040 / 943 63 764 anfrage@fk-datenschutz.de
Seite auswählen

Unsere Daten sind ausgelagert – die sind verantwortlich!”
Falsch!

Verantwortung ist nicht delegierbar

Der Verantwortliche (Auftraggeber) bleibt auch bei Abgabe an einen Auftragsdatenverarbeiter (Auftragnehmer) hauptverantwortlich für den Schutz der Rechte der betroffenen Personen. (Art. 28 Abs. 1 DSGVO). Der Auftragnehmer muss garantieren (und dokumentieren), dass die geeigneten techn. und organisatorischen Maßnahmen (Art. 32) durchgeführt werden. Hiervon hat der Auftraggeber sich optimalerweise vor der Vergabe zu vergewissern.

 Wie kommt ein Auftraggeber dieser Verpflichtung nach? Wie kann er sich vorab vom angemessenen Datenschutz-Niveau seines Auftragnehmers vergewissern?

Eine Möglichkeit wäre der Nachweis des Gebrauchs eines zertifizierten Datenschutzmanagement-Systems, welches es allerdings nicht gibt. Ebenso gibt es generell keine Zertifizierungen für Unternehmen nach DSGVO. Bleiben die von der Datenschutzkonferenz (dies ist die Versammlung der Landesaufsichtsämter) empfohlenen standardisierten Vorlagen zur Dokumentation der technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO sowie des Verarbeitungsverzeichnisses nach Art. 30 DSGVO. Letztlich ist das Vorzeigen eines Datenschutzmanagement-Systems (auch, wenn es nicht zertifiziert ist) besser als nichts!

 

Konsequenzen einer fehlenden Dokumentation durch Auftragnehmer

Derzeit überprüfen größere Auftraggeber bereits ihrer Auftragnehmer. Dies hat zur Folge, dass zukünftig diejenigen Auftragnehmer, welche die DSGVO-konforme Verarbeitung nicht dokumentieren und garantieren können, Aufträge gar nicht erst bekommen werden.

Bereits jetzt schließen Großunternehmen bestimmter Branchen Unternehmen von Auftragsverfahren aus, wenn diese keine Zertifizierung nach ISO27001/27002 (IT-Sicherheit) oder vergleichbar vorlegen können. Gleiches wird mittelfristig auch für den Datenschutz-Bereich zu erwarten sein.

Sie wurden vom Auftraggeber womöglich nicht auditiert und können das geforderte, angemessene Datenschutz-Niveau auf andere Weise bisher nicht nachweisen.

 

 Abhilfe

Solange es noch keine EU-weite Regelung zur Ernennung staatlich anerkannter Zertifizierungsstellen gibt, können derzeit nur hilfsweise eingesetzte privatrechtliche „Zertifizierungen“ vorgenommen werden, die sich dabei an der DSGVO orientieren.

Die Firma FK-Datenschutz UG (haftungsbeschränkt) aus Norderstedt bei Hamburg erteilt Ihnen als Unternehmen nach Abschluss aller DSGVO geforderten Tätigkeiten eine schriftliche Bestätigung (vergleichbar mit einem Zertifikat) über die DSGVO-konforme Arbeitsweise. (Im Einzelfall muss betrachtet werden, welche dringenden Empfehlungen noch vorher umgesetzt werden müssen). Diese kann – zusammen mit unserem Prüfungsaufkleber als Kundenbindungsinstrument und Qualitätssiegel proaktiv auf dem Markt eingesetzt werden.

Dies ist der Schutz vor der Abmahnwelle durch bspw. Konkurrenz, wenn auf Wettbewerbsvorteil geklagt wird. (Wer nicht DSGVO-konform arbeitet, gibt hierfür auch keine finanziellen Mittel aus und hat folglich diese Mittel für Werbung, Produktentwicklung etc. als Wettbewerbsvorteil zur Verfügung.)

Wir (FK-Datenschutz) bieten Interessenten und Kunden neutrale Audits an, die mit einem „Zertifikat“ bestätigt werden. Ebenso unterstützen wir unsere Kunden mit Audits, wenn Auftragnehmer ausgewählt werden sollen (Der Auftragnehmer muss natürlich vorher einwilligen).

Mit uns sind Sie sicher!

Sie haben Fragen?

Rufen Sie uns an:

040 / 943 63 764

Schreiben Sie uns an:

anfrage@fk-datenschutz.de

Kontaktieren Sie uns

Datenschutzhinweis

14 + 12 =

Weitere Irrtümer zum Datenschutz:

„Wir verarbeiten keine Daten“

„Die DSGVO trifft auf uns nicht zu“

„Damit kann ich später noch anfangen!“

 

„Unsere Daten sind ausgelagert – die sind verantwortlich!“

„Unser Datenschutzhinweis auf unserer Webseite ist ausreichend“

 

„Das ist doch alles nur Panikmache - da passiert ja doch nichts!“

„Wir haben Leads gekauft und können damit machen was wir wollen!“