Wer als Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO personenbezogene Daten von einer verantwortlichen Stelle verarbeitet, hat verschiedene datenschutzrechtliche Verpflichtungen zu erfüllen. Ein gut umgesetztes Datenschutz-Managementsystem kann dabei für die potenziellen Auftraggeber ein Argument für eine Zusammenarbeit sein.
Neben der eigentlich angebotenen Dienstleistung, hat auch die datenschutzrechtliche Implementierung und Umsetzung einen Einfluss auf die Wahl des Dienstleisters durch den Auftraggeber. Verantwortliche Stellen sind sich der eigenen Haftung bewusst und evaluieren auch im Bereich des Datenschutzes etwaige Risiken, welche sich aus der Zusammenarbeit ergeben können. Für einen Auftragnehmer kann sich daher aus der guten Umsetzung der datenschutzrechtlichen Verpflichtungen auch ein Wettbewerbsvorteil ergeben.
Der erste Eindruck
Jeder Auftraggeber bekommt mit dem Vertrag nach Art. 28 DSGVO einen ersten Eindruck über den Stellenwert des Themas Datenschutz beim potenziellen Dienstleister. Wann ein Auftragnehmer ein entsprechendes Muster zur Verfügung stellen sollte, kann den gängigen Empfehlungen der Aufsichtsbehörden entnommen werden (bspw. BayLDA). Sofern die angebotene Dienstleistung es zulässt, kann mit einer überzeugenden Darstellung des Gegenstands, der Dauer sowie der Art und des Zwecks der verarbeiteten personenbezogenen Daten gepunktet werden. Mit einer dienstleistungsspezifischen Darstellung der technischen und organisatorischen Maßnahmen (TOM) kann ein AV-Vertrag nicht nur den Datenschützer, sondern auch die Abteilung für Informationssicherheit überzeugen. Werden nur allgemeine Darstellungen der TOM aufgeführt, die beispielsweise die datenschutzkonforme Vernichtung von Papierakten beschreiben, kann man mit regelmäßigen Rückfragen rechnen, wenn ein rein elektronischer Dienst erbracht werden soll. Es lässt sich für den Verantwortlichen nur bedingt beurteilen, wie die Sicherheit der eigenen personenbezogenen Daten prozessbezogen gewährleistet wird. Ferner können generelle Angaben nur bedingt bei einer dienstleistungsorientierten Auditierung herangezogen und belastbar überprüft werden.
Eine Darstellung der eingesetzten Unterauftragnehmer vervollständigt den ersten guten Eindruck und spricht für eine transparente Darstellung gegenüber dem Auftraggeber. Hierbei sollte jeder Dienstleister in der Lage sein, Aussagen zu etwaigen Drittstaatentransfers zu treffen.
Um nach außen hin weiter zu überzeugen, können auch Whitepaper und aktuelle Zertifizierungen die Entscheidung des Auftraggebers beeinflussen.
Eigene Hausaufgaben
Intern treffen einen Auftragnehmer auch die gängigen Pflichten, die einem Verantwortlichen obliegen, da spätestens die personenbezogenen Daten der eigenen Beschäftigten und Ansprechpartner eigenverantwortlich verarbeitet werden. Fast scheint es so, als wären Auftragnehmer doppelt belastet. So müssen beispielsweise die Verzeichnisse nach Art. 30 Abs. 1 und Abs. 2 DSGVO geführt werden. Ebenso sind interne Prozesse, bspw. zur Meldung von Datenpannen oder die Reaktion auf Betroffenenanfragen, so zu implementieren, dass diese den Anforderungen eines Verantwortlichen und Auftragnehmers gerecht werden. So müssen Betroffenenanfragen richtig eingeordnet werden, um vorrangig zu entscheiden, ob diese sich an das eigene Unternehmen als Verantwortlichen oder Auftragnehmer wenden. In letzterer Fallgestaltung muss anschließend eine routinierte Zuordnung zum eigentlichen Verantwortlichen erfolgen, um den Verpflichtungen nach Art. 28 Abs. 3 lit. e DSGVO nachzukommen und die Anfragen weiterzuleiten. Im unangenehmen Fall einer Datenpanne beim Auftragnehmer muss unverzüglich erkennbar sein, welche Verantwortlichen die entsprechende Dienstleistung nutzen und von der Datenpanne betroffen sind.
