Datenschutz-Compliance bei der Auswahl von Dienstleistern und Auftragsverarbeitern (Auslagerungsmanagement)

18.08.2017

Security Awareness

Durch die DSGVO ändern sich die Anforderungen, die an Dienstleister oder Auftragsverarbeiter zu stellen sind. Vor allem erhöhte Dokumentations- und Nachweispflichten machen die Compliance mit datenschutzrechtlichen Vorschriften für Unternehmen dringend erforderlich. Gleichzeitig werden die Bußgelder – auch bei vermeintlichen Kavaliersdelikten – drastisch erhöht, so dass die Missachtung der neuen Datenschutzvorschriften schwerwiegende Folgen für ein Unternehmen haben kann.

Bei der Beauftragung von Dienstleistern wurde Datenschutz bisher nur von wenigen Unternehmen zu einem wichtigen Auswahlkriterium gemacht. Oft wird nicht berücksichtigt, dass ein Unternehmen auch beim Outsourcing einzelner Leistungen für die damit verbundenen Datenverarbeitungen vollumfänglich verantwortlich bleibt. Statt den Dienstleister sorgfältig auszuwählen und regelmäßig zu kontrollieren, wie es bis dato die aktuelle Rechtslage (§ 11 Abs.2. BDSG) vorsieht, wird oft darauf vertraut, dass der Dienstleister die relevanten Vorschriften eigenverantwortlich umsetzen. Diese Praxis offenbart nach Auslegung der DSGVO zahlreiche Risiken.

Wenn Dienstleister im Rahmen ihrer Tätigkeit auf personenbezogene Daten technisch zugreifen können oder aber auch in anderer Weise Kenntnis solcher Daten erlangen, liegt eine Auftragsverarbeitung vor. Typische Auftragsverarbeitungen sind z.B. Software as a Service, Hosting-Leistungen, Rechenzentrumsleistungen, IT-Wartung oder die Entsorgung von Datenträgern. Dabei ist es egal, ob die Datenverarbeitung der primäre Vertragsgegenstand oder lediglich ein „Nebenprodukt“ ist. Es gibt auch keine Bagatellgrenze für geringe Auftragswerte oder Ausnahmen für vermeintlich nicht schützenswerte personenbezogene Daten.

Sobald der Zugriff auf personenbezogene Daten nicht technisch oder organisatorisch ausgeschlossen ist, liegt eine Auftragsverarbeitung vor und die entsprechenden rechtlichen Vorschriften müssen vollumfänglich umgesetzt werden. Erfolgt dies nicht, drohen zukünftig Bußgelder bis zu 20 Mio. Euro oder – sofern höher – 4 Prozent des weltweiten Jahresumsatzes. Der Auftraggeber sowie auch der Auftragnehmer müssen jederzeit nachweisen können, dass die Datenverarbeitung vollumfänglich nach den Vorgaben der DSGVO abgelaufen ist.

Unterstützung beim betrieblichen Datenschutz

Bei Fragen rund um den Datenschutz im Unternehmen stehen wir Ihnen gerne zur Verfügung. Nicht alle Unternehmen haben sich bis dato mit den Neuerungen DSGVO bzw. dem BDSG n.F. wirklich auseinandergesetzt.

In Anbetracht der hohen Komplexität wird zunehmend häufiger die Entscheidung getroffen, einen externen Datenschutzbeauftragen zu bestellen. Diese Aufgabe übernehmen wir und bieten außerdem eine Datenschutzberatung an. Wir freuen uns über Ihre Anfrage über 0800 – 5600831 (gebührenfrei) oder über unser Kontaktformular.