Verarbeitungsprozesse in modernen Unternehmen sind komplex und immer stärker digitalisiert. Digitalisierung erfordert Datensicherheit und Datenschutz, im Interesse von Kunden und Partnern des Unternehmens.
Die Verarbeitung personenbezogener Daten durch Dritte, Auftragsverarbeiter, ist Bestandteil der vernetzten Ökonomie. Kein Unternehmen kann heute ohne Auftragsverarbeitung wirtschaftlich tätig sein. Art. 28 DSGVO legt die Verantwortung zu 100% in die Hände des Auftraggebers, der als Verantwortlicher Pflichten zu erfüllen hat. Damit möchte der Gesetzgeber vermeiden, dass im Falle von Verstößen gegen Rechtsgrundlagen ein Ping-Pong der Verantwortlichkeiten stattfindet, an deren Ende niemand mehr für Verstöße verantwortlich sein möchte.
Auftragsverarbeitung
Grundlage für die Zusammenarbeit mit Dritten bei der Verarbeitung personenbezogener Daten ist in der Regel ein Vertrag, der beide Seiten rechtlich bindet. Die Praxis der letzten Jahre zeigt, dass die die von uns gesichteten Verträge nicht selten Lücken und Regelungsprobleme aufweisen. Dies schadet in letzter Konsequenz beiden Seiten, sowohl dem Auftragsverarbeiter, wie dem Verantwortlichen.
In den meisten Fällen gelang es, im Rahmen von Audits, bei Nachverhandlungen deutliche Verbesserungen zu erreichen.
Art. 28 DSGVO
regelt die Grundlagen der Zusammenarbeit zwischen Verantwortlichem und Auftragsverarbeiter.
Die Kernpflichten des Verantwortlichen sind zusammengefasst:
- sorgfältige Auswahl des Auftragsverarbeiters vor Beginn der Verarbeitung,
- saubere vertragliche Absicherung in Form eines AV-Vertrages oder einer andern rechtlich verbindlichen Vereinbarung nach Unionsrecht,
- Prüfung der technisch-organisatorischen Maßnahmen (TOM) des Auftragsverarbeiters,
- Prüfung der Einhaltung insbesondere der Bestimmungen des Art. 32 DSGVO (Sicherheit der Verarbeitung)
- Kontrollpflichten und
- Dokumentationspflichten
Klare Verträge alleine reichen nicht aus, den Anspruch des Art. 28 DSGVO dauerhaft zu erfüllen.
Insbesondere steht das Unternehmen beim Einsatz von Auftragsverarbeitern in der Verantwortung, den Nachweis zu erbringen, dass der Auftragsverarbeiter seinen übernommen Verpflichtungen nachkommt. Eine Option dabei wäre, dass sich Verantwortliche seitens des Auftragsverarbeiters in regelmäßigen Abständen eine Zertifizierung nach Art. 42 DSGVO, die allerdings aktuell noch nicht möglich ist, vorlegen lässt.
Eine andere Option ist die regelmäßige Durchführung von Audits samt Erstellung eines Auditberichts in Auftrag zu geben und so den Nachweis der Kontrolle zu führen.
Unsere Audits
orientieren sich an den Prüfkriterien der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) für eine Zertifizierung nach Art. 42 DSGVO und dem Standarddatenschutzmodell der DSK. Verantwortliche können mit Hilfe des Auditberichts die Wahrnehmung ihrer Kontrollpflicht belegen, Auftragsverarbeiter ihrerseits können mit einem Auditbericht dem Verantwortlichen eine Hilfestellung bei der Entscheidung für eine künftige Zusammenarbeit geben.
Warum ein unabhängiges Audit in Auftrag geben?
Ein unabhängiges Audit garantiert, dass nicht in den Prozess der Vergabe involvierte Dritte einen eigenen Blick auf die Verarbeitungsprozesse werfen. Oftmals werden im Verlauf eines Auditprozesses Aspekte sichtbar, die zuvor übersehen wurden. Darüber hinaus ist ein vorgelagertes Audit vor einem Zertifizierungsprozess eine wertvolle Hilfe, vor allem dann wenn die gleichen Prüfkriterien schon im Auditprozess angewandt werden. Mit Hilfe eines vorgelagerten Audits lassen sich Zertifizierungsprozesse kostengünstiger und erfolgreicher gestalten. Zumal die Zertifizierungsstelle auf einen umfangreichen Auditbericht zurückgreifen kann. Voraussichtlich werden in diesem Jahr auch in der Bundesrepublik die ersten Zertifizierungsunternehmen nach DSGVO zugelassen. Die Zeit für die Vorbereitung können Sie nutzen.