Mauß Datenschutz GmbH
  • Über uns
  • Hinweisgebersystem
  • Websitemonitoring
  • Kontakt
  • Blog
  • Newsletter
  • Impressum
  • Datenschutzhinweise
  • Click to open the search input field Click to open the search input field Suche
  • Menü Menü
auftragsverarbeitung kontrolle juristische person als datenschutzbeauftragter

Auftragsverarbeitung – Kontrolle der (Unter-)Auftragnehmer

12. Mai 2022/von Datenschutzbeauftragter/oba

Sofern ein Verantwortlicher im Rahmen der Inanspruchnahme einer fremden Dienstleistung personenbezogene Daten durch einen Auftragsverarbeiter (Auftragnehmer) verarbeiten lässt – der Dienstleister also nicht eigenverantwortlich, wie beispielswiese ein Steuerberater oder eine Bank, handelt – schreibt die Datenschutz-Grundverordnung in Art. 28 DSGVO vor, dass zwischen dem Verantwortlichen und einem Auftragsverarbeiter ein spezieller Vertrag („Auftragsverarbeitungsvertrag“ gem. Art. 28 DSGVO, kurz AV-Vertrag oder AVV) abzuschließen ist. Dieser Vertrag regelt die Verarbeitung der personenbezogenen Daten im Auftrag des Verantwortlichen und stellt ein recht enges Korsett dar, bei dem der Auftragnehmer an die Weisungen des Auftraggebers gebunden ist.

Die Inhalte des AV-Vertrages sind gesetzlich verbindlich zumindest dem Grunde nach vorgeschrieben und in Art. 28 Abs. 3 lit. a bis h DSGVO näher geregelt. Einer dieser Punkte, der vertraglich zu regeln ist, führt jedoch immer wieder zu Fragen in der datenschutzrechtlichen Praxis. Wir reden hier über die Kontrollen der Auftragnehmer oder aber auch deren Subunternehmer durch die Verantwortlichen. Was ist hier genau zu regeln und wie müssen die Kontrollen aussehen?

Gesetzliche Regelung

Die gesetzliche Regelung bzgl. der Kontrollen des Auftragsverarbeiters durch den Verantwortlichen ist in Art. 28 Abs. 3 lit. h DSGVO in der Form zu finden, dass der zu schließende AV-Vertrag eine Regelung enthalten muss, wonach der Auftragsverarbeiter „dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der [in Art. 28 DSGVO] niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.“

Der Gesetzgeber geht also davon aus, dass der Verantwortliche Überprüfungen und Inspektionen (Kontrollen) durchführt und ein Auftragsverarbeiter diese zu ermöglichen hat, sie also auch dulden muss.

Da gemäß Art. 28 Abs. 4 ein Haupt-Auftragnehmer allen eingesetzten Unter-Auftragnehmern dieselben Datenschutzpflichten aufzuerlegen hat, die in dem AV-Vertrag zwischen dem Verantwortlichen und dem Haupt-Auftragsverarbeiter gemäß Absatz 3 festgelegt sind, sind alle eingesetzten Unter-Auftragnehmer ebenfalls verpflichtet, Kontrollen zu ermöglichen und der Verantwortliche und/oder der Haupt-Auftragsverarbeiter entsprechend berechtigt, diese Kontrollen durchzuführen.

Müssen die Kontrollen durchgeführt werden?

Wenn der Verordnungsgeber verlangt, dass dem Verantwortlichen Kontrollen zu ermöglichen sind, dieser also kontrollieren darf, ist damit die Frage, inwiefern der Verantwortliche verpflichtet wäre, solche Kontrollen durchzuführen, jedoch nicht beantwortet. Eine ausdrückliche Pflicht zur Durchführung der Kontrollen kennt die DSGVO – so seltsam es auch klingen mag – nicht. Lediglich das Recht, Kontrollen durchzuführen, muss vereinbart werden.

