Auswahl neuer Auftragsverarbeiter – Was gilt es zu beachten?

Artikel von Dr. Datenschutz·20. Juli 2018

Unternehmen setzen ständig neue Dienstleister ein, die personenbezogene Daten im Auftrag verarbeiten. Nachdem wir uns angeschaut haben, wann man einen Auftragsverarbeitungsvertrag mit einem Dienstleister braucht, beschäftigen wir uns nun mit der Frage, was bei der Auswahl neuer Auftragsverarbeiter zu beachten ist.

Der Inhalt im Überblick

Der Verantwortliche hat die Auswahlverantwortung
Vorprüfung verhindert spätere Probleme

Der Verantwortliche hat die Auswahlverantwortung

Setzt ein Verantwortlicher einen Auftragsverarbeiter ein, so trifft ihn eine Auswahlverantwortung. Der Verantwortliche muss nach Art. 28 Abs.1 DSGVO insbesondere überprüfen, ob der Auftragsverarbeiter hinreichende Garantien dafür bietet, dass er geeignete technische und organisatorische Maßnahmen getroffen hat, um die Verarbeitung im Einklang mit den Anforderungen der Datenschutz-Grundverordnung durchzuführen und dadurch der Schutz der Rechte der betroffenen Person gewährleistet wird.

In Erwägungsgrund 81 wird diese Anforderung noch weiter präzisiert:

„Damit die Anforderungen dieser Verordnung in Bezug auf die vom Auftragsverarbeiter im Namen des Verantwortlichen vorzunehmende Verarbeitung eingehalten werden, sollte ein Verantwortlicher, der einen Auftragsverarbeiter mit Verarbeitungstätigkeiten betrauen will, nur Auftragsverarbeiter heranziehen, die – insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen – hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen – auch für die Sicherheit der Verarbeitung – getroffen werden, die den Anforderungen dieser Verordnung genügen.“

Viele Unternehmen haben sich in der Vergangenheit bei der Auswahl neuer Dienstleister vorwiegend auf zwei Kriterien konzentriert: das Angebot des Dienstleisters und der Preis für die Dienstleistung. Datenschutzrechtlichen Aspekten wurde bei der Auswahl häufig eher eine geringere Bedeutung beigemessen. Im Folgenden gehen wir auf einige Kriterien ein, die bei der Auswahl neuer Auftragsverarbeiter in datenschutzrechtlicher Hinsicht beachtet werden sollten.

Sitz des Dienstleisters

Bei der Auswahl eines neuen Dienstleister ist darauf zu achten, wo dieser Dienstleister seinen Sitz hat. Grund dafür sind die besonderen Anforderungen der DSGVO für den internationalen Datentransfer. Werden Daten in ein Land außerhalb der Europäische Union (EU) bzw. des Europäischer Wirtschaftsraum (EWR) übermittelt, sind geeignete Garantien erforderlich, um ein angemessenes Datenschutzniveau im Drittland zu gewährleisten. Im Einzelfall können diese Garantien fehlen oder der Fortbestand bestimmter Garantien (wie z.B. des EU-US Privacy Shield) ist umstritten. Natürlich gibt es aber auch Fälle, bei denen nur ein Dienstleister in einem Drittland in Frage kommt. Beispielsweise dann, wenn sich innerhalb der EU kein Dienstleister mit einer vergleichbaren Leistung findet. Hier gilt es bereits vor Beauftragung des Dienstleisters zu prüfen, ob und wie ein hinreichendes Datenschutzniveau garantiert wird. Häufig finden sich hierzu bereits nähere Informationen auf der Webseite des Dienstleisters. Hier kann und sollte auch der Datenschutzbeauftragte eingebunden werden, wenn Unsicherheiten bestehen. Eine klärende Besprechung kann hilfreich sein, um mit dem Dienstleister eine datenschutzkonforme Lösung zu finden.

Datensicherheit

Bei der Auswahl eines Dienstleisters muss sich der Verantwortliche insbesondere vergewissern, dass dieser hinreichende technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit getroffen hat. Anhaltspunkte können auch entsprechende Zertifizierungen des Dienstleisters sein. Wird kein oder nur ein unzureichender Nachweis der technischen und organisatorischen Maßnahmen zur Datensicherheit erbracht, ist der Einsatz des Dienstleisters nicht zu empfehlen.

