Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Ratgeber
25. März 2020

DSGVO: Auftragskontrolle in der Praxis

DP+
DSGVO: Auftragskontrolle in der Praxis
Bild: iStock.com / AndreyPopov
0,00 (0)
Auftragsverarbeitung
Für einen Auftragnehmer ist es sinnvoll, selbst tätig zu werden, statt auf Prüfungen durch den Auftraggeber zu warten. Erfahren Sie, wie Sie als Auftragnehmer am besten an die Auftragskontrolle herangehen.

„Auftragskontrolle? Das gibt es doch gar nicht mehr in der Datenschutz-Grundverordnung (DSGVO)!“ So könnte manch Datenschutzbeauftragter (DSB) denken, wenn er diesen Beitrag liest. Das stimmt jedoch nur teilweise.

Auftragskontrolle in der DSGVO

Erfahrene DSB kennen die Auftragskontrolle noch aus dem alten Bundesdatenschutzgesetz. Sie verpflichtete dazu, personenbezogene Daten im Auftrag nur entsprechend den Weisungen des Auftraggebers zu verarbeiten.

In der DSGVO hingegen taucht der Begriff so nicht mehr auf. Hier heißt es aber in den Anforderungen an die Auftragsverarbeitung (AV): Ein Auftragnehmer muss dem Verantwortlichen alle Nachweise dafür zur Verfügung stellen, dass er die Anforderungen an die AV einhält, und ihm Überprüfungen ermöglichen.

Indirekt lässt sich darin die bisherige Auftragskontrolle erkennen.

Was tue ich also als Auftragnehmer, um meinem Auftraggeber zu beweisen, dass ich den Auftrag gemäß seinen Vorgaben durchführe?

Wie eine Auftragskontrolle vorbereiten?

Quellen zur Vorbereitung sind

  • die Inhalte der AV-Vereinbarung (AVV),
  • die vereinbarten technischen und organisatorischen Maßnahmen (TOMs),
  • erteilte Weisungen während der Auftragsdurchführung und
  • die generelle Auftragserbringung.

1. Inhalte der AVV

Die AVV enthält eine Vielzahl vertraglicher Vorgaben, die Auftragnehmer zu erfüllen haben. Nutzen Sie diese Punkte für Ihre spätere Prüfung, z.B.:

  • Haben wir Lösch- oder Korrekturaufträge wie vorgegeben umgesetzt?
  • Ist der damals kommunizierte Datenschutzbeauftragte noch aktiv?
  • Haben wir neue Subunternehmer? Wurden hierfür die definierten Vorgaben umgesetzt (z.B. Information des Auftraggebers)?
  • Sind alle Beschäftigten, auch neue, auf Vertraulichkeit verpflichtet?
  • Gab es Anfragen einer Aufsichtsbehörde oder Sicherheitsvorfälle, bei denen wir den Auftraggeber hätten informieren müssen?
  • Gab es Anfragen von Betroffenen, die wir an den Auftraggeber hätten weiterleiten müssen?
  • Erfolgten interne Kontrollen zur Auftragsdurchführung?

Zusätzlich sind spezielle Prüfinhalte denkbar: Darf ein Softwaredienstleister als Auftragnehmer die Fernwartung nur innerhalb eines bestimmten Zeitfensters durchführen, so kann auch dies ein Prüfinhalt sein.

2. Inhalte der TOMs

Ein fester Bestandteil der AVV sind die TOMs. Die dort definierten Schutzmaßnahmen lassen sich Punkt für Punkt als Prüfinhalte übernehmen.

Haben Auftraggeber und Auftragnehmer z.B. bestimmte Passwortvorgaben vereinbart, so lässt sich etwa bei einer Windows-Domäne die Konfiguration der Gruppenrichtlinie daraufhin prüfen, ob sie die Vorgaben für alle Benutzer erzwingt.

3. Erteilte Weisungen

Eine erteilte Weisung kann z.B. die Aufforderung sein, den Datensatz eines Kunden zu ändern.

Häufig finden sich dokumentierte Weisungen und ihre Umsetzung in E-Mails oder in Einträgen in CRM- bzw. Ticket-Systemen. Sofern diese Weisungen vollständig erfasst wurden, prüfen Sie, wie die Kollegen die Vorgaben umgesetzt haben.