Ein gut dokumentiertes Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs 2 DSGVO ist hierfür eine Grundvoraussetzung. Hieraus geht unmittelbar hervor, für welchen Verantwortlichen die jeweilige Datenverarbeitung erbracht wird (Art. 30 Abs. 2 lit. a DSGVO) oder ob ein Drittstaatentransfer zu berücksichtigen ist (Art. 30 Abs. 2 lit. c DSGVO). Auch wenn die gesetzlichen Anforderungen des Absatzes 2 hinter den Anforderungen des Absatzes 1 zurückbleiben, schadet es nicht, weitere Informationen hier zu ergänzen. Das betrifft insbesondere Informationen, die von einem Verantwortlichen angefragt werden könnten, damit dieser seinen Verpflichtungen nach Art. 30 Abs. 1 DSGVO nachkommen oder gegebenenfalls eine Datenschutzfolgenabschätzung durchführen kann (Art. 28 Abs. 3 lit. f DSGVO).
Bei einer solchen Doppelrolle des Unternehmens ist es auch wichtig, die Beschäftigten ins Boot zu holen. Regelmäßig wird eine entsprechende Sensibilität bei den eigenen Angestellten nur durch regelmäßige Schulungen und gut implementierte Prozesse erzielt.
So vorbereitet und mit den richtigen Dokumenten bei der Hand, lassen sich auch anschließende Audittermine mit dem Auftraggeber entspannt und erfolgreich abschließen.
Zufriedener Auftraggeber
Eine langjährige Zusammenarbeit mit einem zufriedenen Kunden wird zukünftig auch eine gute Umsetzung der datenschutzrechtlichen Pflichten beim Dienstleister voraussetzen. Nicht zuletzt die Schrems II Entscheidung des EuGH hat den Verantwortlichen vor Augen geführt, wie sich die Wahl der Dienstleister auf das eigene Unternehmen auswirken kann.
Wer also nicht gerade als unangefochtener Monopolist seine Dienstleistung auf dem Markt anbieten kann, hat im Datenschutz eine weitere Möglichkeit, die Kunden von sich zu überzeugen.
Kryptograph
12. Oktober 2023 @ 12:40
Als Mensch, der bei einem Auftragsverarbeiter (SaaS) im Bereich Datenschutz tätig ist und regelmäßig mit Kundenanfragen zu diesen Themen konfrontiert ist, freut es mich, dass das Thema Datenschutz in der Auftragsverarbeitung aufgegriffen wird. Besonders freut mich die Anregung, dass Auftragsverarbeiter eigene Muster-AVVen bereitstellen, die sich an ihrem Dienst orientieren.
Dies ist nach meinem Eindruck gängige Praxis, zumindest in meiner Branche. Vielfach wird dies jedoch von Kunden nicht wertgeschätzt und diese Kunden erwarten, dass deren unspezifische Muster-AVVen Anwendung finden. Daher eine Anregung für einen künftigen Beitrag: Diskussion des Für und Widers der Nutzung von Auftragnehmer-AVVen mit Zielgruppe Datenschutzbeauftragte bei Verantwortlichen.
Ein besonderes Schmankerl sind in der Praxis auch immer wieder generische Auftraggeber-TOMs bzw. TOM-Vorlagen zum Auswählen. Als Dienstleister stellen wir spezifische TOMs zur Verfügung; dennoch erreichen mich immer wieder Bitten von Kunden, die ergriffenen TOMs in einer Vorlage des Kunden einzutragen. Gerade bei den Vorlagen, in denen TOMs aus der vorgegebenen Liste (generischer Maßnahmen) auszuwählen sind, führt dies zu Problemen bei der „Übersetzung.“ Oft fehlt es nämlich an geeigneten Auswahlmöglichkeiten und es entsteht ein falscher Eindruck von den ergriffenen Maßnahmen.
Effektiv wird damit der (dokumentierte) Datenschutz der Einfachheit der Verwaltung geopfert. Wird der Datenschutz aber als Verwaltugnsaufgabe wahrgenommen, kann er seine Ziele nicht mehr zuverlässig erreichen. Beispielsweise weil der zentrale Begriff „Angemessenheit“ eben nicht die Umstände und Risiken der konktreten Auftragsverarbeitung berücksichtigt.