Auftragsverarbeitung - Von der Vertraulichkeit bis zu organisatorischen und technischen Sicherheitsmaßnahmen
Auftragsverarbeiter muss Vertraulichkeit gewährleisten
Personen, die befugt sind, personenbezogene Daten zu verarbeiten, müssen sich verpflichten, diese Daten vertraulich zu behandeln. Eine Alternative wäre, wenn diese Personen einer vom Gesetzgeber vorgeschriebenen Pflicht zur Verschwiegenheit unterliegen. Dies hat der Auftraggeber zu gewährleisten. Auch im Auftragsverarbeitungsvertrag ist festzulegen, dass vom Auftragsverarbeiter sichergestellt wird, dass alle Personen, die er ermächtigt, personenbezogenen Daten zu verarbeiten, zu Vertraulichkeit zu verpflichten sind. Dazu ist eine vertragliche Vereinbarung hinreichend – oder aber gesetzliche Verpflichtungen, die in diesem Fall gelten.
Befugte Personen
Mit den Personen, die befugt sind, personenbezogene Daten zu verarbeiten, sind Arbeitnehmende wie Zeitarbeitskräfte gemeint. Dabei sollte aber immer darauf geachtet werden, dass nur solche Mitarbeitenden Zugang zu den betreffenden personenbezogenen Daten haben, die diese wirklich brauchen, um die Aufgaben zu erfüllen, die der Verantwortliche dem Auftragsverarbeiter übertragen hat.
Umfang der Verschwiegenheitspflicht
Die Pflicht, Vertraulichkeit zu wahren, hat den Befugten wirkungsvoll zu verbieten, dass sie vertrauliche Daten offenlegen, ohne dazu befugt zu sein. Außerdem soll die Verpflichtung so umfassend sein, dass sie erstens sämtliche personenbezogenen Daten einbezieht, die für den Verantwortlichen – in seinem Auftrag – verarbeitet werden. Zweitens soll sich die Verpflichtung zur Verschwiegenheit auch auf die Bedingungen der Verarbeitung der personenbezogenen Daten erstrecken.
Maßnahmen vertraglich dokumentieren
Laut Art. 32 Datenschutzgrundverordnung haben der Auftragsverarbeiter und der Verantwortliche sämtliche erforderliche – organisatorische und technische – Maßnahmen zur Sicherheit der personenbezogenen Daten zu ergreifen. Selbst wenn die Pflicht des Auftragsverarbeiters hierzu schon unmittelbar besteht, weil die Verarbeitung dem Geltungsbereich der Datenschutzgrundverordnung zuzuordnen ist, ist die Verpflichtung, die nach Art. 32 Datenschutzgrundverordnung nötigen Vorkehrungen zu treffen, trotzdem in den Auftragsverarbeitungsvertrag aufzunehmen, der die Verarbeitung regelt, die dem Auftragsverarbeiter vom Verantwortlichen übertragen wurde.
Ausreichend detaillierte Informationen
Dabei soll der Verarbeitungsvertrag das Regularium der Datenschutzgrundverordnung keineswegs lediglich wiederholen. Vielmehr soll er Informationen zu einigen Punkten explizit aufführen oder zumindest auf diese Informationen verweisen:
- Sicherheitsmaßnahmen, die zu ergreifen sind
- Pflicht der Auftragsverarbeiter, von dem Verantwortlichen die Zustimmung zu Änderungen einzuholen – und zwar vor Umsetzung der Änderungen
- Die Sicherheitsmaßnahmen sollen regelmäßig überprüft werden, damit sie im Hinblick auf sich verändernde Risiken angemessen bleiben.
Damit der Verantwortliche beurteilen kann, ob die Sicherheitsmaßnahmen entsprechend Art. 32 Datenschutzgrundverordnung angemessen sind, müssen diese ausreichend detailliert aufgeführt werden. Das ist auch deswegen unverzichtbar, weil der Verantwortliche sonst seine Verpflichtung, Rechenschaft über die Sicherheitsmaßnahmen abzulegen, die der Auftragsverarbeiter ergreifen muss, nicht erfüllen kann. Aus Art. 28 Abs. 3 f und h Datenschutzgrundverordnung kann die Pflicht des Auftragsverarbeiters abgeleitet werden, die jeweils Verantwortlichen zu unterstützen und alle nötigen Informationen bereitzustellen, um nachzuweisen, dass die Vorgaben eingehalten wurden.
Umfang der Weisungen unterschiedlich
Je nach Einzelfall variieren die Dimensionen der Weisungen, die der Auftragsverarbeiter vom Verantwortlichen bezüglich der Maßnahmen erhält, die durchzuführen sind. Teilweise ist der Verantwortliche in der Lage, die umzusetzenden Sicherheitsmaßnahmen detailliert und eindeutig vorzugeben. Es ist aber auch möglich, dass er lediglich das Mindestmaß der Ziele beschreibt, die in puncto Sicherheit zu erreichen sind, und den Auftragsverarbeiter zu einem genauen Vorschlag zu den Sicherheitsmaßnahmen auffordert, die umgesetzt werden sollen. Immer ist es aber der Verantwortliche, von dem der Auftragsverarbeiter die Vorgaben zu seiner Verarbeitungstätigkeit und zu den zu erreichenden Zielen bezüglich der Sicherheit erhält. Diesen Vorgaben liegt die Risiko-Beurteilung zugrunde, die der Verantwortliche erstellt und dem Auftragsverarbeiter zur Verfügung stellt. Zudem muss der Verantwortliche die Maßnahmen genehmigen, die der Auftragsverarbeiter vorschlägt. Die entsprechenden Absprachen könnten als Vertragsanhang dokumentiert werden. So oder so entscheidet der Verantwortliche über die Sicherheitsvorkehrungen und ihre wesentlichen Merkmale – entweder indem er alle Maßnahmen ausdrücklich auflistet oder indem er die Maßnahmen genehmigt, die der Auftragsverarbeiter vorschlägt.
Vorbereitung der Auftragsverarbeitung
Wenn wir Sie dabei unterstützen können, eine Vereinbarung zur Auftragsverarbeitung vorzubereiten, sind wir an Ihrer Seite. Rufen Sie uns gern unter Telefon 09122 6937302 an, wenn Sie mehr zu Verschwiegenheit und Sicherheitsmaßnahmen erfahren möchten. Oder schreiben Sie uns jetzt gleich Ihre Nachricht. Wir melden uns so schnell wie möglich bei Ihnen!
Ihr Team von Datenschutz Prinz
Mehr zum Thema Auftragsverarbeitung:
- Zusammenarbeit mit Unterauftragsverarbeitern
- Beantwortung von Anträgen
- Personenbezogene Daten auch nach Auftragsverarbeitung schützen
- Auftragsverarbeiter unterstützt Verantwortlichen bei der Erfüllung seiner Pflichten
- Prüfungen und Inspektionen
Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.
Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!
Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.
