Auftragsverarbeitung nach der DS-GVO – Was Sie bei der Auswahl eines Auftragsverarbeiters beachten sollten

Auftragsverarbeiter

Fast jedes Unternehmen setzt Dienstleister ein, die personenbezogene Daten im Auftrag verarbeiten (sog. Auftragsverarbeiter). Sei es zum Beispiel zur Entsorgung von Datenträgern, zur Wartung von Hard- und Software oder zum Versand von Werbemailings.

Wie wir in unseren Beiträgen „Statt Auftragsdatenverarbeitung, zukünftig Auftragsverarbeitung – Welche Änderungen die DS-GVO sonst noch bringt“ sowie „Auftragsverarbeitung gemäß Art. 28 DS-GVO“ erläutert haben, sollte mit Auftragsverarbeitern, unter anderem ein sog. Auftragsverarbeitung-Vertrag, kurz AVV, geschlossen werden.

In diesem Beitrag werden wird uns mit der Frage auseinandersetzen, was öffentliche sowie nicht-öffentliche Stellen bei der Auswahl neuer Auftragsverarbeiter beachten sollten.

Den Verantwortlichen trifft die Auswahlverantwortung

Sofern ein Verantwortlicher einen Auftragsverarbeiter einsetzt, trifft diesen die Auswahlverantwortung. Der Verantwortliche hat nach Art. 28 Abs. 1 DS-GVO in erster Linie die Pflicht zu überprüfen, ob der Auftragsverarbeiter ausreichende technische und organisatorische Maßnahmen ergreift, um den datenschutzrechtlichen Regelungen zu genügen sowie den ausreichenden Schutz betroffener Personen zu gewährleisten.

Im Erwägungsgrund 81 findet sich eine Präzisierung dieser Anforderung:

„Damit die Anforderungen dieser Verordnung in Bezug auf die vom Auftragsverarbeiter im Namen des Verantwortlichen vorzunehmende Verarbeitung eingehalten werden, sollte ein Verantwortlicher, der einen Auftragsverarbeiter mit Verarbeitungstätigkeiten betrauen will, nur Auftragsverarbeiter heranziehen, die – insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen – hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen – auch für die Sicherheit der Verarbeitung – getroffen werden, die den Anforderungen dieser Verordnung genügen.

Die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen.“

Sehr häufig wird leider den datenschutzrechtlichen Kriterien wenig Wert beigemessen oder diese werden sogar ganz außen vor gelassen.  Dies könnte im Nachhinein zu schwerwiegenden Problemen führen, da der Verantwortliche für datenschutzrechtliche Fehlhandlungen des Auftragnehmers in die Verantwortung gezogen werden könnte. Aus diesem Grund werden in den nachfolgenden Punkten Kriterien aufgezeigt, die ebenfalls bei der Auswahl eines Auftragsverarbeiters miteinbezogen werden sollten.

Sitz des Auftragsverarbeiters

Wichtig bei der Auswahl eines neuen Auftragsverarbeiters ist mitunter festzustellen, wo dieser seinen Sitz hat. Grund hierfür sind die besonderen Regelungen der Datenschutzgrund-Verordnung bezüglich des Datentransfers in ein Drittland. Als Drittland zählt ein Land dann, wenn es nicht Mitglied der Europäischen Union (EU) oder des Europäischen Wirtschaftsraum (EWR) ist. Hierzu gehören u.a. Japan, China und die USA. Werden Daten in ein unsicheres Drittland mit niedrigerem Datenschutzniveau übertragen, kann dies schwerwiegende Folgen haben. Unter anderem wird in diesen Ländern die Einsicht in personenbezogene Daten, ohne Zustimmung des Betroffenen, durch unberechtigte Dritte gestattet. Dies kann insbesondere das Vertrauen der Kundschaft senken.

Daher sollten Auftragsverarbeiter mit Sitz innerhalb der EU/EWR präferiert werden. In bestimmten Fällen ist jedoch die Beauftragung eines Auftragsverarbeiters mit Sitz in einem Drittland unerlässlich. Sollte dies der Fall sein, sollte vorab geprüft werden, ob im betreffenden Drittland Garantien bestehen, die einen angemessenes Datenschutzniveau bescheinigen. Hierbei sollte dennoch Vorsicht geboten sein, da der Fortbestand mancher Garantien (z.B. EU-US Privacy Shield in den USA) umstritten ist.

Bei der Auswahl eines Auftragnehmers sollte im Zweifelsfall der Datenschutzbeauftragte oder der Datenschutzberater eingebunden werden. Dieser kann dabei helfen, eine datenschutzkonforme Lösung mit dem Auftragsverarbeiter zu finden.

