Auswahl neuer Auftragsverarbeiter – Was gilt es zu beachten?

Fachbeitrag

Unternehmen setzen ständig neue Dienstleister ein, die personenbezogene Daten im Auftrag verarbeiten. Nachdem wir uns angeschaut haben, wann man einen Auftragsverarbeitungsvertrag mit einem Dienstleister braucht, beschäftigen wir uns nun mit der Frage, was bei der Auswahl neuer Auftragsverarbeiter zu beachten ist.

Der Verantwortliche hat die Auswahlverantwortung

Setzt ein Verantwortlicher einen Auftragsverarbeiter ein, so trifft ihn eine Auswahlverantwortung. Der Verantwortliche muss nach Art. 28 Abs.1 DSGVO insbesondere überprüfen, ob der Auftragsverarbeiter hinreichende Garantien dafür bietet, dass er geeignete technische und organisatorische Maßnahmen getroffen hat, um die Verarbeitung im Einklang mit den Anforderungen der Datenschutz-Grundverordnung durchzuführen und dadurch der Schutz der Rechte der betroffenen Person gewährleistet wird.

In Erwägungsgrund 81 wird diese Anforderung noch weiter präzisiert:

„Damit die Anforderungen dieser Verordnung in Bezug auf die vom Auftragsverarbeiter im Namen des Verantwortlichen vorzunehmende Verarbeitung eingehalten werden, sollte ein Verantwortlicher, der einen Auftragsverarbeiter mit Verarbeitungstätigkeiten betrauen will, nur Auftragsverarbeiter heranziehen, die – insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen – hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen – auch für die Sicherheit der Verarbeitung – getroffen werden, die den Anforderungen dieser Verordnung genügen.“

Viele Unternehmen haben sich in der Vergangenheit bei der Auswahl neuer Dienstleister vorwiegend auf zwei Kriterien konzentriert: das Angebot des Dienstleisters und der Preis für die Dienstleistung. Datenschutzrechtlichen Aspekten wurde bei der Auswahl häufig eher eine geringere Bedeutung beigemessen. Im Folgenden gehen wir auf einige Kriterien ein, die bei der Auswahl neuer Auftragsverarbeiter in datenschutzrechtlicher Hinsicht beachtet werden sollten.

Sitz des Dienstleisters

Bei der Auswahl eines neuen Dienstleister ist darauf zu achten, wo dieser Dienstleister seinen Sitz hat. Grund dafür sind die besonderen Anforderungen der DSGVO für den internationalen Datentransfer. Werden Daten in ein Land außerhalb der Europäische Union (EU) bzw. des Europäischer Wirtschaftsraum (EWR) übermittelt, sind geeignete Garantien erforderlich, um ein angemessenes Datenschutzniveau im Drittland zu gewährleisten. Im Einzelfall können diese Garantien fehlen oder der Fortbestand bestimmter Garantien (wie z.B. des EU-US Privacy Shield) ist umstritten. Natürlich gibt es aber auch Fälle, bei denen nur ein Dienstleister in einem Drittland in Frage kommt. Beispielsweise dann, wenn sich innerhalb der EU kein Dienstleister mit einer vergleichbaren Leistung findet. Hier gilt es bereits vor Beauftragung des Dienstleisters zu prüfen, ob und wie ein hinreichendes Datenschutzniveau garantiert wird. Häufig finden sich hierzu bereits nähere Informationen auf der Webseite des Dienstleisters. Hier kann und sollte auch der Datenschutzbeauftragte eingebunden werden, wenn Unsicherheiten bestehen. Eine klärende Besprechung kann hilfreich sein, um mit dem Dienstleister eine datenschutzkonforme Lösung zu finden.

Datensicherheit

Bei der Auswahl eines Dienstleisters muss sich der Verantwortliche insbesondere vergewissern, dass dieser hinreichende technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit getroffen hat. Anhaltspunkte können auch entsprechende Zertifizierungen des Dienstleisters sein. Wird kein oder nur ein unzureichender Nachweis der technischen und organisatorischen Maßnahmen zur Datensicherheit erbracht, ist der Einsatz des Dienstleisters nicht zu empfehlen.

Risikobewertung

Bei der Auswahl des Dienstleisters ist grundsätzlich auch eine Risikobewertung durchzuführen. Je nachdem welche Daten der Dienstleister im Auftrag verarbeitet, sind die Anforderungen an den Dienstleister höher oder geringer. Verarbeitet der Dienstleister z.B. sensible Personaldaten oder Gesundheitsdaten, sind auch höhere Anforderungen an die getroffenen technischen und organisatorischen Maßnahmen zu stellen.

Subunternehmer

Es sollte weiterhin geprüft werden, ob die vom Dienstleister eingesetzten Subunternehmer hinreichend transparent sind. Hier findet man häufig unvollständige Angaben. So werden etwa die Adresse und das Land der Subunternehmer nicht angegeben. Besonders problematisch kann der Sitz von Subunternehmern in Drittländern sein. Hier sind eine Vielzahl von Fallgruppen möglich. Der Düsseldorfer Kreis, ein informelles Gremium der Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich, hat hierzu vor vielen Jahren eine entsprechende Handreichung veröffentlicht. Hier bleibt abzuwarten, wie die Aufsichtsbehörden diese Fallgruppen unter der DSGVO bewerten.

Vereinbarung zur Auftragsverarbeitung

Die Vereinbarung zur Auftragsverarbeitung des Dienstleisters sollte – wenn keine eigene Vereinbarung zum Einsatz kommt – so früh wie möglich angefordert werden. Oft zeigt sich an der Vereinbarung bereits, wie professionell der Dienstleister mit dem Thema Datenschutz umgeht.

Ein besonderes Augenmerk sollte bei der Vertragsprüfung insbesondere auf folgende Punkte gelegt werden:

  • Erfüllung des gesetzlichen Mindestinhalts
  • Präzise und vollständige Angaben, insbesondere zu: Datenkategorien, Betroffenenkategorien, Zweck, Gegenstand, Dauer
  • Enthaltene nachteilige Kostentragungs- und Haftungsklauseln
  • Detaillierte und vollständige Beschreibung der technischen und organisatorischen Maßnahmen, sowie die Vorlage von Nachweisen

Vorprüfung verhindert spätere Probleme

Eine gute Vorprüfung vor der Auswahl eines Dienstleisters verhindert, dass es später zu ungewollten Überraschungen kommt. Besteht noch kein zivilrechtlicher Vertrag mit einem potentiellen Dienstleister, so besteht regelmäßig auch bei datenschutzrechtlichen Fragen ein größerer Verhandlungsspielraum. Die Investition von Zeit und Ressourcen bei der Auswahl zahlt sich regelmäßig im laufenden Vertragsverhältnis aus. Findet hier eine sorgfältige Vorprüfung statt, dann wird ein späterer Wechsel des Dienstleister aus datenschutzrechtlichen Gründen unwahrscheinlicher und auch die Erfüllung der gesetzlichen Verpflichtungen gestaltet sich wesentlich einfacher. Darum prüfe, wer sich (ewig) bindet!

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.