Auftragsverarbeitung
Durch die fortschreitende Technisierung aller Berufe ist es heutzutage fast unmöglich für ein Unternehmen gänzlich ohne externe Dienstleister auszukommen.
Das gilt nicht nur für Unternehmen in Branchen, die sich erst durch das Internet entwickeln konnten, sondern mittlerweile auch für alle “klassischen” Bereiche. Nahezu jedes Unternehmen hat heutzutage Webseiten, (Kunden-)Datenbanken oder Cloud-Dienste (z. B. Dropbox, Microsoft Office 365, etc.) für verschiedenste Zwecke im Einsatz.
Sofern mit diesen Technologien personenbezogene Daten verarbeitet und zur Bereitstellung dieser Dienste externe Dienstleister in Anspruch genommen werden, liegt eine sogenannte Datenverarbeitung im Auftrag vor, die datenschutzrechtlich mittels einer Zusatzvereinbarung abgesichert werden muss.
Diese Zusatzvereinbarung muss nicht nur Vorgaben der DSGVO enthalten, sondern auch eine Übersicht der konkret im Unternehmen vorliegenden technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten des beauftragten Dienstleisters.
Im Umkehrschluss trifft Sie die Pflicht zur Schließung einer Zusatzvereinbarung zur Datenverarbeitung im Auftrag auch, wenn Sie als Dienstleister personenbezogene Daten für Kunden verarbeiten.
Zu regelnde Inhalte
- Gegenstand und Dauer der Auftragsdatenverarbeitung
- Umfang, Art und Zweck der Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen
- Die technischen und organisatorischen Maßnahmen des verarbeitenden Dienstleisters
- Berichtigung, Löschung und Sperrung von Daten
- Bestehende Pflichten des Dienstleisters, insbesondere vorzunehmende Kontrollen
-
Berechtigung zur Beauftragung von Subunternehmern
-
Kontrollrechte des Auftraggebers
-
Mitzuteilende Verstöße des Auftragnehmers gegen Vorschriften des Datenschutzes
-
Umfang der Weisungsbefugnisse des Auftraggebers
-
Rückgabe überlassener Daten nach Beendigung der Auftragsdatenverarbeitung
Doch nicht nur bei einer Datenverarbeitung im Auftrag sind alle oben genannten Punkte zu regeln, sondern oft auch, wenn lediglich die Möglichkeit besteht Kenntnis von personenbezogenen Daten Ihres Kunden zu nehmen.
Wichtig wird dies vor allem z. B. bei Wartungsverträgen zu Softwareprodukten oder Multifunktionsgeräten mit externen Dienstleistern.
Hier steht nicht die Verarbeitung von personenbezogenen Daten im Vordergrund, dennoch ist es oftmals nicht ausgeschlossen, dass Mitarbeiter des mit der Wartung beauftragten Unternehmens personenbezogene Daten zur Kenntnis nehmen könnten.
Die Kontrolle der Einhaltung aller oben genannter Punkte beim Auftragnehmer kann durch das Unternehmen, das Daten im Auftrag verarbeiten lässt, selbst oder durch unabhängige Dritte erfolgen.
Technische und organisatorische Maßnahmen
Neben den oben aufgeführten zu regelnden Inhalten ist jeder Auftragsverarbeitungsvereinbarung eine Übersicht der beim Auftragnehmer vorhandenen technischen und organisatorischen Maßnahmen zum Schutz der verarbeiteten personenbezogenen Daten beizufügen, die der Auftragnehmer vor Beauftragung auf deren Angemessenheit prüfen sollte. Diese Übersicht sollte Maßnahmen beinhalten, welche die Schutzziele der DSGVO, die Vertraulichkeit, Integrität und Verfügbarkeit der Daten, sicherstellen.
Dies kann etwa durch folgende Maßnahmen erreicht werden:
-
Zutrittskontrolle:
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. -
Zugangskontrolle:
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. -
Zugriffskontrolle:
Maßnahmen, die geeignet sind zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. -
Trennungskontrolle:
Maßnahmen, die geeignet sind zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. -
Pseudonymisierung:
Maßnahmen, um personenbezogene Daten in einer Weise zu verarbeiten, dass diese Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können. -
Weitergabekontrolle:
Maßnahmen, die geeignet sind zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
-
Eingabekontrolle:
Maßnahmen, die geeignet sind zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. -
Verfügbarkeitskontrolle:
Maßnahmen, die geeignet sind zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. -
Rasche Wiederherstellung:
Maßnahmen, um personenbezogene Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. -
Datenschutz-Management:
Nachweis einer strukturierten Vorgehensweise, um die die gesetzlichen und betrieblichen Anforderungen des Datenschutzes systematisch zu organisieren, zu optimieren und zu kontrollieren. -
Auftragskontrolle:
Maßnahmen, die geeignet sind zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
Diese Übersicht kann nicht pauschal erstellt werden, da sie die tatsächlichen Gegebenheiten bei dem mit der Verarbeitung von personenbezogenen Daten beauftragten Dienstleister wiedergeben müssen.
In der Vergangenheit sind bereits hohe Bußgelder durch Behörden gegen Unternehmen verhängt worden, die Daten im Auftrag verarbeiten ließen und dabei die Übersicht der technischen und organisatorischen Maßnahmen des beauftragten Unternehmens nicht den rechtlichen Anforderungen genügten.
Somit ist nicht nur die Kontrolle der Zusatzvereinbarung selbst, sondern auch die Prüfung der technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten Ihres Dienstleisters unabdingbar um mögliche Bußgelder zu verhindern.