Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

12. November 2024

Auditierung von Auftragsverarbeitern

DP+
Unternehmen in ihrer Rolle als datenschutzrechtlich Verantwortliche (Art. 4 Nr. 7 DSGVO) dürfen nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichende Garantien bieten, dass sie geeignete technische und organisatorische Maßnahmen zum Datenschutz (TOMs, Art. 32 DSGVO) umsetzen
Bild: iStock.com/Galeanu Mihai
0,00 (0)
Datenschutz bei Dienstleistern
Die Beauftragung von Dienstleistern mit Datenverarbeitungen ist höchst praxisrelevant. Da die datenschutzrechtliche Verantwortlichkeit bei den Auftraggebern verbleibt, sind regelmäßige Kontrollen anzuraten.
Das Outsourcing von Datenverarbeitungen ist nach wie vor sehr beliebt. Von genutzten Webhosting-, KI- oder Cloud-Lösungen über die Inanspruchnahme von Fernwartungen durch einen eingesetzten IT-Service bis hin zur Auslagerung der Akten- und Datenträgervernichtung auf hierauf spezialisierte Anbieter: Es gibt kaum ein Unternehmen, das keine externen Dienstleister einsetzt, die als Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) Zugang oder Zugriffsmöglichkeiten auf personenbezogene Daten erhalten.

Anforderungen an eine Auftragsverarbeitung

Auftragsverarbeitungen sind dadurch gekennzeichnet, dass Dienstleister lediglich als „verlängerter Arm“ des Auftraggebers agieren und personenbezogene Daten ausschließlich und schwerpunktmäßig in dessen Interesse verarbeiten, ohne dabei eigene Zwecke mit der Datenverarbeitung zu verfolgen. Die konkreten Anforderungen an eine Auftragsverarbeitung sind in Art. 28 DSGVO geregelt. Danach dürfen Unternehmen in ihrer Rolle als datenschutzrechtlich Verantwortliche (Art. 4 Nr. 7 DSGVO) nur mit Auftragsverarbeitern zusammenarbeiten, wenn diese hinreichende Garantien bieten, dass sie geeignete technische und organisatorische Maßnahmen zum Datenschutz (TOMs, Art. 32 DSGVO) umsetzen, um die Einhaltung der Datenschutz-Grundverordnung (DSGVO) und den Schutz der Rechte der betroffenen Personen zu gewährleisten (Art. 28 Abs. 1 DSGVO). Demgemäß ist es angeraten, einen Auftragsverarbeiter bereits vor dessen aktivem Einsatz umfassend zu prüfen.

Vertrag zur Auftragsverarbeitung erforderlich

Außerdem ist vorab ein Vertra…

Conrad S. Conrad Elena Folkerts
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Conrad S. Conrad
Conrad S. Conrad
Conrad S. Conrad ist Volljurist und Senior Berater Datenschutz bei der datenschutz nord GmbH am Standort Hamburg.
Elena Folkerts
Elena Folkerts
Elena Folkerts, M.A., arbeitete zunächst in der Rechtsabteilung eines mittelständischen Softwareunternehmens und ist nun für einen der bundesweit führenden Dienstleister im Bereich Datenschutz tätig.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.