Kontrollrechte und Kontrollen bei Dienstleistern

HMDATA Datenschutz-Newsletter 10/2024, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Vermutlich gibt es für diejenigen, die sich als Verantwortlicher seriös mit der DSGVO beschäftigen, keine komplexere praktische Thematik als eine Auftragsverarbeitung mit einem Dienstleister gem. Art. 28 DSGVO.
Aber – wie immer – wenn man sich praxisgerecht mit der Thematik beschäftigt und ansonsten seine datenschutzrechtlichen Hausaufgaben erledigt hat, ist auch die Verwaltung seiner AVVs mit den Dienstleistern im Grunde eine ganz einfache Sache.

Dabei gilt es festzuhalten:

• ein AVV nach Art. 28 DSGVO ist keine optionale Wunschmöglichkeit sondern gemäß Weisungsgebundenheit und Herrschaft über Mittel und Zwecke der Verarbeitung klar geregelt. Ein zu viel oder "vorsichtshalber" abgeschlossener AVV ist genauso falsch wie ein nicht abgeschlossener AVV bei Vorliegen der Voraussetzungen.
• ein AVV ist kein erstrebenswerter Vertrag, da dieser umfangreiche Pflichten für Auftraggeber und Auftragnehmer festlegt
• wenn, dann richtig gem. Art. 28 Abs. 3 DSGVO
• zu einem AVV gehört immer ein Dienstleistungsvertrag, der die Verarbeitung regelt und eine Auflistung Technisch-Organisatorischer Maßnahmen, die dem Auftraggeber die notwendige Sicherheit der Verarbeitung nachweist
• ein AVV lebt, es ist also nicht mit Abschluss für's Archiv getan. Regelmäßige Evaluierungspflichten (ähnlich Inspektionsintervallen) obliegen dem Auftraggeber
• da sich die Pflichten aus einer AVV erst längerfristig ergeben (bzw. technischer Fortschritt, zunehmende Masse an Daten und Nutzung, Risikoaufsummierung / Eintrittswahrscheinlichkeit) kommen erst jetzt seit 2018 so langsam die ersten praktischen Herausforderungen auf
• es gibt durchaus praktische und datenschutzrechtliche Freiheiten bei der Umsetzung und Gestaltung. Diese gilt es für sich zu nutzen.

Dienstleisterkontrollen

Da man als Verantwortlicher für die Verarbeitung verantwortlich ist, obliegt es also einem selbst, für die Sicherheit seiner eingesetzten Dienstleister zu bürgen, schließlich steht das Risiko von Datenpannen, betriebswirtschaftlicher Schaden und die Reputation auf dem Spiel. Damit man sich nicht rein auf geduldiges Papier verlassen muss, stehen einem unabdingbare Kontrollrechte – auch vor Ort - zur Verfügung. Diese Maßnahmen sind natürlich ein äußerst weitreichender Eingriff in die Pflichten des Auftragnehmers, so dass hier gerne mehr oder weniger hohe Hürden aufgebaut werden: extrem hohe Kosten, aufdringliche Zumutungen (außerhalb Betriebszeiten, keine Störung, keine Interessenskonflikte des Prüfers, lange Vorlaufzeit, lange Anreise, administrativer Aufwand …). Dabei gilt: zulässig ist nur, was das Kontrollrecht nicht faktisch verunmöglicht. Kosten dürften also durchaus angesetzt werden, wenn diese marktüblich sind.

Gängig wäre aber auch der Nachweis über anerkannte Zertifikate oder eine anerkannte Zertifizierung nach Art. 42 DSGVO, das erspart allen Stakeholdern Aufwand und man muss nur noch die jährliche Prüfung des Zertifikates evaluieren. Grundsätzlich ist das Kontrollrecht aber eher Ultima Ratio bei hochsensiblen und existenzkritischen Verarbeitungen oder erheblichen Verdachtsmomenten, praxisgerecht lässt man sich die Sicherheit der Verarbeitung und Datenschutzkonformität regelmäßig vom Auftragehmer bestätigen.

Praxistipps

Auf Grund des technischen Fortschrittes, der Erfahrungswerte und auch beginnender gerichtlicher Auseinandersetzungen und Urteile beginnt erst so langsam der vereinbarte Kontext aus einer AVV nach Art. 28 DSGVO in der Praxis zu wirken. Für den Auftraggeber können sich dabei aber auch unter Ausnutzung des Gestaltungsspielraums präventiv vereinfachende Maßnahmen ergeben.

• Übersicht über alle Dienstleister Unabdingbar - und nicht nur aus Sicht des Datenschutzes – ist eine aktuelle Übersicht aller externen Dienstleister (nicht Versicherungen, Anwalt oder Steuerberater!) - die automatisierten Zugriff auf die von Ihnen verarbeiteten personenbezogenen Daten haben.
• Bringschuld des Nachweises Trotz Verpflichtung der regelmäßigen Evaluierung eingesetzter Dienstleister kann man sich zu Nutzen machen, dass der Auftragsnehmer die Sicherheit der Verarbeitung nach aktuellem Stand der Technik nachweisen muss. Eine einfache formlose E-Mail genügt hierfür, die Antwort sollte umgehend, vollständig und aktuell sein.
• Eskalationsmöglichkeiten Sollte ein Dienstleister im Rahmen seiner Verpflichtungen nach Art. 28 DSGVO nicht kooperieren, stehen Ihnen vertraglich und gesetzlich ausreichend Möglichkeiten zur Durchsetzung zur Verfügung.
• Vorabprüfung Meist lassen sich schon vor Vertragsschluss Schlussfolgerung über die zukünftige Datenschutzkonformität und Sicherheit der Verarbeitung ziehen. Vollständige und korrekte Vertragsunterlagen sind meist ein guter Indikator. Sollte es bereits hier zu Problemen oder Ungereimtheiten führen, sollten Sie besser einen alternativen Dienstleister wählen.
• Stichprobenprüfung Der Auftragnehmer ist zu umfangreichen Mithilfe- und Reporting-Tätigkeiten verpflichtet. Bspw. Zur Unterstützung der Dokumentation der Verarbeitungstätigkeiten, Lösch- und Berichtigungspflichten, Melde- und Hinweispflichten, Unterstützung bei Betroffenenrechten uvm. Es besteht also jederzeit die Möglichkeit, im Rahmen der gesetzlichen Pflichten des Auftragsnehmers dessen DSGVO-Compliance einfach zu testen und einzuschätzen.
• Datenschutzbeauftragten involvieren Gerne unterstützt Sie Ihr Datenschutzbeauftragter bei der regelmäßigen Evaluierung Ihrer Dienstleister, auch nötigenfalls bei Kontrollen vor Ort in sensiblen Fällen.

Fazit

Ohne spezialisierte Dienstleister kann kein datengetriebenes Dienstleistungsunternehmen mehr im Markt bestehen. Dabei werden auch kritische Prozesse ausgelagert. Damit diese weder zu Datenpannen, einem erhöhtem Risiko der Verarbeitung, einem betriebswirtschaftlichen Schaden oder Reputationsverlust führen, sind eine sorgfältige Auswahl und geeignete Sicherheitsgarantien auch im Zuge ständig fortschreitender technischer Entwicklung unabdingbar.