Zum Inhalt springen Zur Navigation springen
DSFA: Wenn bei der AV die Unterstützungs- zur Durchführungspflicht wird

DSFA: Wenn bei der AV die Unterstützungs- zur Durchführungspflicht wird

Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen muss der Auftragsverarbeiter den Verantwortlichen unterstützen. Im folgenden Beitrag beleuchten wir die Reichweite dieser Unterstützungspflicht bei der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) durch den Verantwortlichen.

Pflicht zur Durchführung der Datenschutz-Folgenabschätzung

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so hat der Verantwortliche gem. Art. 35 DSGVO eine sog. Datenschutz-Folgenabschätzung durchzuführen.

Es handelt sich dabei um eine präventive Prüfung möglicher negativer Folgen für die von Datenverarbeitung betroffenen Personen. Das Hauptaugenmerk liegt dabei auf der Risikoanalyse, Risikobewertung und Risikobehandlung.

Adressat der Pflicht zur Vornahme der Datenschutz-Folgenabschätzung ist allein der Verantwortliche, d.h. gemäß Art. 4 Nr. 7 DSGVO derjenige, der über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Unterstützungspflicht des Auftragsverarbeiters

Jedoch trifft den Auftragsverarbeiter gemäß Art. 28 Abs. 3 lit. f DSGVO die Pflicht, den Verantwortlichen u.a. bei der Erfüllung der Datenschutz-Folgenabschätzung zu unterstützen.

Diese Pflicht ist zweifelsohne sinnvoll, weil sich der Verantwortliche für bestimmte Datenverarbeitungen der Unterstützung von Auftragsverarbeitern bedient und dabei selbst nicht über alle Informationen zur Durchführung einer Datenschutz-Folgenabschätzung verfügt.

Das gilt insbesondere, da Auftragsverarbeiter häufig technisch hoch spezialisierte Dienstleistungen für eine Vielzahl von Auftragsgebern durchführen und somit über einen Wissensvorsprung gegenüber diesen verfügen. Typische Beispiele hierfür sind etwa Cloud-Computing oder die Datenerfassung, Datenkonvertierung bzw. das Einscannen von Dokumenten.

Ohne Unterstützung ist eine DSFA oft nicht möglich

Daher ist der Verantwortliche beim Einsatz von Auftragsverarbeitern für Verarbeitungsvorgänge, welche aufgrund der eingesetzten Technologien, der besonderen Sensibilität oder der Menge der verarbeiteten Daten, einer Datenschutz-Folgenabschätzung bedürfen, oft zwingend auf Informationen des Auftragsverarbeiters angewiesen.

Die klare Rollenverteilung bei der Durchführung einer DSFA kann daher verschwimmen, da der Verantwortliche außerstande ist, die genaue Wirkungsweise, die Risiken und Schutzmaßnahmen ohne Mithilfe des Auftragsverarbeiters zu beurteilen.

Die Unterstützungspflicht besteht aber nach dem Wortlaut des Art. 28 Abs. 3 lit. f DSGVO nur unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen.

Unterstützungspflicht oder doch Durchführungspflicht?

Die vermeintlich klare gesetzliche Zuweisung, wonach „der eine macht, der andere hilft“, kann sich dennoch bei bestimmten Auftragsverarbeitungstätigkeiten nahezu umkehren.

Der „kleine“ Verantwortliche mit möglicherweise begrenzten Personalschlüssel und fehlendem technischen Know-how gibt eine Verarbeitungstätigkeit mit hoher technischer Komplexität in die Hände eines „großen“ Auftragsverarbeiters und es besteht mitunter ein erhebliches Kompetenz- und Wissensgefälle.

Beispielsweise ist das der Fall, wenn

  • eine Arztpraxis Gesundheitsdienstleistungen über einen Dienstleister abrechnet,
  • ein Dienstleister ein technisches System mit der Möglichkeit zur umfangreiche Überwachung von Personen hostet und wartet
  • oder wenn ein Verantwortlicher eine IT Sicherheitssoftware einsetzt, die zum Schutz gegen Cyberattacken alle Datenflüsse einschließlich personenbezogener Daten kontrolliert.

In der Regel besteht dann eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung und die sensible Verarbeitungstätigkeit ist zu einem Großteil oder im Ganzen ausgelagert.

In diesen Fällen bestimmt zwar der Verantwortliche noch über die Mittel und Zwecke der Verarbeitung, allerdings kennt regelmäßig nur der Auftragsverarbeiter die genaue Systemarchitektur, die Datenflüsse und die Risikoquellen. Somit wird auch nur der Auftragsverarbeiter in der Lage sein, die Risikoquellen und die daraus resultierenden Risiken zu identifizieren und gegebenenfalls erforderliche Mittel zur Risikobehandlung auszuwählen.

Auch Auftragsverarbeiter muss Dokumentation zur DSFA vorhalten

In diesen Fällen zeigt sich in der Praxis, dass der Auftragsverarbeiter eigentlich eine nahezu vollständige Dokumentation zur Datenschutz-Folgenabschätzung vorhalten muss. Die auf den ersten Blick klar geregelte Zuständigkeit des Verantwortlichen für die DSFA geht dann in der Praxis durch die Unterstützungspflicht des Auftragsverarbeiters faktisch auf den Auftragsverarbeiter über. Das gesetzliche Leitbild der Rollenverteilung bei der Durchführung einer Datenschutz-Folgenabschätzung hat dann mit der Realität nicht mehr viel zu tun.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.