Kontrolle von Auftragsverarbeitern

Letztes Update:
07
.
12
.
2022
Lesezeit:
0
Min
Viele Unternehmen setzen im Unternehmensalltag auf, zum Teil sogar mehrere, Auftragsverarbeiter. Diese sollten regelmäßig kontrolliert werden, um sicherzustellen, dass ein hinreichendes Datenschutz-Niveau durch die Auftragsverarbeiter gewährleistet wird. Wir zeigen auf, welche Punkte bei der Kontrolle von Auftragsverarbeitern beachtet werden müssen. 
Kontrolle von Auftragsverarbeitern
Die wichtigsten Erkenntnisse
  • Unternehmen müssen Auftragsverarbeiter regelmäßig kontrollieren, um Datenschutz sicherzustellen.
  • Auftraggeber bleibt verantwortlich für Datenschutz, auch bei ausgelagerter Datenverarbeitung.
  • Vor Beauftragung: Prüfung der technischen und organisatorischen Maßnahmen des Auftragsverarbeiters.
  • Regelmäßige Kontrollen: Zertifikate, Fragebögen, vor-Ort-Kontrollen durch fachkundige Stellen.
  • Kontrolle auch auf eingesetzte Unterauftragnehmer ausweiten und dokumentieren.

Viele Unternehmen setzen im Unternehmensalltag auf, zum Teil sogar mehrere, Auftragsverarbeiter. Unternehmen, die Auftragsverarbeiter einsetzen, sollten diese regelmäßig kontrollieren und sicherstellen, dass ein hinreichendes Datenschutz-Niveau durch die Auftragsverarbeiter gewährleistet wird. Denn als Auftraggeber bleibt ein Unternehmen verantwortlich für die Datenverarbeitung, auch wenn diese an einen Dienstleister ausgelagert wird. Wir zeigen auf, welche Punkte bei der Kontrolle von Auftragsverarbeitern beachtet werden müssen. 

Einsatz von Auftragsverarbeitern

Fast jedes Unternehmen setzt Auftragsverarbeiter ein, die eine Verarbeitung personenbezogener Daten im Auftrag ausführen. Darunter fallen zum Beispiel Hosting-Dienstleister, SaaS-Anbieter (z. B. für CRM- oder Personalsysteme), Aktenvernichter oder Marketing-Agenturen. In diesen Fällen ist ein Vertrag zur Auftragsverarbeitung abzuschließen, der die Anforderungen des Art. 28 DSGVO erfüllt. Der Auftraggeber bleibt als „Verantwortlicher“ auch bei der Auslagerung einer Datenverarbeitung an einen Auftragsverarbeiter verantwortlich für die Datenverarbeitung und den hinreichenden Schutz der personenbezogenen Daten.  
Aus diesem Grund gehört das Kontrollrecht des Auftraggebers auch zu den Pflichtinhalten eines Auftragsverarbeitungsvertrags. Vor einer Kontrolle des Auftragsverarbeiters lohnt in der Regel ein Blick in den abgeschlossenen Auftragsverarbeitungsvertrag, in dem gegebenenfalls Einzelheiten zu den Kontrollen vereinbart wurden. 

Initiale Prüfung vor Beauftragung 

Der Auftraggeber steht dafür ein, dass der Auftragsverarbeiter „geeignet“ ist. Das bedeutet konkret, dass er geeignete technische und organisatorische Maßnahmen trifft, um den Anforderungen der DSGVO zu genügen und den Schutz der Rechte der betroffenen Personen zu gewährleisten. Deshalb ist es wichtig, bereits vor Beauftragung den Auftragsverarbeiter hinsichtlich seiner Geeignetheit zu prüfen. Dazu gehört neben der Überprüfung des abzuschließenden Auftragsverarbeitungsvertrags, insbesondere eine Prüfung der vom Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen zum Datenschutz. Auch sollten Aspekte einbezogen werden, wie beispielsweise, ob der Auftragsverarbeiter Erfahrung mit der zu beauftragenden Tätigkeit aufweisen kann oder ob bereits Datenschutzverletzungen oder sonstige Vorfälle beim Auftragsverarbeiter vorgekommen sind. 
Bei der Prüfung sollte gegebenenfalls der Datenschutzbeauftragte des Auftraggebers einbezogen werden. Das Ergebnis sollte dokumentiert werden und der Auftragsverarbeiter nur dann eingesetzt werden, wenn seine Geeignetheit festgestellt wurde. 

