Vom Thema Auftragsverarbeitung haben die meisten Unternehmen schon gehört, und viele Unternehmen haben auch einzelne datenschutzrechtliche Vereinbarungen mit Dienstleistern geschlossen. Gleichwohl herrscht bei vielen Unternehmen mit Blick auf die künftige Entwicklung Unsicherheit, wie das Thema nachhaltig und rechtssicher gelöst werden kann.
Was ist Auftragsverarbeitung?
Wenn ein Unternehmen mit Dienstleistern zusammenarbeitet, betrifft dies häufig auch personenbezogene Daten von Kunden oder Mitarbeitern. Ist die Verarbeitung der Daten Teil der Dienstleistung, muss das Unternehmen sicherstellen, dass die Daten datenschutzkonform verarbeitet werden. Dies geschieht im Rahmen eines Vertrages zur Auftragsverarbeitung. Dieser weitgehend standardisierte Vertrag erfordert immer inhaltliche Konkretisierungen mit Blick auf den Zweck der Verarbeitung, die betroffenen Daten und die betroffenen Personen. Das Unternehmen - datenschutzrechtlich „der Verantwortliche“ muss sich um den Vertrag kümmern und alle erforderlichen Festlegungen treffen. Tut es dies nicht, riskiert es ein Bußgeld. Der Auftragsverarbeiter darf die Daten ausschließlich gemäß den Anweisungen des Verantwortlichen verarbeiten. Typische Beispiele für Auftragsverarbeiter sind IT-Dienstleister, Cloud-Anbieter oder Marketingagenturen. Hierunter finden sich auch Unternehmen wir Microsoft und Google.
Gibt es rechtliche Risiken?
Was in einzelnen Fällen gelingt, ist am Ende leider nicht genug. Denn für alle datenschutzrechtlich relevanten Dienstleister muss die zugehörige datenschutzrechtliche Vereinbarung vorliegen. Bei den meisten Unternehmen findet aber das erforderliche „Screening“ der Dienstleister nicht statt. Inwieweit Vereinbarungen mit Dienstleistern bestehen, welche auch die Verarbeitung personenbezogener Daten zum Gegenstand haben, können viele Unternehmen daher nicht abschließend sagen.
Diese Lücke gilt es zu schließen, denn fehlende Vereinbarungen sind aus Sicht der Datenschutzbehörde Verstöße gegen zentrale datenschutzrechtliche Verpflichtungen (Rechenschaftspflicht, Integrität und Vertraulichkeit, Transparenz, Rechte der Betroffenen) und werden mit Bußgeldern versehen.
Rechtliche Grundlage der Auftragsverarbeitung
Rechtliche Grundlage für und Anforderungen an die Auftragsverarbeitung finden sich in Art. 28 Datenschutzgrundverordnung (DSGVO). Im Einzelnen:
Vertragliche Regelung:
Notwendigkeit eines Vertrags: Zwischen dem Verantwortlichen und dem Auftragsverarbeiter muss ein Vertrag bestehen, der die Verarbeitung regelt. Dieser Vertrag muss schriftlich abgeschlossen werden, elektronische Form reicht.
Inhalt des Vertrags: Der Vertrag muss ff. Mindestangaben enthalten: Gegenstand und die Dauer der Verarbeitung, Art und den Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen. Zudem müssen die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters klar definiert sein.
Pflichten des Auftragsverarbeiters:
Verarbeitung nur auf Weisung: Der Auftragsverarbeiter darf die Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten.
Vertraulichkeit: Personen, die personenbezogene Daten verarbeiten, müssen zur Vertraulichkeit verpflichtet sein.
Sicherheitsmaßnahmen: Es müssen geeignete technische und organisatorische Maßnahmen ergriffen werden, um ein angemessenes Schutzniveau zu gewährleisten.
Sub-Auftragsverarbeiter: Die Einbeziehung weiterer Auftragsverarbeiter ist nur mit Genehmigung des Verantwortlichen zulässig.
Unterstützung des Verantwortlichen: Der Auftragsverarbeiter muss den Verantwortlichen bei der Einhaltung der Pflichten aus der DSGVO unterstützen, z.B. bei der Datensicherheit, der Meldung von Datenschutzverletzungen und der Durchführung von Datenschutz-Folgenabschätzungen.
Verantwortlichkeit des Verantwortlichen:
Auswahl des Auftragsverarbeiters: Der Verantwortliche muss sicherstellen, dass der gewählte Auftragsverarbeiter ausreichende Garantien bietet, um geeignete technische und organisatorische Maßnahmen umzusetzen.
Überwachung: Der Verantwortliche muss regelmäßig überprüfen, ob der Auftragsverarbeiter die festgelegten Maßnahmen einhält.
Auftragsverarbeitung - Best Practice Beispiel
Ein klassisches Beispiel für Auftragsverarbeitung ist die Nutzung eines externen IT-Dienstleisters für das Hosting von Kunden- und Mitarbeiterdaten. In diesem Fall bleibt das Unternehmen (Verantwortlicher) dafür verantwortlich, wie die Daten verwendet werden, während der IT-Dienstleister (Auftragsverarbeiter) die Daten nur gemäß den Anweisungen des Unternehmens verarbeitet.
Was tun wir für Sie?
INTEGRITY hat ein effizientes Tool entwickelt, mit welchem Auftragsverhältnisse erfasst, bewertet, aktualisiert und dauerhaft datenschutzkonform dokumentiert werden. Kommen Sie auf uns zu, wenn Sie diese Lücke in Ihrem Unternehmen schließen wollen.
Daneben bieten wir Ihnen umfassende Unterstützung bei der Einhaltung aller Anforderungen aus Art. 28 DSGVO. Dazu gehören:
Vertragsmanagement:
Screening der Dienstleister: Ermittlung aller Fälle, in denen eine datenschutzrechtliche Vereinbarung erforderlich ist.
Vorlagen und Musterverträge: Bereitstellung von DSGVO-konformen Musterverträgen für die Auftragsverarbeitung.
Vertragsprüfung: Unterstützung bei der Prüfung und Anpassung bestehender Verträge, um sicherzustellen, dass sie den Anforderungen der DSGVO entsprechen.
Dokumentation: Hilfe bei der Erstellung und Verwaltung der erforderlichen Dokumentation und Aufzeichnungen.
Schulung und Sensibilisierung:
Mitarbeiterschulungen: Durchführung spezifischer Schulungen zum Thema Dienstleister & Datenschutzanforderungen.
Informationsmaterialien: Bereitstellung von Leitfäden und Checklisten zur Auftragsverarbeitung
Technische und organisatorische Maßnahmen:
Sicherheitsaudits: Durchführung der vorgeschriebenen Audits zur Überprüfung der bestehenden Sicherheitsmaßnahmen (TOMs) beim Dienstleister.
Implementierung: Unterstützung bei der Implementierung und Überwachung eigener technischer und organisatorischer Maßnahmen.
Laufende Beratung:
Rechtsberatung: Kontinuierliche Beratung zu datenschutzrechtlichen Fragestellungen betreffend Auftragnehmer insbes. im Bereich künstliche Intelligenz (KI) sowie Verarbeitung in den USA und anderen Drittstaaten.
Monitoring: Überwachung der Einhaltung der Datenschutzvorgaben und regelmäßige Aktualisierung der Maßnahmen.
Unser Ziel ist es, Sie umfassend zu unterstützen, damit Sie den hohen Anforderungen der DSGVO gerecht werden und sich voll und ganz auf Ihr Kerngeschäft konzentrieren können. Wir stehen Ihnen mit unserer Expertise und unseren Lösungen jederzeit zur Seite.