... zu gewährleisten, dass Sozialdaten, die im Auftrag erhoben, verarbeitet oder genutzt werden, nur entsprechend den Weisungen des Auftraggebers erhoben, verarbeitet oder genutzt werden können (Auftragskontrolle).

Wenn Daten im Auftrag verarbeitet werden, soll sichergestellt sein, dass die hierfür gegebenen Weisungen eingehalten werden. Der Auftraggeber ist gehalten, dafür zu sorgen, dass seine Weisungen klar und eindeutig sind und befolgt werden. In dem Vertrag ist das Weisungsrecht des Auftraggebers hinsichtlich der Erhebung, Verarbeitung und Nutzung festzulegen. Das Weisungsrecht darf kein "Papiertiger" sein. Weisungen sind klar zu formulieren und deren Einhaltung bei dem Auftragnehmer zu überwachen.

(1) Die Mindestinhalte (u.a. Weisungsrechte und Kontrollpflichten bzw. -befugnisse) von Verträgen über die Datenverarbeitung im Auftrag sind nunmehr in § 80 SGB X geregelt (vgl. auch die Kommentierung zu § 80 SGB X):

(2) Außerdem kann u.a. geregelt werden:

• Prüfungsverfahren über die Identitätsprüfung bei Übergabe der Daten an Mitarbeiter des Auftragnehmers,

• Einhaltung des Datengeheimnisses § 5 BDSG),

• Kündigungsmöglichkeiten und Vertragsstrafen.

Die Vertragsvereinbarungen sollten bei entsprechender Komplexität der Verarbeitung und Sensibilität der Daten durch Kontrollen bei dem Auftragnehmer überprüft und durch einen internen Bericht über die angetroffenen Verhältnisse dokumentiert werden. Unter Umständen kann auch eine entsprechende geeignete Zertifizierung des Auftragnehmers durch unabhängige Auditoren ausreichen (vgl. dazu näher die Kommentierung zu § 80 SGB X).