Eine solche Pflicht wird (nach allgemeiner Auffassung) grundsätzlich angenommen, denn das Kontrollrecht des Verantwortlichen verdichtet sich zu einer Kontrollpflicht, wenn man die Regelung des Art. 28 Abs. 3 lit. h DSGVO zusammen mit der folgenden Regelung des Art. 28 Abs. 1 DSGVO liest:

Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

Als Zwischenergebnis können wir also festhalten:
Die Pflicht, den (Haupt-)Auftragnehmer sowie die Unter-Auftragnehmer regelmäßig während des gesamten Zeitraums der Zusammenarbeit (und nicht nur zu Beginn) zu kontrollieren, kann aus Art. 28 Abs. 1 DSGVO direkt abgeleitet werden. Aber auch Art. 32 DSGVO führt mittelbar zu der Schlussfolgerung, dass zumindest ein Konzept erforderlich ist, in dessen Rahmen der Verantwortliche planen muss, wie, wie oft und welche Auftragsverarbeiter er zu kontrollieren beabsichtigt. In Art. 32 Abs. 1 lit. d DSGVO wird festgelegt, dass der Verantwortliche

ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

implementiert. Da der Verantwortliche für die gesamte Verarbeitung, einschließlich der vom Auftragsverarbeiter und eventueller Unter-Auftragsverarbeiter durchgeführten Verarbeitungen verantwortlich ist, besteht diese Verpflichtung auch für deren Tätigkeiten.

Wie muss kontrolliert werden?

Doch wie oft muss ein Verantwortlicher seine Auftragnehmer (inkl. der Unterauftragnehmer) kontrollieren und wie intensiv?

Hierzu kann uns die DSGVO mit verbindlichen Vorgaben leider nicht helfen. Der Umfang, die Intensität und die Häufigkeit der Kontrollen richten sich stets danach, wie hoch die Risiken für die betroffenen Personen sind, deren Daten verarbeitet werden. Bei Verarbeitungen, die mit hohen Risiken für Rechte und Freiheiten der betroffenen Personen verbunden sind, muss entsprechend häufiger und intensiver kontrolliert werden als bei Verarbeitungen, bei denen die Risiken für Betroffene überschaubar und nicht besonders hoch sind. So sehen die Aufsichtsbehörden eine jährliche Durchführung von Kontrollmaßnahmen bei einem normalen Risiko als angemessen an.

Die Kontrollen können als Vor-Ort-Kontrollen stattfinden, indem der Verantwortliche oder eine durch ihn beauftragte Person die Verarbeitungssituation sowie die Einhaltung der Vereinbarungen des AV-Vertrages beim jeweiligen Haupt- und/oder auch Unter-Auftragnehmer überprüft.

Die Vor-Ort-Kontrollen sind bei den Auftragsverarbeitern oder auch bei Verantwortlichen jedoch sehr unbeliebt, da sie meist sehr kostspielig sind. Die Kosten für eine Kontrolle variieren erfahrungsgemäß je nach Aufwand durchschnittlich zwischen 1.000,- und 1.500,- EUR. Insbesondere ist die Regelung der Kostenverteilung bisweilen schwierig, denn teilweise vertraten die Aufsichtsbehörden die Auffassung, dass die Durchführung der Kontrollen nicht mit der Übernahme der Kosten durch den Verantwortlichen verbunden und in einem AV-Vertrag als eine Entgeltvereinbarung nicht geregelt sein darf. Nach deren Auffassung würde dies den Verantwortlichen von der Durchführung der Kontrollen abschrecken (Abschreckungswirkung einer Kostenvereinbarung). Die Aufsicht verlangte die „Einpreisung“ erforderlicher Kontrollen in die eigentliche Leistung. Dies war und ist jedoch im Vorfeld schwierig, da Art und Umfang der Kontrollen weitestgehend vom Auftraggeber bestimmt werden können und daher im Vorfeld schlecht zu quantifizieren sind.

Inzwischen haben die Aufsichten ihre Rechtsauffassung etwas gelockert, so dass Entgeltvereinbarungen in einem AV-Vertrag nicht per se für unzulässig gehalten, sondern unter bestimmten Voraussetzungen als möglich erachtet werden (hierzu vgl. die Stellungnahme des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) vom 15.11.2021; abrufbar unter: https://www.datenschutz-bayern.de/datenschutzreform2018/aki06.html).

Für Dienstleister sind die Vor-Ort-Kontrollen auch deshalb problematisch, weil man beachten muss, dass sie unter Umständen mehrere Tausend oder gar Millionen von Kunden haben können, so dass die Kontrollen, falls sie von einer großen Zahl der Kunden vor Ort durchgeführt werden, den Geschäftsbetrieb lahmlegen und sehr hohe Kosten verursachen könnten.

