“Ein verantwortungsvoller Umgang mit Daten muss die Norm werden. Mit unseren Lösungen befähigen wir Unternehmen schon heute dazu.”
Kathrin Schürmann
Geschäftsführerin caralegal GmbH
Um datenschutzkonform zu sein sollten Unternehmen einen besonderen Fokus auf ihre datenschutzrechtlichen To Do’s bei der Zusammenarbeit mit Dienstleistern, in aller Regel Auftragsdatenverarbeiter, legen. Dies liegt zum einen an der schieren Anzahl der Unternehmen, die es zu managen gilt – zum anderen entstehen schnell komplexe Sachverhalte mit zahlreichen datenschutzrechtlichen Fragestellungen und davon abgeleiteten Aufgaben; etwa sofern der oder die Dienstleister die Daten in einem Land außerhalb des EU-/EWR-Raums verarbeitet.
Aus datenschutzrechtlicher Perspektive sollten Unternehmen zwei Aspekte besonders beachten: Zunächst sind sie für die Datenverarbeitungen durch die Dienstleister verantwortlich, diese werden ihnen grundsätzlich zugerechnet. Daher sollten Unternehmen möglichst schnell Klarheit in die datenschutzrechtliche Beziehung zum Dienstleister bringen und Haftungsrisiken zu vermeiden. Darüber hinaus ist es essentiell, eine effiziente Dokumentation der Dienstleister aufzusetzen und auch zu pflegen. Nur so gelingt es, trotz Komplexität der Beziehungen (i.d.R. bedient sich ein Auftragsverarbeiter zahlreicher Subauftragnehmer), dauerhaft datenschutzkonform zu bleiben.
Neue Dienstleister sollten bevor sie eingesetzt werden, zunächst geprüft werden. Bestenfalls existieren schon Vorerfahrungen mit anderen Dienstleistern und die Anforderungen an den neuen Dienstleister wurden definiert. Bei den bereits vorhandenen Dienstleistern wird zunächst eine Bestandsaufnahme gemacht, d.h. alle vorhandenen Dienstleister aufgelistet.
So dann gilt es in beiden Konstellation – ob neuer Dienstleister oder bereits genutzter Dienstleister – alle relevanten Informationen einzuholen. Dies sind insbesondere die Verträge, u.a. den AVV-Vertrag oder das JC-Agreement. Neue Dienstleister können in der Regel Muster bzw. Standard-Dokumente bereitstellen, die sie bereits für andere Kunden nutzen.
Im Anschluss an die Bestandsaufnahme ist es immer sinnvoll sich noch einmal die Frage zu stellen: Brauche ich dieses Tool überhaupt? Wird es überhaupt genutzt? Das schont nicht nur den Geldbeutel, sondern führt auch zu einem schlanken Dienstleistermanagement. Auch sollte überlegt werden ob und auch in welchem Umfang das Tool überhaupt personenbezogene Daten verarbeiten muss. Vielfach verarbeiten die Dienstleister mehr personenbezogene Daten als erforderlich.
Hier kann also sowohl bei den Verhandlungen mit dem Dienstleister, als auch durch Einstellungen in der Software selbst, gegengesteuert werden. Damit das Tool dann auch in der konkreten Nutzung möglichst sparsam – bzgl. der verarbeiteten Daten – eingesetzt wird, sollte u.U. eine Company Policy erstellt werden. Die zum Beispiel besagt, dass über dieses Tool keine Kund:innen Daten ausgetauscht werden dürfen.
Schon einmal eins vorweg: In aller Regel, ja. Trotzdem sollte diese Frage möglichst früh gestellt und beantwortet werden. Denn sie ist eine wichtige Weichenstellung für die Frage, welche Anforderungen sich aus datenschutzrechtlicher Sicht ergeben.
Teilweise ist es nicht ganz trivial festzustellen, ob es sich bei dem eingesetzten Dienstleister um einen Auftragsverarbeiter handelt. Hilfreich sind hier vor allem Orientierungshilfen diverser Aufsichtsbehörden wie die Auslegungshilfe des Bayerischen Landesamtes für Datenschutzaufsicht. Sofern sich diese Frage nicht zweifelsfrei beantworten lässt, sollten Unternehmen lieber Expertenrat einholen.
In einem nächsten Schritt werden die notwendigen Verträge geschlossen, hier in der Regel ein AVV-Vertrag. Ein solcher ist im Falle einer Auftragsverarbeitung von der DSGVO ausdrücklich vorgeschrieben (Art. 28 Abs. 3 DSGVO). Er ist zudem auch sehr nützlich, um ihre Beziehung mit dem Dienstleister klar zu regeln. Damit lassen sich Aufgaben definieren und Unternehmen können sich etwa gegen Haftungsrisiken absichern.
Hierfür können individuelle Regelungen getroffen werden und ebenso auf von der EU-Kommission verabschiedete Vertragsmuster zurückgegriffen werden. Bereits bestehende Verträge können fortgelten, sofern sie den Anforderungen der DSGVO entsprechen oder darüber hinausgehen.
Nun muss noch die Datenschutzdokumentation angelegt bzw. aktualisiert werden, d.h. insbesondere das Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellt und ggf. eine Datenschutz-Folgenabschätzung durchgeführt werden. Hierbei sollten alle Nicht-EU Datenverarbeitungen identifiziert werden, d.h. solche Verarbeitungen die außerhalb des EU-/EWR-Raums stattfinden. Denn hierfür gelten unter Umständen gesonderte Anforderungen.
Keine gesonderten Anforderung gelten, sofern für das jeweilige Land ein Angemessenheitsbeschluss der EU besteht. Die EU also festgestellt hat, dass das Land – in dem die Datenverarbeitung stattfindet ein der DSGVO entsprechendes Datenschutzniveau garantiert. In allen anderen Fällen muss diese Garantien erst erbracht werden. Für Datentransfers in die USA etwa – unter anderem – indem sogenannte Standardvertragsklauseln (SCC) abgeschlossen werden. Diese hat die EU zuletzt im Zuge des “Schrems II”-Urteils entwickelt.
Zuletzt sollten die Dokumentation stets auf ihre Aktualität geprüft werden, um fortlaufend datenschutzkonform zu bleiben. Hierzu gilt es die vorhandene Dokumentation regelmäßig zu überprüfen. Und darüber hinaus die die sehr dynamische Rechtslage stets im Blick zu behalten.
caralegal unterstützt Unternehmen mit einem integrierten Datenschutz-Compliance-Check dabei, diese Schritte umzusetzen. Die Software prüft die vorliegende Dokumentation des jeweiligen Dienstleisters auf eventuelle Lücken und deren Konformität mit der aktuellen Rechtslage. Denn nichts ist schlimmer, als veraltete Verträge zu unterhalten, unwirksame Verträge abzuschließen oder gar notwendige Vertragswerke zu vergessen.
Im Dashboard und mithilfe von intelligenten Verknüpfungen innerhalb des Verzeichnis von Verarbeitungstätigkeiten, den Datenschutz-Folgenabschätzungen sowie den Technischen- und organisatorischen Maßnahmen (TOM) wird für Fachbereiche und Datenschutzexperten der aktuelle Stand übersichtlich dargestellt.
Sofern die Datenverarbeitungen außerhalb der EU erfolgen, assistiert caralegal mithilfe des SCC-Generators bei der Herstellung von Datenschutz-Compliance. Mithilfe unseres SCC-Generators können Unternehmen anhand eines Fragebogens passende Vertragsmuster für derartige Datentransfers erstellen.
Entdecke weitere Beiträge zu diesem Thema:
en_US