Risikobewertung

Bei der Auswahl des Dienstleisters ist grundsätzlich auch eine Risikobewertung durchzuführen. Je nachdem welche Daten der Dienstleister im Auftrag verarbeitet, sind die Anforderungen an den Dienstleister höher oder geringer. Verarbeitet der Dienstleister z.B. sensible Personaldaten oder Gesundheitsdaten, sind auch höhere Anforderungen an die getroffenen technischen und organisatorischen Maßnahmen zu stellen.

Subunternehmer

Es sollte weiterhin geprüft werden, ob die vom Dienstleister eingesetzten Subunternehmer hinreichend transparent sind. Hier findet man häufig unvollständige Angaben. So werden etwa die Adresse und das Land der Subunternehmer nicht angegeben. Besonders problematisch kann der Sitz von Subunternehmern in Drittländern sein. Hier sind eine Vielzahl von Fallgruppen möglich. Der Düsseldorfer Kreis, ein informelles Gremium der Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich, hat hierzu vor vielen Jahren eine entsprechende Handreichung veröffentlicht. Hier bleibt abzuwarten, wie die Aufsichtsbehörden diese Fallgruppen unter der DSGVO bewerten.

Vereinbarung zur Auftragsverarbeitung

Die Vereinbarung zur Auftragsverarbeitung des Dienstleisters sollte – wenn keine eigene Vereinbarung zum Einsatz kommt – so früh wie möglich angefordert werden. Oft zeigt sich an der Vereinbarung bereits, wie professionell der Dienstleister mit dem Thema Datenschutz umgeht.

Ein besonderes Augenmerk sollte bei der Vertragsprüfung insbesondere auf folgende Punkte gelegt werden:

Erfüllung des gesetzlichen Mindestinhalts
Präzise und vollständige Angaben, insbesondere zu: Datenkategorien, Betroffenenkategorien, Zweck, Gegenstand, Dauer
Enthaltene nachteilige Kostentragungs- und Haftungsklauseln
Detaillierte und vollständige Beschreibung der technischen und organisatorischen Maßnahmen, sowie die Vorlage von Nachweisen

Vorprüfung verhindert spätere Probleme

Eine gute Vorprüfung vor der Auswahl eines Dienstleisters verhindert, dass es später zu ungewollten Überraschungen kommt. Besteht noch kein zivilrechtlicher Vertrag mit einem potentiellen Dienstleister, so besteht regelmäßig auch bei datenschutzrechtlichen Fragen ein größerer Verhandlungsspielraum. Die Investition von Zeit und Ressourcen bei der Auswahl zahlt sich regelmäßig im laufenden Vertragsverhältnis aus. Findet hier eine sorgfältige Vorprüfung statt, dann wird ein späterer Wechsel des Dienstleister aus datenschutzrechtlichen Gründen unwahrscheinlicher und auch die Erfüllung der gesetzlichen Verpflichtungen gestaltet sich wesentlich einfacher. Darum prüfe, wer sich (ewig) bindet!

- Art. 28 DSGVO
  Auftragsverarbeitung und der Einsatz von SubunternehmernFachbeitrag·27. Januar 2021
- Die Auftragskontrolle in der DSGVOFachbeitrag·7. September 2020
- Aufsichtsbehörde: Microsoft Teams ist rechtswidrig! – Wirklich?Fachbeitrag·9. Juli 2020
Mehr zum Thema
- Auftragsverarbeitung
  Freelancer und ihre datenschutzrechtliche VerantwortungFachbeitrag·31. Januar 2024
- Schule 2.0: Einführung von digitalen KlassenbüchernFachbeitrag·5. Dezember 2023
- LinkedIn: Auftragsverarbeitung oder gemeinsame Verantwortung?Fachbeitrag·7. November 2023
Mehr zum Thema
- Dienstleister
  Mindestanforderung an ein Backup-Konzept als TOM laut HBDIFachbeitrag·5. Februar 2024
- 10 Chancen bei der Einführung eines ISMSFachbeitrag·26. Mai 2023
- ISO 27701: Auftraggeber-Management und KundenzufriedenheitFachbeitrag·25. März 2022
Mehr zum Thema
- internationaler Datenschutz
  China: Neue Erleichterungen bei internationalen DatentransfersNews·11. April 2024
- Internationale Datentransfers: EDSA-Empfehlungen zu BCRFachbeitrag·29. Juni 2023
- China: Neue SCC für internationale DatentransfersFachbeitrag·15. März 2023
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.