Dienstleistermanagement: Was gilt es zu beachten und was sind die wichtigsten Schritte?

von Dennis Kurpierz, Co-Founder & COO
22.Juni 2023
7 Minuten
Um datenschutzkonform zu sein sollten Unternehmen einen besonderen Fokus auf ihre datenschutzrechtlichen To Do’s bei der Zusammenarbeit mit Dienstleistern, in aller Regel Auftragsdatenverarbeiter, legen. Dies liegt zum einen an der schieren Anzahl der Unternehmen, die es zu managen gilt – zum anderen entstehen schnell komplexe Sachverhalte mit zahlreichen datenschutzrechtlichen Fragestellungen und davon abgeleiteten Aufgaben; etwa sofern der oder die Dienstleister die Daten in einem Land außerhalb des EU-/EWR-Raums verarbeitet.

Was gilt es beim Dienstleistermanagement aus Datenschutzsicht zu beachten?

Aus datenschutzrechtlicher Perspektive sollten Unternehmen zwei Aspekte besonders beachten: Zunächst sind sie für die Datenverarbeitungen durch die Dienstleister verantwortlich, diese werden ihnen grundsätzlich zugerechnet. Daher sollten Unternehmen möglichst schnell Klarheit in die datenschutzrechtliche Beziehung zum Dienstleister bringen und Haftungsrisiken zu vermeiden. Darüber hinaus ist es essentiell, eine effiziente Dokumentation der Dienstleister aufzusetzen und auch zu pflegen. Nur so gelingt es, trotz Komplexität der Beziehungen (i.d.R. bedient sich ein Auftragsverarbeiter zahlreicher Subauftragnehmer), dauerhaft datenschutzkonform zu bleiben.

Schritt 1: Ist der Dienstleister geeignet? Erfüllt er meine datenschutzrechtlichen Anforderungen?

Neue Dienstleister sollten bevor sie eingesetzt werden, zunächst geprüft werden. Bestenfalls existieren schon Vorerfahrungen mit anderen Dienstleistern und die Anforderungen an den neuen Dienstleister wurden definiert. Bei den bereits vorhandenen Dienstleistern wird zunächst eine Bestandsaufnahme gemacht, d.h. alle vorhandenen Dienstleister aufgelistet.

So dann gilt es in beiden Konstellation – ob neuer Dienstleister oder bereits genutzter Dienstleister – alle relevanten Informationen einzuholen. Dies sind insbesondere die Verträge, u.a. den AVV-Vertrag oder das JC-Agreement. Neue Dienstleister können in der Regel Muster bzw. Standard-Dokumente bereitstellen, die sie bereits für andere Kunden nutzen.

Schritt 2: Brauche ich den Dienstleister überhaupt? Muss er überhaupt personenbezogene Daten verarbeiten?

Im Anschluss an die Bestandsaufnahme ist es immer sinnvoll sich noch einmal die Frage zu stellen: Brauche ich dieses Tool überhaupt? Wird es überhaupt genutzt? Das schont nicht nur den Geldbeutel, sondern führt auch zu einem schlanken Dienstleistermanagement. Auch sollte überlegt werden ob und auch in welchem Umfang das Tool überhaupt personenbezogene Daten verarbeiten muss. Vielfach verarbeiten die Dienstleister mehr personenbezogene Daten als erforderlich.

Hier kann also sowohl bei den Verhandlungen mit dem Dienstleister, als auch durch Einstellungen in der Software selbst, gegengesteuert werden. Damit das Tool dann auch in der konkreten Nutzung möglichst sparsam – bzgl. der verarbeiteten Daten – eingesetzt wird, sollte u.U. eine Company Policy erstellt werden. Die zum Beispiel besagt, dass über dieses Tool keine Kund:innen Daten ausgetauscht werden dürfen.

Schritt 3: Ist mein Dienstleister Auftragsverarbeiter?

Schon einmal eins vorweg: In aller Regel, ja. Trotzdem sollte diese Frage möglichst früh gestellt und beantwortet werden. Denn sie ist eine wichtige Weichenstellung für die Frage, welche Anforderungen sich aus datenschutzrechtlicher Sicht ergeben.

Teilweise ist es nicht ganz trivial festzustellen, ob es sich bei dem eingesetzten Dienstleister um einen Auftragsverarbeiter handelt. Hilfreich sind hier vor allem Orientierungshilfen diverser Aufsichtsbehörden wie die Auslegungshilfe des Bayerischen Landesamtes für Datenschutzaufsicht. Sofern sich diese Frage nicht zweifelsfrei beantworten lässt, sollten Unternehmen lieber Expertenrat einholen.

Schritt 4: Welche Aufgaben erfüllt der Dienstleister? Welche Garantien bietet er?

In einem nächsten Schritt werden die notwendigen Verträge geschlossen, hier in der Regel ein AVV-Vertrag. Ein solcher ist im Falle einer Auftragsverarbeitung von der DSGVO ausdrücklich vorgeschrieben (Art. 28 Abs. 3 DSGVO). Er ist zudem auch sehr nützlich, um ihre Beziehung mit dem Dienstleister klar zu regeln. Damit lassen sich Aufgaben definieren und Unternehmen können sich etwa gegen Haftungsrisiken absichern.

