Auftragsverarbeitung kontrollieren lassen

Bei der im Auftrag durchgeführten Bearbeitung und Verarbeitung personenbezogener Daten (AVV) schreibt die Datenschutzgrundverordnung (DSGVO) vor, dass Auftraggeber und Auftragnehmer einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO abschließen müssen.

Was viele nicht wissen: Die Auftraggeber sind rechtlich auch zur Kontrolle der Auftragnehmer verpflichtet. Das heißt, Sie müssen die Auftragsverarbeitung kontrollieren lassen! Die Umsetzung dieser Überprüfungen gestaltet sich jedoch schwierig und die erforderlichen Kontrollen bleiben oft auf der Strecke.

Lernen Sie jetzt die neue Möglichkeit kennen, die Überprüfung Ihrer Dienstleister im Rahmen eines Online-Self-Assessments durchzuführen und von einer neutralen Instanz kontrollieren zu lassen.

Hinweis: Die Datenschutznorm der DSGVO gilt seit Mai 2018 und hat die sogenannte Auftragsdatenverarbeitung nach §11 BDSG abgelöst. Die neue Norm rückt den wichtigen Schutz dieser persönlichen Daten in den Fokus.

Unternehmen und Selbstständige sind für die von Ihnen erhobenen personenbezogenen Daten verantwortlich und müssen vereinbarte Auftragsverarbeitungen kontrollieren lassen

Informationen sind das Rohöl des 21. Jahrhunderts – speziell Daten über Menschen sind wertvoll und werden von diversen Unternehmen gesammelt, um sie weiterzuverkaufen. Dem Schutz der Daten gehört daher die Zukunft. Unternehmen sind allerdings selbst verantwortlich, die AVV-Anforderungen der DSGVO zu erfüllen.

Zusammenarbeit mit externen Dienstleistern ist Standard

Die Verarbeitung und Speicherung von Daten übergeben heute viele Unternehmen an externe Dienstleister, zum Beispiel gehören Cloud-Services oder IT-Dienstleister inzwischen zum Alltag. Sobald diese Tätigkeiten personenbezogene Daten beinhalten, handelt es sich um eine Auftragsverarbeitung nach Art. 28 DSGVO und die Daten sind besonders zu sichern. Die Verpflichtung, dass Auftraggeber mit den Dienstleistern einen AV-Vertrag abschließen müssen, soll das wertvolle Gut nachhaltig vor unbefugtem Zugriff schützen.

Rechtsnormen für die Verarbeitung personenbezogener Daten

Es gilt sicherzustellen, dass die Quelle hinter den Daten geschützt wird. Bei der Datenquelle kann es sich unter anderem um Kunden, Mitarbeiter, Geschäftspartner oder Lieferanten handeln.

  • Wenn Sie personenbezogene Daten zur Be- und Verarbeitung an Dritte weitergeben und die Weisungshoheit über die Be- und Verarbeitung behalten, sind Sie nach DSGVO der “Verantwortliche”. Es liegt in Ihrer Verantwortung, dass der Dienstleister mit den Daten datenschutzkonform umgeht. Unternehmen sind für ihre Kundendaten verantwortlich, ebenso Betreiber von Online-Shops, Websites und anderen E-Commerce-Plattformen.
  • Als Auftraggeber der Datenverarbeitung stehen Sie nach Art. 28 DSGVO in der Pflicht, eine Vereinbarung zur Wahrnehmung der Datenschutzkonformität abzuschließen. Relevante externe Dienstleistungen sind zum Beispiel Cloud-Angebote, das Webhosting der eigenen Internetseite, IT-Support und Aufträge zur Datenvernichtung. Darüber hinaus müssen Sie die Auftragsverarbeitung kontrollieren lassen, um den datenschutzkonformen Umgang mit den betreffenden personenbezogenen Daten nachweisen zu können.

Dieses Bild zeigt die Justitia und verdeutlich die rechtlichen Implikationen der Auftragsverarbeitung, auch AVV abgekürzt.

Beide Seiten profitieren von der AVV-Verpflichtung

Für Sie als Unternehmer gilt: Um den nachhaltigen Schutz dieser Informationen sicherzustellen, schließen Sie die Vereinbarung zur Auftragsverarbeitung mit Ihren Dienstleistern ab und vereinbaren regelmäßige Kontrollen, damit Sie die Sicherheitsmaßnahmen überprüfen können. Auf diese Weise können Sie die Auftragsverarbeitung kontrollieren lassen.

