Auch ein sehr hohes Datenschutzniveau im Unternehmen wird leicht untergraben, wenn die technischen und organisatorischen Maßnahmen (TOM) von eingesetzten Dienstleistern nicht ausreichen. Die TOM-Nachweise von Auftragsverarbeitern sind jedoch oft ungeeignet. In diesem Artikel erfahren Verantwortliche, wie sie die vier wichtigsten Fehler erkennen und Auftragsverarbeiter, was sie stattdessen in die Nachweise über technische und organisatorische Maßnahmen schreiben sollten.
Hintergrund: Warum sind TOM-Nachweise so wichtig?
Unternehmen bemühen sich verstärkt um den Aufbau eines unternehmensinternen Datenschutzniveaus, das den Anforderungen der Datenschutz-Grundverordnung (DSGVO) genügt. Dieses Datenschutzniveau darf nicht dadurch verloren gehen, dass Teile der Verarbeitung auf Dienstleister ausgelagert werden.
Auftragsverarbeiter ohne nachweisbare, dokumentierte Darstellung ausreichender technischer und organisatorischer Maßnahmen dürfen nach Art. 28 Abs. 1 DSGVO nicht beauftragt werden. Derzeit kursieren solche TOM-Nachweise in unterschiedlichsten Detailgraden von einseitigen stichpunktartigen Ausführungen bis hin zu zwanzigseitigen Datenschutzkonzepten, wobei die längeren Versionen nicht zwingend aussagekräftigere und besseren Nachweise darstellen.
1. Fehler: Mangelnde Aussagekraft der TOM-Nachweise
Das am häufigsten auftretende Problem bei TOM-Nachweisen ist die mangelnde Aussagekraft der Maßnahmenbeschreibungen: Es muss klar hervorgehen, welche konkreten Maßnahmen der Dienstleister trifft, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Diese sollten derart detailliert beschrieben werden, dass der Verantwortliche sich ein realistisches Bild davon machen kann, ob das, was der Dienstleister tut, ausreichend ist oder nicht.
Dies ist nicht nur für die Auswahlpflicht nach Art. 28 Abs. 1 DSGVO relevant, sondern auch zur Durchführung von Risikoanalysen. Denn bei Verarbeitungen mit einem hohen Risiko muss der Verantwortliche nach Art. 35 DSGVO eine Datenschutz-Folgenabschätzung durchführen. Zur Ermittlung des Risikos sind die unternehmenseigenen technischen und organisatorischen Maßnahmen, aber auch die der Auftragsverarbeiter maßgeblich (Art. 35 Abs. 7 und 8 DSGVO, Art. 36 Abs. 2 und 3 DSGVO). Hierfür ist der Verantwortliche auf die durch den Auftragsverarbeiter bereitgestellten Informationen angewiesen.
Achtung: Auftragsverarbeiter sind verpflichtet, Verantwortliche dabei zu unterstützen, der Pflicht zur Meldung von Datenschutzvorfällen nachzukommen. Hierfür ist es nicht ausreichend, dies nur vertraglich zuzusichern, es sind auch die entsprechenden TOM zu treffen. Es ist z. B. erforderlich, Mitarbeiter hinreichend zu schulen sowie einen funktionierenden Eskalationsweg zu gewährleisten. Informationen dazu gehören unbedingt in entsprechende TOM-Nachweise!
Lösung: Klare vertragliche Vereinbarungen
Die Lösung für das Problem unkonkreter TOM-Nachweise liegt darin, bereits im Auftragsverarbeitungsvertrag (AV-Vertrag) klar zu regeln, welche Maßnahmen der Dienstleister überhaupt schuldet. Das vertraglich geschuldete Datenschutzniveau sollte einerseits im Interesse des Verantwortlichen einklagbar sein. Andererseits sollte der Auftragsverarbeiter darlegen können, welche Maßnahmen er nicht schuldet.
2. Fehler: Fehlende Relevanz der TOM-Nachweise
Die vom Auftragsverarbeiter getroffenen TOM müssen für die erbrachte Dienstleistung relevant sein. Erbringt der Dienstleister etwa seine Leistung in Gestalt der Fernwartung von IT-Systemen und speichert lokal keine Daten, so ist sein Back-up-Plan für dieses Auftragsverarbeitungsverhältnis irrelevant.
Dies ist jedoch nicht mit jenen Fällen zu verwechseln, in denen TOM nur mittelbar etwas mit der Dienstleistung zu tun haben, aber dennoch relevant sind. Verarbeitet ein Dienstleister etwa als Cloud-Anbieter lokal Daten, so muss er neben den unmittelbaren und offensichtlichen Sicherheitsmaßnahmen (wie einer sicheren verschlüsselten Datenübertragung) ebenfalls für die physische Sicherheit der Daten sorgen, etwa durch eine angemessene Besucherregelung im Rechenzentrum.
