Um datenschutzkonform zu sein sollten Unternehmen einen besonderen Fokus auf ihre datenschutzrechtlichen To Do’s bei der Zusammenarbeit mit Dienstleistern, in aller Regel Auftragsdatenverarbeiter, legen. Dies liegt zum einen an der schieren Anzahl der Unternehmen, die es zu managen gilt – zum anderen entstehen schnell komplexe Sachverhalte mit zahlreichen datenschutzrechtlichen Fragestellungen und davon abgeleiteten Aufgaben; etwa sofern der oder die Dienstleister die Daten in einem Land außerhalb des EU-/EWR-Raums verarbeitet.

Was gilt es beim Dienstleistermanagement aus Datenschutzsicht zu beachten?

Aus datenschutzrechtlicher Perspektive sollten Unternehmen zwei Aspekte besonders beachten: Zunächst sind sie für die Datenverarbeitungen durch die Dienstleister verantwortlich, diese werden ihnen grundsätzlich zugerechnet. Daher sollten Unternehmen möglichst schnell Klarheit in die datenschutzrechtliche Beziehung zum Dienstleister bringen und Haftungsrisiken zu vermeiden. Darüber hinaus ist es essentiell, eine effiziente Dokumentation der Dienstleister aufzusetzen und auch zu pflegen. Nur so gelingt es, trotz Komplexität der Beziehungen (i.d.R. bedient sich ein Auftragsverarbeiter zahlreicher Subauftragnehmer), dauerhaft datenschutzkonform zu bleiben.

Die Datenschutzmanagement-Software caralegal hilft Ihnen bei der datenschutzrechtlichen Bewertung von externen Dienstleistern.

Schritt 1: Ist der Dienstleister geeignet? Erfüllt er meine datenschutzrechtlichen Anforderungen?

Neue Dienstleister sollten bevor sie eingesetzt werden, zunächst geprüft werden. Bestenfalls existieren schon Vorerfahrungen mit anderen Dienstleistern und die Anforderungen an den neuen Dienstleister wurden definiert. Bei den bereits vorhandenen Dienstleistern wird zunächst eine Bestandsaufnahme gemacht, d.h. alle vorhandenen Dienstleister aufgelistet. So dann gilt es in beiden Konstellation – ob neuer Dienstleister oder bereits genutzter Dienstleister – alle relevanten Informationen einzuholen. Dies sind insbesondere die Verträge, u.a. den AVV-Vertrag oder das JC-Agreement. Neue Dienstleister können in der Regel Muster bzw. Standard-Dokumente bereitstellen, die sie bereits für andere Kunden nutzen.

Schritt 2: Brauche ich den Dienstleister überhaupt? Muss er überhaupt personenbezogene Daten verarbeiten?

Im Anschluss an die Bestandsaufnahme ist es immer sinnvoll sich noch einmal die Frage zu stellen: Brauche ich dieses Tool überhaupt? Wird es überhaupt genutzt? Das schont nicht nur den Geldbeutel, sondern führt auch zu einem schlanken Dienstleistermanagement. Auch sollte überlegt werden ob und auch in welchem Umfang das Tool überhaupt personenbezogene Daten verarbeiten muss. Vielfach verarbeiten die Dienstleister mehr personenbezogene Daten als erforderlich. Hier kann also sowohl bei den Verhandlungen mit dem Dienstleister, als auch durch Einstellungen in der Software selbst, gegengesteuert werden. Damit das Tool dann auch in der konkreten Nutzung möglichst sparsam – bzgl. der verarbeiteten Daten – eingesetzt wird, sollte u.U. eine Company Policy erstellt werden. Die zum Beispiel besagt, dass über dieses Tool keine Kund:innen Daten ausgetauscht werden dürfen.

Schritt 3: Ist mein Dienstleister Auftragsverarbeiter?

-> Datenschutzrechtliches Verhältnis zum Dienstleister klären

Schon einmal eins vorweg: In aller Regel, ja. Trotzdem sollte diese Frage möglichst früh gestellt und beantwortet werden. Denn sie ist eine wichtige Weichenstellung für die Frage, welche Anforderungen sich aus datenschutzrechtlicher Sicht ergeben. Teilweise ist es nicht ganz trivial festzustellen, ob es sich bei dem eingesetzten Dienstleister um einen Auftragsverarbeiter handelt. Hilfreich sind hier vor allem Orientierungshilfen diverser Aufsichtsbehörden wie die Checklisten der britischen Datenschutzaufsichtsbehörde und die Auslegungshilfe des Bayerischen Landesamtes für Datenschutzaufsicht. Sofern sich diese Frage nicht zweifelsfrei beantworten lässt, sollten Unternehmen lieber Expertenrat einholen.

