Ist die Methodik zur Risikobewertung im ADV festzulegen?

Fachbeitrag

Das BayLDA hat ein ADV-Muster nach den neuen Vorgaben der DSGVO bereitgestellt. Darin findet sich auch eine Regelung, die bislang wohl Verantwortlichen und Auftragsverarbeitern nicht bekannt war und in der Praxis noch kaum Beachtung gefunden hat. Danach soll im ADV eine Regelung über die Methodik zur Risikobewertung vertraglich festgelegt werden. Ist dies wirklich im ADV notwendig? Müssen möglicherweise alle für die DSGVO vorbereiten Vereinbarungen zur Auftragsverarbeitung noch einmal überarbeitet werden?

Muster-ADV des BayLDA

Das ADV-Muster des BayLDA zur Auftragsverarbeitung kommt für viele Unternehmen, Vereine und Verbände genau zur richtigen Zeit und ist eine wertvolle Hilfestellung. Das Muster finden Sie hier.

Die Vereinbarung soll den Verantwortlichen eine Orientierung dafür geben, wie nach der DSGVO die Vereinbarung zur Auftragsverarbeitung abgefasst werden sollte und letztlich eine Formulierungshilfe darstellen.

In der vorliegenden Musterformulierung findet sich nun folgender Absatz in der Regelung zu den technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO:

„(…) Für die auftragsgemäße Verarbeitung personenbezogener Daten wird folgende Methodik zur Risikobewertung verwendet, welche die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten berücksichtigt: (…).“

Damit kommt die Frage auf, ob eine Vereinbarung zur Auftragsverarbeitung auch die Methodik zur Risikobewertung regeln muss, um im Anschluss hieraus die technischen und organisatorischen Maßnahmen festlegen zu können.

Auftragsverarbeitung nach der DSGVO

Die Verarbeitung im Auftrag eines Verantwortlichen muss nach der DSGVO auch geeignete technische und organisatorische Maßnahmen bieten. Nach Art. 28 Abs. 3 Satz 2 lit. c) DSGVO ist in der Vereinbarung insbesondere eine Regelung zu den erforderlichen Maßnahmen gemäß Art. 32 DSGVO vorzusehen. Nach Art. 32 DSGVO ist sowohl der Verantwortliche als auch der Auftragsverarbeiter für die Sicherheit der Verarbeitung verantwortlich. Der Auftragsverarbeiter soll hierzu den Verantwortlichen unterstützen.

Das BayLDA hat in seinem Kurzpapier zur Auftragsverarbeitung nach der DSGVO ebenfalls ausgeführt:

„Für den notwendigen Inhalt des Vertrags gilt weitestgehend das Gleiche wie bisher. Ein wichtiger Bestandteil wird jedoch vor allem die Darstellung der erforderlichen Maßnahmen zur Sicherheit der Verarbeitung nach Art. 32 DS-GVO. Gerade hier mangelt es häufig bei Datenschutzkontrollen“.

Auch das entsprechende Kurzpapier der Datenschutzkonferenz führt hierzu aus:

„Unter anderem muss der Vertrag außerdem vorsehen, dass der Auftragsverarbeiter die gemäß Art. 32 DS-GVO erforderlichen Maßnahmen ergreift“

Ist die Festlegung der Methodik zur Risikobewertung im ADV erforderlich?

Pro

Für eine entsprechende Aufnahme der Methodik zur Risikobewertung im ADV spricht etwa, dass nach Art. 28 Abs. 1 und 5 DSGVO der Verantwortliche nur mit Auftragsverarbeitern zusammenarbeiten darf, die hinreichenden Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen vorhanden sind.

Die sorgfältige Auswahl des Auftragsverarbeiters ist damit -wie bisher nach § 11 Abs. 2 S. 5 BDSG- zu dokumentieren. Die DSGVO sieht diese Dokumentation für den Verantwortlichen vor, indem die Einhaltung der Grundprinzipen nach Art. 5 Abs. 2 dokumentiert und vor jeder Verarbeitung etwa eine Risikoabwägung nach Art. 24 DSGVO durchgeführt wird, die bei einem hohen Risiko zu einer Datenschutzfolgenabschätzung nach Art. 35, 36 DSGVO führt.

Art. 32 DSGVO konkretisiert insofern Art. 24 DSGVO, wodurch beide Seiten wiederum für die Sicherheit der Verarbeitung und die damit verbundene Risikobewertung in die Verantwortung genommen werden. Die gemeinsame Festlegung der Methodik zur Risikobewertung bietet sich dafür an und könnte insofern rechtlich geboten sein.