Wichtig: Die Pflicht zur aktiven Kontrolle ist gesetzlich normiert.

Für Dienstleister lohnt es sich, freiwillig eine Überprüfung durchzuführen. Auf diese Weise können sie sich als sicherer Datenverarbeiter präsentieren und sich einen Wettbewerbsvorteil verschaffen.

Fazit: Die Vereinbarung zur Auftragsverarbeitung ist für Auftraggeber und Dienstleister eine Garantie für Qualität und Sicherheit.

Die rechtlich normierte Kontrolle der Auftragsverarbeitung (AVV)

Die vereinbarten Sicherheitsanforderungen sollten von einer neutralen Instanz kontrolliert werden, nur so ist eine korrekte Umsetzung sichergestellt. Tatsächlich finden diese Kontrollen jedoch kaum statt. Der Grund liegt an der bisherigen Durchführung.

Bisher: Auftragsverarbeitung kontrollieren lassen mit Vor-Ort-Audit nach Art. 32 DSGVO

Bisherige Kontrollen der Auftragsverarbeitung erfolgen im Rahmen eines Vor-Ort-Audits und sind für den Auftraggeber meist sehr kostspielig. Die Tagessätze von Auditoren liegen bei circa 1.100 bis 1.400 Euro netto pro Kontrolle.

Für Dienstleister ist dieses Verfahren ebenso höchst unpraktisch. Diese haben meist ja nicht nur einen, sondern 50 oder 100 Kunden zu betreuen und müssten dann ständig Auditoren vor Ort empfangen, die mit Kontrollen von der eigentlichen Arbeit ablenken.

Die Folge: Da sich die Vor-Ort-Audits operativ kaum umsetzen lassen, werden die gesetzlich vorgeschriebenen Kontrollen von vielen nicht durchgeführt. Die Missachtung stellt jedoch einen Datenschutzverstoß mit Haftungsrisiko dar.

Jetzt: Auftragsverarbeitung kontrollieren lassen mit Self-Assessment und AVV-Online-Tool von Vetter Consulting

Als pragmatische Datenschützer und frei nach dem Motto „so viel wie nötig“ haben wir für Sie ein Online-Tool für Auftraggeber und Auftragnehmer entwickelt, das die Kontrolle der Auftragsverarbeitung einfach und schnell ermöglicht.

Bei dem AVV-Tool geht es um ein Online-Self-Assessment, also eine Selbstauskunft des Dienstleisters. Das Assessment besteht aus verschiedenen Fragen und wird zusammen mit aussagekräftigen Dokumenten des Dienstleisters als valider Nachweis zur Kontrolle anerkannt.

Sind die Fragen beantwortet und die Dokumente eingereicht, kontrollieren wir alles und vergleichen die Angaben mit dem vereinbarten Vertrag zur Auftragsverarbeitung (AVV). Die Ergebnisse der Analyse fassen wir in einem Bericht zusammen. Diesen Bericht erhalten beide Seiten und weisen so die regelmäßige Kontrolle der Auftragsverarbeitung nach. Zusätzlich enthält die Auswertung je nach Lage

  • praktische Verbesserungsvorschläge oder
  • klare Hinweise zur Änderung des Auftragsverhältnisses oder
  • Hinweise zur Beendigung des Verhältnisses bei Nichteinhaltung der vereinbarten Sicherheitsvorkehrungen.

Unser optimierter Kontroll-Prozess ermöglicht die Kontrolle der Auftragsverarbeitung zum Bruchteil der Kosten eines Vor-Ort-Audits. Nutzen Sie unseren AVV-Service, führen Sie regelmäßige Kontrollen durch, kommen Sie Ihrer Pflicht zur aktiven Prüfung nach und stellen Sie die Auftragsverarbeitung auf eine rechtssichere Basis. Der Ablauf:

  1. Laden Sie jetzt das kostenfreie Musterexemplar für einen Vertrag zur Auftragsverarbeitung herunter oder laden Sie Ihren zu kontrollierenden Vertrag zur Auftragsverarbeitung hoch.
  2. Nutzen Sie unseren Service mit Self-Assessment-Tool, damit Sie regelmäßig die Auftragsverarbeitung kontrollieren lassen können.

