Das ist Ihnen zu viel Text / zu viel zu lesen?

Sie hätten aber trotzdem gerne die enthaltenen Informationen und Hintergründe?

Fragen Sie uns doch einfach direkt.

Kontakt aufnehmen

Risiken in der Auftragsverarbeitung

Ganz klar, es bestehen Risiken in der Auftragsverarbeitung, aber es gibt dazu auch mögliche Lösungen.

Wichtig: Sie müssen sich mit der Auftragsverarbeitung beschäftigen.

Gerade im Zusammenhang mit dem Brexit, und dem Schrems II Urteil, das zum Kippen des Privacy Shield Abkommens zwischen der EU und den USA beigetragen hat, sollten Sie Ihr Wissen über die Auftragsverarbeitung festigen.

Sicherheit und Rechtmäßigkeit bei der Auftragsverarbeitung

Wenn Sie personenbezogene Daten an einen externen Dienstleister zur Verarbeitung (in Auftrag) weitergeben, bleiben Sie weiterhin dafür verantwortlich. Konkret müssen Sie auch dann für die Sicherheit und die rechtmäßige Verarbeitung der personenbezogenen Daten sorgen. Das gilt für die gesamte Dienstleistungskette, also Auftragsverarbeiter und  Dienstleister (Unterauftragnehmer). Folglich also für jeden Unterauftragnehmer, sowie Unter-Unterauftragnehmer, usw.

Ihre Rechte bezüglich der Kontrolle (Kontrollrechte) haben Sie im Auftragsverarbeitungsvertrag festgelegt. Festlegen alleine reicht nicht aus, Sie müssen diese auch wahrnehmen und ggf. durchsetzen.

In diesem Zusammenhang lassen Sie sich die Umsetzung durch den Dienstleister nachweisen. Fordern Sie Nachweise an, denn Sie benötigen diese für Ihre eigene Dokumentation.

Risiken in der Auftragsverarbeitung: Haftung

Bei Verfehlungen in der Auftragsverarbeitung können Haftungsrisiken entstehen. Hierbei haften neben dem Auftraggebern unter Umständen auch der Auftragnehmer und die Unterauftragnehmer. Im Zweifel erstreckt sich dieses Hatfungsrisiko auch bis zu den Unter-Unterauftragnehmern. Die Auflistung der Unterauftragnehmer können Sie unendlich fortführen.

Bei Verfehlungen in der Auftragsverarbeitung ist es im Prinzip ganz einfach:

Wer Schuld ist, haftet!

(Bitte verwechseln Sie die Verantwortung nicht mit der Haftung, denn die trägt gegenüber der Betroffenen die Verantwortliche Stelle.)

Für den Auftragsverarbeiter gilt dies nur, wenn er seinen

  • auferlegten Pflichten nicht nachgekommen ist oder
  • den Weisungen des Auftraggebers, also des Verantwortlichen, nicht folge leistet.

Genau aus diesem Grund sind die Weisungs- und Kontrollrechte so wichtig! Diese Rechte ergeben sich aus dem Auftragsverarbeitungsvertrag. Auch wenn es einem Auftragnehmer mal sauer aufstößt.

Üben Sie Ihre Kontrollrechte immer aus.

Halten Sie Weisungen an die Auftragnehmer zudem klar und verständlich.

Nur so reduzieren Sie Risiken bei der Verarbeitung von personenbezogenen Daten, und damit in der Auftragsverarbeitung.

Nachweis der Schuld bei Verfehlungen

Kommt es zu Verfehlungen bei der Auftragsverarbeitung, müssen die betroffenen Personen den Schuldigen hierfür nicht selbst suchen. Sie können ihre Ansprüche entweder direkt an die Verantwortliche Stelle, aber auch an den Auftragsverarbeiter richten.

Grund ist eine Art Beweislastumkehr.

Eine Beweislastumkehr ist eine Ausnahme vom rechtlichen Grundsatz. Im Normalfall liegt die Beweislast bei der Partei, für die die Rechtslage günstig ist. Einfach gesagt, wer den Vorteil hat, muss ihn auch beweisen. Im Falle der Beweislastumkehr ist es genau anders herum. Der Schuldige, muss seine Unschuld beweisen – in unserer Betrachtung die Verantwortliche Stelle, oder aber auch die Auftragsverarbeiter.

