Die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten wird heute aus organisatorischen und wirtschaftlichen Gründen immer häufiger durch beauftragte Service-Unternehmen durchgeführt. Wichtig ist, dass dabei das Recht der betroffenen Person auf informationelle Selbstbestimmung im gleichen Umfang gewahrt wird, wie es bei einer Direktverarbeitung durch die jeweilige Dienststelle oder Einrichtung der Fall wäre.
In § 29 KDG sind die Anforderungen hierzu genau festgelegt. Folgendes ist dabei zu beachten:
- Der Auftragnehmer ist nicht „Dritter“, sondern intern in die Datenverarbeitung einbezogen (siehe die Definition in § 4 Ziffer 12 KDG).
- Voraussetzung hierfür ist der Abschluss eines Vertrages oder eines anderen Rechtsinstruments, der den Auftragnehmer gegenüber dem Verantwortlichen bindet. Ohne einen solchen Vertag darf die Auftragsverarbeitung nicht beginnen.
- Der Auftragnehmer ist im Hinblick auf die von ihm zu treffenden technischen und organisatorischen Maßnahmen sorgfältig auszusuchen (Absatz 1) und darf weitere Auftragnehmer nur mit Zustimmung des Verantwortlichen einschalten.
- Der Auftragsverarbeiter und seine Mitarbeiter sind zur Vertraulichkeit verpflichtet (Absatz 4 lit. b)) und muss seinerseits die technischen und organisatorischen Maßnahmen nach § 26 KDG treffen, die zum Schutz der Datenbestände erforderlich sind (Absatz 4 lit. c)).
Zur Unterstützung der Verantwortlichen wurde hierzu die Praxishilfe 04 (https://www.kdsa-nord.de/praxishilfen) geschaffen.