Dass bei der Verarbeitung von personenbezogenen Daten im Auftrag eine Auftragsverarbeitungsvereinbarung abgeschlossen werden muss, ist nach der Einführung der Datenschutz-Grundverordnung nun hinreichend bekannt. Sind mit allen Auftragsverarbeitern Vereinbarungen zur Auftragsverarbeitung geschlossen, hat sich die Sache mit großer Wahrscheinlichkeit jedoch noch nicht erledigt. Geschäftsbeziehungen ändern sich in unserer schnelllebigen Zeit ständig, sodass auch der Abschluss neuer Auftragsverarbeitungen regelmäßig nötig sein wird, wenn personenbezogene Daten verarbeitet werden.

Beauftragt der Verantwortliche einen Auftragsverarbeiter, so bleibt er dennoch für die datenschutzkonforme Verarbeitung von personenbezogenen Daten verantwortlich. Die gesamte Verantwortung geht also nicht an den Auftragsverarbeiter über. Um unangenehme Überraschungen zu vermeiden, ist es deshalb wichtig, neue Auftragsverarbeiter sorgfältig auszuwählen. Im Folgenden werden einige Gesichtspunkte, unter denen Auftragsverarbeiter ausgewählt werden sollten, unter die Lupe genommen.

Welche Kriterien sind zu beachten?

Zunächst sollte von den bisher wichtigsten Kriterien bei der Beauftragung von Dienstleistern zugunsten des Datenschutzes etwas Abstand genommen werden. Dazu gehören das Angebot und der Preis des Dienstleisters. Diese Kriterien sind natürlich nach wie vor enorm wichtig bei der Beauftragung von Dienstleistern, jedoch sollte dabei auch der Datenschutz im Hinterkopf bleiben, wenn personenbezogene Daten verarbeitet werden sollen.

Technische und Organisatorische Maßnahmen

Die technischen und organisatorischen Maßnahmen des möglichen Auftragnehmers sollten für die zu vergebende Aufgabe geeignet sein. Das heißt der Dienstleister muss den Schutz der übertragenen Daten gewährleisten können. Als Anhaltspunkt kann dabei dienen, dass der Dienstleister das Niveau, der vom Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen, nicht unterschreiten sollte. Ein genauer Blick auf die technischen und organisatorischen Maßnahmen des Dienstleisters ist für die Auswahl essentiell. Auch eine Vorort-Kontrolle der Maßnahmen kann dazu vorgenommen werden.

Je besser und umfangreicher die Maßnahmen dokumentiert und umgesetzt sind, desto besser eignet sich der Dienstleister für eine Beauftragung.

Bewertung des Risikos

Soll ein neuer Auftragsverarbeiter ausgewählt werden, muss vorher das Risiko einer möglichen Beauftragung bewertet werden. Der Maßstab ist dabei die Verarbeitung an sich, welche ein höheres oder niedrigeres Risiko für die Rechte und Freiheiten der betroffenen Personen haben kann. Dementsprechend müssen auch die Ansprüche an den möglichen Auftragsverarbeiter höher oder niedriger geschraubt werden. Ein höheres Risiko bei der Bewertung haben typischerweise die besonderen Kategorien von personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO (politische Meinungen, rassische oder ethnische Herkunft, Gesundheitsdaten oder auch sensible Mitarbeiterdaten)

Beauftragung von Subunternehmern durch den Dienstleister

Beauftragt der Dienstleister wiederum selbst Auftragsverarbeiter zur Erfüllung der Leistung, ist auch darauf ein Augenmerk zu legen. Wenn der Dienstleister als geeignet für die Beauftragung erscheint, dieser aber dann unzuverlässige Unterauftragnehmer einsetzt, ist das Risiko eines Datenschutzverstoßes in keiner Weise gesunken. Es sollte zumindest die korrekte Firmierung und die Adresse des Subunternehmers bekannt sein, um Intransparenz bei den Verarbeitungsvorgängen vorzubeugen. Zudem sollte das Niveau der technischen und organisatorischen Maßnahmen des Subauftragnehmers nicht das des Dienstleisters unterschreiten, um eine sichere Verarbeitung zu gewährleisten.

Sitz des potenziellen Auftragsverarbeiters

Schließlich sollte bei der Auswahl auch auf den Sitz des Dienstleisters geachtet werden. Sitzt dieser im EU-Ausland, sind geeignete Garantien erforderlich, um ein angemessenes Datenschutzniveau im Drittland zu gewährleisten. Eine geeignete Garantie kann beispielsweise ein Angemessenheitsbeschluss der EU-Kommission sein, welcher ein angemessenes Datenschutzniveau in einem Drittland anerkennt. Im Rahmen des kürzlich zwischen der EU und Japan abgeschlossenen Freihandelsabkommens JAFTA soll beispielsweise auch bald Japan auf der Liste der Länder mit einem angemessenen Datenschutzniveau stehen. Eine Übertragung von Daten in diese Drittländer ist dann erlaubt.

Falls keine geeigneten Garantien für das Drittland, in dem der Dienstleister seinen Sitz hat, vorhanden sind, gibt es noch die Möglichkeit EU-Standartvertragsklauseln mit dem Dienstleister abzuschließen, mit denen ein angemessener Umgang desjenigen mit personenbezogenen Daten nachgewiesen werden kann.

Dies sind die wichtigsten Kriterien, die bei der Auswahl von neuen Auftragsverarbeitern zu beachten sind. Eine umfangreiche Überprüfung des potenziellen Auftragsverarbeiters mag zwar zunächst aufwändig erscheinen, ist aber mit Blick auf die Strafen bei Datenschutzverstößen absolut sinnvoll.