Am Bahnhof 2, 36037 Fulda +49 (0)171-2020800 Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.

Datenschutz

Auftragsverarbeitung und Dienstleisterprüfung

Wenn Dienstleister personenbezogene Daten im Auftrag verarbeiten, müssen Verantwortlichkeiten, Schutzmaßnahmen und vertragliche Grundlagen sauber geregelt sein.

Auftragsverarbeitung betrifft viele alltägliche Unternehmensprozesse: IT-Dienstleister, Cloud-Anbieter, Hosting, Newsletterdienste, Lohnabrechnung, Supportsysteme, Entsorgungsdienstleister, Software-as-a-Service-Lösungen und viele weitere externe Leistungen.

SITsolutions unterstützt Unternehmen bei der Prüfung, Bewertung und Dokumentation von Auftragsverarbeitungen nach DSGVO.

Warum Auftragsverarbeitung wichtig ist

Werden personenbezogene Daten durch einen externen Dienstleister im Auftrag verarbeitet, bleibt das beauftragende Unternehmen grundsätzlich für die Rechtmäßigkeit der Verarbeitung verantwortlich. Deshalb muss vor und während der Zusammenarbeit geprüft werden, ob der Dienstleister geeignet ist und ob die Verarbeitung vertraglich und organisatorisch sauber geregelt wurde.

Ein Vertrag zur Auftragsverarbeitung allein reicht in der Praxis häufig nicht aus. Wichtig sind auch die Prüfung der technischen und organisatorischen Maßnahmen, die Bewertung von Unterauftragnehmern, Datenstandorten, Löschregelungen, Supportzugriffen und möglichen Risiken.

  • Klare Regelung der Verantwortlichkeiten
  • Prüfung technischer und organisatorischer Maßnahmen
  • Bewertung von Unterauftragnehmern
  • Dokumentation von Datenarten, Zwecken und betroffenen Personen
  • Kontrolle von Löschung, Rückgabe und Supportzugriffen
  • Nachweis gegenüber Geschäftsleitung, Kunden oder Aufsichtsbehörden

Typische Fälle der Auftragsverarbeitung

Auftragsverarbeitung liegt häufig näher, als es auf den ersten Blick erscheint. Gerade bei digitalen Diensten und Cloud-Lösungen verarbeitet der Anbieter regelmäßig personenbezogene Daten im Auftrag des Unternehmens.

IT und Cloud

Hosting, Microsoft 365, Backup, Helpdesk, Fernwartung, Cloud-Speicher, Monitoring, Security-Dienste oder SaaS-Anwendungen können Auftragsverarbeitung auslösen.

Personal und Abrechnung

Lohnabrechnung, Bewerbermanagement, Zeiterfassung, E-Learning, HR-Systeme oder externe Personalverwaltung betreffen häufig Beschäftigtendaten.

Marketing und Kommunikation

Newsletterdienste, CRM-Systeme, Umfragetools, Webanalyse, Terminbuchung oder Kampagnentools verarbeiten regelmäßig Kontakt- und Nutzungsdaten.

Akten, Geräte und Entsorgung

Aktenvernichtung, Datenträgervernichtung, Geräteentsorgung oder Scan-Dienstleistungen können ebenfalls datenschutzrechtlich relevant sein.

Leistungen von SITsolutions

SITsolutions unterstützt bei der strukturierten Prüfung und Dokumentation von Auftragsverarbeitungsverhältnissen. Dabei geht es nicht nur um Vertragsprüfung, sondern auch um eine verständliche Bewertung des tatsächlichen Risikos.

  • Prüfung bestehender Auftragsverarbeitungsverträge
  • Bewertung neuer Dienstleister vor Beauftragung
  • Prüfung technischer und organisatorischer Maßnahmen
  • Bewertung von Unterauftragnehmern und Datenstandorten
  • Einordnung internationaler Datenübermittlungen
  • Erstellung von Prüfvermerken und Entscheidungsvorlagen
  • Unterstützung bei Dienstleisterfragebögen und Nachweisen
  • Aufbau eines Dienstleister- und AV-Verzeichnisses
  • Bewertung von Löschung, Rückgabe und Supportzugriffen
  • Regelmäßige Überprüfung bestehender Dienstleister

Was geprüft werden sollte

Eine saubere Prüfung der Auftragsverarbeitung betrachtet mehrere Ebenen. Neben dem Vertrag selbst sind auch praktische Fragen zur tatsächlichen Verarbeitung wichtig.

