ISO 27701: Auftraggeber-Management und Kundenzufriedenheit

Fachbeitrag

Ein Unternehmen, dass personenbezogene Daten im Auftrag verarbeitet, muss mit seinen Auftraggebern einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abschließen. Dieser Beitrag der Blogreihe „Datenschutz-Zertifizierung nach ISO 27701“ widmet sich dem Thema, wie der Auftragsnehmer (Auftragsverarbeiter) seine gesetzlichen und vertraglichen Pflichten effektiv regeln und nachkommen kann.

Welche Vorgaben hat die DSGVO im Bereich Auftraggeber-Management?

Die DSGVO sieht vor, dass die Gesamtverantwortung des Verantwortlichen für die Verarbeitung von personenbezogenen Daten auch Verarbeitungen auf seine Anweisung durch Auftragsverarbeiter umfasst. Von dieser Verantwortlichkeit kann sich der Verantwortliche bzw. der Auftraggeber nicht befreien. Das heißt aber nicht, dass die DSGVO nur dem Verantwortlichen Pflichten auferlegt. Auch der Auftragsverarbeiter muss einige Vorgaben beachten.

Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO (kurz AVV)

Die wichtigste Norm im Zusammenhang mit der Beauftragung von Dienstleistern ist sicherlich Art. 28 DSGVO und der damit zusammenhängende Vertrag zur Auftragsverarbeitung zwischen dem Verantwortlichen und dem Auftragsverarbeiter.

Art. 28 Abs. 3 DSGVO sieht vor, dass der Vertrag oder ein anderes Rechtsinstrument zwischen dem Aufraggeber und dem Auftragsverarbeiter mindestens folgende Inhalte geregelt haben muss:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten & Kategorien von betroffenen Personen
  • Weisungsbefugnis des Verantwortlichen
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Sicherstellung von technischen & organisatorischen Maßnahmen
  • Genehmigungsbedürfnis und Mindeststandards bei Subunternehmern
  • Unterstützung des Verantwortlichen bei Betroffenenanfragen
  • Unterstützung des Verantwortlichen bei Erfüllung der Meldepflicht von Datenschutzvorfällen und der Durchführung von Datenschutz-Folgenabschätzung
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

Verzeichnis der Verarbeitungstätigkeiten des Auftragnehmers nach Art. 30 Abs. 2 DSGVO

Darüber hinaus sieht Art. 30 Abs. 2 DSGVO vor, dass der Auftragsverarbeiter ein Verzeichnis der im Auftrag geführten Verarbeitungstätigkeit vorzuhalten hat. Das Verzeichnis muss der Aufsichtsbehörde auf Anfrage nach Art. 30 Abs. 4 DSGVO, z.B. bei Kontrollen, zur Verfügung gestellt werden.

Weitere Pflichten des Auftragsverarbeiters

Im Folgenden finden Sie eine kleine Auswahl der Pflichten des Auftragsverarbeiters nach der DSGVO, die sich außerhalb von Art. 28 DSGVO finden:

  • Art. 31 DSGVO sieht vor, dass der Verantwortliche und der Auftragsverarbeiter auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenarbeiten.
  • Nach Art. 32 Abs. 4 DSGVO unternehmen der Verantwortliche und der Auftragsverarbeiter Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
  • Nach Art. 33 Abs. 2 DSGVO muss ein Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten nach Bekanntwerden unverzüglich dem Verantwortlichen melden.

Welche Vorgaben hat die ISO 27701 im Bereich Auftraggeber-Management?

Kapitel 8 der ISO 27701 widmet sich in seiner Gesamtheit den Auftragsverarbeitern (Normsprache: PII-Verarbeiter). In den fünf Unterkapiteln werden die normativen Maßnahmen beschrieben, die eine Organisation zu erfüllen hat, wenn sie als PII-Verarbeiter agiert. Im Folgenden werden einige Maßnahmen kurz dargestellt.

Kapitel 8.2 der ISO 27701 – Bedingungen für die Erhebung und Verarbeitung

Die Norm legt in Unterkapitel 8.2.1 fest, dass der PII-Verarbeiter mit dem Kunden, je nach Rolle des Kunden (PII-Beauftragte oder PII-Verarbeiter), einen Vertrag zur Verarbeitung von personenbezogenen Daten abschließen sollte, wo es relevant ist. In der Anleitung zur Umsetzung wird der Inhalt des Vertrages beschrieben. Auch die folgenden Unterkapitel beschreiben, welchen Regelungspunkte der Vertrag mit dem Kunden enthalten sollte.

So sollte der Vertrag die Sicherheit der Verarbeitung, Durchführung einer Datenschutz-Folgenabschätzung, die Benachrichtigungspflichten gegenüber der Aufsichtsbehörde oder den betroffenen Personen regeln. Die personenbezogenen Daten, die im Namen des Kunden verarbeitet werden, sollten nur für die Ziele verarbeitet werden, die in den dokumentierten Anweisungen des Kunden zum Ausdruck kommen. Soweit vom anwendbaren Rechtssystem verlangt, sollen auch der Gegenstand und die Dauer der Verarbeitung, die Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Kategorien der betroffenen Personen, vertraglich festgelegt werden.

