Der EuGH hat ein, mit einem Bezug zur Datenschutzverstößen von Auftragsverarbeitern, wegweisendes Urteil getroffen.

Mit diesem Urteil wird klargestellt, dass auch dann seitens des Verantwortlichen eine Verantwortung für Datenschutzverstöße besteht, wenn diese nicht von einem Mitarbeiter, sondern von einem Auftragsverarbeiter begangen wurde. Voraussetzung ist, dass die betreffenden Verarbeitungsvorgänge im Namen des Verantwortlichen, also der Auftraggeber, durchgeführt wurden und der Verstoß somit im Zuge der Auftragserfüllung erfolgte.

Diese Entscheidung macht deutlich, wie wichtig bereits die Auswahl des Auftragsverarbeiters ist, dem personenbezogene Daten anvertraut werden.

Eine genaue Prüfung des Auftragsverarbeiters und Formulierungen des    Auftragsverarbeitungs-Vertrags (AV-Vertrag) vor Unterzeichnung sowie eine Prüfung der Angemessenheit, der vom Dienstleister, implementierten technischen und organisatorischen Maßnahmen (TOM) zur selben Zeit sind essenziell.

Hieraus folgt dann auch die unabdingbare Notwendigkeit eine regelmäßige Überprüfung des Auftragsverarbeiters und seine implementierten TOMs.

Dabei ist es nicht unbedingt notwendig den bestehenden Anspruch auf Audits bei Vertragspartnern persönlich vor Ort durchzuführen.  In vielen Fällen ist es für beide Seiten angenehmer und effizienter ein schriftliches Audit, z.B. mittels eines Fragebogens durchzuführen.

 

Das Datenschutz Management System DPM-Online unterstützt Sie bei der Auswahl und Dokumentation der Auftragsverarbeiter, deren Registrierung im DMS und regelmäßige Überprüfungen.