© Martin Willert 2024

Auftragsdatenverarbeitung

Audits zur Überprüfung

Auftragsdatenverarbeitung (ADV)… … im Sinne des Bundesdatenschutzgesetzes (BDSG) und der Europäischen Datenschutz Grundverordnung (DSGVO) ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag der verantwortlichen Stelle. § 11 BDSG beschreibt im Detail, welche Rechte, Pflichten und Maßnahmen im Einzelnen durch Vertrag zwischen Auftraggeber (verantwortliche Stelle) und Auftragnehmer (Dienstleister) zu treffen sind. Forderungen des BDSG und der DSGVO Im Wesentlichen fordern die Regelungen aus §11 BDSG und Art. 28 und 29 der DSGVO folgende Punkte, die Sie bei der Vergabe von Teilen Ihres Geschäftsprozesses an Auftragnehmer berücksichtigen müssen, in denen personenbezogene Daten Ihrer Kunden oder Ihrer Mitarbeiter erhoben, gespeichert, verarbeitet oder genutzt werden: 1. Sie bleiben als Auftraggeber voll für die Einhaltung der Bestimmungen von BDSG und DSGVO verantwortlich. Rechte von Betroffenen werden ausschließlich gegenüber Ihnen geltend gemacht. 2. Sie müssen den Auftragnehmer Aufgrund der Tauglichkeit der Sicherheitsvorkehrungen zum Schutz personenbezogener Daten auswählen. 3. Der Auftrag muss schriftlich erteilt werden (Vertragsform), wobei mindestens folgende Gegenstände geregelt sein müssen Gegenstand und Dauer des Auftrages (um was für eine Dienstleitung handelt es sich und wie lange soll die Dienstleistung andauern) Umfang, Art und Zweck der Dienstleistung (Wozu dient die Dienstleistung, welcher Zielerreichung ist sie dienlich, mit welchen Mitteln wird dies erreicht) Art der Daten (welche Daten oder Datenkategorien werden verarbeitet, erhoben oder genutzt) Kreis der Betroffenen (Wessen personenbezogene Daten werden verarbeitet, z.B. Mitarbeiter oder Kunden des Auftraggebers) konkrete Festlegung der zu treffenden technischen und organisatorischen Maßnahmen Sicherstellung, dass gewährleistet ist, dass personenbezogene Daten berichtigt, gelöscht oder gesperrt werden können Pflichten des Auftragnehmers, insbesondere welche Kontrollen er vorzunehmen hat Berechtigung zur Begründung von Unterauftragsverhältnissen Kontrollrechte des Auftraggebers, Duldungs- und Mitwirkungspflichten des Dienstleisters bei diesen Kontrollen Mitteilungspflicht des Auftragnehmers bei Verstößen gegen das BDSG oder den Vertrag Weisungsbefugnisse Verfahrensweise mit Datenträgern und Unterlagen bei Ende der Dienstleistung 4. Sie haben eine Kontrollpflicht ggü. dem Auftragnehmer vor Vertragsbeginn und regelmäßig während der Laufzeit des Vertrages bzgl. der technischen und organisatorischen Maßnahmen. 5. Sie sind verpflichtet, diese Kontrollen zu dokumentieren. Wichtiges Merkmal für eine Auftragsdatenverarbeitung ist, dass es sich beim Auftragnehmer um ein rechtlich eigenständiges Unternehmen handelt (Also geht die Beauftragung zur Datenverarbeitung mit dem Einkauf der Dienstleistung selber durch Sie einher.). Beispiele für Auftragsdatenverarbeitung sind die Beauftragung eines Callcenters zur Kundenkommunikation, die Ablage von personenbezogenen Daten auf extern gehosteten Servern (z.B. auch in der Cloud), Wartungsdienstleistungen, bei denen nicht ausgeschlossen werden kann, dass während der Wartung personenbezogene Daten zur Kenntnis gelangen (Wartung von IT-Systemen, Wartung von TK- Anlagen), Entsorgung von Akten oder Datenträgern durch externe Unternehmen. Negativbeispiele sind die Nutzung von Telekommunikationsdiensten, Postdiensten oder Bankdiensten.
Entlang dieser Forderungskette biete ich Ihnen ein Audit an, das überprüft, ob Sie überhaupt personenbezogene Daten an einen Auftragnehmer zur Verarbeitung weitergeben und dadurch Betroffener dieser Regelungen sind überprüft, ob bei Ihnen evtl. bereits entsprechende Verträge mit Dienstleistern bestehen oder Ihnen Hinweise gibt, wie diese aussehen müssen überprüft, ob die technischen und organisatorischen Maßnahmen beim Auftragnehmer vor Ort den Vorgaben entsprechen und wirksam sind (auf Wunsch vor Vertragsbeginn und/oder regelmäßig während der Laufzeit des Vertrages) überprüft, ob evtl. keine weiteren Audits erforderlich sind, da Ihr Dienstleister bereits über Zertifikate verfügt, die die Einhaltung der technischen und organisatorischen Maßnahmen bestätigen (z.B. DIN ISO 27001) Ihnen Maßnahmenempfehlungen zur Verbesserung Ihrer Kontrollen und zur Minderung Ihres Risikos gibt.