Logo der activeMind AG

Kostenloser DownloadPrüfung von Auftragsverarbeitern (Checkliste)

Wenn Dienstleister in Ihrem Auftrag personenbezogene Daten weisungsgebunden verarbeiten, liegt eine Auftragsverarbeitung vor. Typische Tätigkeiten von Auftragsverarbeitern sind externe Lohn- oder Gehaltsabrechnungen, Datenträgerentsorgung, Marketing oder Cloud-Computing (inkl. Webhosting).

Wenn Sie Auftragsverarbeiter einsetzen, müssen Sie diese sorgfältig auswählen und überprüfen, ob bei der Verarbeitung im Auftrag die Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) eingehalten werden. Zudem müssen Sie sicherstellen, dass die Auftragsverarbeiter ausreichende technische und organisatorische Maßnahmen (TOM) zum Schutz der verarbeiteten Daten treffen.

Unsere kostenlose Checkliste hilft Ihnen bei der Überprüfung und Auswahl von Auftragsverarbeitern. Mit der Vorlage bedenken Sie alles Wichtige und verfügen über eine ausführliche Prüfanleitung für die TOM des Auftragsverarbeiters.

Vorgehen bei der Auswahl von Auftragsverarbeitern

Zunächst sollten Sie prüfen, ob es Dienstleister gibt, die personenbezogene Daten für Ihr Unternehmen verarbeiten. In der Praxis lässt sich dies beispielsweise anhand einer Abrechnungsliste aus der Buchhaltung bewerkstelligen. Sofern noch nicht geschehen, müssen diese Auftragsverarbeiter noch geprüft werden.

Bei der Auswahl neuer Dienstleister im Rahmen der Auftragsverarbeitung muss eine Prüfung des Auftragsverarbeiters erfolgen (in der alten Terminologie des deutschen Datenschutzrechts die sogenannte dokumentierte Erstkontrolle). Diese Kontrolle kann entweder beim Auftragsverarbeiter vor Ort oder anhand von Unterlagen durchgeführt werden, ist aber stets zu dokumentieren. Welche Art der Kontrolle vorzunehmen ist, entscheidet sich z. B. nach dem Umfang der Datenverarbeitung durch den AV-Dienstleister, der Kritikalität der Daten oder der Häufigkeit der Datenverarbeitung.

Mit der kostenlosen Checkliste zu den technischen und organisatorischen Maßnahmen können Sie den Auftragsverarbeiter entweder vor Ort befragen oder ihm den Fragebogen zur Selbstauskunft zukommen lassen. Der ausgefüllte Fragebogen ist von Ihnen gemäß Ihren Anforderungen an die Schutzmaßnahmen für Ihre Daten zu prüfen; gegebenenfalls müssen weitere Maßnahmen von Ihrem Auftragsverarbeiter eingerichtet werden (siehe dazu auch unser Ratgeber zu typischen Fehlern bei TOM-Nachweisen).

Ist die Eignung des Auftragsverarbeiters festgestellt, können seine in der Prüfung dokumentierten TOM als Anhang in den Vertrag über die Verarbeitung von Daten im Auftrag (AV-Vertrag) übernommen werden.

Nach Vertragsschluss und Aufnahme der Auftragsverarbeitungstätigkeiten sollten regelmäßig (z. B. jährlich) Folgekontrollen erfolgen. Hat der Auftragsverarbeiter Maßnahmen verändert, so ist dies zu dokumentieren und die Anlage zu aktualisieren.

Changelog zur kostenlosen Vorlage

In der Version 3.0 haben wir die vormals zwei Checklisten (jew. in Version 2.1) zur Prüfung von Auftragsverarbeitern und deren TOM zusammengefasst. Mit der neuen Vorlage wird Ihr Prüfprozess dadurch vereinfacht.

Wir empfehlen Ihnen, für neue Prüfungen von Auftragsverarbeitern die aktuelle Version unserer Vorlage herunterzuladen.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.