Auftragsverarbeitung

Prüfung von Auftragsverarbeitern

Hardware, Software und Dienstleistungen werden immer spezieller und das Budget in den meisten Fällen immer knapper. Das führt bei vielen Unter­nehmen und öffentlichen Stellen in der Ver­walt­ung zu einer Ver­lager­ung von Dienst­leistungen zu Service­unternehmen. Diese werden mit der Verar­beitung personen­bezogener Daten von Beschäftigten und Geschäftspartnern weisungsbezogen beauftragt.

Eine sogenannte Auftrags­verarbeitung (AV-Vereinbarung) zwischen dem Verantwortlichen und dem Auftragsverarbeiter darf aber nur nach Vorgaben der Daten­schutz­grund­verordnung stattfinden und wenn klare Vorgaben zwischen den beiden Unter­nehmen vorab vereinbart worden sind. Der Verantwortliche bleibt im vollen Umfang für „seine“ Daten verantwortlich und muss sicher­stellen, dass er dies auch nachweisen kann. Beide Unternehmen haften anteilsmäßig im Einzelfall für Verstöße gegen die DSGVO. Wird also z.B. keine Vereinbarung zur Auftrags­verarbeitung geschlossen, so haften beide Unternehmen anteilig.

Unser Leistungsangebot

Die Aufgabe bei der Auftrags­verarbeit­ung besteht grund­sätzlich darin, zu prüfen, ob der Dienstleister mit den personen­bezogenen Daten von Kunden oder Beschäftigten sorgsam umgeht und den Vorschriften der Datenschutz­grundverordnung genügt.

Die IT.DS Beratung berät seit vielen Jahren Unter­nehmen im Bereich des Daten­schutzes und hat im Laufe der Zeit hunderte deutsche und inter­nationale Dienst­leistern im Bereich der Auftrags­verarbeitung geprüft. Von der einfachen Dokumenten­prüfung bis hin zum Vor-Ort-Audit sind wir in der Lage, die Gesetzes­konformität für Ihr Unter­nehmen herzustellen. Bei einer hohen Anzahl von zu prüfenden Dienst­leistern bleiben Sie durch unsere Methodik auf dem Laufenden und können den Fortschritt unserer Arbeit transparent mit­verfolgen.

In der Funktion als Datenschutzberater oder externer Datenschutzbeauftragter übernehmen wir für ihr Unter­nehmen insbesondere folgende Auf­gaben:

  • Die Erhebung und Prüfung aller Dienst­leister bei Ihnen im Haus mit Ihren Fach­abteilungen hinsichtlich der Daten­schutz­relevanz
  • Die Prüfung vorhandener Verträge (Rahmenverträge, Leistungsscheine, Auftragsbeschreibungen), sofern notwendig.
  • Das Führen von Interviews in den Fachabteilungen, sofern notwendig, im Bezug auf den Dienst­leister.
  • Die Kontaktaufnahme mit den Dienstleistern.
  • Die Erstellung bzw. Anpassung von ADV-Vereinbarungen, bezogen auf die ausgeübte Tätigkeit des Dienst­leisters
  • Die Herbeiführung der notwendigen Inhalte, wie z.B. der technischen und organisatorischen Maßnahmen oder Subunternehmen, sowie Unterschriften der Fach­abteilungen oder der Geschäfts­führung
  • Die Prüfung der Eignung des Dienst­leisters und dessen Sub­unternehmen gem. Daten­schutz­grund­verordnung oder anderen inter­nationalen Gesetzen.
  • Die Durchführung von Vor-Ort-Audits bei den für das Unter­nehmen wichtigsten Dienst­leistern, sofern not­wendig und möglich.
  • Die Eskalation bei den Ansprech­partnern bei Unter­nehmen bei fehlender Zusammen­arbeit des Dienst­leisters.
  • Die Dokumentation, die zentrale Pflege und Ablage der Verträge, sowie Projekt­management des Fortschritts

 

Weitere Detailinformationen erhalten Sie durch Klicken auf die folgenden Themenbereiche.

Ist die Prüfung von Auftragsverarbeitern notwendig?

Das Unternehmen denkt vielleicht: „Den Dienstleister kenne ich doch schon vielen Jahren, der geht schon sorgsam mit meinen Kundendaten um!“ Doch die Geschäfts­führer wissen vielleicht nicht, dass sie mit dieser Ein­stellung stattliche Geldbußen durch die zuständige Aufsichts­behörde riskieren. Der fachgerechte Abschluss einer Auftrags­vereinbarung und eine vorherige und danach regelmäßige Prüfung des Auftrags­verarbeiters muss nachgewiesen werden können.

Welche Auftragsdienstleister gibt es?