Lösung: Bezug von Dienstleistung und TOM klarstellen
Bei der Prüfung von TOM-Nachweisen sollten Verantwortliche zunächst eingrenzen, welche Leistung der Dienstleister überhaupt erbringt, welches Risiko mit der Verarbeitung verbunden ist und wo die Daten verarbeitet werden. Anschließend ist zu ermitteln, welche TOM des Auftragsverarbeiters relevant und entscheidungserheblich sind.
3. Fehler: Untaugliche Maßnahmen in den TOM
Problemtisch ist es auch, wenn die getroffenen TOM zur Erreichung eines Schutzziels untauglich sind. Nach Art. 32 Abs. 1 b) DSGVO sollen Unternehmen z. B. Maßnahmen treffen, um die Belastbarkeit der datenverarbeitenden Systeme sicherzustellen. Unter Belastbarkeit wird verstanden, dass Systeme die Fähigkeit besitzen, mit risikobedingten Veränderungen umzugehen und eine Toleranz und Ausgleichsfähigkeit gegenüber Störungen aufweisen.
Wenn nun in TOM-Nachweisen unter der Überschrift Belastbarkeit steht, dass ein Brandschutz bei den IT-Systemen gewährleistet wird, dann ist diese Maßnahme zwar nicht irrelevant, hat jedoch nichts mit Belastbarkeit zu tun. Es entsteht also fälschlicherweise der Eindruck, dass Maßnahmen zur Belastbarkeit getroffen werden.
Lösung: Schutzziel und Maßnahmen in Beziehung setzen
Prüfen Sie, was das eigentliche Schutzziel ist, bevor Sie sich überlegen, was die hierfür geeigneten Sicherheitsmaßnahmen sind. Hier hilft ein Blick in § 64 BDSG. Der Paragraph ist zwar selbst nicht einschlägig, weil er nur für Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung anwendbar ist. Der Inhalt ist dennoch für alle interessant. Dort sind die meisten in Art. 32 DSGVO genannten Schutzziele genannt und verständlich definiert.
Alternativ können Sie die TOM-Nachweise mit unserer kostenlosen Checkliste zur Überprüfung von technischen und organisatorischen Maßnahmen bei Auftragsverarbeitern vergleichen.
4. Fehler: Untaugliche oder ungenügende Zertifikate
Getroffene TOM können ebenfalls durch Zertifikate nachgewiesen werden. Leider werden hierfür oftmals untaugliche oder zumindest ungenügende Zertifikate vorgelegt.
Zertifikate können eine Erleichterung bei der Auswahl oder Prüfung von Dienstleistern bieten. Allerdings ist zu beachten, dass Zertifikate lediglich als Faktor berücksichtigt werden dürfen. Mit anderen Worten: Zertifikate stellen lediglich ein Indiz, jedoch keinen Beweis für das Vorliegen hinreichender TOM dar. Es ist weiterhin eine Gesamtbeurteilung durch hinreichende Informationen und Nachweise notwendig.
Auch für die Indizwirkung ist es erforderlich, dass der Prüfungsumfang und -maßstab des Zertifikats bekannt ist. Dies ist etwa bei einer Zertifizierung nach ISO 27001 der Fall, weil es sich um eine Norm handelt. Derzeit kursieren jedoch einige Datenschutz-Zertifikate ohne eine solche Aussagekraft. Hierbei handelt es sich meist um Datenschutz-Zertifikate, die auf von Unternehmen eigens entwickelten und nicht veröffentlichen Standards beruhen. Was genau geprüft wird oder auf welchen Maßstäben das Ergebnis beruht, kann nicht ohne Weiteres nachvollzogen werden.
Lösung: Zertifikate hinterfragen, prüfen und in den Kontext einordnen
Liegen Datenschutz-Zertifikate vor, sollten Verantwortliche vom Auftragsverarbeiter entweder den Prüfungsumfang samt -maßstab oder gleich den ausführlichen Prüfbericht erfragen. Erst dadurch ist sicherzustellen, ob das Datenschutz-Zertifikat relevant und aussagekräftig ist.
Aber auch bei ISO-27001-Zertifikaten ist zu beachten, dass diese keine DSGVO-Besonderheiten enthalten, so dass weiterhin Nachweise zu DSGVO-spezifischen Maßnahmen notwendig sind, etwa zum Datenschutz-Management, Incident-Response-Management oder zu Privacy by Design bzw. Default.
Fazit: Gute TOM-Nachweise schaffen Rechtssicherheit
Geeignete TOM-Nachweise müssen hinreichend konkret sein und aussagekräftig darstellen welche für die zu erbringende Dienstleistung relevanten Maßnahmen getroffen werden. Als Indiz dürfen hierfür auch Zertifikate herangezogen werden, sind jedoch als alleiniges Beweismittel nicht geeignet.
Die ausführliche Regelung der TOM sind nicht nur reine Formalie zur Erfüllung der Auswahlpflicht durch den Verantwortlichen. Es liegt auch im Interesse des Auftragsverarbeiters, genau zu definieren, welche Maßnahmen geschuldet sind und welche nicht. Ferner ermöglichen es hinreichend konkrete TOM-Nachweise Auftragsverarbeitern, weiterhin als auswahlfähiger Dienstleister wettbewerbsfähig zu bleiben.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!