbezogene Daten enthalten, hat der Auftragnehmer den Auftraggeber hierauf hinzuweisen und von ihm ergänzende Weisungen einzuholen (§ 11 Abs. 3 BDSG). Lückenlose Protokollierung des Ablaufs der Vernichtung (Angabe von Zeit und Ort und der verantwortlich handelnden Personen);

Ausstellung von Vernichtungsbescheinigungen für den Auftraggeber;

Kontrolle der Subunternehmer. Mit den Sicherungsmaßnahmen soll insbesondere verhindert werden, daß Unbefugte beim Transport, der Aufbewahrung und der Vernichtung auf personenbezogene Daten zugreifen können.

Akten