Profitieren Sie von der AVV-Lösung aus einer Hand!

FAQ zur Auftragsverarbeitung nach Artikel 28 DSGVO

Was wird unter Auftragsverarbeitung verstanden?

Die Auftragsverarbeitung ist im Rahmen der Verarbeitung personenbezogener Daten eine spezielle Form der Aufgabenübertragung. Der Verantwortliche lagert die Datenverarbeitung an einen externen Dienstleister aus.

Wann liegt eine Auftragsverarbeitung vor?

Es ist zu klären, ob ein Auftragsverhältnis vorliegt. Nach Art. 4 Nr. 7 DSGVO ist verantwortlich, wer über die Verarbeitung der personenbezogenen Daten entscheidet. Nach Art. 4Nr. 8 DSGVO ist der Auftragsverarbeiter, der im Auftrag des Verantwortlichen die personenbezogenen Daten verarbeitet.

Es handelt sich unter anderem dann um eine Auftragsverarbeitung, wenn Dienstleistungen wie das Outsourcing personenbezogener Daten in die Cloud, externe Lohn- und Gehaltsabrechnungen, IT-, Website- und E-Mail-Verwaltungen oder Dokumenten- bzw. Datenträgerentsorgungen wahrgenommen werden.

Keine Auftragsverarbeitung liegt beispielsweise bei Inkassobüros mit Forderungsübertragung, bei Bankinstituten und Geldüberweisungen und dem Brieftransport mit der Post vor. Es liegt auch dann keine Auftragsverarbeitung vor, wenn nach Art. 26 DSGVO eine gemeinsame Verantwortlichkeit gegeben ist.

Werden personenbezogene Daten wie Name, Alter und Geburtsdatum verarbeitet und ist die mit der Verarbeitung beauftragte Stelle nicht verantwortlich, dann liegt grundsätzlich die Datenverarbeitung im Auftrag nach DSGVO Art. 28 Abs. 1 vor.

Müssen der Verantwortliche und der Auftragsverarbeiter eine Vereinbarung abschließen?

Ja, für die Auftragsverarbeitung wird in der Regel ein Vertrag geschlossen oder der Auftragsverarbeiter verpflichtet sich einseitig gegenüber dem Verantwortlichen. Der Verantwortliche muss den Verarbeiter so auswählen, dass ausreichende Garantien für die korrekte technische und organisatorische Durchführung der Verarbeitung gegeben sind und die Rechte der betroffenen Personen geschützt werden können.

Muss der Auftragsverarbeiter Kontrollen ermöglichen?

Ja, der Auftragsverarbeiter muss Überprüfungen nach Art. 28 Abs. 3 Satz 2 ermöglichen. Diese Mitwirkungspflicht ist gesetzlich vorgeschrieben und darf nicht an ein gesondertes Entgelt gebunden sein. Statt aufwendiger Vor-Ort-Kontrollen sollte der Auftragsverarbeiter mit einem schlüssigen Sicherheitskonzept überzeugen, dass sich mithilfe eines Sachverständigen prüfen lässt. Unser Online-Self-Assessment-Tool ist hierfür die ideale Hilfe.

Welche Dokumentationspflichten gelten bei der Auftragsverarbeitung?

Für den Verantwortlichen und den Auftragsverarbeiter gelten Dokumentationspflichten. Der Verantwortliche muss nachweisen, dass die Verarbeitungsgrundsätze der DSGVO eingehalten werden. Er muss die Auswahlkriterien für den Auftragsverarbeiter und die Durchführung von Kontrollen dokumentieren. Zusätzlich gelten allgemeine Dokumentationspflichten, wie die Auflistung von Verarbeitungstätigkeiten. Der Auftragsverarbeiter muss ein Verzeichnis führen, das über alle Kategorien der durchgeführten Verarbeitungstätigkeiten informiert.

Haben Sie weitere Fragen zum Thema Auftragsverarbeitung kontrollieren lassen und AVV?

Dann kontaktieren Sie mich gern telefonisch unter der Nummer 0173 8947506 oder über das Kontaktformular.

Ich freue mich auf Ihre Anfrage!

Steve Vetter

Ihr Datenschutzexperte aus Dresden