Contra

Gegen eine Aufnahme der Methodik zur Risikobewertung spricht jedoch:

  • Der Wortlaut des Art. 28 Abs. 3 Satz 2 lit. c) DSGVO primär auf die Dokumentation der Maßnahmen selbst abstellt und keine Darstellung der Methodik zur Risikobewertung fordert.
  • Für die erforderliche Dokumentation der Methodik zur Risikobewertung im Rahmen eines Auftragsverhältnisses muss dabei nicht zwingend der ADV gewählt werden. Diese kann beispielsweise auch explizit im Verzeichnis der Verarbeitungstätigkeiten beim Verantwortlichen und beim Auftragsverarbeiter aufgenommen werden, die jeweils unterschiedlich ausgestaltet sein kann. Damit würde sich möglicherweise sogar die Sicherheit der Verarbeitung erhöhen, da die Bewertung sowohl vom Verantwortlichen als auch vom Auftragsverarbeiter durchgeführt werden würde.
  • Eine entsprechende Regelung ist in der Praxis grundsätzlich nicht erforderlich. Darüber hinaus ist die Verantwortung für die Zulässigkeit der Verarbeitung an sich und die damit verbundene Risikobewertung nach Art. 24 DSGVO grundsätzlich dem Verantwortlichen zugewiesen. Der Verantwortliche muss dazu insbesondere auch den entsprechenden Nachweis erbringen können. In der Praxis übernimmt regelmäßig der Verantwortliche im Vorfeld der Verarbeitung durch einen Auftragsverarbeiter die notwendige Risikobeurteilung und wählt auf dieser Grundlage einen Auftragsverarbeiter aus, der die entsprechenden technischen und organisatorischen Maßnahmen zur Datensicherheit gewährleistet. In diesem Zusammenhang zeigt auch Art. 28 Abs. 3 lit. f) DSGVO eine Verpflichtung des Auftragsverarbeiters, den Verantwortlichen bei der Einhaltung der in Art. 32 DSGVO genannten Pflichten zu unterstützen. Die Verantwortung für die Gewährleistung der Datensicherheit bleibt damit zwar bei beiden, womit in der Praxis auch der Auftragsverarbeiter eine eigene Risikobewertung vornehmen sollte. Tatsächlich wird aber der Verantwortliche noch vor der Beauftragung eines Auftragsverarbeiters die Risiken evaluieren. Eine entsprechende Regelung in einem ADV würde damit praktisch ins Leere laufen.

Klarstellung durch das BayLDA

Eine Klarstellung durch das BayLDA bietet sich zu diesem Punkt an und wäre aus der Sicht der Praxis wünschenswert. Viele Unternehmen greifen heute bereits auf eigens vorgefasste Vereinbarungen zur Auftragsverarbeitung zurück, die keine Regelung zur Risikobewertung enthalten. Ist eine solche Regelung aus Sicht der Aufsichtsbehörden jedoch rechtlich notwendig, müssen zeitnah Anpassungen von vermeintlich DSGVO-konformen Vereinbarungen zur Auftragsverarbeitung vorgenommen werden.

Einige Argumente sprechen derzeit wohl aber dafür, dass im ADV nur die technischen und organisatorischen Maßnahmen dokumentiert werden sollten. Die Parteien sprechen sich hierüber in der Praxis ohnehin regelmäßig -insbesondere auf Veranlassung des Verantwortlichen- ab.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Auftragsdatenverarbeitung

2 Kommentare zu diesem Beitrag

  1. Als betrieblicher Datenschutzbeauftragter halte ich die Interpretation der DSGVO durch die BayLDA für ein wenig zu weit gefasst. Die verantwortliche Stelle hat die Risiko-Folgenabschätzung als internen Prozess durchzuführen, da nur sie über alle notwendigen Informationen über die beteiligten Daten und Prozesse verfügt. Aus den Anforderungen zur Verminderung des ermittelten Risikos ergeben sich die notwendigen TOM’s. Diese sind intern, aber auch extern (ADV) mindestens einzuhalten.

  2. Ebenso die Verpflichtung des AN jährlich eine Komplettrevision durchzuführen (was ok ist) und das Ergebnis samt vollständigem Auditbericht dem Auftragnehmer unaufgefordert mitzuteilen. Wenigstens eine konkrete Aufforderung im Bedarfsfall seitens des AG sollte schon noch erfolgen. Mit über 700 Kunden und AVVs kann man nicht ernsthaft von einem einzelnen DSB verlangen, jährlich eine solche Auditberichtswelle auszulösen. Abgesehen davon hat der DSB eine Berichtsverpflichtung gegenüber der eigenen Geschäftsführung und lediglich Mitwirkungspflichten bei konkreten Auskunftsersuchen z.B. der zuständigen Behörden. Wenn die GF dann den jährlichen Auditbericht schreiben und an 700 Kunden verschicken möchte, sei es so, ist aber, wie wir wissen, natürlich nicht realistisch.

    Das kommt eben auch davon, wenn man in Ämtern fernab jeglicher Unternehmenswirklichkeit Standardprozesse vorsieht, die im Einzelfall toll funktionieren, aber multipliziert mit einem Faktor 700 ad absurdum geraten.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.