4. Auftragserbringung

Bei der Auftragserbringung geht es darum, die Leistung der AVV konkret umzusetzen. Ist z.B. die Entsorgung von Unterlagen oder Datenträgern der Leistungsinhalt des Auftragnehmers, so lässt sich prüfen, inwiefern der vorgegebene Auftrag korrekt umgesetzt wurde.

Werden Ablaufbeschreibungen wie definiert in die Praxis umgesetzt? Halten sich die Beschäftigten an definierte Prozesse? Führen die Kollegen Wartungsvorgänge wie vorgegeben durch und protokollieren sie sie?

Wie die Auftragskontrolle durchführen?

Die Summe der einzelnen Prüfpunkte aus den genannten Quellen ergibt eine Liste an Prüf- oder Auditinhalten.

Diese Liste lässt sich allerdings nur bestmöglich überprüfen, wenn Sie hierfür die richtigen Teilnehmer finden. Das können je nach Thema Ansprechpartner der Fachbereiche, der IT-Administration oder der Verwaltung sein.

Sie können die Vorbereitung gezielt unterstützen, indem Sie die Prüfinhalte vorab kommunizieren.

In der Praxis hat es sich bewährt, den zeitlichen Ablauf und die Gegenstände der Prüfungen im Vorhinein mit den Beteiligten abzustimmen. So kommen Sie schneller vorwärts und sparen kostbare Zeit!

Am Tag der Auftragskontrolle prüfen Sie gemeinsam mit den Teilnehmern die vorher identifizierten Prüfinhalte. Gleichen Sie dabei die Anforderungen (Soll-Situation) mit der Umsetzung (Ist-Situation) ab.

Sofern es zeitlich möglich ist, können Sie eine erste Bewertung der Kriterien bereits unmittelbar im Termin vornehmen. Geht das zeitlich nicht, so bewerten Sie die Ergebnisse nach Abschluss der Kontrolle.

PRAXIS-TIPP: Wissen Sie nicht, wie Sie einen einzelnen Punkt prüfen, so fragen Sie das IT-Administrationspersonal.

Das ist besser, als wenn Sie während einer realen Prüfung durch den Auftraggeber auf Rückfragen nicht antworten können.

Wie die Ergebnisse aufbereiten?

Nach der Kontrolle erfolgt die Bewertung. Sofern einzelne Punkte unklar sind oder Nachweise für eine eindeutige Bewertung fehlen, so fragen Sie zeitnah beim jeweiligen Ansprechpartner nach.

Mit den weiteren Informationen sollte eine abschließende Bewertung möglich sein. Als Ergebnis liegt eine vollständige Prüfbewertung vor. Sie fasst die Vorgehensweise und die Ergebnisse der Prüfung zusammen.

Anhand dieser Bewertung lässt sich ein kompakter Prüfbericht als Nachweis an die Auftraggeber sowie für interne Adressaten erstellen. Ob ein Auftragnehmer die komplette Dokumentation übermittelt, liegt in seinem eigenen Ermessen.

Abweichungen müssen kommuniziert werden, am besten gemeinsam mit Maßnahmen, die die Abweichung zukünftig korrigieren oder bereits abgestellt haben.

Fazit: besser selbst vorab prüfen

Eine kontinuierliche, am besten jährliche Kontrolle, wie man als Auftragnehmer seine Vorgaben erfüllt, hat mehrere Vorteile:

  • Der Auftragnehmer weist kontinuierlich nach, dass er die Rechenschaftspflichten der DSGVO erfüllt, besonders die Vorgaben, die aufgrund von AVV mit Auftraggebern gelten.
  • Der Auftragnehmer gewinnt wertvolle Hinweise, um das Datenschutzniveau zu verbessern. Er erkennt schnell Abweichungen von vertraglichen Vorgaben und kann sie sofort beheben.
  • Proaktives Handeln ermöglicht die Auftragskontrolle zu einem selbst gewählten Zeitpunkt. Das vermeidet Hektik, wenn der Auftraggeber zu einem ungünstigen Zeitpunkt vor der Tür steht.

Julian Häcker

Julian Häcker
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Julian Häcker
Julian Häcker
Julian Häcker, Geschäftsführer der ENSECUR GmbH, löst als Datenschutzberater seit 2010 die Praxisherausforderungen im Datenschutzalltag von Unternehmen. Sein Antrieb: Datenschutz besser machen – damit die Digitalisierung datenschutzkonform gelingt.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.