• Infobriefe 01/2021

Kontrolle der Auftragsverarbeiter

Sie setzen Auftragsverarbeiter ein? Dann müssen Sie diese regelmäßig kontrollieren gemäß Art. 28 III 2 lit. h DSGVO! Als Auftraggeber bleiben Sie verantwortlich für alle Datenverarbeitungen, die durch den Dienstleister durchgeführt werden, und haften gegenüber den Betroffenen für eventuelle Schäden, die durch den Auftragsverarbeiter verursacht werden könnten. Ihre Haftung bleibt von ggf. bestehenden Regress-Forderungen an den Dienstleister unberührt.

Pflicht zur Kontrolle des Auftragsverarbeiters

Als Auftraggeber haben Sie nicht nur das Recht Ihre Auftragsverarbeiter zu kontrollieren (Art. 28 III 2 lit. h DSGVO) sondern auch die Pflicht.

Denn Art. 28 I DSGVO erlaubt nur die Zusammenarbeit mit solchen Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

Um dieser Pflicht nachzukommen, reicht weder der Abschluss eines Auftragsverarbeitungsvertrags aus noch die einmalige Kontrolle. Vielmehr hat die DSGVO eine laufende Kontrollverpflichtung verankert (Auftragskontrolle). Sie müssen das aktuelle Datenschutzniveau des Auftragsverarbeiters prüfen und ggf. Änderungen der technischen und organisatorischen Maßnahmen bewerten.

Eine Verletzung dieser Pflicht kann nach Art. 83 IV lit. a DSGVO mit einem Bußgeld geahndet werden.

Inhalt der Kontrolle

Die Schutzziele der DSGVO sind nur mittels eines vollumfänglichen Datenschutzmanagements zu erreichen, weshalb diese grundsätzlichen Vorgaben beim Auftragsverarbeiter überprüft werden sollten. Als Auftraggeber sollten Sie insbesondere folgendes prüfen:

  • Vertraulichkeit Ihrer Daten, also wie wird sichergestellt, dass Dritte nicht unbefugt von Ihren Daten Kenntnis erlangen können. (Schutz der Vertraulichkeit ihrer Daten)
  • Integrität Ihrer Daten, also wie wird sichergestellt, dass die Daten nicht (nachträglich) unautorisiert modifiziert werden können.
  • Verfügbarkeit und Belastbarkeit der Systeme (also Sicherung der Datenverarbeitungsprozesse, Speicherung der Daten, Backup-Verfahren, Art und Weise der Archivierung, Sicherstellung der Widerstandsfähigkeit der IT).

Vor der Durchführung der Kontrolle des Auftragsverarbeiters sollten Sie überprüfen, ob Ihre Dienstleisterliste noch aktuell ist.

Häufigkeit und Art der Kontrolle

Aus der DSGVO ergibt sich nicht, wie oft der Auftragsverarbeiter kontrolliert werden muss. Im Hinblick auf das Risiko der Verarbeitung sind geeignete Zeitspannen festzusetzen, innerhalb derer der Auftragsverarbeiter regelmäßig geprüft wird. Im Grundsatz gilt, je kritischer die Auftragsverarbeitung, desto häufiger ist eine Kontrolle notwendig. In der Regel sollte alle ein bis zwei Jahre eine Kontrolle durchgeführt werden.

Die DSGVO schreibt auch die Art der Kontrolle nicht vor, daher sind verschiedene Kontrollmittel zulässig, z B.:

  • Die Selbstbewertung des Auftragsverarbeiters anhand einer Checkliste
  • Die Kontrolle Vor-Ort
  • Die Überprüfung durch eine dritte Stelle (z.B. durch Ihren Datenschutzbeauftragten)
  • Vorlage von aktuellen Zertifizierungen
  • Auskünfte des Datenschutzbeauftragten des Auftragsverarbeiters

Wir haben für Sie eine Checkliste erstellt, die alle relevanten Prüfungspunkte enthält, die Sie an Ihren Auftragsverarbeiter senden können. Bei Bedarf versenden wir die Checkliste und übernehmen die weitere Kommunikation mit Ihren Dienstleistern. Die Checkliste finden Sie in myGindat unter Punkt 9.07 in Ihrem Gesamtpaket.

Ergebnis der Kontrolle

Am Ende der Kontrolle muss bewertet werden, ob der Auftragsverarbeiter die vertraglich zugesicherten Garantien zum Schutz Ihrer Daten einhält. Ist das nicht der Fall, ist der Auftragsverarbeiter zur Umsetzung aufzufordern, andernfalls sollte die geschäftliche Beziehung beendet werden. Denn Sie haften als verantwortliche Stelle zumindest teilweise für Schäden, die der Auftragsverarbeiter verursacht.

Prüfpflicht des Datenschutzbeauftragten

Als bestellte Datenschutzbeauftragte haben wir gemäß Art. 39 I b DSGVO eine Prüfpflicht. Daher überprüfen wir, ob Sie die Auftragskontrolle auch durchgeführt haben.

Unterstützung durch den Datenschutzbeauftragten

Der Datenschutzbeauftragte kann Sie bei der Kontrolle des Auftragsverarbeiters umfassend unterstützen. Dazu gehören u. a. folgende Leistungen:

  • Bewertung der Auftragsverarbeiter im Hinblick auf die Kritikalität der Auftragsverarbeitungen. Diese Bewertung ist erforderlich um die Häufigkeit der Kontrollen festlegen zu können.
  • Kontaktaufnahme mit Ihren Auftragsverarbeitern und Versendung der Checkliste in Ihrem Auftrag
  • Dokumentation der Kontrollen

Das Gebot der Nachweisbarkeit nach Art. 24 I1, Art. 5 II DSGVO verlangt, dass Sie die Kontrolle des Auftragsverarbeiters dokumentieren (z.B. Art der Kontrolle, Ergebnisse, welche Nachweise hat der Auftragsverarbeiter erbracht)

  • Datenschutzrechtliche Bewertung der Kontrollergebnisse mit anschließender Handlungsempfehlung

Bitte teilen Sie uns mit, ob Sie die Auftragskontrolle selbständig durchführen oder ob Sie unsere Unterstützung benötigen.