10.Januar 2022 | Team Datenschutz | Thema: Datenschutz

Die kleine Reihe Auftragsverarbeitung Teil 1

Schlagwörter: Auftragsverarbeitung | DSGVO | kleine Reihe

Das Outsourcing von Diensten und die Nutzung von Drittanbietertools ist mittlerweile wohl für jedes Unternehmen überlebensnotwendig. In vielen Fällen wird dadurch ein Auftragsverarbeitungsverhältnis nach Art. 28 DSGVO eingegangen. In unserer Reihe machen wir Euch daher vertraut mit Einzelaspekten rund um das Thema Auftragsverarbeitung.

Im ersten Teil beschäftigen wir uns mit der Frage, was bei der Auswahl eines neuen Auftragsverarbeiters zu beachten ist.

Die „Auswahlverantwortung“ des Verantwortlichen

Setzt ein Verantwortlicher (der „Auftraggeber“) einen Auftragsverarbeiter ein, verpflichtet Art. 28 Abs. 1 DSGVO ihn dazu zu prüfen, ob der Auftragsverarbeiter (der „Auftragnehmer“) die Bestimmungen der DSGVO einhält und nachweisbar Maßnahmen ergreift, die dem Schutz der personenbezogenen Daten dienen.

Wörtlich heißt es in der DSGVO:

„Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“

In Erwägungsgrund 81 zur DSGVO wird diese Pflicht noch weiter präzisiert:

„Damit die Anforderungen dieser Verordnung in Bezug auf die vom Auftragsverarbeiter im Namen des Verantwortlichen vorzunehmende Verarbeitung eingehalten werden, sollte ein Verantwortlicher, der einen Auftragsverarbeiter mit Verarbeitungstätigkeiten betrauen will, nur Auftragsverarbeiter heranziehen, die – insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen – hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen – auch für die Sicherheit der Verarbeitung – getroffen werden, die den Anforderungen dieser Verordnung genügen.“

Risikobewertung

Welche technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit vom Anbieter gewährleistet werden müssen, hängt entscheidend von der Sensibilität der Daten ab. Sollen von dem Anbieter sensible Personaldaten oder besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (z. B. Gesundheitsdaten) verarbeitet werden, sind entsprechend höhere Anforderungen an die technischen und organisatorischen Maßnahmen zu stellen.

Das bedeutet, dass vor der Auswahl eines geeigneten Dienstleisters eine individuelle Risikobewertung durchzuführen ist. Das Ergebnis sollte in ein Sicherheitskonzept (dazu gleich mehr) einfließen, in dem die besondere Gefährdungslage bei der Auslagerung der Datenverarbeitung an einen externen Dienstleister beschrieben wird.

Insbesondere die hohe Komplexität von Cloud-Diensten kann zu Sicherheitslücken führen. Deshalb werden wir im Folgenden anhand des Beispiels „Cloud-Dienste“ beschreiben, welche weiteren Schritte bei der Auswahl eines Dienstleisters zu beachten sind.

Maßnahmen zur Gewährleistung der Datensicherheit

Ihr wisst anhand der vorgenommenen Risikobewertung, welche besonderen Anforderungen für die konkrete Auslagerung der Datenverarbeitung an einen Auftragnehmer im Rahmen der Auftragsverarbeitung zu berücksichtigen sind.

In der Praxis werdet Ihr innerhalb Eures Unternehmens bereits eine Vorauswahl möglicher Cloud-Anbieter getroffen haben. Noch bevor konkrete Angebote eingeholt werden, solltet Ihr die folgenden Schritte beachten.

Sicherheitskonzept

Sowohl der Cloud-Anwender als auch der Cloud-Anbieter benötigen ein Sicherheitskonzept. Der Anbieter sollte dem Cloud-Anwender auf Anfrage Einsicht gewähren. Es ist das zentrale Dokument, mit dem eine Organisation seine Informationssicherheit festlegt.

Aus dem Sicherheitskonzept sollte hervorgehen, welche Sicherheitsanforderungen der Cloud-Anbieter erfüllt und ob er das durch Zertifikate nachweisen kann. Bei Zertifikaten und Testaten muss geprüft werden, ob der Zertifizierungsgegenstand den gesamten angebotenen Cloud-Service enthält und was die wesentliche Aussage des Zertifikats ist. Ein nicht aktuelles (abgelaufenes) Zertifikat ist ein Indiz dafür, dass die angebotene Cloud-Lösung keine angemessene IT-Sicherheit (mehr) bietet.

Hilfreiche Informationen zu Zertifikaten, Zertifizierungen, Testaten und Standards findet Ihr im „Anhang: Praxishilfen“ (PDF) des Leitfadens zum Outsourcing kommunaler IT des Bayerischen Landesbeauftragten für den Datenschutz. Darin werden zwei besonders relevante Fälle beleuchtet: Webhosting und Rechenzentrumsbetrieb. Ebenfalls interessant ist das Aufbauschema zum IT-Outsourcing (ab Seite 37) mit weiteren ergänzenden Informationen.

