Datenschutzrechtliche Standard-Situationen Schritt für Schritt meistern: Dabei unterstützen die ESCHE-Datenschutz-Checklisten.
Nahezu jedes Unternehmen lässt Daten verarbeiten. Die Bandbreite reicht über IT-Dienstleistungen, Gehaltsabrechnungen, Call-Center-Dienste, den Einsatz von Tracking-Tools bis hin zur Akten- und Datenträgervernichtung. In all diesen Fällen und selbst bei schlichten Wartungsarbeiten, bei denen Externe etwaigen Zugriff auf personenbezogene Daten haben, ist der Auftraggeber gefordert. Dabei geht es nicht nur um die gesetzlich vorgeschriebene Vertragsgestaltung, sondern auch um zahlreiche sonstige rechtliche und organisatorischen Aufgaben:
Phase 1: Vorbereitung der Auftragsdatenverarbeitung
- Abgrenzung Auftragsdatenverarbeitung/Funktionsübertragung
- Sorgfältige Auswahl des Auftragnehmers
- Erfassung der betroffenen personenbezogenen Daten und des Kreises der Betroffenen
- Prüfung, ob ein betrieblicher Datenschutzbeauftragter zu bestellen ist und ggf. Bestellung eines betrieblichen Datenschutzbeauftragten
- Einbindung des betrieblichen Datenschutzbeauftragten
- Prüfung der rechtlichen Zulässigkeit der Auftragsdatenverarbeitung, insbesondere
- Prüfung der Relevanz und Einhaltung strafrechtlich sanktionierter Vertraulichkeitspflichten
- Klärung der Frage, ob Daten in Staaten ohne angemessenes Datenschutzniveau transferiert werden; wenn ja: Sicherstellung eines angemessenen Datenschutzniveaus beim Empfänger (z. B. durch EU-Standardvertragsklauseln)
- Individuelle Gestaltung eines Auftragsdatenverarbeitungsvertrages unter Berücksichtigung der gesetzlich vorgeschriebenen Vertragsinhalte
- Ermittlung des etwaigen Einsatzes von Unterauftragnehmer durch den Dienstleister und ggf. Vertragsprüfung und -gestaltung
- Implementierung eines Risikomanagements für Datenverluste, Hackerangriffe etc. (siehe auch ESCHE Datenschutz-Kurzleitfaden „Hackerangriffe und Datenverluste")
- Vor der erstmaligen Weitergabe personenbezogener Daten an den Auftragnehmer bzw. vor dessen ersten Zugriff auf die Daten: Kontrolle der Einhaltung der technischen und organisatorischen Maßnahmen zur Datensicherheit beim Auftragnehmer
- Dokumentation der Kontrolle
- Ggf. Versicherungsschutz (Cyberangriffe etc.)
- Ggf. weitere rechtliche Prüfungen, z. B. steuerrechtliche Aspekte
- Ggf. Anpassung des Verfahrensverzeichnisses
Phase 2: Durchführung der Auftragsdatenverarbeitung
- Erfüllung gesetzlich vorgeschriebener und vertraglich vereinbarter Kontrollmaßnahmen bei dem Auftragnehmer und dessen Unterauftragnehmern
- Insbesondere Prüfung und Anpassung der technischen und organisatorischen Maßnahmen zur Datensicherheit
- Dokumentation der Kontrollmaßnahmen
- Ggf. Prüfung und Genehmigung oder Ablehnung zusätzlicher Unterauftragsverhältnisse des Auftragnehmers
- Bei Datenverlusten etc. bei dem Auftragnehmer bleibt der Auftraggeber verantwortlich: siehe dazu ESCHE Datenschutz-Checkliste „Verhalten bei Hackerangriffen (oder sonstigen Datenpannen)“
Phase 3: Beendigung der Auftragsdatenverarbeitung
- Beendigung des Auftragsdatenverarbeitungsvertrages
- Sichere Rückübertragung personenbezogener Daten einfordern und ggf. durchsetzen
- Rückgabe überlassener Datenträger einfordern und ggf. durchsetzen
- Löschung der personenbezogenen Daten beim Dienstleister auf dessen Datenträgern einfordern und durchsetzen
Autor: Dr. Karsten Krupna