Die Verarbeitung personenbezogener Daten im Auftrag Dritter nach Art. 28 DSGVO fordert vom Auftragsverarbeiter die Einhaltung geltenden Rechts, insbesondere geltenden Datenschutzrechts. Der Verantwortliche ist verpflichtet, dies sowohl vertraglich wie auch in der Praxis zu prüfen und zu kontrollieren.
Grundlage für die Auftragsverarbeitung ist vor allem Art. 28 DSGVO. Hier sind die wesentlichen Rechtsgrundlagen enthalten:
Artikel 28 Auftragsverarbeiter
Art. 28 DSGVO fordert von Unternehmen, die als Auftragsverarbeiter für Dritte tätig sind, die gleiche Sorgfalt und Rechtskonformität, wie vom Verantwortlichen selbst. Der Verantwortliche ist verpflichtet, die Einhaltung datenschutzrechtlicher Vorgaben zu prüfen. Art. 28 DSGVO sieht insbesondere vor, dass der Auftragsverarbeiter
dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.
Art. 28 DSGVO – Auszug
Zu diesen Informationen, die der Auftragsverarbeiter zur Verfügung stellt, können gehören:
- Datenschutzaudits
- Zertifizierungen nach Art. 42 DSGVO
- weitere Unterlagen und
- Kontrollen vor Ort
Die Praxis
Nicht selten erleben wir in der Praxis unserer täglichen Arbeit, dass es ein mühsames Unterfangen sein kann, von Auftragsverarbeitern die benötigten Informationen und Unterlagen zu erlangen. Mitunter enthalten schon die grundlegenden Verträge Lücken, die dann geschlossen werden müssen. Wenn beispielsweise ein Auftragsverarbeiter ein unangemessen hohes Entgelt für eine Kontrolle vor Ort erwartet, dann ist das ein deutlicher Hinweis darauf, dass er genau dieses Recht des Verantwortlichen unterlaufen möchte.
Oder der Vertrag zur Auftragsverarbeitung enthält inakzeptable Regelungen für die Genehmigung von Subauftragnehmern, um nur zwei mögliche Beispiele für problematische Vertragsgestaltungen zu nennen.
Datenschutz und Datensicherheit – mehr als nur Recht
Aus der Sicht von Verantwortlichen ist der Einsatz unzuverlässiger Auftragsverarbeiter ein unkalkulierbares Risiko und abzulehnen. Umgekehrt können Auftragsverarbeiter ihre (potentiellen) Kunden mit einer sauberen Vertragsgestaltung, einer sorgfältigen Pflichtdokumentation, klar definierten Prozessen und Kommunikationskanälen und, sofern verfügbar, Audits und Zertifizierungen, überzeugen. Bei der Auftragsverarbeitung geht es nicht zuletzt um die Herstellung von Vertrauen.
Angebot
Sie haben Fragen? In einem kostenfreien telefonischen Erstgespräch evaluieren wir Ihren möglichen Beratungsbedarf. Nutzen Sie einfach unser Formular auf dieser Seite oder rufen uns gleich an.