1. Home
  2. News
  3. Kontrolle der Auftragsverarbeiter
  • Infobriefe 01/2021

Kontrolle der Auftragsverarbeiter

Sie setzen Auftragsverarbeiter ein? Dann müssen Sie diese regelmäßig kontrollieren gemäß Art. 28 III 2 lit. h DSGVO! Als Auftraggeber bleiben Sie verantwortlich für alle Datenverarbeitungen, die durch den Dienstleister durchgeführt werden, und haften gegenüber den Betroffenen für eventuelle Schäden, die durch den Auftragsverarbeiter verursacht werden könnten. Ihre Haftung bleibt von ggf. bestehenden Regress-Forderungen an den Dienstleister unberührt.

Pflicht zur Kontrolle des Auftragsverarbeiters

Als Auftraggeber haben Sie nicht nur das Recht Ihre Auftragsverarbeiter zu kontrollieren (Art. 28 III 2 lit. h DSGVO) sondern auch die Pflicht.

Denn Art. 28 I DSGVO erlaubt nur die Zusammenarbeit mit solchen Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

Um dieser Pflicht nachzukommen, reicht weder der Abschluss eines Auftragsverarbeitungsvertrags aus noch die einmalige Kontrolle. Vielmehr hat die DSGVO eine laufende Kontrollverpflichtung verankert (Auftragskontrolle). Sie müssen das aktuelle Datenschutzniveau des Auftragsverarbeiters prüfen und ggf. Änderungen der technischen und organisatorischen Maßnahmen bewerten.

Eine Verletzung dieser Pflicht kann nach Art. 83 IV lit. a DSGVO mit einem Bußgeld geahndet werden.

Inhalt der Kontrolle

Die Schutzziele der DSGVO sind nur mittels eines vollumfänglichen Datenschutzmanagements zu erreichen, weshalb diese grundsätzlichen Vorgaben beim Auftragsverarbeiter überprüft werden sollten. Als Auftraggeber sollten Sie insbesondere folgendes prüfen:

  • Vertraulichkeit Ihrer Daten, also wie wird sichergestellt, dass Dritte nicht unbefugt von Ihren Daten Kenntnis erlangen können. (Schutz der Vertraulichkeit ihrer Daten)
  • Integrität Ihrer Daten, also wie wird sichergestellt, dass die Daten nicht (nachträglich) unautorisiert modifiziert werden können.
  • Verfügbarkeit und Belastbarkeit der Systeme (also Sicherung der Datenverarbeitungsprozesse, Speicherung der Daten, Backup-Verfahren, Art und Weise der Archivierung, Sicherstellung der Widerstandsfähigkeit der IT).

Vor der Durchführung der Kontrolle des Auftragsverarbeiters sollten Sie überprüfen, ob Ihre Dienstleisterliste noch aktuell ist.

Häufigkeit und Art der Kontrolle

Aus der DSGVO ergibt sich nicht, wie oft der Auftragsverarbeiter kontrolliert werden muss. Im Hinblick auf das Risiko der Verarbeitung sind geeignete Zeitspannen festzusetzen, innerhalb derer der Auftragsverarbeiter regelmäßig geprüft wird. Im Grundsatz gilt, je kritischer die Auftragsverarbeitung, desto häufiger ist eine Kontrolle notwendig. In der Regel sollte alle ein bis zwei Jahre eine Kontrolle durchgeführt werden.

Die DSGVO schreibt auch die Art der Kontrolle nicht vor, daher sind verschiedene Kontrollmittel zulässig, z B.:

  • Die Selbstbewertung des Auftragsverarbeiters anhand einer Checkliste
  • Die Kontrolle Vor-Ort
  • Die Überprüfung durch eine dritte Stelle (z.B. durch Ihren Datenschutzbeauftragten)
  • Vorlage von aktuellen Zertifizierungen
  • Auskünfte des Datenschutzbeauftragten des Auftragsverarbeiters

Wir haben für Sie eine Checkliste erstellt, die alle relevanten Prüfungspunkte enthält, die Sie an Ihren Auftragsverarbeiter senden können. Bei Bedarf versenden wir die Checkliste und übernehmen die weitere Kommunikation mit Ihren Dienstleistern. Die Checkliste finden Sie in myGindat unter Punkt 9.07 in Ihrem Gesamtpaket.

Ergebnis der Kontrolle

Am Ende der Kontrolle muss bewertet werden, ob der Auftragsverarbeiter die vertraglich zugesicherten Garantien zum Schutz Ihrer Daten einhält. Ist das nicht der Fall, ist der Auftragsverarbeiter zur Umsetzung aufzufordern, andernfalls sollte die geschäftliche Beziehung beendet werden. Denn Sie haften als verantwortliche Stelle zumindest teilweise für Schäden, die der Auftragsverarbeiter verursacht.

Prüfpflicht des Datenschutzbeauftragten

Als bestellte Datenschutzbeauftragte haben wir gemäß Art. 39 I b DSGVO eine Prüfpflicht. Daher überprüfen wir, ob Sie die Auftragskontrolle auch durchgeführt haben.

Unterstützung durch den Datenschutzbeauftragten

Der Datenschutzbeauftragte kann Sie bei der Kontrolle des Auftragsverarbeiters umfassend unterstützen. Dazu gehören u. a. folgende Leistungen:

  • Bewertung der Auftragsverarbeiter im Hinblick auf die Kritikalität der Auftragsverarbeitungen. Diese Bewertung ist erforderlich um die Häufigkeit der Kontrollen festlegen zu können.
  • Kontaktaufnahme mit Ihren Auftragsverarbeitern und Versendung der Checkliste in Ihrem Auftrag
  • Dokumentation der Kontrollen

Das Gebot der Nachweisbarkeit nach Art. 24 I1, Art. 5 II DSGVO verlangt, dass Sie die Kontrolle des Auftragsverarbeiters dokumentieren (z.B. Art der Kontrolle, Ergebnisse, welche Nachweise hat der Auftragsverarbeiter erbracht)

  • Datenschutzrechtliche Bewertung der Kontrollergebnisse mit anschließender Handlungsempfehlung

Bitte teilen Sie uns mit, ob Sie die Auftragskontrolle selbständig durchführen oder ob Sie unsere Unterstützung benötigen.

About Cookies

This website uses cookies. Those have two functions: On the one hand they are providing basic functionality for this website. On the other hand they allow us to improve our content for you by saving and analyzing anonymized user data. You can redraw your consent to to using these cookies at any time. Find more information regarding cookies on our Data Protection Declaration and regarding us on the Imprint.
Mandatory

These cookies are needed for a smooth operation of our website.

Name Purpose Lifetime Type Provider
CookieConsent Saves your consent to using cookies. 1 year HTML Website
fe_typo_user Assigns your browser to a session on the server. session HTTP Website
PHPSESSID Temporary cookies which is required by PHP to temporarily store data. session HTTP Website
__cfduid missing translation: trackingobject.__cfduid.desc 30 missing translation: duration.days-session HTTP Cloudflare/ report-uri.com
Statistics

With the help of these statistics cookies we check how visitors interact with our website. The information is collected anonymously.

Name Purpose Lifetime Type Provider
_pk_id Used to store a few details about the user such as the unique visitor ID. 13 months HTML Matomo
_pk_ref Used to store the attribution information, the referrer initially used to visit the website. 6 months HTML Matomo
_pk_ses Short lived cookie used to temporarily store data for the visit. 30 minutes HTML Matomo
_pk_cvar Short lived cookie used to temporarily store data for the visit. 30 minutes HTML Matomo
MATOMO_SESSID Temporary cookies which is set when the Matomo Out-out is used. session HTTP Matomo
_pk_testcookie missing translation: trackingobject._pk_testcookie.desc session HTML Matomo