Als pragmatische und praxistaugliche Lösung haben sich sogenannte Self-Assessment-Kontrollen durchgesetzt, bei denen ein Auftragsverarbeiter die an ihn seitens eines Verantwortlichen gerichteten Fragen bzgl. der zu kontrollierenden Bereiche beantwortet. Zudem kann der Auftragnehmer vorhandene Testate unabhängiger Stellen und Prüfer zum Nachweis der Umsetzung der vereinbarten Maßnahmen zur Dokumentation der Umsetzung vorlegen. Dadurch können die Kontrollen deutlich einfacher und auch günstiger gehalten werden.

Die Self-Assessment-Lösung wird durch die Aufsichtsbehörden als ein valides Mittel zur Durchführung der Kontrollen anerkannt, so dass es den Verantwortlichen und den Dienstleistern als Alternative zu den Vor-Ort-Kontrollen auch gut empfohlen werden kann.

Wie könnte ein Audit-Plan aussehen?

Die Durchführung der Auftragskontrolle könnte – grob strukturiert – wie folgt ablaufen:

  • Kontrolle der Einhaltung der im AV-Vertrag vereinbarten technischen und organisatorischen Maßnahmen (TOM), zum Beispiel durch Vorlage der oben erwähnten Testate unabhängiger Stellen
  • Kontrolle der Einhaltung der verpflichtenden Regelungen des AV-Vertrages und insbesondere:
    • Sicherstellung der Verpflichtung der Beschäftigten des Auftragsverarbeiters auf die Vertraulichkeit,
    • Kontrolle der Einhaltung der Weisungen des Verantwortlichen,
    • Vorhandensein eines Prozesses zur Erfüllung der Betroffenenrechte (Anweisung bzgl. der Weiterleitung der Anfragen betroffener Personen an den Verantwortlichen),
    • Vorhandensein eines Prozesses, der den Umgang mit Datenschutzverletzungen regelt, etc.

Sofern die Kontrollen nicht als Vor-Ort-Kontrollen organisiert sein sollen, bei denen die Auditoren ihre Fragen an den Dienstleister richten, sondern mit Fragenkatalogen (als Self-Assessment) durchgeführt werden, so wären die Fragen, die sich auf die o.g. Bereiche beziehen, möglichst präzise zu formulieren, so dass dem Auftragnehmer sofort klar wird, was von ihm verlangt wird. Denn leider sind manche Fragen erfahrungsgemäß so formuliert, dass sie ohne eine Rückfrage beim Verantwortlichen nicht ohne weiteres beantwortet werden können. Geben die im Rahmen des Self-Assessments erteilten Antworten Grund zu der Annahme, dass die beim Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen nicht ausreichen, um einen dem Risiko der Verarbeitung personenbezogener Daten angemessenen Schutz zu gewährleisten, werden Vor-Ort-Kontrollen im Nachgang allerdings unabdingbar sein.

Was passiert, wenn die Auftragskontrolle nicht oder nicht regelmäßig erfolgt?

Sofern Kontrollen gänzlich ausfallen oder wenn die Auftragsverarbeiter nicht regelmäßig kontrolliert werden, kann es dazu führen, dass die Datenschutzaufsicht aufgrund einer fehlenden regelmäßigen Kontrolle ein Bußgeld verhängen kann. Wir erinnern bei dieser Gelegenheit an die Regelung des Art. 83 Abs. 1 DSGVO, welche verlangt, dass Bußgelder in jedem Einzelfall „wirksam, verhältnismäßig und abschreckend“ sein müssen.

So war das beispielsweise in dem Fall, über den wir hier berichtet hatten, in dem die polnische Aufsichtsbehörde Urząd Ochrony Danych Osobowych (UODO) ein Bußgeld in Höhe von 460.000 EUR verhängt hatte, weil die Prüfaktivitäten des Verantwortlichen weder regelmäßig noch ausreichend waren und im Endeffekt zu zahlreichen Verletzungen des Schutzes personenbezogener Daten der betroffenen Personen führten.

