1. Home
  2. News
  3. Kontrolle der Auftragsverarbeiter
  • Infobriefe 01/2021

Kontrolle der Auftragsverarbeiter

Sie setzen Auftragsverarbeiter ein? Dann müssen Sie diese regelmäßig kontrollieren gemäß Art. 28 III 2 lit. h DSGVO! Als Auftraggeber bleiben Sie verantwortlich für alle Datenverarbeitungen, die durch den Dienstleister durchgeführt werden, und haften gegenüber den Betroffenen für eventuelle Schäden, die durch den Auftragsverarbeiter verursacht werden könnten. Ihre Haftung bleibt von ggf. bestehenden Regress-Forderungen an den Dienstleister unberührt.

Pflicht zur Kontrolle des Auftragsverarbeiters

Als Auftraggeber haben Sie nicht nur das Recht Ihre Auftragsverarbeiter zu kontrollieren (Art. 28 III 2 lit. h DSGVO) sondern auch die Pflicht.

Denn Art. 28 I DSGVO erlaubt nur die Zusammenarbeit mit solchen Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

Um dieser Pflicht nachzukommen, reicht weder der Abschluss eines Auftragsverarbeitungsvertrags aus noch die einmalige Kontrolle. Vielmehr hat die DSGVO eine laufende Kontrollverpflichtung verankert (Auftragskontrolle). Sie müssen das aktuelle Datenschutzniveau des Auftragsverarbeiters prüfen und ggf. Änderungen der technischen und organisatorischen Maßnahmen bewerten.

Eine Verletzung dieser Pflicht kann nach Art. 83 IV lit. a DSGVO mit einem Bußgeld geahndet werden.

Inhalt der Kontrolle

Die Schutzziele der DSGVO sind nur mittels eines vollumfänglichen Datenschutzmanagements zu erreichen, weshalb diese grundsätzlichen Vorgaben beim Auftragsverarbeiter überprüft werden sollten. Als Auftraggeber sollten Sie insbesondere folgendes prüfen:

  • Vertraulichkeit Ihrer Daten, also wie wird sichergestellt, dass Dritte nicht unbefugt von Ihren Daten Kenntnis erlangen können. (Schutz der Vertraulichkeit ihrer Daten)
  • Integrität Ihrer Daten, also wie wird sichergestellt, dass die Daten nicht (nachträglich) unautorisiert modifiziert werden können.
  • Verfügbarkeit und Belastbarkeit der Systeme (also Sicherung der Datenverarbeitungsprozesse, Speicherung der Daten, Backup-Verfahren, Art und Weise der Archivierung, Sicherstellung der Widerstandsfähigkeit der IT).

Vor der Durchführung der Kontrolle des Auftragsverarbeiters sollten Sie überprüfen, ob Ihre Dienstleisterliste noch aktuell ist.

Häufigkeit und Art der Kontrolle

Aus der DSGVO ergibt sich nicht, wie oft der Auftragsverarbeiter kontrolliert werden muss. Im Hinblick auf das Risiko der Verarbeitung sind geeignete Zeitspannen festzusetzen, innerhalb derer der Auftragsverarbeiter regelmäßig geprüft wird. Im Grundsatz gilt, je kritischer die Auftragsverarbeitung, desto häufiger ist eine Kontrolle notwendig. In der Regel sollte alle ein bis zwei Jahre eine Kontrolle durchgeführt werden.

Die DSGVO schreibt auch die Art der Kontrolle nicht vor, daher sind verschiedene Kontrollmittel zulässig, z B.:

  • Die Selbstbewertung des Auftragsverarbeiters anhand einer Checkliste
  • Die Kontrolle Vor-Ort
  • Die Überprüfung durch eine dritte Stelle (z.B. durch Ihren Datenschutzbeauftragten)
  • Vorlage von aktuellen Zertifizierungen
  • Auskünfte des Datenschutzbeauftragten des Auftragsverarbeiters

Wir haben für Sie eine Checkliste erstellt, die alle relevanten Prüfungspunkte enthält, die Sie an Ihren Auftragsverarbeiter senden können. Bei Bedarf versenden wir die Checkliste und übernehmen die weitere Kommunikation mit Ihren Dienstleistern. Die Checkliste finden Sie in myGindat unter Punkt 9.07 in Ihrem Gesamtpaket.