Mehr Informationen zum internationalen Datentransfer finden Sie in unserem Beitrag: „Datenschutzgrenzen: Internationaler Datentransfer und die EU-Standardvertragsklauseln“

Technische und organisatorische Maßnehmen – ein Indiz für die Datensicherheit

Bei der Auswahl eines Auftragsverarbeiter ist das jeweilige beauftragende Unternehmen (Auftraggeber) dazu angehalten sich zu vergewissern, ob der Auftragnehmer ausreichende technische und organisatorische Maßnahmen implementiert hat, um ausreichende Datensicherheit zu bieten. Hinreichende Indizien können beispielsweise Zertifizierungen sein. Auch könnten Audits beim Dienstleister Vor-Ort sinnvolle Mittel sein.

Kann der Auftraggeber keine ausreichenden technischen und organisatorischen Maßnahmen vorweisen, sollte von dem Einsatz des entsprechenden Dienstleisters abgesehen werden. Bei der Bewertung, ob die aufgeführten technischen und organisatorischen Maßnahmen ausreichend sind, hilft Ihnen Ihr Datenschutzbeauftragter oder Datenschutzberater.

Nähere Informationen zu Zertifizierungen finden Sie in unserem Beitrag: „Zertifikate und Datenschutz-Siegel – Möglichkeiten der Zertifizierung nach Art. 42 DS-GVO“

Vor dem Einsatz eines Dienstleisters sollte unbedingt eine Risikobewertung stattfinden, damit nachvollzogen werden kann, ob dieser ein geeignetes Datenschutzniveau aufweist. Je nachdem welche Daten der Dienstleister verarbeitet, ergeben sich höhere oder niedrigere Anforderungen. Werden beispielsweise Gesundheitsdaten verwendet, ergeben sich erhöhte Anforderungen, da diese Daten hoch sensible Daten darstellen, die nach den gesetzlichen Bestimmungen einen höheren Schutz bedürfen.

Überprüfung der Unterauftragsnehmer

Des Weiteren ist zu ermitteln, ob die vom Dienstleister eingesetzten Unterauftragsnehmer, hinreichend aufgeführt werden. Zu Unterauftragnehmern gehören Unternehmen, die vom Auftragnehmer (Dienstleister) unmittelbar für die Erbringung der Hauptleistung miteinbezogen wurden und dabei einen Zugriff auf die Daten des Auftraggebers erhalten. Darunter fallen keine Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, etc. in Anspruch nimmt. Bei der Aufführung der Unterauftragsnehmer fällt häufig auf, dass dies unzureichend geschieht, da unter anderem der Sitz des Unterauftragsnehmers nicht aufgeführt wird. Dies könnte besonders dann problematisch sein, wenn der Unterauftragnehmer seinen Sitz in einem Drittland hat.

Auftragsverarbeitungsvertrag

Gemäß Art. 28 DS-GVO darf die Verarbeitung von Daten durch einen Dienstleister nur auf Grundlage eines „Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten“ erfolgen. Dabei schreibt die DS-GVO – wie auch schon das BDSG – vor, welche Regelungen getroffen werden sollen.

Bei der Vertragsprüfung sollten vor allem folgende Punkte genau geprüft werden:

  • Gesetzlicher Mindestinhalt enthalten
  • Vollständige und konkrete Aufführung, vor allem zu: Datenkategorien, Kategorie der Betroffenen, Zweck, Art, Gegenstand und Dauer
  • Keine nachteiligen Haftungs- oder Kostenregelungen
  • Vollständige und detaillierte Aufführung der technischen und organisatorischen Maßnahmen
  • Vollständige und detaillierte Aufführung der Unterauftragsnehmer

Fazit

Eine sorgfältige Prüfung des Auftragsverarbeiters sorgt nicht nur für die Einhaltung der gesetzlichen Datenschutzbestimmungen, sondern dient als Präventionsmaßnahme vor datenschutzrechtlichen Risiken. So wird unter anderem mit der ordnungsgemäßen Auswahl, das Risiko einer ungewollten Haftung minimiert. Hilfe bei der Prüfung bietet der Datenschutzbeauftragte sowie der Datenschutzberater.

Haben Sie weitere Fragen zu diesem Thema oder suche Sie datenschutzrechtliche Unterstützung? Brands Consulting hilft Ihnen gerne weiter und steht Ihnen als fachkundiger und zuverlässiger Ansprechpartner zur Seite. Kontaktieren Sie uns und/oder holen Sie sich ein unverbindliches und kostenloses sowie auf Ihre Bedürfnisse abgestimmtes Datenschutz-Angebot bei uns ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.