Die Datenschutz-Aufsichts­behörde aus Bayern (Das Bayrische Landesamt für Datenschutzaufsicht hat einen Ratgeber "Auftrags­ver­arbeitung nach Art. 28 DSGVO) hat die wesentlichen Typen von Auftrags­verarbeitern übersichtlich dargestellt: 

Auftragsverarbeiter sind Unternehmen, die regelmäßig z. B. folgende Dienstleistungen erbringen:

  • die DV-technischen Arbeiten für die Lohn- und Gehalts­abrechnungen oder die Finanz­buch­haltung,
  • Outsourcing der personen­bezogener Daten­verarbeitung im Rahmen von Cloud-Computing (z.B. mit Microsoft)
  • die Werbe­adressen­verarbeitung in einem Letter­shop,
  • die Kontakt­datenerhebung durch ein Callcenter,
  • die Auslagerung eines Teils des eigenen Telekommunikations­anlagenbetriebs (soweit nicht das Telekommunikationsgesetz gilt),
  • die Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten,
  • die Datenerfassung, die Datenkonvertierung oder das Einscannen von Dokumenten,
  • die Backup-Sicherheits-Speicherung und andere Archivierungen,
  • die Datenträgerentsorgung (wie z.B. die Mammut GmbH)
  • usw.

Ob Ihre im Einsatz befindlichen Dienstleister ebenfalls geprüft werden müssen, hängt vom Einzelfall ab. So sind einige Branchen davon ausgenommen, da diese mit der eigentlichen Verarbeitung personenbezogener Daten nur indirekt zu tun haben, wie z.B.

  • Transportleistungen von Post- oder Kurierdiensten
  • Transportleistungen von öffentlichen Telekommunikationsdiensten
  • Bankdienstleistungen als "Verwaltungs- und Transportleistungen von Geld"
  • Bewachungsdienste
  • Reinigungsdienstleistungen
  • Handwerkereinsätze in Unternehmen für Reparaturen und Wartung

 

Welche konkreten Maßnahmen müssen durchgeführt werden?

In einer AV-Vereinbarung gem. Art 28 DSGVO werden unter anderem zwischen den Parteien folgende Punkte vereinbart und anschließend überprüft:

  • Art und Herkunft der Daten, Beschreibung der Betroffenen und der Zweck der Verwendung
  • Festlegung der Rechte bzgl. Auskunft, Benachrichtigung, Sperrung und Löschung der Daten
  • Festlegung von technischen und organisatorischen Maßnahmen zur Sicherung der Daten beim Auftragsverarbeiter, sowie deren Kontrollen, wie z.B. Zutrittskontrolle, Zugriffskontrolle oder Verfügbarkeitskontrolle
  • Festlegung bzgl. der Beauftragung von Unterauftragsverarbeitern und Ort der Datenspeicherung
  • u.v.m

Nach der Unterzeichnung des Vertrages müssen die in der Vereinbarung enthaltenen Regeln geprüft werden. Dies kann durch eine Dokumentenprüfung erfolgen (z.B. Zertifikate) oder durch eine Vor-Ort-Prüfung beim Dienstleister. Erst dann darf der Auftragsverarbeiter überhaupt Zugang zu den Daten bekommen.

Wie lange dauert die Prüfung eines Auftragsverarbeiters?

Wir sind in der Lage, auf Dienstleister unterschiedlicher Branchen einzugehen, die nicht so häufig mit dieser Thematik zu tun haben. Dadurch können wir ein zügiges und kosten­effizientes Ergebnis für unsere Mandanten erzielen. Dabei darf die Organisation aber auch nicht überfordert werden. Die Prüfung aller Auftrags­verarbeiters kann sich, je nach Umfang und Hierarchie-Ebenen über Monate hinziehen. Daher ist es wichtig, frühzeitig das Thema im Unter­nehmen zu adressieren und dann Stück für Stück umzusetzen.

Ich habe Auftragsverarbeiter im Einsatz, aber noch keine AV-Vereinbarung. Was ist zu tun?

Die Situation kann schlecht rückgängig gemacht werden, aber deswegen ist es noch nicht zu spät, die Gesetzeskonformität herzustellen und Bußgelder zu vermeiden. Selbst im Fall einer Prüfung der Auftrags­verarbeiter durch eine Aufsichts­behörde ist angebracht, ausstehende Missstände bei Auftrags­verarbeitern zu beseitigen.

Es ist im Allgemeinen schwieriger, die Vereinbarung nach Art. 28 DSGVO nachträglich zu schließen, denn der Dienstleister ist bereits etabliert und sieht den Nutzen nicht. Im Gegenteil, es bedeutet auch für den Dienstleister einen zusätzlichen Aufwand, abhängig davon, wie erfahren er im Bereich des Datenschutzes ist.

Unser Tipp: Identifizieren Sie Ihre drei wichtigsten Auftrags­verarbeiter und starten Sie die notwendigen Arbeiten. Wenn Sie Fragen dazu haben, kommen Sie gerne auf uns zu.

Das Bundes­amt für Wirtschaft und Aus­fuhr­kontrolle (BAFA) betreut die Förderung unter­nehmerischen Know-hows für Unter­nehmen durch Unter­nehmens­berat­ungen. In diesem Rahmen sind auch unsere Leistungen förderbar. Wir haben schon diverse Förder­gelder für unsere Kunden beantragen können.

Kontaktieren Sie uns gerne für ein unverbindliches Gespräch.