Sie befinden sich hier:

Nach welchen Kriterien sollte ein Auftragsverarbeiter ausgesucht werden?

Ein Verantwortlicher darf nur Auftragsverarbeiter auswählen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt – auch auf Bezug auf die Gewährleistung der Datensicherheit – und den Schutz der Rechte der betroffenen Person gewährleistet (Art. 28 Abs. 1 DSGVO).

Garantien

Die Garantien, die der Auftragsverarbeiter „bietet“, sind diejenigen, die der Auftragsverarbeiter zur Zufriedenheit des Verantwortlichen belegen kann, da diese die einzigen Garantien sind, die der Verantwortliche bei der Prüfung der Erfüllung seiner Pflichten wirksam berücksichtigen kann. Häufig erfordert dies einen Austausch einschlägiger Unterlagen (z. B. Datenschutzerklärung, Dienstleistungsbedingungen, Aufzeichnungen über Verarbeitungstätigkeiten, Strategie für die Verwaltung von Aufzeichnungen, Informationssicherheitskonzept, Berichte über externe Datenschutzaudits, anerkannte internationale Zertifizierungen wie die ISO 27000-Reihe).

Die Beurteilung durch den Verantwortlichen der Frage, ob die Garantien hinreichend sind, ist eine Form der Risikobewertung, die in hohem Maße von der Art der dem Auftragsverarbeiter anvertrauten Verarbeitung abhängt und von Fall zu Fall unter Berücksichtigung der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen erfolgen muss.

Auswahlkriterien

Ein Verantwortlicher, der einen Auftragsverarbeiter mit Verarbeitungstätigkeiten betrauen will, sollte nur Auftragsverarbeiter heranziehen, die – insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen – hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen – auch für die Sicherheit der Verarbeitung – getroffen werden, die den Anforderungen dieser Verordnung genügen (Satz 1 des Erwägungsgrund 81 zur Datenschutz-Grundverordnung). Der Verantwortliche muss den Auftragsverarbeiter anhand dieser Kriterien sorgfältig auswählen. Dabei ist auch darauf zu achten, dass das Personal des Auftragsverarbeiters entsprechend geschult und regelmäßig weitergebildet wird.

Der Auftragsverarbeiter muss kompetente Ansprechpartner für die Bereiche Datenschutz und Datensicherheit benennen (z. B. Datenschutz- und IT-Sicherheitsbeauftragter).

Wichtigstes Auswahlkonzept sollte das Datensicherheitskonzept des Auftragsverarbeiters sein. Ist das Konzept nicht ausreichend, sind ergänzende Maßnahmen zu vereinbaren. Die Umsetzung dieses Konzeptes sollte vor Ort in Augenschein genommen werden.

Ein weiteres Indiz bezüglich der Eignung der vom Auftragsverarbeiter zu treffenden technischen und organisatorischen Maßnahmen kann das Vorliegen eines entsprechenden Datenschutzaudits oder eines „Datenschutzgütesiegels“ sein. So sind die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 DSGVO (z. B. durch die Mitgliedsstaaten, Aufsichtsbehörden oder Verbänden) oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 DSGVO durch einen Auftragsverarbeiter Indizien für die Geeignetheit eines Auftragsverarbeiters (Art. 28 Abs. 5 DSGVO).

Es besteht auch jederzeit die Möglichkeit, sich bei Fachverbänden oder anderen Unternehmen bezüglich geeigneter Auftragsverarbeiter zu erkundigen.

Das vom Verantwortlichen überprüfte und für in Ordnung befundene Datenschutzkonzept sollte dann Bestandteil des abzuschließenden Vertrages werden.

Bei der Auswahl des Auftragsverarbeiters darf die Kostenfrage nicht die allein entscheidende Rolle spielen. In erster Linie muss derjenige Bewerber den Zuschlag bekommen, der das schlüssigste Datenschutz- und Datensicherheitskonzept vorweisen kann, und nicht derjenige, der zwar das günstigste Angebot abgibt, aber keine ausreichenden technischen und organisatorischen Sicherheitsmaßnahmen bietet. Auch das Vergaberecht verlangt nicht die Auswahl des billigsten, sondern des wirtschaftlichsten Angebots. Die Auswahl eines „geeigneten“ Dienstleisters sollte ohnehin im eigenen Interesse erfolgen, denn jede Beeinträchtigung des Datenschutzes und der Datensicherheit durch den Dienstleister muss sich der Verantwortliche grundsätzlich zurechnen lassen, auch wenn er unter Umständen vom Dienstleister Ersatz für entstandene Schäden verlangen kann.

Außerdem sollte der Auftragsverarbeiter gewährleisten, dass im Bedarfsfall ein ununterbrochener, zuverlässiger 24-Stunden-Betrieb an allen sieben Tagen der Woche (auch am Wochenende und an Feiertagen) gewährleistet ist. Dazu muss der Auftragsverarbeiter natürlich über genügend Personal verfügen.

Nachweispflicht

Der Verantwortliche ist daher dafür verantwortlich, zu beurteilen, ob die Garantien des Auftragsverarbeiters ausreichend sind, und sollte nachweisen können, dass er alle in der DSGVO vorgesehenen Elemente ernsthaft berücksichtigt hat.

nach oben