Ist der PII-Verarbeiter der Ansicht, dass eine Verarbeitungsanweisung gegen geltende Gesetze verstößt, so soll er den Kunden diesbezüglich informieren. Der PII-Verarbeiter sollte dem Kunden die entsprechenden Informationen zur Verfügung stellen, sodass der Kunde die Einhaltung seiner Verpflichtungen nachweisen kann. Dazu gehören vor allem Informationen, ob der PII-Verarbeiter Audits durch den Kunden oder einen anderen vom Kunden beauftragten oder anderweitig akzeptierten Auditor zulässt und zu diesen beiträgt. Die Vorgaben ähneln also den Regelungen aus Art. 28 DSGVO.

Die Norm enthält auch eine Verpflichtung des PII-Verarbeiters, ein Verarbeitungsverzeichnis zu führen.

Kapitel 8.3 der ISO 27701 – Verpflichtungen gegenüber betroffenen Personen

Des Weiteren wird von der ISO 27701 festgelegt, dass der PII-Verarbeiter dem Kunden die Mittel zur Verfügung stellen soll, damit dieser seinen Verpflichtungen in Bezug auf betroffenen Personen nachkommen kann. Auch hier ist insoweit nichts neues im Vergleich zu den Anforderungen des Art. 28 DSGVO.

Kapitel 8.4 der ISO 27701 – Datenschutz und Schutz der Privatsphäre durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

In diesem Kapitel ist insbesondere die Regelung hinsichtlich der Rückgabe, Übertragung oder Entsorgung von personenbezogenen Daten erwähnenswert. Der PII-Verarbeiter muss dem Kunden gegenüber die notwendigen Vertrauenswürdigkeiten bieten, damit für den Kunden sichergestellt ist, dass die im Rahmen des Vertrages verarbeiteten personenbezogenen Daten von allen Speicherorten, einschließlich Back Ups, gelöscht werden, sobald sie für die Zwecke des Kunden nicht mehr benötigt werden. Auch die Rückgabe der Daten sollte geregelt werden. An der Stelle in der Norm kann man Parallelen zu Art. 28 Abs. 3 S. 2 lit. g) DSGVO erkennen.

Kapitel 8.5 der ISO 27701 – Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten

Von den zahlreichen in Kapitel 8.5 beschriebenen Maßnahmen werden hier nur einige Beispiel genannt.

Der PII-Verarbeiter sollte den Kunden rechtzeitig über jede Übertragung von personenbezogenen Daten an Lieferanten, weiteren Parteien oder anderen Ländern oder internationale Organisationen inklusive Grundlage für die Übertragungen informieren. Des Weiteren sollte der PII-Verarbeiter den Kunden über alle rechtsverbindlichen Anträge auf Offenlegung von personenbezogenen Daten informieren. Alle Anträge, die nicht rechtsverbindlich sind, sollten abgelehnt bzw. der Kunde sollte vor der Offenlegung konsultiert werden.

Der PII-Verarbeiter sollte alle Unterauftragnehmer, die bei der Verarbeitung von personenbezogenen Daten eingesetzt werden, dem Kunden gegenüber vorab offenlegen. Ein Wechsel des Unterauftragnehmers sollte durch den Kunden genehmigt werden und dem Kunden sollte die gegeben werden, den neuen Unterauftragnehmer abzulehnen. Auch hier erkennt man die Regelungen aus Art. 28 DSGVO.

Zusätzliche Verpflichtungen des PII-Verarbeiters

Die anderen Hauptkapitel der ISO 27701 enthalten Maßnahmenanleitungen für die PII-Beauftragten. Diese werden in der Norm als „zusätzliche Anleitungen für die PII-Beauftragten“ gesondert hervorgehoben, beispielsweise seien hier nur die Kapitel 6.9.4.1 (Ereignisprotokollierung) und Kapitel 6.12.1.2 (Behandlung von Sicherheit in Lieferantenvereinbarungen) der ISO 27701 erwähnt.

Prozess Auftraggeber-Management

Sowohl nach der DSGVO als auch nach ISO 27701, hat der Auftragnehmer gegenüber seinen Auftraggebern diverse Pflichten zu erfüllen. Zwar verlangt es die DSGVO nicht so ausdrücklich wie die ISO Norm, aber es läuft am Ende auf die Etablierung von Prozessen im Unternehmen hinaus, damit der Auftragsverarbeiter seinen Verpflichtungen auch tatsächlich nachkommen kann.

Auftragnehmer zuständig für den Abschluss des AVV?

Es ist nach wie vor eine verbreitete Ansicht, dass der Verantwortliche dafür zuständig ist, dass ein Auftragsverarbeitungsvertrag mit dem Auftragsverarbeiter abgeschlossen wird. Ein Blick in den Bußgeldvorschrift der DSGVO legt nahe, dass das nicht ganz stimmt. Denn versäumen die beteiligten Unternehmen einen erforderlichen Auftragsverarbeitungsvertrag abzuschließen oder enthält ein solcher Vertrag nur unzureichende Regelungen, kann die Datenschutzaufsichtsbehörde beide Beteiligten gem. Art. 83 Abs. 4 lit. a) DSGVO mit einem Bußgeld belegen.

Zudem hinterlässt ein Dienstleister, der als Auftragsverarbeiter tätig wird und der ohne eine Nachfrage einen Vertrag nach Art. 28 DSGVO inklusive der technischen und organisatorischen Maßnahmen bereits zusammen mit dem Angebot dem Auftraggeber zur Verfügung stellt, einen professionellen Eindruck. Eine solche Vorgehensweise hat darüber hinaus noch andere Vorteile.

So erhöht sich dadurch die Aussicht, mit allen Auftraggebern einen inhaltlich identischen Vertrag zur Auftragsverarbeitung abschließen zu können. Somit verringert sich einerseits der Aufwand des Auftragsverarbeiters und anderseits erhöht sich die Wahrscheinlichkeit, dass er in der Praxis auch tatsächlich an alle in den AVV geregelten Verpflichtungen einhält. Denn schließt der Auftragnehmer mit jedem Auftraggeber inhaltlich unterschiedliche AVVs ab, steht er vor einer – nicht zu unterschätzenden – Herausforderung, die unterschiedlichen Regelungen auch einhalten zu müssen.

Prozess hinsichtlich des Wechsels des Dienstleisters

Einige vertragliche Regelungen im Bereich Auftragsverarbeitung sehen beispielsweise vor, dass der Auftragnehmer unter Einhaltung der gesetzlichen Bestimmungen bei einem Wechsel von Subdienstleistern den Auftraggeber lediglich informieren und ihm ein Widerspruchsrecht einräumen muss. Daneben kommt es aber häufig vor, dass ein Auftraggeber laut der Regelung im AVV vor dem Einsatz eines neuen Subdienstleisters aktiv seine Zustimmung erteilen muss.

Auf den ersten Blick mag sich zwischen den beiden Regelungen vielleicht kein wesentlicher Unterschied ergeben. Aber stellen Sie sich vor, vor welcher Hürde der Auftragnehmer bei einem Wechsel des Subdienstleisters stehen wird: Zunächst muss er ermitteln, welchem Auftraggeber was in diesem Zusammenhang versprochen wurde. Im zweiten Schritt müssen dann die Auftraggeber das richtige Schreiben – entweder mit dem Widerspruchsrecht oder mit der Bitte um Zustimmung – erhalten. Davor ist noch zu ermittelt, an wen und wie das Schreiben dem Auftraggeber zu schicken ist. Ist der richtige Empfänger des Schreibens der Ansprechpartner im Vertrieb, der Datenschutzbeauftragte oder die weisungsberechtigte Person? Außerdem muss sich der Auftragnehmer im Klaren sein, was passiert, wenn der Verantwortliche entweder ein Widerspruch einlegt oder seine Zustimmung hinsichtlich des Einsatzes des Subdienstleisters verweigert.

Weitere Prozesse im Hinblick auf Informationspflichten

Des Weiteren hat der Auftragnehmer sicherzustellen, dass er seinen Informationspflichten nachkommt. Auch hier muss der Auftragnehmer sich fragen, was passiert, wenn beispielsweise

  • eine Behörde sich bei ihm meldet und hinsichtlich der personenbezogenen Daten des Auftraggebers Informationen verlangt
  • oder ein Kunde (betroffene Person) des Auftraggebers sich mit seinen Ansprüchen aus der DSGVO direkt an ihn wendet.

Prozess zur Rückgabe und Löschung von Daten

Der Auftragsverarbeiter muss bei sich den Prozess für die Rückgabe und Löschung von Kundendaten etablieren, damit bereits beim Vertragsabschluss tatsächlich klar ist, was auf ihn nach der Kündigung zukommt. So muss es festgelegt werden, in welchem Zeitrahmen die Daten tatsächlich gelöscht oder in welchem Format die Daten zurückgegeben werden können.

Saubere Prozesse, zufriedene Kunden

Jeder Auftraggeber freut sich, wenn der Auftragsverarbeiter ihm nicht nur einen den gesetzlichen Anforderungen entsprechenden Vertrag im Bereich Datenschutz zur Verfügung stellt, sondern von sich aus in der Lage ist darzulegen, dass er sich in der Praxis auch an die vereinbarten Anforderungen halten kann. So erübrigt sich so manche Dienstleisterkontrolle.

In unserem nächsten Blogbeitrag der Reihe „Datenschutz-Zertifizierung nach ISO 27701“ beschäftigen wir uns mit dem Thema „Auftragnehmer-Management und Dienstleisterbewertung“.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.