Optimale Auftragsverarbeitung

Rechenschaftspflicht, DSK-Prüfkriterien, TOM – Geht das einfacher?

Die Auftragsverarbeitung verlangt nach zahlreichen Vertragsoptionen, wie zum Beispiel Auftragsverarbeitungsverträgen, Standardverträgen SVK, SCC oder DPA. Da stellt sich schnell die Frage, wie lässt sich das korrekt umsetzen, ohne sich tagelang mit dem Datenschutz befassen zu müssen?

Im Idealfall weiß jeder Auftragsverarbeiter (AV), dass er einer ist und sendet Ihnen als Vertragspartner einen Auftragsverarbeitungsvertrag (AVV) und entsprechende Zertifikate, die seine Zuverlässigkeit belegen. Ihre englischen Partner nennen es data processing amendment oder data privacy addendum (DPA). Diese müssten Sie nur prüfen, ablegen und ggf. unterschreiben.

 

Was sind Auftragsverarbeiter überhaupt?

Man könnte jetzt sagen: Das steht doch in Art. 4 Nr. 8 DSGVO. Hilft das weiter?

Auftragsverarbeiter sind Dienstleister einer Firma, die personenbezogene Daten verarbeiten. Personenbezogen sind beispielsweise Cookies. Deshalb gehören die meisten Dienste dazu, mit denen man Netzseiten optimiert. Natürlich gehören dazu ebenfalls Dienste, wie Aktenvernichtung, netzgestützte „Cloud“-Dienste wie Microsoft Office 365 oder Personalverwaltungswerkzeuge, wie Personio oder Timebutler. Ein weiterer großer Bereich sind IT-Firmen, die Ihre Firma als „Support“ bei der EDV unterstützen und dabei Mitarbeiter- und Kundendaten verarbeiten. Wenn Ihre Firma größer ist, hat sie vielleicht ein CRM, ein ERP oder MDM-Dienste, die über das Netz mobile Geräte steuern – all die gehören spätestens wegen des Supportbedarfes regelmäßig auch zu den Auftragsverarbeitern.

 

Nicht dazu gehören

  • Dienste, die zusätzlich eigene Interessen vertreten oder aus anderen Gründen selbst verantwortlich sind, also Xing, Facebook, Rechtsanwälte, Steuerberater sowie andere freie Berufe. Mit diesen sollten eigene Geheimhaltungsvereinbarungen (non-disclosure agreement, NDA) abgeschlossen werden.

  • Dienste, die nur nebenbei personenbezogene Daten bearbeiten, wie der Blumenhändler, der Mal eine Grußkarte dazulegt oder die Druckerei, die Ihre Werbung druckt, selbst wenn sie personalisiert ist.

  • Telekommunikationsdienste im engeren Sinne – für die gibt es eigene Regelungen.

 

Was muss ich prüfen?

Auch hier könnte man einfach sagen, Art. 28 DSGVO. Die Aufsichtsbehörden haben dazu klare Vorstellungen, wie etwa die Checkliste Prüfung AVV und die Hinweise dazu von Juni 2022. Aber die decken nur den formellen Teil ab. Dazu gehört etwa, ob Unterauftragsverarbeiter (Auftragsverarbeiter Ihrer Auftragsverarbeiter) einbezogen werden, ob die Fristen ausreichend sind und ob die Technisch-Organisatorischen Maßnahmen (TOM) ausreichend dokumentiert sind. Damit verbringt Ihr Datenschutzbeauftragter wenn alle Dokumente bereit liegen und er gut organisiert ist, gerne Mal zwei Stunden pro Auftragsverarbeiter.

Darüber hinaus sollte man prüfen, ob die TOM passen und stichprobenhaft, ob sie tatsächlich umgesetzt werden. Das ist durch Audits vor Ort oder durch Vorlage entsprechender Zertifikate möglich.

Wenn Ihre Auftragsverarbeiter nicht in EU/EWR arbeiten, müssen Sie ggf. zusätzlich eine Risikoabschätzung für Drittländer  (DFA/TIA) durchführen, ein Spezialfall der Datenschutzfolgeabschätzung  (DSFA/PIA), ähnlich der Schwellenwertanalyse eines Business Impact Assesment (BIA).

 

Wie geht das schneller?

1. Standarddatenschutzverträge

Die fünf Standard-Datenschutzverträge der EU decken sogar noch weitere Szenarien ab. Es gibt mit EU-Durchführungsbeschluss 2021/914  einen für Auftragsverarbeiter in der EU und mit 2021/915 einen für Daten, die in sogenannte unsichere Drittländer gehen, für die es keinen Angemessenheitsbeschluss  gibt. Ihnen allen gemeinsam ist, dass sie die formellen Fragen regeln und von der EU geprüft wurden. Wir sparen also die formelle Prüfung.

Allerdings bleiben damit immer noch viele Fragen, da die Verträge eine aufwändige Individualisierung erfordern. Die Dienstleistung und die TOM müssen beschrieben werden und die Liste der Unterauftragsverarbeiter darf ebenfalls nicht vergessen werden. Wir müssen alle Auftragsverarbeiter kontaktieren und alles dokumentieren.

2. Automatisierung und Dokumentation

Egal ob Sie ein Dienstleister sind oder eine Firma, die Dienstleister beauftragt, die keine oder nur veraltete AVV in der Schublade haben – in beiden Fällen lohnt es sich, alle Fragen, die die Standard-Datenschutzverträge noch offen lassen zu automatisieren. Wir haben dafür einen Datenschutz-Dienst entwickelt, das Modul Contract  von kameon PLC – Privacy, Legal & Compliance. Wir haben dort alle Standardverträge hinterlegt und Sie können unsere Vorlagen direkt an einen Vertragspartner oder beliebig viele andere schicken, die sie ausfüllen, rechtssicher unterschreiben und revisionssicher ablegen – für beide Seiten. Wenn Sie sich entsprechend beraten lassen und sich das in Ihrem Sektor anbietet, können wir die TOM für alle Vertragspartner so vorausfüllen, dass sie nicht mehr extra formell geprüft werden müssen.

Damit haben Sie in weniger als 20% der Zeit, mehr als 80% der Anforderungen erfüllt und so Geld gespart.

3. Viel Zeit für den Rest

Natürlich erwarten die Datenschutzbehörden noch viele weitere „Kleinigkeiten“ von Ihnen, wie etwa mindestens stichprobenhafte Audits, die oben genannte Drittlandsfolgeabschätzung, die Dokumentation bestimmter Auftragsverarbeiter in einer Datenschutzerklärung etc.

Da Ihr Datenschutzbeauftragter jetzt aber genug Zeit gespart hat, schafft er den Rest nun mit links – oder mit unserer Hilfe. kameon PLC und unser Datenschutzteam  vereinfachen nämlich noch viele weitere Datenschutzaufgaben.

 

Verwandte Themen

 

Find out more here.

I will gladly advise you and look forward to receiving your questions.

Head of Compliance

Markus Vatter