Der Nachweis technisch organisatorischer Maßnahmen nach Art. 28 DSGVO

Einen Nachweis technisch organisatorischer Maßnahmen über die Sicherheit der Verarbeitung, bzw. deren Einhaltung bei der Verarbeitung personenbezogener Daten benötigen wir als externe Datenschutzbeauftragte bei der Prüfung von Lieferanten regelmäßig. Besonders relevant sind die Nachweise bei der Prüfung von Auftragsverarbeitungsverträgen (AVV), denn hierzu gibt es gesetzliche Vorgaben aus der DSGVO.

Auftragsverarbeiter bieten in ihren Verträgen oft diverse Nachweise an, liefern diese aber teilweise gar nicht erst mit, bzw. wissen auf Nachfrage oft auch nicht, worum es dabei überhaupt geht.

Dieses Problem der nicht vorhandenen Nachweise technisch organisatorischer Maßnahmen entsteht scheinbar oft durch die Verwendung von Standardverträgen und Mustern.

Diese Muster sind rechtlich vermutlich in Ordnung, problematisch ist es allerdings, wenn man zugesicherte Vertragspflichten nicht erfüllen kann.

Warum der Nachweis technisch organisatorischer Maßnahmen wichtig ist

Als Verantwortlicher für die Verarbeitung personenbezogener Daten haben Sie im Rahmen einer Auftragsverarbeitung eine Kontrollpflicht. Das bedeutet, Sie müssen u.a. sicherstellen, dass Ihr Dienstleister (Auftragsverarbeiter) die notwendigen technischen und organisatorischen Maßnahmen für die Sicherheit der Verarbeitung erfüllt.

Der Auftragsverarbeiter übernimmt keine Verantwortung für die Verarbeitung von personenbezogenen Daten – er arbeitet auf Weisung des Verantwortlichen. Ihre Verantwortung, Ihre Weisung…

Für den Verantwortlichen ist das sehr wichtig, denn wenn schon die Verantwortung nicht abgegeben werden kann, dann sollte die Verarbeitung nach den eigenen Vorgaben erfolgen – man möchte mitbestimmen.

Hintergrund – Auftragsverarbeitung und Nachweise technisch organisatorischer Maßnahmen

Alles beginnt mit dem Auftragsverarbeitungsvertrag. Sie schließen als Verantwortlicher mit einem Auftragsverarbeiter einen Vertrag in dem Sie die Formalien für die Verarbeitung der bereitgestellten personenbezogenen Daten festlegen. Zum Auftragsverarbeitungsvertrag gehören auch die technischen und organisatorischen Maßnahmen des Auftragsverarbeiters. Also Maßnahmen mit denen Sie die Schutzziele personenbezogener Daten sicherstellen und die DSGVO Anforderungen erfüllen: Vertraulichkeit, Verfügbarkeit und Integrität

Nun ist es in den meisten Fällen so, dass der Auftragsverarbeiter Ihnen pauschal einfach alle technischen und organisatorischen Maßnahmen nennt, die er in seinem Unternehmen umsetzt – unabhängig davon, ob sie für die Auftragsverarbeitung überhaupt relevant sind. Sie sollten diese Maßnahmen mit Ihren Anforderungen vergleichen und im Idealfall feststellen, dass alles zusammenpasst. Die andere, wahrscheinlich bessere Möglichkeit ist, wenn Sie als Auftraggeber die Maßnahmen vorgeben (können) um die Sicherheit der Verarbeitung zu gewährleisten. Das setzt voraus, dass Sie Ihre Anforderungen an Sicherheit der Verarbeitung kennen.

Soweit, so gut. Sie haben einen Auftragsverarbeitungsvertrag mit technischen und organisatorischen Maßnahmen. Jetzt kommen wir zum Nachweis gem. Art. 28 III lit. h DSGVO. Nennen können Vertragspartner viele Maßnahmen, doch eine wichtige Frage ist:

Werden die im Auftragsverarbeitungsvertrag vereinbarten und zugesicherten technischen und organisatorischen Maßnahmen auch tatsächlich so umgesetzt wie vereinbart?

Allein die Tatsache, dass der Auftragsverarbeiter mitteilt, dass er beispielsweise seine Türen abschließt, oder für einen Fernzugriff auf Ihr System einen VPN-Tunnel nutzt, es aber dann  nicht macht, bringt für die Sicherheit der Verarbeitung personenbezogener Daten nichts.