Durch die Beweislastumkehr müssen Auftraggeber, Auftragnehmer, Unterauftragnehmer und auch Unter-Unterauftragnehmer, usw. ihre Unschuld beweisen.

Die Ansprüche der betroffenen Personen werden innerhalb der Dienstleistungskette einfach weitergereicht. Am Ende trifft es denjenigen, der keinen Nachweis für seine Unschuld hat, bzw. nicht darlegen kann, dass er „alles notwendige“ getan hat.

Risiken in der Auftragsverarbeitung: Unterauftragnehmer

Ein weiteres Risiko können, müssen aber nicht, Unterauftragnehmer sein!

Wie schon dargestellt können je nach Vereinbarung Auftragnehmer auch Unterauftragnehmer beauftragen.

Für Unterauftragnehmer gelten nach Auftragsverarbeitungsvertrag idR die gleichen Vorgaben wie für den Auftragsverarbeiter.

Unterauftragnehmer verpflichten sich zur

  • Kontrolle,
  • Einhaltung und
  • Durchsetzung

der Vorgaben des Auftraggebers.

Genauer heißt das für den (Unter)Auftragnehmer, die Weisungen und Maßnahmen die sein Auftraggeber festgelegt hat, gelten auch bei Unterrauftragnehmern und müssen kontrolliert werden.

Nennung von Unterauftragnehmern im Auftragsverarbeitungsvertrag

Auftragsverarbeitung ist in gewisser Weise der Tod von White Label Lösungen.

Viele Auftragsverarbeiter lassen sich ungern in die Karten schauen. Gerade, wenn es um die Nennung ihrer Unterauftragnehmer geht. Manchmal werden Dienstleistung  lediglich vermittelt.

Wissen aber Verantwortliche und Auftraggeber nicht, wer Unterauftragnehmer ist, entstehen  Risiken in der Auftragsverarbeitung. Verantwortliche wissen im Zweifel nicht, wo die Datenverarbeitung der Unterauftragnehmer stattfindet, zum Beispiel in einem unsicheren Drittland außerhalb der EU, oder in der EU.

Eine Ausnahme von der Nennung der Unterauftragnehmer gibt es nicht. Im Auftragsverarbeitungsvertrag sind sämtliche Unterauftragnehmer zu benennen. Ohne wenn und aber!

Anzugeben sind dabei:

  • Unternehmen
  • Anschrift
  • Auftragsverhältnis

Sicht der Auftragsverarbeiter

Für  Auftragsverarbeiter sind die geforderten Rechte der Auftraggeber sehr umfangreich. Natürlich möchten Auftraggeber für  Verfehlungen anderer nicht haften – vor allem nicht ohne Mitspracherecht.

Schwierig wird es in der Auftragsverarbeitung immer dann, wenn Vertragspartnern der Sinn und die Hintergründe nicht klar sind.

Hierdurch entstehen unwissentlich Haftungsrisiken! Zum Beispiel bei der Beauftragung eines Unterauftragnehmers.

Risiken in der Auftragsverarbeitung: Sicherheit der Verarbeitung

Für die Sicherheit bei der Verarbeitung von personenbezogenen Daten gibt es zwei praktische Möglichkeiten:

  • der Auftraggeber gibt dem Auftragnehmer geeignete Maßnahmen vor (Weisung) oder
  • der Auftragnehmer teilt dem Auftraggeber mögliche Maßnahmen mit.

In der Theorie gibt der Auftraggeber dem Auftragnehmer die Maßnahmen vor, bzw. stimmt den Maßnahmen zu.

In allen Fällen kontrolliert der Auftraggeber die Maßnahmen auf deren Eignung. Die Umsetzung der Maßnahmen weist der Auftragnehmer dem Auftraggeber nach. Damit kommt der Auftraggeber seiner Kontrollpflicht nach.

(Die Einhaltung kann der Verantwortliche auch vor Ort überprüfen. In der Praxis vermeiden das gerade die kleineren Unternehen, da sie die Kosten und auch Ergebnisse scheuen.)

