Die Datenschutz-Grundverordnung (DSGVO) schreibt bei einer Verarbeitung personenbezogener Daten im Auftrag die regelmäßige Kontrolle des Dienstleisters vor. Doch wie oft muss eine solche Kontrolle des Auftragsverarbeiters erfolgen? Worauf muss der Verantwortliche dabei achten? Und wie ist mit auftretenden Problemen umzugehen? Unsere praktische Anleitung zeigt Lösungen für die typischsten Probleme auf!
Auswahl und wiederholte Kontrollen von Auftragsverarbeitern
Viele wesentliche Neuerungen im Bereich der Auftragsverarbeitung ergaben sich durch die DSGVO nicht. Auch die Pflicht, eingesetzte Dienstleister nicht nur zu Beginn sorgfältig auszuwählen, sondern diese auch im Laufe der Kooperation weiterhin zu kontrollieren, ist gleichgeblieben. Art. 28 Abs. 1 DSGVO sagt ganz klar aus, dass der Verantwortliche nur mit Auftragsverarbeitern zusammenarbeitet, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Dies ist eine laufende, keine einmalige Pflicht. Sie besteht für jedes Auftragsverarbeitungsverhältnis, grundsätzlich unabhängig von dessen Dauer und Bedeutung.
Eine verbindliche Vorgabe, wie häufig im Laufe einer Kooperation eine Kontrolle erfolgen muss, fehlt nach wie vor. Auch hier richtet sich die Anforderung nach dem Risiko im Einzelfall. Je kritischer die Verarbeitung, desto häufiger und intensiver muss kontrolliert werden.
Als Daumenregel können die bisherigen Aussagen der Aufsichtsbehörden herangezogen werden. Eine unterjährige Kontrolle ist nur bei hohen Risiken geboten. Lange Abstände von zwei Jahren und mehr sollten jedenfalls mit einer guten Begründung untermauert werden können. Ein Abstand von fünf Jahren ist nicht mehr akzeptabel.
Wir empfehlen daher, Kontrollen im Normalfall alle ein bis anderthalb Jahre durchzuführen. Dies wird üblichen Risiken angemessen sein und bringt den Verantwortlichen nicht in die Verlegenheit, sich rechtfertigen zu müssen oder sich dem Vorwurf der mangelnden Sorgfalt ausgesetzt zu sehen.
Typische Probleme bei der Kontrolle von Auftragsverarbeitern
Viele Verantwortlichen sehen sich bei Kontrollen mit dem Problem konfrontiert, wie man denn den auftragsverarbeitenden Dienstleister nun eigentlich prüft oder wie man vorgelegte Nachweise interpretiert. Im Folgenden schildern wir einige typische Fehler oder Hürden, denen wir in unserer Beratungspraxis mit schöner Regelmäßigkeit begegnen, und zeigen, worauf es tatsächlich ankommt.
Die Prüfung oder der Nachweis erfolgt per Standardfragebogen.
Bei einem bereits abgeschlossenen Vertrag ist ein offen formulierter Fragebogen unpassend! Im Gegensatz zur Phase vor Abschluss des Vertrages, in der es noch galt, die konkreten technischen und organisatorischen Maßnahmen festzustellen und ggf. noch über diese zu verhandeln, geht es nach geschlossenem Vertrag um die Prüfung, ob der Dienstleister seine im Vertrag verbrieften Versprechen auch hält. Maßstab ist, was vereinbart wurde – und nur noch das. Nichts anderes schuldet der Auftragsverarbeiter!
Spätestens jetzt rächt sich, wenn die Maßnahmen beim Abschluss des Vertrages nicht oder nur ungenau festgelegt wurden. Die Kontrolle einer nicht definierten Leistung ist schwierig. Wer nur „Kartoffeln“ bestellt, darf sich nicht wundern oder beschweren, wenn er statt der benötigten zwei Kilogramm festkochende, ein halbes Kilogramm mehligkochende erhält. Warum ausgerechnet im Bereich des Datenschutzes so häufig nicht exakt bestellt bzw. vereinbart wird, obwohl es hier schnell kritisch werden könnte, ist nicht nachvollziehbar.
Wer als Verantwortlicher erst im Rahmen einer Kontrolle mehr oder etwas anderes erwartet, hat beim Abschluss des Vertrages nicht aufgepasst. Statt einer Prüfung sollte hier die Vereinbarung – also der Vertrag über die Auftragsverarbeitung selbst – auf Stand gebracht werden.
Merke: Die Kontrolle des Auftragsverarbeiters hat sich ausschließlich an den tatsächlich vereinbarten Maßnahmen zu orientieren.