Hierfür können individuelle Regelungen getroffen werden und ebenso auf von der EU-Kommission verabschiedete Vertragsmuster zurückgegriffen werden. Bereits bestehende Verträge können fortgelten, sofern sie den Anforderungen der DSGVO entsprechen oder darüber hinausgehen.

Schritt 5: Welche Datenverarbeitungen finden statt? Was gilt es bei Datenverarbeitungen außerhalb der EU zu beachten?

Nun muss noch die Datenschutzdokumentation angelegt bzw. aktualisiert werden, d.h. insbesondere das Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellt und ggf. eine Datenschutz-Folgenabschätzung durchgeführt werden. Hierbei sollten alle Nicht-EU Datenverarbeitungen identifiziert werden, d.h. solche Verarbeitungen die außerhalb des EU-/EWR-Raums stattfinden. Denn hierfür gelten unter Umständen gesonderte Anforderungen.

Keine gesonderten Anforderung gelten, sofern für das jeweilige Land ein Angemessenheitsbeschluss der EU besteht. Die EU also festgestellt hat, dass das Land – in dem die Datenverarbeitung stattfindet ein der DSGVO entsprechendes Datenschutzniveau garantiert. In allen anderen Fällen muss diese Garantien erst erbracht werden. Für Datentransfers in die USA etwa – unter anderem – indem sogenannte Standardvertragsklauseln (SCC) abgeschlossen werden. Diese hat die EU zuletzt im Zuge des “Schrems II”-Urteils entwickelt.

Schritt 6: Hält der Dienstleister die datenschutzrechtlichen Vorgaben ein? Ist die Dokumentation aktuell? Sind die AVV-Verträge auf dem neuesten Stand?

Zuletzt sollten die Dokumentation stets auf ihre Aktualität geprüft werden, um fortlaufend datenschutzkonform zu bleiben. Hierzu gilt es die vorhandene Dokumentation regelmäßig zu überprüfen. Und darüber hinaus die die sehr dynamische Rechtslage stets im Blick zu behalten.

caralegal automatisiert und unterstützt diese Aufgaben

caralegal unterstützt Unternehmen mit einem integrierten Datenschutz-Compliance-Check dabei, diese Schritte umzusetzen. Die Software prüft die vorliegende Dokumentation des jeweiligen Dienstleisters auf eventuelle Lücken und deren Konformität mit der aktuellen Rechtslage. Denn nichts ist schlimmer, als veraltete Verträge zu unterhalten, unwirksame Verträge abzuschließen oder gar notwendige Vertragswerke zu vergessen.

Im Dashboard und mithilfe von intelligenten Verknüpfungen innerhalb des Verzeichnis von Verarbeitungstätigkeiten, den Datenschutz-Folgenabschätzungen sowie den Technischen- und organisatorischen Maßnahmen (TOM) wird für Fachbereiche und Datenschutzexperten der aktuelle Stand übersichtlich dargestellt.

Sofern die Datenverarbeitungen außerhalb der EU erfolgen, assistiert caralegal mithilfe des SCC-Generators bei der Herstellung von Datenschutz-Compliance. Mithilfe unseres SCC-Generators können Unternehmen anhand eines Fragebogens passende Vertragsmuster für derartige Datentransfers erstellen.
Auf dieser Seite
Primary Item (H2)

Über den Autor

Dennis Kurpierz
Co-Founder & COO von caralegal
Dennis Kurpierz ist Mitgründer und Chief Operating Officer von caralegal und kennt durch seine langjährige Erfahrung als Senior Consultant und Lead Project Manager bei der ISiCO Datenschutz GmbH die Kundenbedürfnisse sowie Pain Points und Herausforderungen im Datenschutzmanagement. Als Product Owner setzt er dieses Fachwissen in der Produktentwicklung von caralegal um.
Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.
Zum Newsletter
anmelden

Diesen Beitrag teilen

Teilen Sie die interessantesten Neuigkeiten aus der Welt 
des Datenrechts mit FreundInnen und KollegInnen.
linked-in-logo

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:
Betroffenenanfragen – der Erfolgsguide
Mehr erfahren
7 SDM-Gewährleistungsziele
Mehr erfahren
Auf einen Blick: Schwellwertanalyse
Mehr erfahren

Dafür fehlt mir
die Zeit caralegal

caralegal live testen
In 2 Tagen startklar
64% Zeitersparnis
20 Jahre Datenschutzerfahrung
We make the legal way the lighter way
Wir glauben, dass Verordnungen dazu da sind, die Welt zu lenken. Nicht sie auszubremsen. Deshalb verändern wir, wie Unternehmen datenrechtliche Anforderungen erfüllen: intuitiv, dank intelligenter Technologie.
Wissen sichern - keine News mehr verpassen
Jetzt Newsletter abonnieren
Zum Newsletter anmelden
Unsere Partner
© 2024 caralegal GmbH
DatenschutzerklärungImpressum