Die Erkenntnis hat sich zwar schon etwas abgenutzt, aber je stärker personenbezogene Daten eine zentrale Rolle in Business-Modellen spielen, umso wichtiger ist die Einhaltung der DSGVO und weiterer Compliance-Vorgaben.
Und hier möchte ich noch nicht einmal über die KI-VO (AI Act) sprechen.
Ein oft übersehener, aber kritischer Aspekt ist dabei, ob und wie weit ein Verantwortlicher die Kontrolle über seine ausgelagerten Daten-Verarbeitungen haben kann und will.
Und da kommt die Auftragskontrolle, also die (regelmäßige) Kontrolle von Auftragsverarbeitern ins Spiel.
Ein „Auftragsverarbeiter“ ist also eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, sagt uns Art. 4 Nr. 8 DSGVO.
Und wo steht in der DSGVO, dass ich die kontrollieren muss?
Die DSGVO schreibt zwar nicht explizit die Kontrolle dieser Auftragsverarbeiter vor, aber es gibt einige Passagen, aus denen sich diese ableiten lässt (was Aufsichtsbehörden auch so sehen dürften).
Der BayLfD formuliert dies in seiner Orientierungshilfe "Auftragsverarbeitung" vom 01.04.2019 so (Zitat):
"Aus der Verantwortlichkeit für die Einhaltung der datenschutzrechtlichen Anforderungen ergibt sich die Pflicht des Verantwortlichen, den Auftragsverarbeiter im erforderlichen Umfang zu überprüfen.
Er muss sich grundsätzlich fortlaufend von der Einhaltung der zugesagten technischen und organisatorischen Maßnahmen durch den Auftragsverarbeiter überzeugen."
- Artikel 28 Absatz 1 DSGVO:
Dieser Artikel verpflichtet den Verantwortlichen, nur mit Auftragsverarbeitern zusammenzuarbeiten, "die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet."
- Artikel 28 Absatz 3 Buchstabe h DSGVO:
Hier wird explizit festgelegt, dass der Auftragsverarbeiter dem Verantwortlichen "alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen — einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt".
- Artikel 32 DSGVO:
Der "TOM-Artikel" fordert, dass "...der Verantwortliche und der Auftragsverarbeiter...geeignete technische und organisatorische Maßnahmen (treffen), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten..."
Warum sind Auftragskontrollen also wichtig?
- Compliance:
Regelmäßige Kontrollen sollen sicherstellen, dass Auftragsverarbeiter die DSGVO-Anforderungen durchgehend erfüllen. Dies hilft dabei, den Verantwortlichen gegen mögliche Bußgelder und rechtliche Konsequenzen wie Schadenersatzforderungen Betroffener abzusichern.
- Datensicherheit:
Durch Überprüfungen könn(t)en Schwachstellen in den Datenschutz- und Sicherheitsmaßnahmen der Auftragsverarbeiter (AV) frühzeitig erkannt und behoben werden. Voraussetzung ist hier natürlich, dass der AV die Kontrolle ebenso ernst nimmt, wie der Verantwortliche.
- Risikominimierung:
Die Kontrollen könn(t)en dabei helfen, potenzielle Datenschutzverletzungen zu verhindern indem sie das Risiko des Eintritts von Vorfällen reduzieren. Allein schon dadurch, dass der AV weiß, dass er kontrolliert wird und daher seine eigenen Prozesse und Maßnahmen tatsächlich im Blick haben muss.
- Aktualität:
Hört sich doof an, ist aber so. Natürlich haben sich nach ein paar Jahren Vertragsverhältnis zwischen AV und Verantwortlichem einige Punkte des ursprünglichen AV-Vertrages geändert. Das reicht von den Weisungsberechtigten bis hin zu TOM nach dem Stand der Technik.
- Aufsichtsbehörden:
Sie zeigen Ihrer Aufsichtsbehörde mit regelmäßigen Kontrollen und entsprechender Dokumentation, dass Sie Datenschutz auch bei Ihren Dienstleistern sehr ernst nehmen. Das kann natürlich nur ein positiver Punkt sein, wenn Sie nach einer nicht so ganz doll erfolgreichen Prüfung aber auch die Konsequenzen ziehen und etwa den Dienstleister wechseln.
Fazit:
Die Durchführung von Auftragskontrollen ist für beide Seiten irgendwie eine "lästige Pflicht" und wird in der Praxis viel seltener gemacht als man meinen möchte. Sie ermöglicht es Unternehmen aber auch (sofern sie das wollen), proaktiv Risiken vorzubeugen und darauf hinzuwirken, den Datenschutz kontinuierlich zu verbessern.
Tatsächlich kann ich nicht vollumfänglich einschätzen, wie weit Aufsichtsbehörden eine fehlende Auftragskontrolle als Anlass für ein Bußgeld nehmen würden.
Urteile oder entsprechende Entscheidungen dazu konnte ich bisher nicht finden (vielleicht haben Sie einen Tipp für mich? Gerne an kontakt@securiserve.de senden).
Aber wer möchte schon der "Präzedenzfall" sein?
Werbung in eigener Sache:
Bei datenschutzdocs.de finden Sie ein Muster (Fragebogen) in deutscher und englischer Sprache, das Ihnen die erste generelle Kontrolle von Auftragsverarbeitern (z.B. 12 Monate nach Abschluss des AV-Vertrages) ermöglicht. Keine vollumfängliche oder gar individuelle Kontrolle, aber der Einstieg. Sie sollten dazu individuelle Punkte des jeweiligen AV-Vertrages ergänzend abfragen.