Als Nachweis wird unverändert die gleiche Aufzählung oder Beschreibung geliefert, die bereits dem Vertrag anhängt.
Dies ist kein Nachweis! Es geht im Rahmen der Kontrolle nicht mehr um die Beschreibung der Maßnahmen, sondern um den Nachweis, dass diese auch umgesetzt werden. Durchgeführte Messungen und deren Ergebnis sind gefragt! Aktuelle Belege für eine existierende Maßnahme sind notwendig – nicht eine Wiederholung des Versprechens.
Merke: Akzeptieren Sie keine simple Wiederholung des vertraglichen Versprechens. Fordern Sie nachvollziehbare Belege dafür, dass es eingehalten wird.
Es werden untaugliche Zertifikate vorgelegt oder akzeptiert.
Es gibt derzeit leider immer noch kein einziges Zertifikat, welches für sich allein ausreicht, um die allgemeinen Anforderungen der DSGVO nachzuweisen. Erst recht gilt dies, wenn es um individuelle Anforderungen geht, wie sie sich im Vertrag zwischen Verantwortlichem und Auftragsverarbeiter wiederfinden.
Zudem zertifiziert sich der Auftragsverarbeiter in aller Regel aus seiner eigenen Perspektive. Beispielsweise besagt ein ISO 27001-Zertifikat, dass die eigenen Risiken des Auftragsverarbeiters im Bereich der Informationssicherheit mittels eines Managementsystems behandelt werden. Eine Aussage für fremde Risiken (also die der betroffenen Personen) kann das Zertifikat nicht enthalten. Diese spiegeln sich nur mittelbar wider und das auch nur, falls sie überhaupt betrachtet und korrekt einbezogen wurden.
Auch ist allein dem Zertifikat nicht zu entnehmen, ob denn überhaupt alle für den Verantwortlichen relevanten Kapitel der ISO 27002 umgesetzt wurden. Vielleicht spielt ja für den Dienstleister Verschlüsselung keine Rolle und das Kapitel mit den passenden Maßnahmen wurde gar nicht umgesetzt? Dies wäre fatal, wenn im Bereich des Verantwortlichen der Einsatz von Kryptografie hoch wichtig ist.
Es darf auch nicht vergessen werden, dass diese spezielle Zertifizierung allein das Vorliegen eines Managementsystems bestätigt, aber keine Aussage über ein bestimmtes Sicherheitsniveau trifft. Der Zertifikatsinhaber kennt den richtigen Weg, aber es ist völlig offen, wie weit er ihn schon gegangen ist.
Viele der in der Praxis sonst vorgelegten Zeugnisse und Bestätigungen sehen schön aus, sind aber von vornherein nicht verwertbar, da – im Gegensatz zu veröffentlichten Standards – schon gar nicht bekannt ist, was eigentlich Gegenstand der Prüfung war und welche Hürden übersprungen werden mussten, um die Bescheinigung zu erhalten. Es sind tatsächlich „Datenschutzbescheinigungen“ im Umlauf, die nichts weiter bestätigen, als dass ein Mitarbeiter der ausstellenden Stelle vor Ort war.
Tipp: Prüfen Sie als Verantwortlicher daher bei Bestätigungen, Zeugnissen oder Zertifikaten sehr sorgfältig, welchen Aussagegehalt und welche Bedeutung diese tatsächlich für das konkrete Auftragsverarbeitungsverhältnis haben und ob nicht ggf. zusätzliche Nachweise notwendig sind.
Es werden untaugliche Nachweise erbracht.
Auch das kommt häufig vor: Der Dienstleister belegt zwar eine Messung und liefert ein positives Ergebnis, nur leider passt das Ganze nicht zur versprochenen Maßnahme. Typisch sind hier etwa Angaben zur Verschlüsselung und zum Back-up, wenn es eigentlich um die Frage der Belastbarkeit geht. Oder es tauchen Angaben zur Protokollierung von Benutzereingaben im Zusammenhang mit der Verfügbarkeit auf. Ebenfalls hat der Gebäudebrandschutz nicht zwingend etwas mit der Frage der Wiederherstellbarkeit zu tun.
In diesem Zusammenhang ist es weniger tragisch, wenn sich der Dienstleister bei der Zuordnung der Maßnahme zum Gewährleistungsziel irrt, das Bild aber insgesamt dennoch vollständig ist. Ärgerlich wird es, wenn durch die Angabe unpassender Maßnahmen verschleiert wird, dass ein Gewährleistungsziel nicht erfüllt ist, es also gar keine passenden Maßnahmen gibt. Insbesondere mit der Beschreibung von Maßnahmen zur Erfüllung des Art. 32 Abs. 1 d) DSGVO haben erschreckend viele Dienstleister überraschend große Probleme.
