Kontrolle von Auftragsverarbeitern
- Unternehmen müssen Auftragsverarbeiter regelmäßig kontrollieren, um Datenschutz sicherzustellen.
- Auftraggeber bleibt verantwortlich für Datenschutz, auch bei ausgelagerter Datenverarbeitung.
- Vor Beauftragung: Prüfung der technischen und organisatorischen Maßnahmen des Auftragsverarbeiters.
- Regelmäßige Kontrollen: Zertifikate, Fragebögen, vor-Ort-Kontrollen durch fachkundige Stellen.
- Kontrolle auch auf eingesetzte Unterauftragnehmer ausweiten und dokumentieren.
- Item A
- Item B
- Item C
Viele Unternehmen setzen im Unternehmensalltag auf, zum Teil sogar mehrere, Auftragsverarbeiter. Unternehmen, die Auftragsverarbeiter einsetzen, sollten diese regelmäßig kontrollieren und sicherstellen, dass ein hinreichendes Datenschutz-Niveau durch die Auftragsverarbeiter gewährleistet wird. Denn als Auftraggeber bleibt ein Unternehmen verantwortlich für die Datenverarbeitung, auch wenn diese an einen Dienstleister ausgelagert wird. Wir zeigen auf, welche Punkte bei der Kontrolle von Auftragsverarbeitern beachtet werden müssen.
Einsatz von Auftragsverarbeitern
Fast jedes Unternehmen setzt Auftragsverarbeiter ein, die eine Verarbeitung personenbezogener Daten im Auftrag ausführen. Darunter fallen zum Beispiel Hosting-Dienstleister, SaaS-Anbieter (z. B. für CRM- oder Personalsysteme), Aktenvernichter oder Marketing-Agenturen. In diesen Fällen ist ein Vertrag zur Auftragsverarbeitung abzuschließen, der die Anforderungen des Art. 28 DSGVO erfüllt. Der Auftraggeber bleibt als „Verantwortlicher“ auch bei der Auslagerung einer Datenverarbeitung an einen Auftragsverarbeiter verantwortlich für die Datenverarbeitung und den hinreichenden Schutz der personenbezogenen Daten.
Aus diesem Grund gehört das Kontrollrecht des Auftraggebers auch zu den Pflichtinhalten eines Auftragsverarbeitungsvertrags. Vor einer Kontrolle des Auftragsverarbeiters lohnt in der Regel ein Blick in den abgeschlossenen Auftragsverarbeitungsvertrag, in dem gegebenenfalls Einzelheiten zu den Kontrollen vereinbart wurden.
Initiale Prüfung vor Beauftragung
Der Auftraggeber steht dafür ein, dass der Auftragsverarbeiter „geeignet“ ist. Das bedeutet konkret, dass er geeignete technische und organisatorische Maßnahmen trifft, um den Anforderungen der DSGVO zu genügen und den Schutz der Rechte der betroffenen Personen zu gewährleisten. Deshalb ist es wichtig, bereits vor Beauftragung den Auftragsverarbeiter hinsichtlich seiner Geeignetheit zu prüfen. Dazu gehört neben der Überprüfung des abzuschließenden Auftragsverarbeitungsvertrags, insbesondere eine Prüfung der vom Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen zum Datenschutz. Auch sollten Aspekte einbezogen werden, wie beispielsweise, ob der Auftragsverarbeiter Erfahrung mit der zu beauftragenden Tätigkeit aufweisen kann oder ob bereits Datenschutzverletzungen oder sonstige Vorfälle beim Auftragsverarbeiter vorgekommen sind.
Bei der Prüfung sollte gegebenenfalls der Datenschutzbeauftragte des Auftraggebers einbezogen werden. Das Ergebnis sollte dokumentiert werden und der Auftragsverarbeiter nur dann eingesetzt werden, wenn seine Geeignetheit festgestellt wurde.
Wie kann eine Kontrolle von Auftragsverarbeiter durchgeführt werden?