Ergebnis der Kontrolle

Am Ende der Kontrolle muss bewertet werden, ob der Auftragsverarbeiter die vertraglich zugesicherten Garantien zum Schutz Ihrer Daten einhält. Ist das nicht der Fall, ist der Auftragsverarbeiter zur Umsetzung aufzufordern, andernfalls sollte die geschäftliche Beziehung beendet werden. Denn Sie haften als verantwortliche Stelle zumindest teilweise für Schäden, die der Auftragsverarbeiter verursacht.

Prüfpflicht des Datenschutzbeauftragten

Als bestellte Datenschutzbeauftragte haben wir gemäß Art. 39 I b DSGVO eine Prüfpflicht. Daher überprüfen wir, ob Sie die Auftragskontrolle auch durchgeführt haben.

Unterstützung durch den Datenschutzbeauftragten

Der Datenschutzbeauftragte kann Sie bei der Kontrolle des Auftragsverarbeiters umfassend unterstützen. Dazu gehören u. a. folgende Leistungen:

  • Bewertung der Auftragsverarbeiter im Hinblick auf die Kritikalität der Auftragsverarbeitungen. Diese Bewertung ist erforderlich um die Häufigkeit der Kontrollen festlegen zu können.
  • Kontaktaufnahme mit Ihren Auftragsverarbeitern und Versendung der Checkliste in Ihrem Auftrag
  • Dokumentation der Kontrollen

Das Gebot der Nachweisbarkeit nach Art. 24 I1, Art. 5 II DSGVO verlangt, dass Sie die Kontrolle des Auftragsverarbeiters dokumentieren (z.B. Art der Kontrolle, Ergebnisse, welche Nachweise hat der Auftragsverarbeiter erbracht)

  • Datenschutzrechtliche Bewertung der Kontrollergebnisse mit anschließender Handlungsempfehlung

Bitte teilen Sie uns mit, ob Sie die Auftragskontrolle selbständig durchführen oder ob Sie unsere Unterstützung benötigen.

Hinweis zu Cookies

Unsere Website verwendet Cookies. Einige davon sind technisch notwendig für die Funktionalität unserer Website und daher nicht zustimmungspflichtig. Darüber hinaus setzen wir Cookies, mit denen wir Statistiken über die Nutzung unserer Website führen. Hierzu werden anonymisierte Daten von Besuchern gesammelt und ausgewertet. Eine Weitergabe von Daten an Dritte findet ausdrücklich nicht statt.

Ihr Einverständnis in die Verwendung der Cookies können Sie jederzeit widerrufen. In unserer Datenschutzerklärung finden Sie weitere Informationen zu Cookies und Datenverarbeitung auf dieser Website. Beachten Sie auch unser Impressum.

Technisch notwendig

Diese Cookies sind für die einwandfreie Funktion der Website erforderlich und können daher nicht abgewählt werden. Sie zählen nicht zu den zustimmungspflichtigen Cookies nach der DSGVO.

Name Zweck Ablauf Typ Anbieter
CookieConsent Speichert Ihre Einwilligung zur Verwendung von Cookies. 1 Jahr HTML Website
fe_typo_user Dieser Cookie wird gesetzt, wenn Sie sich im Bereich myGINDAT anmelden. Session HTTP Website
PHPSESSID Kurzzeitiger Cookie, der von PHP zum zwischenzeitlichen Speichern von Daten benötigt wird. Session HTTP Website
__cfduid Wir verwenden eine "Content Security Policy", um die Sicherheit unserer Website zu verbessern. Bei potenziellen Verstößen gegen diese Policy wird ein anonymer Bericht an den Webservice report-uri.com gesendet. Dieser Webservice lässt über seinen Anbieter Cloudflare diesen Cookie setzen, um vertrauenswürdigen Web-Traffic zu identifizieren. Der Cookie wird nur kurzzeitig im Falle einer Bericht-Übermittlung auf der aktuellen Webseite gesetzt. 30 Tage/ Session HTTP Cloudflare/ report-uri.com
Statistiken

Mit Hilfe dieser Statistik-Cookies prüfen wir, wie Besucher mit unserer Website interagieren. Die Informationen werden anonymisiert gesammelt.

Name Zweck Ablauf Typ Anbieter
_pk_id Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern. 13 Monate HTML Matomo
_pk_ref Wird verwendet, um die Informationen der Herkunftswebsite des Benutzers zu speichern. 6 Monate HTML Matomo
_pk_ses Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
_pk_cvar Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
MATOMO_SESSID Kurzzeitiger Cookie, der bei Verwendung des Matomo Opt-Out gesetzt wird. Session HTTP Matomo
_pk_testcookie Kurzzeitiger Cookie der prüft, ob der Browser Cookies akzeptiert. Session HTML Matomo