Überprüfung der Eignung eines Anbieters

Zur Überprüfung der Eignung eines Cloud-Anbieters sollten ergänzend folgende Kriterien berücksichtigt werden:

  • Reputation (überprüfbare Referenzen)
  • Rankings oder Bewertungsmatrizen von (möglichst unabhängigen) Organisationen.
  • Ist Cloud Computing das Kerngeschäft des Anbieters? Falls nicht, könnte es sein, dass der Cloud-Dienst rasch eingestellt oder von einem anderen Anbieter übernommen wird.
  • Welche Zugriffe durch den Diensteanbieter oder Dritte werden erlaubt oder sind möglich?
  • Ist eine Migration möglich?
  • An welchen Standorten werden die Informationen verarbeitet und gespeichert?
  • Welches geltende Recht liegt dem Vertrag zugrunde, welchen rechtlichen Rahmenbedingungen unterliegt der Anbieter?
  • Angabe der Subunternehmen zur Service-Erbringung (um Abhängigkeiten des Cloud-Anbieters beurteilen zu können).

Datenverarbeitungsstandorte

Im Abschnitt zuvor ist es schon angedeutet worden: Bei der Auswahl eines Cloud-Dienstleisters ist darauf zu achten, wo der Dienstleister die Daten verarbeitet. Denn für den internationalen Datentransfer außerhalb der Grenzen der EU bzw. des Europäischer Wirtschaftsraums (EWR) legt die DSGVO besondere Anforderungen fest. Beachtet dabei immer, dass es nicht ausschließlich auf den Sitz des Unternehmens ankommt. Entscheidend ist, wo die Daten verarbeitet werden bzw. wohin sie im Zuge der Verarbeitung übermittelt werden. Denkt daran, dass gerade Cloud-Dienstleister in der Regel Subunternehmer als weitere Auftragsverarbeiter einsetzen. Prüft deshalb, wo diese Subunternehmer Daten verarbeiten und hakt nach, falls Angaben unvollständig sind.

Werden Daten an die USA übermittelt, ist zudem das EuGH-Urteil „Schrems II“ zu beachten. In diesem Fall reicht es nicht mehr aus, Standardvertragsklauseln abzuschließen. Mit Blick auf die Überwachungs-Gesetzgebung FISA und die diesbezüglichen Aussagen des EuGHs muss davon ausgegangen werden, dass in den USA kein mit der EU vergleichbares Datenschutzniveau besteht. Es müssen weitere technische Maßnahmen getroffen werden, die den Zugriff durch Sicherheitsbehörden auf die übermittelten Daten verhindern. Organisatorische und vertragliche Zusicherungen eines Dienstleisters allein genügen hingegen nicht. Mehr Informationen hierzu findet Ihr im „Kurzpapier Nr. 4 – Datenübermittlung in Drittländer“ der DSK sowie in unserer News „Bayerische Datenschutzaufsicht erklärt Mailchimp für unzulässig“ vom 7. April.

Vertrag mit dem Anbieter

Am Ende dieses Prozesses habt Ihr einen geeigneten (Cloud-)Dienstleister ausgewählt. Fordert nun den Vertrag zur Auftragsverarbeitung des Anbieters („AV-Vertrag“) an. Oft ist auch der AV-Vertrag zumindest ein Indiz dafür, wie ernst es der Dienstleister mit dem Thema Datenschutz meint. Achtet darauf, dass folgende Punkte in dem AV-Vertrag bzw. den dazugehörigen Anlagen geregelt sind:

  • Erfüllung des gesetzlichen Mindestinhalts (zu finden in 28 Abs. 3 DSGVO)
  • vollständige Angaben zu Datenkategorien, Betroffenenkategorien, Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung
  • vollständige Beschreibung der technischen und organisatorischen Maßnahmen (einschließlich der Vorlage von Nachweisen)
  • vollständige Beschreibung der Unterauftragsverarbeiter und der Standorte der Verarbeitung

Vorsorge ist besser als Nachsorge

Unsere Empfehlung ist klar: Eine strukturierte und gut dokumentierte Auswahlentscheidung zahlt sich aus und schützt vor Überraschungen. Auch könnt Ihr bei einer Prüfung durch die zuständige Datenschutz-Aufsichtsbehörde nachweisen, sich an die Anforderungen der DSGVO bei der Auftragsverarbeitung gehalten zu haben. Bei Dienstleistern, die Daten in den USA verarbeiten, ist Vorsicht geboten. In diesen Fällen wird die Aufsichtsbehörde genauer hinschauen, und wissen wollen, warum Ihr euch nicht für einen Anbieter ohne US-Transferproblematik entschieden haben.

Aufgrund der Komplexität der Thematik wird zur besseren Verständlichkeit in dieser „Kleinen Reihe“ nicht gegendert. Sämtliche Geschlechter sind mit gemeint.

Quellen:
Orientierungshilfe „Sichere Nutzung von Cloud-Diensten“ des BSI