Tipp: Hinterfragen Sie jede nachgewiesene Maßnahme, ob diese überhaupt geeignet ist, das vereinbarte Ziel zu unterstützen. Ziehen Sie ggf. Ihren IT-Spezialisten heran. Prüfen Sie, ob alle Gewährleistungsziele abgedeckt sind.
Der erbrachte Nachweis wäre zwar grundsätzlich geeignet, ist aber nicht nachvollziehbar.
Übliche Fälle sind Bestätigungen eines Prüfers oder des eigenen Datenschutzbeauftragten, in denen sich zu den einzelnen relevanten Maßnahmen lediglich die isolierte Feststellung findet, diese wären erfüllt. Wie der Autor zu seinem Ergebnis kommt, verrät er nicht.
Entscheidend ist hier, dass der Verantwortliche durch einen Bericht selbst in die Lage versetzt wird, die Prüfung gedanklich nachzuvollziehen. Was ist die Anforderung? Was und wie wurde geprüft? Was wurde festgestellt? Welche Schlussfolgerung erlaubt diese Feststellung? Auf Basis welcher persönlichen Qualifikation erlaubt sich der Urteilende seine Aussage?
Tipp: Prüfen Sie bei der Beurteilung von Berichten oder Prüfungen, ob nachvollziehbar ist, wie die Einzelergebnisse und die Gesamtbewertung zustande kommen.
Es wird zwar das Vorhandensein einer Regelung nachgewiesen – nicht aber deren Einhaltung.
In solchen Fällen kann der eingesetzte Dienstleister zwar belegen, dass es Vorgaben für bestimmte Bereiche gibt. Dass aber der tatsächliche Ist-Zustand mit dem auf dem Papier vorgesehenen Soll-Zustand übereinstimmt, kann sehr häufig nicht nachgewiesen werden. Zu oft erfolgen die hierfür notwendigen Selbstüberprüfungen nicht, da es keine tauglichen Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gibt. Lediglich auf Datenpannen oder aufgetretene Störungen zu reagieren, ist in diesem Zusammenhang nicht ausreichend.
Die nachgewiesenen Maßnahmen sind für den Auftrag nicht relevant.
Der Dienstleiser liefert einen Nachweis für eine passende Maßnahme, nur leider ist diese für den Auftrag gar nicht relevant. Sie wird vielmehr allein für eigene Zwecke eingesetzt. Praktisch begegnet man mit schöner Regelmäßigkeit der professionellen Verschlüsselung, die bei genauerem Hinsehen allerdings nur bei Übermittlung der eigenen Lohndaten an das eigene Lohnbüro oder den eigenen Steuerberater des Dienstleisters eingesetzt wird und damit für den vom Verantwortlichen erteilten Auftrag keinerlei Bedeutung hat.
Ebenso populär ist die ausführliche Beschreibung und Kontrolle der Maßnahmen im Rechenzentrum, in dem jedoch nur die eigenen Verarbeitungen des Dienstleisters erfolgen. Schade, wenn die Leistung im Auftrag im Wesentlichen aus den Geschäftsräumen des Auftragsverarbeiters erbracht wird, hierzu aber keine Nachweise vorliegen.
Nebenbei erwähnt: Im Vertrag an sich sollten sich schon gar keine Maßnahmen finden, die nichts mit dem Auftrag zu tun haben. Diese haben dort nichts verloren, begegnen aber in der Praxis immer noch massenhaft.
Merke: Legen Sie besonderes Augenmerk darauf, dass tatsächlich die Ihnen geschuldeten und für Sie relevanten Maßnahmen nachgewiesen werden.
Es werden zu wenige Nachweise erbracht und unangenehme Punkte umschifft.
Typische Fälle sind:
- Die versprochene Kontrolle der eingesetzten Subdienstleister.
- Die eigenen Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
- Die regelmäßige und angemessene Schulung der eigenen Mitarbeiter.
- Die Kontrolle bestehender Berechtigungen.
- Der Aufbau einer Regelungslandschaft und die regelmäßige Pflege.
In Fällen solcher Lücken genauer nachzuhaken, ist notwendig und kann oft sehr ernüchternd sein. Suchen Sie sich als Stichprobe ein paar wenige, ganz konkrete, aber ggf. unangenehme Versprechen heraus und nageln Sie den Dienstleister darauf fest.
