Sicherheit der Auftragsverarbeitung

Alle Organisationen, die personenbezogene Daten verarbeiten, haben gemäß Art. 24 und 32 DSGVO die Pflicht, für die Sicherheit dieser Daten zu sorgen. Das schließt auch die Verpflichtung ein, nur Auftragsverarbeiter zu beauftragen, die ausreichende technisch-organisatorische Sicherheitsmaßnahmen (TOM) umgesetzt haben.

Welche Maßnahmen erforderlich sind, hängt in erster Linie vom Schutzbedarf der verarbeiteten Daten ab. Es liegt auf der Hand, dass sensible Gesundheitsdaten besser geschützt werden müssen als Zahlungsdaten, und die wieder besser als einfache Namenslisten. Den meisten Unternehmen fällt es schwer, die nötigen Festlegungen zu treffen. Noch schwerer ist es oft, die Angaben der Auftragsverarbeiter zu kontrollieren und zu prüfen.

Prüfpflicht des Verantwortlichen

Vor allem, wenn Daten mit hohem Schutzbedarf verarbeitet werden, sind Verantwortliche verpflichtet, die Sicherheitsmaßnahmen ihrer Auftragsverarbeiter regelmäßig zu überprüfen, wenn sie sich vor den hohen Strafen der DSGVO schützen wollen. Im einfachsten Fall genügt dazu die detaillierte Prüfung der Ergebnisse einer Zertifizierung nach einschlägigen Sicherheitsnormen. Es kann aber auch nötig sein, eine Inspektion des Auftragsverarbeiters vor Ort durchzuführen oder technische Prüfungen vorzunehmen.

In keinem Fall ist es ausreichend, den Zusicherungen des Auftragsverarbeiters einfach zu glauben und sie für gegeben zu nehmen. Wenn es durch Fehler oder unzureichende Sicherungsmaßnahmen des Auftragsverarbeiters zu einem Datenschutzvorfall (Data Breach) kommt, kann das als Mitverschulden des Verantwortlichen gewertet werden und zu empfindlichen Strafen führen.

Audit Auftragsverarbeiter

Aufgrund unserer langjährigen Erfahrung auf den Gebieten der Informationssicherheit und des Datenschutzrechts bieten wir Ihnen Unterstützung in allen Fragen der Sicherheit ihrer Auftragsverarbeitungen. Unsere Leistungen umfassen unter anderem folgende Tätigkeiten:

• Festlegung von Sicherheitsanforderungen einzelner Auftragsverarbeitungen
• Prüfung der Auftragsverarbeitervereinbarungen gem. Art. 28 DSGVO, sowohl vor als auch nach dem Abschluss
• Überprüfung der technisch-organisatorischen Maßnahmen von Auftragsverarbeitern
• Rechtliche und technische Überprüfung von Sub-Auftragsverarbeitern und deren Sicherheitsmaßnahmen

Wir beraten Sie umfassend in allen Fragen der Auftragsverarbeitung und der damit verbundenen Sicherheitsmaßnahmen. Durch unsere Expertise auf den Gebieten Informationssicherheit, Zertifizierung und Datenschutz stellen wir sicher, dass auch Ihre Auftragsverarbeitungen den Anforderungen der DSGVO entsprechen. Sie weisen damit die Erfüllung Ihrer Rechenschaftspflicht nach und minimieren das datenschutzrechtliche Risiko für Ihr Unternehmen.