Dienstleister, die personenbezogene Daten im Auftrag verarbeiten, sind sorgfältig auszuwählen und im Laufe ihres Einsatzes regelmäßig zu kontrollieren. Das ist mittlerweile Standard. Doch wie und wann findet eine solche Auftragskontrolle sinnvollerweise statt?
Der Inhalt im Überblick
Kontrollen als Pflicht?
§ 11 BDSG-alt sah regelmäßige Kontrollen ausdrücklich vor:
„Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.“
Art. 28 DSGVO enthält einen solchen Passus nun nicht mehr. Dennoch ist der Verantwortliche von dieser Pflicht nicht befreit. Die Pflicht zur regelmäßigen Kontrolle lässt sich aus Art. 28 Abs. 1 DSGVO ableiten:
„Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“
Der Verantwortliche darf nur mit solchen Auftragsverarbeitern zusammenarbeiten, die während des gesamten Zeitraums der Zusammenarbeit geeignete Garantien bieten. Der Absatz bezieht sich insbesondere nicht ausschließlich auf die Auswahl des Auftragsverarbeiters. Vielmehr handelt es sich um eine Dauerpflicht.
Gleichzeitig kann sich hieraus aber keine Pflicht ableiten lassen, den Auftragsverarbeiter ununterbrochen zu prüfen. Vielmehr sind im Hinblick auf das Risiko der Verarbeitung geeignete Zeitspannen festzusetzen, innerhalb derer der Auftragsverarbeiter regelmäßig geprüft wird. Je größer das Risiko für die betroffenen Personen, desto häufiger ist eine Kontrolle des Auftragsverarbeiters zu empfehlen.
Inhalt der Auftragskontrolle
Für eine Vorbereitung der Kontrolle bietet sich immer ein Blick in den vereinbarten Auftragsverarbeitungsvertrag sowie die vom Auftragsverarbeiter dokumentierten technischen und organisatorischen Maßnahmen an.
Anknüpfungspunkt AVV
Bereits der Auftragsverarbeitungsvertrag enthält viele Punkte, an denen eine Kontrolle ansetzen kann. So können dem Auftragsverarbeiter beispielsweise folgende Fragen gestellt werden:
- Stimmen die Angaben zum Datenschutzbeauftragten?
- Sind alle Beschäftigten auf die Vertraulichkeit verpflichtet, beispielsweise im Rahmen des Onboardings? (Ggf. Vorlage eines Musters)
- Sind während des Auftragszeitraums Datenschutzvorfälle im Zusammenhang mit dem Auftrag vorgekommen? Falls ja kann hier geprüft werden, ob diese dem Auftraggeber gemeldet wurden.
- Werden neue, noch nicht gemeldete Subunternehmer eingesetzt?
- Erfolgten zwischenzeitlich interne Kontrollen, die sich auf die konkrete Auftragsdurchführung beziehen?
- Wie erfolgt die Auswahl geeigneter technischer und organisatorischer Maßnahmen?
Anknüpfungspunkt TOMs
Die Aufzählung der technischen und organisatorischen Maßnahmen lässt sich regelmäßig ganz einfach abfragen. So kann man sich beispielsweise bei einer Vor-Ort-Kontrolle die Videoüberwachung einmal zeigen lassen. Inwieweit Besucherregelungen umgesetzt werden, erfährt man so auch am eigenen Leib. Ob tatsächlich intern verbindliche Richtlinien existieren, wie beispielsweise ein Passwort auszusehen hat, kann man überprüfen, indem man sich den entsprechenden Abschnitt der Policy einmal vorlegen lässt.
Anknüpfungspunkt Auftragsdurchführung
Der Auftragsverarbeiter schuldet regelmäßig eine ganz konkrete Dienstleistung. Inwiefern diese Dienstleistung auch tatsächlich durchgeführt wird, sollte ebenfalls Bestandteil der Prüfung sein.
- Werden alle Unterlagen wie vertraglich vereinbart vernichtet? Oder doch nur im normalen Hausmüll entsorgt?
- Wird das Backup wie vereinbart erstellt?
Durchführung der Auftragskontrolle
Nachdem man, wie oben vorgeschlagen, die einzelnen zu prüfenden Punkte analysiert hat, lässt sich daraus ein Katalog an Fragen erstellen. Im nächsten Schritt werden mit den relevanten Ansprechpartnern Termine vereinbart, um die Prüfung durchzuführen. Meist sind hierfür Ansprechpartner aus verschiedenen Fachbereichen, der IT und gegebenenfalls der Verwaltung des Auftragnehmers erforderlich. Es ist immer sinnvoll, Ablauf sowie Inhalt der Prüfung vorab abzustimmen. So können sich auch die Gesprächspartner ausreichend vorbereiten.
Im Termin findet dann ein Abgleich des Soll-Zustands mit dem Ist-Zustand statt.
Die Nachbereitung
Am Ende des Kontrolltermins hat der Prüfer eine Liste, die den Soll- und den Ist-Zustand gegenüberstellt. Es kommt jedoch immer wieder vor, dass im Termin noch Nachweise fehlen, die der Auftragsverarbeiter im Nachgang noch zur Verfügung stellt. Hierfür sollte noch eine gewisse Zeit eingeplant werden. Sobald alle Informationen vorliegen, erfolgt eine Bewertung durch den Prüfer.
Hierfür werden Vorgehensweise und Ergebnisse der Prüfung zusammengefasst und als Prüfbericht formuliert. Soweit der Soll- vom ermittelten Ist-Zustand abweicht, werden gemeinsam Maßnahmen vereinbart, die die Abweichung beheben. Hierbei ist es auch sinnvoll, jedenfalls einen groben Zeitplan zu vereinbaren.
Nicht beleuchtet wurden hier die Nachweispflichten des Auftragnehmers gem. Art. 28 Abs. 3 lit. h DSGVO.
Demnach stellt der Auftragsverarbeiter dem Verantwortlichen Ergebnisse der Inspektionen oder entsprechende andere Dokumente bereit, die es dem Verantwortlichen ermöglichen, die sich aus der Auftragsverarbeitung (bzw. Art. 28 DSGVO) ergebenen Pflichten zu prüfen.
Hieraus könnte man recht eindeutig lesen, dass der Verantwortliche regelmäßig prüft, da Inspektionen/Prüfungen vom Wortlaut andeuten, dass diese regelmäßig erfolgen (sollten). Insbesondere, da auch die Art. 32 bis 36 DSGVO referenziert werden, welche sich im Laufe der Zeit ändern können, um den Anforderungen der Verordnung (u. a. Stand der Technik) nachzukommen.