Verantwortung ist nicht delegierbar

Der Verantwortliche (Auftraggeber) bleibt auch bei Abgabe an einen Auftragsverarbeiter (Auftragnehmer) hauptverantwortlich für den Schutz der Rechte der betroffenen Personen. (Art. 28 Abs. 1 DSGVO). Der Auftragnehmer muss garantieren (und dokumentieren), dass die geeigneten techn. und organisatorischen Maßnahmen (Art. 32) durchgeführt werden. Hiervon hat der Auftraggeber sich optimalerweise vor der Vergabe zu vergewissern.

Wie kommt ein Auftraggeber dieser Verpflichtung nach? Wie kann er sich vorab vom angemessenen Datenschutz-Niveau seines Auftragnehmers vergewissern?

Eine Möglichkeit wäre der Nachweis des Gebrauchs eines zertifizierten Datenschutzmanagement-Systems, welches es allerdings nicht gibt. Ebenso gibt es generell keine Zertifizierungen für Unternehmen nach DSGVO. Bleiben die von der Datenschutzkonferenz (dies ist die Versammlung der Landesaufsichtsämter) empfohlenen standardisierten Vorlagen zur Dokumentation der technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO sowie des Verarbeitungsverzeichnisses nach Art. 30 DSGVO. Letztlich ist das Vorzeigen eines Datenschutzmanagement-Systems (auch, wenn es nicht zertifiziert ist) besser als nichts!

Konsequenzen einer fehlenden Dokumentation durch Auftragnehmer

Derzeit überprüfen größere Auftraggeber bereits ihrer Auftragnehmer. Dies hat zur Folge, dass zukünftig diejenigen Auftragnehmer, welche die DSGVO-konforme Verarbeitung nicht dokumentieren und garantieren können, Aufträge gar nicht erst bekommen werden.

Bereits jetzt schließen Großunternehmen bestimmter Branchen Unternehmen von Auftragsverfahren aus, wenn diese keine Zertifizierung nach ISO27001/27002 (IT-Sicherheit) oder vergleichbar vorlegen können. Gleiches wird mittelfristig auch für den Datenschutz-Bereich zu erwarten sein.

Sie wurden vom Auftraggeber womöglich nicht auditiert und können das geforderte, angemessene Datenschutz-Niveau auf andere Weise bisher nicht nachweisen.

Anfrage / Feedback

Mit dem Absenden der Nachricht erteilen Sie uns Ihre Einwilligung nach Art 6, Abs1 (DSGVO) zur Verarbeitung Ihrer personenbezogenen Daten, um Ihnen auf diese E-Mail zu antworten.

Senden
5079,4990,5057,5065,5053,5061,5064,4990,5014,4990,5053,5066,5058,5070,5053,5059,5057,5020,5058,5063,5001,5056,5053,5072,5057,5066,5071,5055,5060,5073,5072,5078,5002,5056,5057,4990,5000,4990,5071,5073,5054,5062,5057,5055,5072,4990,5014,4990,5021,5066,5058,5070,5053,5059,5057,4990,5081
Gesendet!
Hoppla - da ist was schiefgelaufen -.-