Tipp: Verlangen Sie zumindest in einigen kritischen Punkten ganz konkrete Nachweise als Stichprobe. Überlassen Sie die Auswahl von Stichproben nicht allein dem Dienstleister.
Nachweise werden aus Sicherheitsgründen nicht erbracht.
Eher dreist ist der Fall, dass an sich vertraglich zugesagte Nachweise dann im Ernstfall aus Sicherheitsbedenken verweigert werden. Ob es um die komplette Verweigerung jeder Auskunft geht oder um etwa die Preisgabe von Details zur Güte eingesetzter Passwörter, alles kann einem in der Praxis begegnen.
Hierbei vergessen Sie bitte nicht, dass der Verantwortliche eben dies ist: verantwortlich. Zudem sehen Gesetz und Vertrag vor, dass der Auftragsverarbeiter im notwendigen Umfang mitwirkt. Die Maßnahmen, deren Umsetzung der Verantwortliche ggf. sogar selbst nachzuweisen hat, vor diesem geheim zu halten, geht nicht. Bedenken können jederzeit durch eine entsprechende Vertraulichkeitsvereinbarung ausgeräumt werden.
Tipp: Lassen Sie sich nicht abwimmeln. Sie haben die gesetzliche Pflicht sowie das gesetzliche und vertragliche Recht, zu kontrollieren und die hierfür notwendigen Auskünfte zu erhalten.
Vorgehen bei der Kontrolle des Auftragsverarbeiters
Selbstverständlich gilt auch im Rahmen solcher Kontrollen der Grundsatz der Angemessenheit. Aufwand und Tiefe müssen und dürfen dem mit der Verarbeitung verbundenen Risiko entsprechen. Eine Kontrolle jeder einzelnen Maßnahme ist bei normalen Risiken regelmäßig nicht notwendig. Eine angemessene Zahl von Stichproben genügt. Eine Vertiefung ist angezeigt, wenn Stichproben fehlschlagen.
In der nächsten Runde zieht man dann andere Stichpunkte und setzt andere Schwerpunkte. Im Laufe der Kooperation sollte der Verantwortliche in allen Bereichen einmal vorbeigekommen sein.
Hilft alles nichts, muss ggf. selbst und vor Ort im Detail kontrolliert werden. Wobei die oben gegebenen Hinweise entsprechend gelten. Leider zeigt auch hier die Erfahrung, dass der Aufwand für eine vor Ort Inspektion leider häufig vergebens ist, wenn vorher bereits alle Versuche gescheitert sind, aus der Ferne geeignete Nachweise zu erhalten.
Falls der Auftragsverarbeiter keine Konsequenzen zieht
Eine gescheiterte Prüfung muss Folgen haben. Ein „Weiter so“ kann es nicht geben. Setzt der Verantwortliche in voller Kenntnis der Mängel den Auftragsverarbeiter trotzdem weiter ein, wird eine Aufsichtsbehörde hierfür eher wenig Verständnis aufbringen.
Reagieren Sie auf Verstöße und Mängel. Verfolgen Sie diese nach. Ziehen Sie die notwendigen Konsequenzen. Schlimmstenfalls sollte die Kooperation beendet werden.
Übrigens: Verschuldet der Dienstleister eine berechtigte außerordentliche Kündigung durch den Verantwortlichen, macht dies den Dienstleister regelmäßig schadensersatzpflichtig. Den Aufwand, der durch eine verfrühte Beendigung der Zusammenarbeit und die Suche nach einem neuen Dienstleister (verglichen mit den Kosten bei einer ordentlichen Beendigung) zusätzlich entsteht, hat der bisherige Dienstleister zu ersetzen.
Fazit: Ohne Kontrolle keine Auftragsverarbeitung
Die regelmäßige Kontrolle eingesetzter Auftragsverarbeiter ist nicht nur vorgeschrieben, sondern auch sinnvoll. Denn zum einen haftet der Verantwortliche zumindest teilweise für Datenschutzverstöße mit. Zum anderen trifft ein möglicher Imageschaden vor allem den Verantwortlichen. Die wirtschaftlichen Folgen sind in beiden Fällen nicht abzusehen.
Da sich die Kontrolle von Auftragsverarbeitern insbesondere aus Perspektive des technischen Datenschutzes für viele Verantwortliche schwierig gestaltet, gilt gerade in diesem Bereich: Holen Sie sich den Rat eines Fachmanns, der sämtliche Aspekte versteht, erläutern und in technischer, rechtlicher und tatsächlicher Hinsicht beurteilen kann!
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!