Wie kann eine Kontrolle von Auftragsverarbeiter durchgeführt werden?

Nach der initialen Prüfung eines Auftragsverarbeiters sollte dieser regelmäßig kontrolliert werden. Eine Kontrolle der Auftragsverarbeiter kann in unterschiedlicher Weise erfolgen:

  • indem der Auftragsverarbeiter Nachweise über die Einhaltung der datenschutzrechtlichen Anforderungen vorlegt (zum Beispiel Zertifikate, Bericht eines unabhängigen Prüfers, aktuelles Sicherheitskonzept), 
  • indem ein Fragebogen des Auftraggebers beantwortet wird (dieser kann zum Beispiel Fragen zur internen Datenschutzorganisation, zu technischen und organisatorischen Maßnahmen in Bezug auf die beauftragte Datenverarbeitung oder zu Unterauftragnehmern enthalten), 
  • indem eine vor-Ort-Kontrolle der Räumlichkeiten beziehungsweise der Datenverarbeitungsanlagen vorgenommen wird.  

Die Kontrollen sollten von einer fachkundigen und unabhängigen Stelle durchgeführt werden, wie durch den Datenschutzbeauftragten des Auftraggebers. Kontrollen und deren Ergebnisse sollten stets dokumentiert werden und der Auftragsverarbeiter erforderlichenfalls zur Nachbesserung aufgefordert werden. Sollte festgestellt werden, dass der Auftragsverarbeiter den datenschutzrechtlichen Anforderungen nicht genügen kann, sollte der Auftraggeber von einer weiteren Beauftragung absehen. 
Auftraggeber sollten für Kontrollen ihrer Auftragsverarbeiter einen klaren Prozess definieren, der insbesondere auch die Regelmäßigkeit von Kontrollen (beispielsweise einmal pro Jahr) sicherstellt.

Unterauftragnehmer beachten

Häufig setzen Auftragnehmer weitere Unterauftragnehmer ein, wodurch die Datenflüsse für den Auftraggeber schnell unübersichtlich werden können. Damit das nicht passiert, sollte nicht nur zu Beginn der Beauftragung genau geprüft werden, welche Unterauftragnehmer eingesetzt werden und welche datenschutzrechtlichen Vereinbarungen mit ihnen getroffen wurden, sondern auch im Rahmen der regelmäßigen Kontrollen. Der Auftragsverarbeiter muss den Auftraggeber vor Hinzuziehung eines neuen Unterauftragnehmers beziehungsweise beim Wechsel eines Unterauftragnehmers vorab um Genehmigung fragen oder zumindest eine Widerspruchsmöglichkeit einräumen – je nach Vereinbarung im Auftragsverarbeitungsvertrag. Ob dies auch zuverlässig erfolgt, sollte im Zuge einer Kontrolle hinterfragt werden. 

Kontrollen nicht vernachlässigen

Nicht selten passiert es, dass ein Datenschutzverstoß des Auftragsverarbeiters auf den Auftraggeber zurückfällt und sich der Auftraggeber zum Beispiel im Zuge aufsichtsbehördlicher Nachforschungen für die Auswahl des Auftragsverarbeiters rechtfertigen muss. In einem solchen Fall ist es oftmals hilfreich, die initiale Prüfung des Auftragsverarbeiters sowie regelmäßige Kontrollen nachweisen zu können. Auch helfen regelmäßige Überprüfungen dabei, mögliche Schwachstellen beim Auftragsverarbeiter rechtzeitig zu erkennen und Gegenmaßnahmen ergreifen zu können. Auftraggeber sollten schon aus diesen Gründen die Kontrolle ihrer Auftragsverarbeiter nicht vernachlässigen und entsprechende Prozesse schaffen sowie notwendige Ressourcen und Know-How bereitstellen können. 

Die Zusammenarbeit mit Auftragsverarbeitern ist selten vermeidbar und bringt in der Regel viele Vorteile mit sich. Doch damit die positiven Faktoren überwiegen, sollten Unternehmen die Kontrolle von Auftragsverarbeitern nicht auf die leichte Schulter nehmen. Gerne beraten wir Sie bei Fragen zu diesem Thema.
 

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!