Schritt 4: Welche Aufgaben erfüllt der Dienstleister? Welche Garantien bietet er?

-> Abschluss eines AVV-Vertrags

In einem nächsten Schritt werden die notwendigen Verträge geschlossen, hier in der Regel ein AVV-Vertrag. Ein solcher ist im Falle einer Auftragsverarbeitung von der DSGVO ausdrücklich vorgeschrieben (Art. 28 Abs. 3 DSGVO). Er ist zudem auch sehr nützlich, um ihre Beziehung mit dem Dienstleister klar zu regeln. Damit lassen sich Aufgaben definieren und Unternehmen können sich etwa gegen Haftungsrisiken absichern. Hierfür können individuelle Regelungen getroffen werden und ebenso auf von der EU-Kommission verabschiedete Vertragsmuster zurückgegriffen werden. Bereits bestehende Verträge können fortgelten, sofern sie den Anforderungen der DSGVO entsprechen oder darüber hinausgehen.

Schritt 5: Welche Datenverarbeitungen finden statt? Was gilt es bei Datenverarbeitungen außerhalb der EU zu beachten?

-> Dokumentieren und VVT anlegen

Nun muss noch die Datenschutzdokumentation angelegt bzw. aktualisiert werden, d.h. insbesondere das Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellt und ggf. eine Datenschutz-Folgenabschätzung durchgeführt werden.

Hierbei sollten alle Nicht-EU Datenverarbeitungen identifiziert werden, d.h. solche Verarbeitungen die außerhalb des EU-/EWR-Raums stattfinden. Denn hierfür gelten unter Umständen gesonderte Anforderungen. Keine gesonderten Anforderung gelten, sofern für das jeweilige Land ein Angemessenheitsbeschluss der EU besteht. Die EU also festgestellt hat, dass das Land – in dem die Datenverarbeitung stattfindet ein der DSGVO entsprechendes Datenschutzniveau garantiert. In allen anderen Fällen muss diese Garantien erst erbracht werden. Für Datentransfers in die USA etwa – unter anderem – indem sogenannte Standardvertragsklauseln (SCC) abgeschlossen werden. Diese hat die EU zuletzt im Zuge des “Schrems II”-Urteils entwickelt.

Schritt 6: Hält der Dienstleister die datenschutzrechtlichen Vorgaben ein? Ist die Dokumentation aktuell? Sind die AVV-Verträge auf dem neuesten Stand?

-> Regelmäßiges Audit der Dienstleister

Zuletzt sollten die Dokumentation stets auf ihre Aktualität geprüft werden, um fortlaufend datenschutzkonform zu bleiben. Hierzu gilt es die vorhandene Dokumentation regelmäßig zu überprüfen. Und darüber hinaus die die sehr dynamische Rechtslage stets im Blick zu behalten.

caralegal automatisiert und unterstützt diese Aufgaben

caralegal unterstützt Unternehmen mit einem integrierten Datenschutz-Compliance-Check dabei, diese Schritte umzusetzen. Die Software prüft die vorliegende Dokumentation des jeweiligen Dienstleisters auf eventuelle Lücken und deren Konformität mit der aktuellen Rechtslage. Denn nichts ist schlimmer, als veraltete Verträge zu unterhalten, unwirksame Verträge abzuschließen oder gar notwendige Vertragswerke zu vergessen. Im Dashboard und mithilfe von intelligenten Verknüpfungen innerhalb des Verzeichnis von Verarbeitungstätigkeiten, den Datenschutz-Folgenabschätzungen sowie den Technischen- und organisatorischen Maßnahmen (TOM) wird für Fachbereiche und Datenschutzexperten der aktuelle Stand übersichtlich dargestellt. Sofern die Datenverarbeitungen außerhalb der EU erfolgen, assistiert caralegal mithilfe des SCC-Generators bei der Herstellung von Datenschutz-Compliance. Mithilfe unseres SCC-Generators können Unternehmen anhand eines Fragebogens passende Vertragsmuster für derartige Datentransfers erstellen.