Nach der initialen Prüfung eines Auftragsverarbeiters sollte dieser regelmäßig kontrolliert werden. Eine Kontrolle der Auftragsverarbeiter kann in unterschiedlicher Weise erfolgen:
- indem der Auftragsverarbeiter Nachweise über die Einhaltung der datenschutzrechtlichen Anforderungen vorlegt (zum Beispiel Zertifikate, Bericht eines unabhängigen Prüfers, aktuelles Sicherheitskonzept),
- indem ein Fragebogen des Auftraggebers beantwortet wird (dieser kann zum Beispiel Fragen zur internen Datenschutzorganisation, zu technischen und organisatorischen Maßnahmen in Bezug auf die beauftragte Datenverarbeitung oder zu Unterauftragnehmern enthalten),
- indem eine vor-Ort-Kontrolle der Räumlichkeiten beziehungsweise der Datenverarbeitungsanlagen vorgenommen wird.
Die Kontrollen sollten von einer fachkundigen und unabhängigen Stelle durchgeführt werden, wie durch den Datenschutzbeauftragten des Auftraggebers. Kontrollen und deren Ergebnisse sollten stets dokumentiert werden und der Auftragsverarbeiter erforderlichenfalls zur Nachbesserung aufgefordert werden. Sollte festgestellt werden, dass der Auftragsverarbeiter den datenschutzrechtlichen Anforderungen nicht genügen kann, sollte der Auftraggeber von einer weiteren Beauftragung absehen.
Auftraggeber sollten für Kontrollen ihrer Auftragsverarbeiter einen klaren Prozess definieren, der insbesondere auch die Regelmäßigkeit von Kontrollen (beispielsweise einmal pro Jahr) sicherstellt.
Unterauftragnehmer beachten
Häufig setzen Auftragnehmer weitere Unterauftragnehmer ein, wodurch die Datenflüsse für den Auftraggeber schnell unübersichtlich werden können. Damit das nicht passiert, sollte nicht nur zu Beginn der Beauftragung genau geprüft werden, welche Unterauftragnehmer eingesetzt werden und welche datenschutzrechtlichen Vereinbarungen mit ihnen getroffen wurden, sondern auch im Rahmen der regelmäßigen Kontrollen. Der Auftragsverarbeiter muss den Auftraggeber vor Hinzuziehung eines neuen Unterauftragnehmers beziehungsweise beim Wechsel eines Unterauftragnehmers vorab um Genehmigung fragen oder zumindest eine Widerspruchsmöglichkeit einräumen – je nach Vereinbarung im Auftragsverarbeitungsvertrag. Ob dies auch zuverlässig erfolgt, sollte im Zuge einer Kontrolle hinterfragt werden.
Kontrollen nicht vernachlässigen
Nicht selten passiert es, dass ein Datenschutzverstoß des Auftragsverarbeiters auf den Auftraggeber zurückfällt und sich der Auftraggeber zum Beispiel im Zuge aufsichtsbehördlicher Nachforschungen für die Auswahl des Auftragsverarbeiters rechtfertigen muss. In einem solchen Fall ist es oftmals hilfreich, die initiale Prüfung des Auftragsverarbeiters sowie regelmäßige Kontrollen nachweisen zu können. Auch helfen regelmäßige Überprüfungen dabei, mögliche Schwachstellen beim Auftragsverarbeiter rechtzeitig zu erkennen und Gegenmaßnahmen ergreifen zu können. Auftraggeber sollten schon aus diesen Gründen die Kontrolle ihrer Auftragsverarbeiter nicht vernachlässigen und entsprechende Prozesse schaffen sowie notwendige Ressourcen und Know-How bereitstellen können.
Die Zusammenarbeit mit Auftragsverarbeitern ist selten vermeidbar und bringt in der Regel viele Vorteile mit sich. Doch damit die positiven Faktoren überwiegen, sollten Unternehmen die Kontrolle von Auftragsverarbeitern nicht auf die leichte Schulter nehmen. Gerne beraten wir Sie bei Fragen zu diesem Thema.
Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.