Fazit

Die Kontrollen der Auftragnehmer durch den Auftraggeber sind nicht nur verpflichtend, sondern auch im eigenen Interesse des Verantwortlichen. Denn die Kontrollen beugen insbesondere möglichen Datenschutzverletzungen vor und damit nicht nur einem Bußgeld oder Schadensersatzanspruch, sondern auch einem möglichen Imageschaden. Der Imageschaden trifft vor allem den Verantwortlichen und kann durchaus sehr groß sein, wenn ein (kleiner) Dienstleister die Daten eines angesehenen Unternehmens schlecht schützt und dies aufgrund mangelhafter Kontrollen nicht auffällt.

 

https://datenschutzbeauftragter-hamburg.de/wp-content/uploads/2022/05/sailors-81781.jpg 1312 2000 Datenschutzbeauftragter/oba /wp-content/uploads/2016/06/datenschutz_hamburg_logo.png Datenschutzbeauftragter/oba2022-05-12 09:17:552023-09-14 08:58:25Auftragsverarbeitung – Kontrolle der (Unter-)Auftragnehmer
Das könnte Sie auch interessieren
Das dritte Geschlecht im Bereich des Datenschutzes
Privacy by Design und Privacy by Default
KI-VO Serie zur KI-Verordnung: KI-Kompetenz und verbotene Praktiken
datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigert verschlüsselung Verschlüsselung – meist umständlich, aber dennoch wichtig
Telemetriedaten microsoft 365 dsk verboten auskunft selfservice tool online DSK verbietet (mehr oder weniger) den Einsatz von Microsoft 365
Abmahnung uwg edsa bußgeldzumessung bußgeld leitlinien 900000 löschpflicht eugh urteil anrede Löschpflichten im Fokus: Ein teures Beispiel aus Hamburg

Bitte beachten Sie

Unsere Beiträge sind stets als allgemeine Information zu verstehen. Sie stellen die persönliche Meinung der jeweiligen Autor*innen dar und können eine professionelle Datenschutzberatung nicht ersetzen. Für die Korrektheit übernehmen wir keine Gewähr. Alle Informationen basieren auf unserem Wissensstand zum Zeitpunkt der Veröffentlichung. Sie können möglicherweise durch Rechtsprechung, Aussagen der Aufsichtsbehörden zum Datenschutz, geänderte Gesetzgebung oder ähnliches nicht mehr aktuell sein. Dies gilt insbesondere mit zunehmendem zeitlichen Abstand zum Veröffentlichungszeitpunkt.

Melden Sie sich für unseren kostenlosen Newsletter an

Abonnieren Sie unseren kostenlosen Newsletter.

Selbstverständlich können Sie sich jederzeit wieder abmelden. Für alle weiteren Details beachten Sie bitte unsere Datenschutzhinweise.

Sie erhalten in den nächsten Minuten eine E-Mail mit einem Bestätigungs-Link. Bitte prüfen Sie Ihren Posteingang und ggf. auch den Spamordner. Bitte klicken Sie den Bestätigungs-Link an, um Ihr Abonnement zu bestätigen. Erst danach ist das Abonnement aktiv. Vielen Dank für Ihr Interesse an unserem Newsletter. Mauß Datenschutz GmbH

Suchen

Search Search

Kontakt

Mauß Datenschutz GmbH

Neuer Wall 10
20354 Hamburg

Telefon:
040 / 999 99 52-0

Rechtliches

Impressum
Datenschutzhinweise

© Copyright Mauß Datenschutz GmbH | Datenschutz | Impressum | Kontakt         
Link to: IT-Sicherheit – muss es immer ein Passwort sein? Link to: IT-Sicherheit – muss es immer ein Passwort sein? IT-Sicherheit – muss es immer ein Passwort sein?datenpanne meldepflicht passwörter bsi tom fido Link to: Einwilligung zur Drittlandübermittlung nur ausnahmsweise? Link to: Einwilligung zur Drittlandübermittlung nur ausnahmsweise? gesetz rechtliche verpflichtung double opt in schrems standardvertragsklauseln scc c2p einwilligung drittstaaten transfersEinwilligung zur Drittlandübermittlung nur ausnahmsweise?
Nach oben scrollen Nach oben scrollen Nach oben scrollen