Es liegt als Verantwortlicher immer auch in Ihrem eigenen Interesse zu wissen, ob die festgelegten technischen und organisatorischen Maßnahmen auch tatsächlich so umgesetzt werden. Denn so stellen Sie sicher, ob ein Auftragsverarbeiter geeignet ist. Sie führen eine Auftragskontrolle, oder auch Lieferantenkontrolle in Bezug auf Datenschutz und Datensicherheit durch.

Ein Nachweis den Sie als Verantwortlicher erhalten stellt genau das sicher.

Der Nachweis technisch organisatorischer Maßnahmen in der DSGVO

In Art. 28 III lit. h DSGVO wird der Nachweis nicht direkt erörtert, hier steht lediglich:

dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

In Art. 28 V DSGVO werden Möglichkeiten, für einen Nachweis, näher benannt. So kann hiernach ein Auftragsverarbeiter die Geeignetheit seiner Maßnahmen mit

  1. der Einhaltung genehmigter Verhaltensregeln nach Art. 40 DSGVO oder
  2. eines genehmigten Zertifizierungsverfahrens nach Art. 42 DSGVO

nachweisen.

Wie ein Nachweis technisch organisatorischer Maßnahmen nach der DSGVO aussehen kann

Ein Nachweis der Umsetzung technischer und organisatorischer Maßnahmen kann auf unterschiedliche Art und Weise erfolgen.

Wichtig dabei ist, dass der Auftraggeber neben der Sicherheit der Daten seine Kontrollpflicht erfüllt, bzw. erfüllen kann.

In häufig verwendeten Musterverträgen werden die folgenden Möglichkeiten als Nachweis technisch organisatorischer Maßnahmen angeboten:

  1. Einhaltung genehmigter Verhaltensregeln nach Art. 40 DSGVO
  2. Zertifizierungen nach Art. 42 DSGVO
  3. aktuelle Testate
  4. Berichte von unabhängigen Instanzen (wie z.B. Wirtschaftsprüfer, Datenschutzbeauftragte, Auditoren)

Genehmigte Verhaltensregeln nach Art. 40 DSGVO

Genehmigte Verhaltensregeln sind mit Aufsichtsbehörden abgestimmte Regeln, wie Sie in bestimmten Konstellationen mit personenbezogenen Daten umgehen. Sie dienen zudem auch als Präzisierung und Konkretisierung der DSGVO und sollen die Anwendbarkeit fördern.

So gibt es beispielsweise,

Verhaltensregeln für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien

Verhaltensregeln sollen insbesondere in den Bereichen des Datenschutzes helfen, bei welchen noch ein hoher Klärungsbedarf besteht.

Die Ausarbeitung solcher Verhaltensregeln liegt dabei bei Verbänden und Vereinigungen von Unternehmen.

Die Einhaltung dieser Verhaltensregeln können Sie auch als Nachweis technisch organisatorischer Maßnahmen nutzen.

Beachten Sie jedoch, dass ein Nachweis nicht nur das ausgedruckte Papier betrifft, sondern auch einen Nachweis über die eigene Kontrolle der Maßnahmen – z.B. ein Auditprotokoll.

Genehmigte Zertifizierungsverfahren nach Art. 42 DSGVO

Ein Datenschutz-Zertifikat ist ein guter Nachweis technisch organisatorischer Maßnahmen für Auftragsverarbeiter.

Allerdings gibt es großes Problem: Datenschutzzertifizierung und akkreditierte Zertifizierungsstellen nach Artikel 42 und 43 DSGVO gibt es bisher noch nicht.

Evtl. ändert sich das 2022. Siehe dazu DAkkS.

Eine Auflistung der anerkannten Datenschutz-Zertifikate, soll es auf den Seiten des  Europäischen Datenschutzausschusses (EDPB) geben. Die Seiten sind im Moment noch leer.

Wir stellen also fest: es handelt sich bei Datenschutz-Zertifikaten derzeit um keinen geeigneten technisch organisatorischer Maßnahmen, da nicht verfügbar.

Aktuelle Testate / Zertifikate

Aktuelle Testate als Nachweis technisch organisatorischer Maßnahmen sind in der Regel Zertifikate. Beispielsweise ein ISO Zertifikat oder vergleichbares.

Achten Sie bei der Kontrolle darauf, dass das Zertifikat

  • gültig ist (Zeitraum und Echtheit)
  • auf die in der Auftragsverarbeitung relevanten Prozesse / Maßnahmen bezogen ist

Achtung, ein ISO 27001 Zertifikat sagt nichts über die Sicherheit der Verarbeitung aus Datenschutzsicht aus. Es zeigt, dass ein Unternehmen die Anforderungen an ein Informationssicherheits-Management-System (ISMS) erfüllt oder umsetzen kann. Im Unternehmen sind damit etablierte Prozesse und Richtlinien mit denen Informationen (auch personenbezogene Daten) verwaltet und geschützt werden vorhanden.

