Auftragsverarbeitung - Zuweisung verschiedener Rollen und deren Folgen

Auftragsverarbeiter und Verantwortlicher

Die Datenschutzgrundverordnung hat ein Novum mit sich gebracht: Sie hat Auftragsverarbeitern Verpflichtungen unmittelbarer Natur auferlegt. Dazu gehört, dass der Auftragsverarbeiter dafür zu sorgen hat, dass alle Personen, die personenbezogene Daten verarbeiten dürfen, sich dazu verpflichtet haben, alle Informationen vertraulich zu behandeln. Außerdem muss der Auftragsverarbeiter ein Verzeichnis anlegen, in dem alle Kategorien der unterschiedlichen Verarbeitungstätigkeiten verzeichnet sind, und sowohl technische als auch organisatorische Vorkehrungen zum Schutz der personenbezogenen Daten treffen. Wird der Schutz dieser Daten verletzt, hat der Auftragsverarbeiter, sobald er davon Kenntnis erlangt hat, den Verantwortlichen darüber zu informieren. Nicht zu vergessen ist auch, dass der Auftragsverarbeiter – wenn bestimmte Bedingungen erfüllt sind – einen Beauftragten für den Datenschutz benennen muss.

Beachtung der Vorschriften sicherstellen

Ferner sind sowohl vom Auftragsverarbeiter als auch vom Verantwortlichen die Vorschriften zu beachten, die gelten, wenn Daten in Drittländer übermittelt werden. Der Europäische Datenschutzausschuss vertritt hierzu die Meinung, dass die Datenschutzgrundverordnung für den Vertrag zwischen Auftragsverarbeiter und Verantwortlichen zwar konkrete Inhalte vorsieht, dass sie Auftragsverarbeitern dennoch unmittelbare Pflichten zuschreibt, zu denen auch die Pflicht gehört, die Verantwortlichen zu unterstützen, wenn es darum geht, die Beachtung der Vorschriften sicherzustellen.

Den Auftragsverarbeiter auswählen

Wer Verantwortlicher für die Verarbeitung personenbezogener Daten ist, muss dafür sorgen, dass er ausschließlich mit solchen Auftragsverarbeitern zusammenarbeitet, die in ausreichendem Maß garantieren können, dass organisatorische und technische Maßnahmen ergriffen werden, damit die Datenverarbeitung zum einen den Anforderungen der Datenschutzgrundverordnung – auch im Hinblick auf die Sicherheit – entspricht und damit zum anderen der Schutz der Betroffenenrechte gewahrt ist.

Ob der Auftragsverarbeiter ausreichende Garantien bietet, muss der Verantwortliche beurteilen. Dabei sollte er stets den Nachweis erbringen können, dass er sämtliche Aspekte, die von der Datenschutzgrundverordnung in diesem Kontext vorgesehen sind, nach bestem Wissen und Gewissen berücksichtigt hat.

Garantien des Auftragsverarbeiters

Bei den vom Auftragsverarbeiter gewährten Garantien handelt es um die Garantien, die von ihm nachgewiesen werden, um den Ansprüchen des Verantwortlichen zu genügen. Es sind nur diese Garantien, die vom Verantwortlichen berücksichtigt und geprüft werden können, um seine Pflicht zu erfüllen. Aus diesem Grund werden dazu vielfach weitere Unterlagen ausgetauscht und herangezogen: Dabei kann es sich um das Verzeichnis der Verarbeitungstätigkeiten, um Dienstleistungsbedingungen, Datenschutzauditberichte von Externen, die Datenschutzerklärung, Dokumentenmanagement-Richtlinien, anerkannte Zertifizierungen oder Informationssicherheitskonzepte handeln.

Betrachtung des Einzelfalls

Eine komplette Liste der erforderlichen Maßnahmen und Dokumente, die Teil der Prüfung durch den Verantwortlichen sein sollen und die er gegebenenfalls nachweisen muss, kann der Europäische Datenschutzausschuss nicht zur Verfügung stellen, weil Umfang und Art der zu prüfenden Aspekte von den jeweiligen Umständen der Datenverarbeitung abhängen: Ob die Garantien des Auftragsverarbeiters ausreichen, ist eine vom Verantwortlichen durchzuführende Beurteilung des Risikos, die in besonderem Maße von der Art der Datenverarbeitung abhängt, mit der der Auftragsverarbeiter beauftragt wurde. Daher müssen die Risiken anhand des Umfangs, der Art, der Zwecke und des Kontextes der Verarbeitung und insbesondere der Risiken eingeschätzt werden, die für die Freiheiten und Rechte der betroffenen natürlichen Personen entstehen.

Zu berücksichtigende Elemente

Um zu überprüfen, ob die Garantien des Auftragsverarbeiters hinreichend sind, sollte der Verantwortliche aufseiten des Auftragsverarbeiters die folgenden Aspekte berücksichtigen:

  • Fachwissen
  • Ressourcen
  • Zuverlässigkeit
  • Leumund


Zudem kann es für den Nachweis ausreichender Garantien von Relevanz sein, dass der Auftragsverarbeiter bestimmte Verhaltensregeln oder Zertifizierungsverfahren einhält. Schon aus diesem Grund ist Auftragsverarbeitern zu empfehlen, Verantwortliche hierüber sowie über Änderungen in diesen Bereichen zu informieren.

Garantien regelmäßig überprüfen

Die Verpflichtung, nur Auftragsverarbeiter einzusetzen, die ausreichende Garantien gewähren, ist dauerhafter Art. Das bedeutet, dass auch nach dem Vertragsschluss oder einer anderen rechtlichen Vereinbarung zwischen Verantwortlichem und Auftragsverarbeiter die Einhaltung der Garantien vom Verantwortlichen regelmäßig zu überprüfen sind.

Mehr Infos zur Auswahl des Auftragsverarbeiters

Wenn Sie mehr wissen wollen über die Auswahl und die Rolle des Auftragsverarbeiters, informieren wir Sie gern. Rufen Sie uns einfach unter Telefon 09122 6937302 an. Auch über Ihre Nachricht freuen wir uns sehr!

Ihr Team von Datenschutz Prinz

Mehr zum Thema Auftragsverarbeitung:


×
Bleiben Sie informiert!

Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.

Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!

 
Kinderbilder im Netz – Warum Vorsicht wichtig ist
Datenschutz stärkt das Image Ihres Unternehmens – ...

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.