Der Grundsatz der Rechenschaftspflicht gilt auch, wenn ein Verantwortlicher die Dienste eines Auftragsverarbeiters in Anspruch nehmen will. In diesem Zusammenhang verlangt Artikel 28 Absatz 1 DSGVO von Verantwortlichen, dass sie bestimmte Sorgfaltspflichten erfüllen, bevor sie Auftragsverarbeitern Zugang zu personenbezogenen Daten für die Durchführung von Datenverarbeitungstätigkeiten gewähren. Wie bei anderen Bestimmungen der DSGVO wird nicht angegeben, welche spezifischen Maßnahmen ein Verantwortlicher bei der Bewertung von Auftragsverarbeitern durchführen sollte. Als einziges Kriterium gibt die DSGVO vor, dass die Verantwortlichen die Auftragsverarbeiter auf der Grundlage ihrer Fähigkeit beurteilen sollten, nachzuweisen, dass sie die Verarbeitungstätigkeiten im Einklang mit der DSGVO durchführen können.[1]
Die Verantwortlichen sollten stets bedenken, dass bei der Entwicklung von Ortungstools häufig verschiedene Datensätze verwendet werden. Die Verzeichnisse sollten die Rückverfolgbarkeit der Verarbeitung, Informationen über die mögliche Wiederverwendung von Daten und die Verwendung von Daten, die zu verschiedenen Datensätzen gehören, in denselben oder in unterschiedlichen Lebenszyklusphasen gewährleisten.
Wenn die Verantwortlichen eine Entwicklung durchführen, bei der sie für bestimmte Verarbeitungstätigkeiten einen Dritten beauftragen müssen, müssen sie sich zwei Fragen stellen: (1) welche Art von Verhalten wird erwartet, um die Einhaltung dieser Verpflichtung nachzuweisen; und (2) wenn eine Form von positiven Maßnahmen erwartet wird, wie sollten die Verantwortlichen dann vorgehen, um diese Sorgfaltspflicht zu erfüllen?
In Bezug auf die erste Frage weist die DSGVO darauf hin, dass die Verantwortlichen, wenn sie die DSGVO einhalten wollen, nur einen Auftragsverarbeiter beauftragen dürfen, der die Einhaltung der DSGVO nachweisen kann. Somit müssen die Verantwortlichen Informationen anfordern, um dies zu beurteilen. Anders ausgedrückt: Die DSGVO erwartet von den Verantwortlichen, dass sie ihren potenziellen Auftragsverarbeiter aktiv danach fragen. Es reicht nicht aus, sich auf eine Zusicherungs- und Gewährleistungsklausel in der Datenverarbeitungsvereinbarung zu verlassen (siehe Abschnitt „Integrität und Vertraulichkeit“ im Kapitel „Grundsätze“). Um dies zu gewährleisten, können die Verantwortlichen allen Auftragsverarbeitern Fragebögen zusenden oder von den Auftragsverarbeitern den Nachweis verlangen, dass sie ein externes Auditverfahren durchlaufen haben. Darüber hinaus können die Verantwortlichen eine Prüfungsklausel in den Vertrag aufnehmen, wonach der Verantwortliche selbst ein Audit bei einem Auftragsverarbeiter durchführen kann, falls weitere Nachweise erforderlich sind.
Wie die Verantwortlichen diese Sorgfaltspflichten erfüllen sollten, wird in der DSGVO ebenfalls nicht konkret erläutert. Dennoch haben einige nationale Aufsichtsbehörden zu berücksichtigendeThemen vorgeschlagen, z. B. ob der Auftragsverarbeiter Branchenstandards einhält, ob er sowohl rechtliche als auch technische Informationen über die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter bereitstellt, ob er sich an einen Verhaltenskodex hält oder ob er ein Zertifizierungssystem durchlaufen hat.[2]
Neben diesen allgemeinen Überlegungen und je nachdem, wie sich die von diesem Dritten beantragte Verarbeitung in den Rahmen des entwickelten Tools einfügt, sollten weitere Fragen gestellt werden. Diesbezüglich sollten alle Fragen, die sich die Verantwortlichen bei der Entwicklung des Tools stellen würden, auch an den Auftragsverarbeiter gestellt werden. Wir verweisen in diesem Zusammenhang auf die Fragen der Checkliste im nachstehenden Kasten.
| Checkliste: Sorgfaltspflicht des Auftragsverarbeiters
Wenn die Verarbeitung mit einer internationalen Datenübermittlung verbunden ist, haben die Verantwortlichen Informationen darüber eingeholt, wo die Datenverarbeitungstätigkeiten stattfinden werden, und (1) die unter dem nachstehenden Punkt vorgeschlagene Überprüfung der Rechtsprechung durchgeführt und (2) bewertet, ob die Gerichtsbarkeiten im Falle von Nicht-EU-Ländern von der EU-Kommission als angemessen angesehen werden. Die Verantwortlichen haben die Rechtsprechung der nationalen Aufsichtsbehörden, in denen der Auftragsverarbeiter tätig ist, geprüft, um mögliche Sanktionen zu ermitteln. Die Verantwortlichen haben einen Nachweis über die Einhaltung eines Verhaltenskodex oder eine Zertifizierung verlangt (dies ist nicht unbedingt erforderlich, kann aber als bewährtes Verfahren angesehen werden). Die Verantwortlichen haben einen Nachweis einer einschlägigen ISO-Zertifizierung verlangt (dies ist nicht unbedingt erforderlich, kann aber als bewährtes Verfahren angesehen werden). Wenn ein Auftragsverarbeiter beteiligt ist, haben die Verantwortlichen eine Kopie der Verzeichnisse über die Verarbeitungstätigkeiten angefordert. Die Verantwortlichen haben sich nach dem Entwicklungsprozess des Tools erkundigt, insbesondere nach der Art der Daten, die zum Training des Tools verwendet wurden, und nach den vom Tool benötigten Daten, um zu funktionieren und ein nützliches Ergebnis zu liefern. |
Quellenangaben
1Artikel 28 Absatz 1. „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ ↑
2ICO (kein Datum) Guide to the General Data Protection Regulation (GDPR), What responsibilities and liabilities do controllers have when using a processor? Information Commissioner’s Office, Wilmslow. Verfügbar unter: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/contracts-and-liabilities-between-controllers-and-processors-multi/responsibilities-and-liabilities-for-controllers-using-a-processor/ (abgerufen am 20. Mai 2020). ↑