Auftragsverarbeitung, das Auslagern von Datenverarbeitungsprozessen durch den Auftraggeber auf externe Dienstleister, ist ein häufiges Mittel zur Kostensenkung und der Nutzung von externem Know How. Die Nutzung von Cloud-Services fällt oftmals in diesen Bereich. Wichtig ist zunächst, dass ein Unternehmen, welches einen Cloud-Dienstleister beauftragt personenbezogene Daten im Auftrag des Unternehmens zu verarbeiten,
nach Art. 28 DSGVO zwingend einen Vertrag mit dem Auftragnehmer schließen muss. Dieser Vertrag muss inhaltlich den Vorgaben des Art. 28 Abs. 3 DSGVO genügen.
Im Gegensatz zur früheren Rechtslage legt die DSGVO dem Verantwortlichen und dem Auftragsverarbeiter (nicht mehr Auftragsdatenverarbeiter) mehr Pflichten auf, vgl Art. 28 DSGVO. Noch stärker als früher sind die Beteiligten gehalten, die Frage zu klären, ob die geplante Auftragsverarbeitung überhaupt sicher ist. Denn wer dieser zentralen Ausgangsfrage keine Bedeutung beimisst, wird die Rechtmäßigkeit der Verarbeitung nicht gewährleisten können und riskiert mitunter deutliche höhere Bußgelder.
Es sollten Maßnahmen vereinbart werden, welche mindestens die folgenden Punkte absichert:
- die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung zu implementieren.
Bei der Beurteilung des angemessenen Schutzniveaus vom Auftragnehmer sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung , insbesondere durch Vernichtung, Verlust oder Veränderung verbunden sind. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der technischen und organisatorischen Maßnahmen nachzuweisen. Dennoch sollte immer ein Datenschutzbeauftragter in diesem Prozess involviert werden, da es hier viele Haftungsrisiken zu beachten gibt.
Wie finde ich den richtigen Anbieter?
Durch die Vielzahl der Angebote im Bereich Cloud-Service, verliert man oft den Überblick, welche Anbieter die Vorgaben des Datenschutzes einhalten und welche Anbieter hiergegen verstoßen. Als Datenschutzbeauftragte können wir Ihnen raten, dass Sie sich über Audit-Berichte (intern oder extern) einen klaren Überblick verschaffen, welche Maßnahmen der zukünftigen Cloud-Dienstleister für den Schutz Ihrer Daten umsetzt. Zu dem ist es wichtig, dass Sie den zu schließenden Auftragsverarbeitungs-Vertrag im Detail prüfen, da es hier zu bei unachtsamer Vorabprüfung zu hohen Bußgeldern kommen kann, wenn der Cloud-Dienstleister eine Datenpanne verursacht.
Bei Problemen konsultieren Sie Ihren Datenschutzberater oder schicken Sie eine E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Hier anmelden und keinen Blogartikel mehr verpassen!
Autor: Mannus Weiß