Mit der Kontrolle wird die Sicherheit der Verarbeitung gewährleiste. Das Haftungsrisiko sinkt.

Nehmen Sie die Kontrollrechte als Auftraggeber immer in Anspruch und bestehen Sie darauf!

Auftragsverarbeitungsverträge

Bestimmt der Auftraggeber über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten alleine, liegt eine Auftragsverarbeitung vor.

Keinen Auftragsverarbeitungsvertrag zu schließen, ändert an der Situation nichts. Es werden schließlich personenbezogene Daten in Auftrag verarbeitet. Damit liegt eine Auftragsverarbeitung vor.

Wird kein Auftragsverarbeitungsvertrag geschlossen,

  • werden nötige Anforderungen nicht erfüllt,
  • gibt der Auftraggeber Daten unerlaubt und ohne Rechtsgrundlage an Dritte weiter, und
  • hat auch der Auftragnehmer keine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten.

Auch hier entstehen weitere Haftungsrisiken für alle Beteiligten, und möglicherweise sogar Sicherheitslücken.

Schließen Sie deshalb einen Auftragsverarbeitungsvertrag sobald eine Auftragsverarbeitung vorliegt.

Kurz gesagt…

  • Prüfen Sie jede Datenweitergabe und Zugriffe
  • Schließen Sie Auftragsverarbeitungsverträge
  • Prüfen Sie JEDEN Auftragsverarbeitungsvertrag nach den Vorgaben des Art. 28 DSGVO
  • Achten Sie besonders auf Datenübertragungen in Drittländer (und aus Drittländern)
  • Weisen Sie Ihre Auftragnehmer zur Kontrolle der Unterauftragnehmer an
  • Kontrollieren Sie Ihre Dienstleister regelmäßig (alle zwei Jahre)
  • Bedenken Sie, dass die Maßnahmen der Dienstleister teil Ihrer Maßnahmen werden (TOM)
  • Dokumentieren Sie Ihre Kontrollen
  • Suchen Sie ggf. nach Alternativen Anbietern

Immer Up-to-date?

Abonnieren Sie unseren Newsletter!


Brandaktuelle Entwicklungen und Insiderwissen aus den Bereichen Datenschutz, Informationssicherheit und Hinweisgeberschutz liefern wir Ihnen 1x monatlich frei Haus in Ihr Mail-Postfach.


Jetzt für den Newsletter eintragen:

Mit dem Klick auf ‚E-Mail Newsletter abonnieren‘ erklären Sie sich mit dem regelmäßigen Empfang unseres Newsletters mit Informationen zu Datenschutz-, Informationssicherheits- und Compliancethemen sowie mit dessen Analyse durch individuelle Messung, Speicherung und Auswertung von Öffnungsraten und der Klickraten in Empfängerprofilen zu Zwecken der Gestaltung künftiger Newsletter entsprechend den Interessen unserer Leser einverstanden. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unseren Datenschutzhinweisen.

Unser Angebot – passgenau für die Anforderungen in Ihrem Unternehmen


Was ist beim Thema Datenschutz und Informationssicherheit in Ihrem Unternehmen wirklich zu tun? Ob Sie Ihren Datenschutz selbst organisieren, vorhandene Strukturen optimieren möchten oder Ihr Datenschutzmanagement auf professionelle Beine stellen wollen – wir sind Ihr Partner!

Gerne prüfen wir Ihren Status quo und erstellen Ihnen daraufhin ein passgenaues Angebot, das die oben genannten Bausteine beinhalten kann.

Unsere Zusammenarbeit gestalten wir nach Ihren Wünschen vor Ort im Raum München oder remote in ganz Deutschland.


DSK360 GmbH
Alpenblickstr. 9
82386 Oberhausen

Nutzen Sie unser Kontaktformular:

Ich freue mich darauf, Sie persönlich kennenzulernen.

Christian Schröder ist GDD Mitglied

Rechtliches

Impressum

Datenschutzhinweise

Grundsätze der Datenverarbeitung

Onlinemeetings mit Zoom

Sicherheitsvorfall im UnternehmenSicherheitsvorfall im UnternehmenStart ins Rechtsgebiet mit Prof. Dr. KühlingStart ins Rechtsgebiet – Datenschutzrecht