Auftragsverarbeitung

Hardware, Software und Dienstleistungen werden immer spezieller und das Budget in den meisten Fällen immer knapper. Das führt bei vielen Unternehmen und öffentlichen Stellen in der Verwaltung zu einer Verlagerung von Dienstleistungen zu Serviceunternehmen. Diese werden mit der Verarbeitung personenbezogener Daten von Beschäftigten und Geschäftspartnern weisungsbezogen beauftragt.
Eine sogenannte Auftragsverarbeitung (AV-Vereinbarung) zwischen dem Verantwortlichen und dem Auftragsverarbeiter darf aber nur nach Vorgaben der Datenschutzgrundverordnung stattfinden und wenn klare Vorgaben zwischen den beiden Unternehmen vorab vereinbart worden sind. Der Verantwortliche bleibt im vollen Umfang für „seine“ Daten verantwortlich und muss sicherstellen, dass er dies auch nachweisen kann. Beide Unternehmen haften anteilsmäßig im Einzelfall für Verstöße gegen die DSGVO. Wird also z.B. keine Vereinbarung zur Auftragsverarbeitung geschlossen, so haften beide Unternehmen anteilig.
Unser Leistungsangebot
Die Aufgabe bei der Auftragsverarbeitung besteht grundsätzlich darin, zu prüfen, ob der Dienstleister mit den personenbezogenen Daten von Kunden oder Beschäftigten sorgsam umgeht und den Vorschriften der Datenschutzgrundverordnung genügt.
Die IT.DS Beratung berät seit vielen Jahren Unternehmen im Bereich des Datenschutzes und hat im Laufe der Zeit hunderte deutsche und internationale Dienstleistern im Bereich der Auftragsverarbeitung geprüft. Von der einfachen Dokumentenprüfung bis hin zum Vor-Ort-Audit sind wir in der Lage, die Gesetzeskonformität für Ihr Unternehmen herzustellen. Bei einer hohen Anzahl von zu prüfenden Dienstleistern bleiben Sie durch unsere Methodik auf dem Laufenden und können den Fortschritt unserer Arbeit transparent mitverfolgen.
In der Funktion als Datenschutzberater oder externer Datenschutzbeauftragter übernehmen wir für ihr Unternehmen insbesondere folgende Aufgaben:
- Die Erhebung und Prüfung aller Dienstleister bei Ihnen im Haus mit Ihren Fachabteilungen hinsichtlich der Datenschutzrelevanz
- Die Prüfung vorhandener Verträge (Rahmenverträge, Leistungsscheine, Auftragsbeschreibungen), sofern notwendig.
- Das Führen von Interviews in den Fachabteilungen, sofern notwendig, im Bezug auf den Dienstleister.
- Die Kontaktaufnahme mit den Dienstleistern.
- Die Erstellung bzw. Anpassung von ADV-Vereinbarungen, bezogen auf die ausgeübte Tätigkeit des Dienstleisters
- Die Herbeiführung der notwendigen Inhalte, wie z.B. der technischen und organisatorischen Maßnahmen oder Subunternehmen, sowie Unterschriften der Fachabteilungen oder der Geschäftsführung
- Die Prüfung der Eignung des Dienstleisters und dessen Subunternehmen gem. Datenschutzgrundverordnung oder anderen internationalen Gesetzen.
- Die Durchführung von Vor-Ort-Audits bei den für das Unternehmen wichtigsten Dienstleistern, sofern notwendig und möglich.
- Die Eskalation bei den Ansprechpartnern bei Unternehmen bei fehlender Zusammenarbeit des Dienstleisters.
- Die Dokumentation, die zentrale Pflege und Ablage der Verträge, sowie Projektmanagement des Fortschritts
Weitere Detailinformationen erhalten Sie durch Klicken auf die folgenden Themenbereiche.
Das Unternehmen denkt vielleicht: „Den Dienstleister kenne ich doch schon vielen Jahren, der geht schon sorgsam mit meinen Kundendaten um!“ Doch die Geschäftsführer wissen vielleicht nicht, dass sie mit dieser Einstellung stattliche Geldbußen durch die zuständige Aufsichtsbehörde riskieren. Der fachgerechte Abschluss einer Auftragsvereinbarung und eine vorherige und danach regelmäßige Prüfung des Auftragsverarbeiters muss nachgewiesen werden können.