Daraus folgt, dass es im Rahmen eines Nachweises auch die entsprechenden TOMs geben müsste. Wir fordern diese Nachweise regelmäßig an.
Die ISO 27701 Erweiterung geht es mehr um Datenschutz und die Verarbeitung von personenbezogenen Daten anstatt Informationssicherheit allgemein. Voraussetzung sind allerdings die umgesetzten ISO 27001 Anforderungen.

Daraus folgt, dass eine ISO 27701 Zertifizierung als Nachweis geeigneter ist, als die ISO 27001.

Berichte unabhängiger Instanzen / Stellen

Eine unabhängige Stelle ist weisungsgebunden, bzw. weisungsfrei und darf keinem Interessenkonflikt unterstehen.

Datenschutzbeauftragte sind weisungsfrei und dürfen keinem Interessenkonflikt unterliegen. Benennen Sie einen DSB sollten Sie auch deshalb mögliche Interessenkonflikte ausschließen. Ein DSB kann Ihnen also als unabhängige Stelle einen Nachweis technisch organisatorischer Maßnahmen erstellen, wenn er Ihre getroffenen Maßnahmen kontrolliert. Die Kontrolle der Verantwortlichen Stelle ist ohnehin seine Aufgabe. Aus unserer Sicht ist ein Prüfprotokoll mit der Bestätigung über die Prüfung und Umsetzung eines DSB ausreichend. Denn wir gehen davon aus, dass Datenschutzbeauftragte Ihre Prüfberichte nur unterschreiben, wenn diese auch tatsächlich so stattgefunden haben. Selbst handhaben wir das genau so.

Ein Datenschutzaudit und / oder Sicherheitsaudit kann auch von einem externen Auditor erstellt werden und als Nachweis technisch organisatorischer Maßnahmen gelten. Dabei gelten die gleichen Voraussetzungen und Bedingungen wie die anhand des Datenschutzbeauftragten genannten. Ein Auditor erstellt einen Auditbericht.

Grundsätzlich muss ein Auditbericht als geeigneter Nachweis technisch organisatorischer Maßnahmen den Auditumfang / Scope beschreiben und einen Bezug zum Datenschutz, bzw. die für den Schutz personenbezogener Daten notwendigen Maßnahmen umfassen.

andere Möglichkeiten als Nachweis technisch organisatorischer Maßnahmen

Gerade bei kleinen Unternehmen und Auftragsverarbeitern ist ein Nachweis technisch organisatorischer Maßnahmen oft schwer zu bekommen. Zwar werden diese im Auftragsverarbeitungsvertrag angeboten, können aber nicht vorgelegt werden.

Eine Vor-Ort-Kontrolle ist nicht zwangsläufig notwendig, allerdings kann man aus unserer und damit Auftraggebersicht von einem Auftragsverarbeiter erwarten, dass technische und organisatorische Maßnahmen vorhanden, dokumentiert und auf die Verarbeitung abgestimmt sind. Das bedeutet, das notwendige Maßnahmen auch bekannt sind und darüber gesprochen werden kann – gerne auch telefonisch. Problematisch wird es immer dann, wenn man keinen, oder einen Ansprechpartner hat, der nicht versteht worum es bei einem geforderten Nachweis technisch organisatorischer Maßnahmen geht.

An dieser Stelle daher der Hinweis, dass Mitarbeiter der Servicehotlines entweder geschult sein sollten, oder aber an einen kompetenten Ansprechpartner weiterleiten können.

Wir notieren entsprechende Rückfragen und aktualisieren ggf. die dokumentierten Nachweise als einen u.U. weiteren Nachweis technisch organisatorischer Maßnahmen.

Kreativer Vorschlag für einen Nachweis der TOM

Der Datenschutzbeauftragte eines Unternehmens, oder auch ein Datenschutzauditor könnte die Übersichtsliste der dokumentierten technischen und organisatorischen Maßnahmen wie sie oft Auftragsverarbeitungsverträgen anhängt als Auditfragebogen verwenden und die Umsetzung der einzelnen Maßnahmen überprüfen.

Dabei könnte er bei einer erfolgreichen Umsetzung als Nachweis technisch organisatorischer Maßnahmen Häkchen setzen und mit seiner Unterschrift bestätigen.

Vorteil ist, dass eine Kontrolle stattgefunden hat, diese von unabhängiger Stelle erfolgte und ein Datum samt Unterschrift vorhanden ist.

Damit wäre ein Nachweis technisch organisatorischer Maßnahmen erbracht.