  • Welche personenbezogenen Daten werden verarbeitet?
  • Zu welchen Zwecken erfolgt die Verarbeitung?
  • Welche Kategorien betroffener Personen sind betroffen?
  • Wo findet die Verarbeitung statt?
  • Welche Unterauftragnehmer werden eingesetzt?
  • Welche technischen und organisatorischen Maßnahmen bestehen?
  • Wie werden Daten gelöscht oder zurückgegeben?
  • Welche Support- und Fernzugriffsmöglichkeiten bestehen?
  • Wie unterstützt der Dienstleister bei Betroffenenrechten und Datenschutzverletzungen?
  • Welche Nachweise stellt der Dienstleister bereit?

Vertragsprüfung

Der Vertrag zur Auftragsverarbeitung muss die wesentlichen gesetzlichen Anforderungen abbilden und zur tatsächlichen Leistung passen.

Unklare, veraltete oder sehr allgemeine Verträge sollten fachlich geprüft und bei Bedarf nachgeschärft werden.

Dienstleisterbewertung

Vor der Beauftragung sollte bewertet werden, ob der Dienstleister geeignete Schutzmaßnahmen bietet und ob die Risiken zur geplanten Verarbeitung passen.

Diese Bewertung sollte nachvollziehbar dokumentiert werden.

Unterauftragnehmer

Viele Anbieter setzen weitere Dienstleister ein. Diese Unterauftragnehmer müssen bekannt, vertraglich geregelt und angemessen bewertet sein.

Besonders relevant sind Cloud-, Hosting-, Support- und Infrastrukturleistungen.

Laufende Kontrolle

Auftragsverarbeitung ist kein einmaliger Vorgang. Dienstleister, Unterauftragnehmer, Leistungen und Risiken können sich ändern.

Deshalb sollten relevante Dienstleister regelmäßig überprüft werden.

Auftragsverarbeitung und Informationssicherheit

Datenschutz und Informationssicherheit greifen bei Dienstleistern besonders eng ineinander. Ein Dienstleister kann vertraglich gut geregelt sein, aber dennoch technische oder organisatorische Schwächen aufweisen. Umgekehrt können gute Sicherheitsmaßnahmen unzureichend dokumentiert sein.

SITsolutions betrachtet daher nicht nur den Datenschutzvertrag, sondern auch die Schutzmaßnahmen, Zugriffe, Nachweise und Risiken. Das ist insbesondere bei IT-Dienstleistern, Cloud-Diensten und sicherheitsrelevanten Systemen wichtig.

Typische Ergebnisse

Je nach Ausgangslage entstehen konkrete Unterlagen und Bewertungen, die im Unternehmen weiterverwendet und bei Prüfungen oder Kundenanforderungen vorgelegt werden können.

  • Prüfvermerk zum Auftragsverarbeitungsvertrag
  • Bewertung technischer und organisatorischer Maßnahmen
  • Dienstleisterbewertung vor Beauftragung
  • Übersicht eingesetzter Unterauftragnehmer
  • Bewertung internationaler Datenübermittlungen
  • AV- und Dienstleisterverzeichnis
  • Maßnahmenliste bei fehlenden oder unklaren Unterlagen
  • Entscheidungsvorlage für Geschäftsleitung oder Fachbereich

Vorgehensweise

1. Erfassen

Dienstleister, Leistung, Datenarten, Zwecke, Systeme und vorhandene Unterlagen werden aufgenommen.

2. Prüfen

Vertrag, TOMs, Unterauftragnehmer, Datenstandorte und Unterstützungsleistungen werden bewertet.

3. Bewerten

Risiken, Lücken und erforderliche Nachbesserungen werden nachvollziehbar dokumentiert.

4. Dokumentieren

Die Ergebnisse werden als Prüfvermerk, Maßnahmenliste oder Entscheidungsvorlage aufbereitet.

Auftragsverarbeitung sauber prüfen

Sie möchten einen Auftragsverarbeitungsvertrag prüfen lassen, neue Dienstleister bewerten oder Ihre Dienstleisterdokumentation strukturiert aufbauen?

In einem ersten Gespräch lässt sich klären, welche Unterlagen vorliegen, welche Risiken bestehen und welche nächsten Schritte sinnvoll sind.

Kontakt aufnehmen

Kontakt

Sie möchten wissen, ob wir zueinander passen? Dann lassen Sie uns sprechen – das Erstgespräch ist selbstverständlich kostenlos.

Eigene e-Learning Plattform SITacademy

AdobeStock 139919069

Manche Themen brauchen Wiederholung – unsere E-Learning-Plattform liefert sie strukturiert, verständlich und genau dann, wenn sie gebraucht wird.