Die Datenschutz-Aufsichtsbehörde aus Bayern (Das Bayrische Landesamt für Datenschutzaufsicht hat einen Ratgeber "Auftragsverarbeitung nach Art. 28 DSGVO) hat die wesentlichen Typen von Auftragsverarbeitern übersichtlich dargestellt:
Auftragsverarbeiter sind Unternehmen, die regelmäßig z. B. folgende Dienstleistungen erbringen:
- die DV-technischen Arbeiten für die Lohn- und Gehaltsabrechnungen oder die Finanzbuchhaltung,
- Outsourcing der personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing (z.B. mit Microsoft)
- die Werbeadressenverarbeitung in einem Lettershop,
- die Kontaktdatenerhebung durch ein Callcenter,
- die Auslagerung eines Teils des eigenen Telekommunikationsanlagenbetriebs (soweit nicht das Telekommunikationsgesetz gilt),
- die Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten,
- die Datenerfassung, die Datenkonvertierung oder das Einscannen von Dokumenten,
- die Backup-Sicherheits-Speicherung und andere Archivierungen,
- die Datenträgerentsorgung (wie z.B. die Mammut GmbH)
- usw.
Ob Ihre im Einsatz befindlichen Dienstleister ebenfalls geprüft werden müssen, hängt vom Einzelfall ab. So sind einige Branchen davon ausgenommen, da diese mit der eigentlichen Verarbeitung personenbezogener Daten nur indirekt zu tun haben, wie z.B.
- Transportleistungen von Post- oder Kurierdiensten
- Transportleistungen von öffentlichen Telekommunikationsdiensten
- Bankdienstleistungen als "Verwaltungs- und Transportleistungen von Geld"
- Bewachungsdienste
- Reinigungsdienstleistungen
- Handwerkereinsätze in Unternehmen für Reparaturen und Wartung
In einer AV-Vereinbarung gem. Art 28 DSGVO werden unter anderem zwischen den Parteien folgende Punkte vereinbart und anschließend überprüft:
- Art und Herkunft der Daten, Beschreibung der Betroffenen und der Zweck der Verwendung
- Festlegung der Rechte bzgl. Auskunft, Benachrichtigung, Sperrung und Löschung der Daten
- Festlegung von technischen und organisatorischen Maßnahmen zur Sicherung der Daten beim Auftragsverarbeiter, sowie deren Kontrollen, wie z.B. Zutrittskontrolle, Zugriffskontrolle oder Verfügbarkeitskontrolle
- Festlegung bzgl. der Beauftragung von Unterauftragsverarbeitern und Ort der Datenspeicherung
- u.v.m
Nach der Unterzeichnung des Vertrages müssen die in der Vereinbarung enthaltenen Regeln geprüft werden. Dies kann durch eine Dokumentenprüfung erfolgen (z.B. Zertifikate) oder durch eine Vor-Ort-Prüfung beim Dienstleister. Erst dann darf der Auftragsverarbeiter überhaupt Zugang zu den Daten bekommen.
Wir sind in der Lage, auf Dienstleister unterschiedlicher Branchen einzugehen, die nicht so häufig mit dieser Thematik zu tun haben. Dadurch können wir ein zügiges und kosteneffizientes Ergebnis für unsere Mandanten erzielen. Dabei darf die Organisation aber auch nicht überfordert werden. Die Prüfung aller Auftragsverarbeiters kann sich, je nach Umfang und Hierarchie-Ebenen über Monate hinziehen. Daher ist es wichtig, frühzeitig das Thema im Unternehmen zu adressieren und dann Stück für Stück umzusetzen.
Die Situation kann schlecht rückgängig gemacht werden, aber deswegen ist es noch nicht zu spät, die Gesetzeskonformität herzustellen und Bußgelder zu vermeiden. Selbst im Fall einer Prüfung der Auftragsverarbeiter durch eine Aufsichtsbehörde ist angebracht, ausstehende Missstände bei Auftragsverarbeitern zu beseitigen.
Es ist im Allgemeinen schwieriger, die Vereinbarung nach Art. 28 DSGVO nachträglich zu schließen, denn der Dienstleister ist bereits etabliert und sieht den Nutzen nicht. Im Gegenteil, es bedeutet auch für den Dienstleister einen zusätzlichen Aufwand, abhängig davon, wie erfahren er im Bereich des Datenschutzes ist.
Unser Tipp: Identifizieren Sie Ihre drei wichtigsten Auftragsverarbeiter und starten Sie die notwendigen Arbeiten. Wenn Sie Fragen dazu haben, kommen Sie gerne auf uns zu.
Das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) betreut die Förderung unternehmerischen Know-hows für Unternehmen durch Unternehmensberatungen. In diesem Rahmen sind auch unsere Leistungen förderbar. Wir haben schon diverse Fördergelder für unsere Kunden beantragen können.
Kontaktieren Sie uns gerne für ein unverbindliches Gespräch.
