Auftragsverarbeiter und DS-GVO: Ein Verzeichnis der Verarbeitungstätigkeiten für jeden Kunden?

Lesezeit: ca. 3 Minuten

Für die Auftragsdatenverarbeiter, die unter der Geltung der EU-Datenschutzgrundverordnung (DS-GVO) nunmehr „Auftragsverarbeiter“ heißen, werden diverse Neuregelungen relevant. In Artikel 28 GS-DVO sind verschiedene Anforderungen festgelegt.

Datenschutzkonzept und Audit

Die Bayerische Landesdatenschutzaufsicht hat ein Muster veröffentlicht, das Anforderungen für Auftragsdatenverarbeiter definiert. Unter anderem wird aus Sicht der Aufsichtsbehörden erwartet, dass mit Vertragsschluss zur Auftragsverarbeitung der Auftragnehmer ein Datenschutzkonzept vorlegt. Nähe-e Anforderungen werden allerdings für das Datenschutzkonzept nicht beschrieben. Weiterhin soll der Auftragsverarbeiter mindestens einmal jährlich ein Audit durchführen. Der Auditbericht soll dem Auftraggeber vollständig zur Verfügung gestellt werden.

Mit dieser Anforderung wird deutlich, dass die Aufsichtsbehörden die Anforderung einer regelmäßigen Überprüfung des Datenschutzniveaus und der Maßnahmen zum Schutz der personenbezogenen Daten sehr ernst nimmt und von einer jährlichen Überprüfung im Prinzip ausgeht.

 Dokumentationspflichten und Verzeichnis der Verarbeitungstätigkeit für Kunden

Weitere Dokumentationspflichten kommen für die Auftragsverarbeiter auch in den Vertragsverhältnissen mit ihren Kunden hinzu. Gemäß Artikel 30 Abs. 2 muss auch der Auftragsverarbeiter ein eigenes Verzeichnis der Verarbeitungstätigkeiten für die Kunden führen. Dieses ist zwar anders gestaltet als die Verzeichnisse der Verarbeitungstätigkeiten, die gem. Artikel 30 Abs. 1 jeder Verantwortliche zu führen hat. Dennoch ergeben sind im Detail damit erhebliche erweitere Dokumentationspflichten.

Langfristig ist wohl zu erwarten, dass die Kunden auch sehen, dass mit der Dokumentation beim Auftragsverarbeiter eigene Dokumentationspflichten gut erfüllt werden können. Mit anderen Worten: Als pfiffiger Kunde trete ich an meinen Auftragsverarbeiter heran und bitte ihn um Übersendung seines Verzeichnisses der Verarbeitungstätigkeiten, um damit meine eigenen Anforderungen zu erfüllen.

Der Auftragsverarbeiter muss den Namen und die Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag er tätig ist, benennen. Weiterhin sind die Kategorien der Verarbeitungen und insbesondere die technischen und organisatorischen Maßnahmen für die Sicherheit der Verarbeitung gem. Artikel 32 DS-GVO zu beschreiben. Hier liegt aus Sicht des Europäischen Gesetzgebers der Schwerpunkt auf den technischen und organisatorischen Maßnahmen.

 Verarbeitungsverzeichnis für jeden einzelnen Kunden?

Die Praxisfrage, die im Moment immer wieder diskutiert wird, stellt sich insbesondere für Anbieter, die für eine Vielzahl von Kunden gleichartige Leistungen anbieten. Muss für jeden Kunden ein eigenes Verzeichnis der Verarbeitungstätigkeiten erstellt werden oder können verschiedene Verzeichnisse gebündelt werden? Hier ist die Rechtslage unklar und es muss abgewartet werden, wie die Datenschutzaufsichtsbehörden und die Gerichte mit dem Thema umgehen. Teilweise wird aus unserer Sicht zu Recht die Auffassung vertreten, dass bei gleichartigen Leistungen eine Bündelung der Dokumentation stattfinden kann. Wenn beispielsweise beim Cloud Computing und bei Massengeschäften Kategorien von Verantwortlichen an-gegeben werden, sollte dies ausreichen. Auf Nachfrage einer Aufsichtsbehörde beispielsweise sollte dann allerdings eine konkrete Auflistung geliefert werden können.

Wer ganz sichergehen will, dem bleibt nur die Möglichkeit, für jeden Kunden einzeln ein entsprechendes Dokument und ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen. Dies auch dann, wenn vermutlich die meisten Angaben wiederholend sind.

Gern unterstützen wir Sie bei den Dokumentationspflichten, die sich aus der DS-GVO ergeben. Wir beraten Unternehmen und Behörden bundesweit bei der Umsetzung der EU-Datenschutzgrundverordnung.

 
1 Star2 Stars3 Stars4 Stars5 Stars (Noch keine Bewertungen)
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen