Ein­fa­che Doku­men­ta­ti­on und Prü­fung der TOM (Tech­ni­sche und orga­ni­sa­to­ri­sche Maßnahmen)

Art. 28 DSGVO Auf­trags­ver­ar­bei­ter schreibt die Über­prü­fung exter­ner Dienst­leis­ter vor, ob aus­rei­chend Garan­tien (TOM — tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men) für die siche­re Ver­ar­bei­tung im Sin­ne der DSGVO vor­lie­gen. Da wir für unse­re Kun­den zahl­rei­che Dienst­leis­ter im Rah­men der bis­he­ri­gen Auf­trags­da­ten­ver­ar­bei­tung und zukünf­ti­gen Auf­trags­ver­ar­bei­tung prü­fen, schla­gen hier nicht sel­ten ord­ner­wei­se Doku­men­ta­tio­nen über ein vor­han­de­nes oder ver­meint­li­ches Schutz­kon­zept beim Dienst­leis­ter auf. Nach dem Mot­to “Weni­ger ist oft­mals mehr” haben wir eine frü­he­re Check­lis­te für tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) vom Daten­schutz-Guru RA Ste­phan Han­sen-Oest ergänzt und im Hin­blick auf die Sor­tie­rung der DSGVO über­ar­bei­tet. Da Ste­phan wei­te Tei­le sei­ner genia­len Vor­la­gen und Mus­ter kos­ten­frei zur Nut­zung zur Ver­fü­gung stellt und auch beim The­ma Daten­schutz gilt “Gemein­sam sind wir stark”, wol­len wir da nicht hintenanstehen.

Mit­tels der anhän­gen­den Check­lis­te Tech­ni­sche und Orga­ni­sa­to­ri­sche Maß­nah­men, kurz TOM, als aus­füll­ba­res Word-For­mu­lar kann jeder Dienst­leis­ter ohne all­zu gro­ßen Zeit­auf­wand die bei ihm getrof­fe­nen Schutz­maß­nah­men doku­men­tie­ren (click & dir­ty). Die­se Anga­ben über­prüft der Auf­trag­ge­ber, kann bei Bedarf nach­fra­gen oder Punk­te im Detail klä­ren. Mit der Ergeb­nis­pro­to­kol­lie­rung am Ende soll­te auch der Doku­men­ta­ti­ons- und Rechen­schafts­pflicht zu dem Punkt Genü­ge getan sein. Ein Auf­trag­ge­ber kann sei­nem Dienst­leis­ter die­se Check­lis­te auch direkt zusen­den, damit die­ser sei­ne Doku­men­ta­ti­on erstel­len und zurück­sen­den kann. Als Anhang zur Ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung von Ste­phan eig­net sich das Doku­ment eben­so. Klei­ner Neben­ef­fekt: Wenn der Auf­trag­ge­ber damit sei­ne TOM doku­men­tiert, kann er auf die­se Stan­dard-TOM im Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten ver­wei­sen und muss dort die­se Anga­ben nicht erneut wiederholen.

Bit­te beach­ten: Die­se Check­lis­te ent­bin­det natür­lich nicht von der kon­kre­ten Prü­fung, ob die genann­ten Schutz­maß­nah­men für das ange­streb­te Schutz­ziel aus­rei­chend sind. Im Zwei­fel sind die Anga­ben mit wei­te­rer Doku­men­ta­ti­on, Inter­views oder Vor-Ort-Prü­fun­gen zu vertiefen.

Anre­gun­gen und Ideen zu Ergän­zun­gen sind ger­ne willkommen.

Auf­trags­ver­ar­bei­tung ist übri­gens nichts Neu­es. Bis­her hieß es Auf­trags­da­ten­ver­ar­bei­tung. Es sind jedoch eini­ge Ergän­zun­gen und höhe­re Doku­men­ta­ti­ons­an­for­de­run­gen hinzugekommen.

Hier fin­den Sie noch eini­ge Fra­gen und Ant­wor­ten zu die­ser Check­lis­te, die uns im Lau­fe der Zeit erreicht haben.

Bit­te nut­zen Sie die aktu­el­le Ver­si­on 3.1:

Vor­la­ge TOM Check­lis­te Tech­ni­sche und Orga­ni­sa­to­ri­sche Maß­nah­men DSGVO
7944 Downloads
Top Ser­vice, Top Leis­tung, Top Preis © kebox — Fotolia.com

Um was geht es bei Auf­trags­ver­ar­bei­tung (frü­her Auftragsdatenverarbeitung)?

Ein sper­ri­ger Begriff für einen ein­fa­chen Sach­ver­halt. Auf­trags­ver­ar­bei­tung meint das klas­si­sche Out­sour­cing an einen exter­nen Dienst­leis­ter. Nur sind in die­sem spe­zi­el­len Fall per­so­nen­be­zo­ge­ne Daten betrof­fen. Für die­sen Fall hat die DSGVO den Arti­kel 28 BDSG “Auf­trags­ver­ar­bei­ter” vorgesehen.

Um ein mög­lichst hohes Schutz­ni­veau zu gewähr­leis­ten und das Risi­ko von Daten­pan­nen bei der Aus­la­ge­rung auf Sub­un­ter­neh­mer zu mini­mie­ren, sieht Arti­kel 28 DSGVO eini­ge Auf­la­gen vor. Um die Bedeu­tung und Ernst­haf­tig­keit des The­mas zu unter­strei­chen, ste­hen auf eine feh­len­de oder feh­ler­haf­te Umset­zung emp­find­li­che Bußgelder.

Was fällt alles unter den Begriff Auftragsverarbeitung?

Am ein­fachs­ten läßt sich das an kon­kre­ten Bei­spie­len erklä­ren. Von einer Auf­trags­ver­ar­bei­tung spricht man im Falle

  • der Nut­zung einer Mai­ling­agen­tur oder eines Let­ter­shops zum Erstel­len und Ver­sand von Anschrei­ben, die an natür­li­che Per­so­nen gerich­tet sind oder
  • der Durch­füh­rung der monat­li­chen Gehalts­ab­rech­nung durch eine exter­ne Lohn- und Gehalts­ab­rech­nungstel­le (nicht Steu­er­be­ra­ter) oder
  • des Ein­sat­zes einer extern gehos­te­ten Soft­ware zur Ver­wal­tung und zum Ver­sand von News­let­tern oder
  • der Beauf­tra­gung eines exter­nen Call­cen­ter oder Office-Ser­vices oder
  • dem teil­wei­sen oder voll­stän­di­gen Aus­la­gern des Rechen­zen­trums oder
  • Soft­ware as a Ser­vice /​ Cloud-Lösun­gen oder
  • in vie­len ähn­li­chen ver­gleich­ba­ren Fäl­len — fra­gen Sie Ihren Daten­schutz­be­auf­trag­ten oder gleich uns.

Dar­un­ter fal­len aber auch Leis­tun­gen wie War­tung /​ Kon­fi­gu­ra­ti­on /​ Instal­la­ti­on von Hard- und Soft­ware eben­falls unter die Anwen­dung von Art. 28 DSGVO und sind ent­spre­chend zu regeln. Dabei ist es uner­heb­lich, ob Ihr Dienst­leis­ter das auch so sieht. Sie als Auf­trag­ge­ber sind ver­ant­wort­lich und zah­len am Ende auch das Bußgeld.

Was ist bei einer Auf­trags­ver­ar­bei­tung zu tun?

Schritt 1: Identifizieren

Bereits vor Beginn der Zusam­men­ar­beit muss ein Dienst­leis­ter auf sein Schutz­ni­veau hin geprüft und mit der pas­sen­den Ver­ein­ba­rung zur Auf­trags­da­ten­ver­ar­bei­tung schrift­lich ver­ein­bart sein. Soll­ten Sie mit dem Dienst­leis­ter bereits zusam­men­ar­bei­ten, dann ist schnel­les Han­deln angebracht.

Schritt 2: Prüfen

Sind alle exter­nen Dienst­leis­ter, die unter Art. 28 DGSVO fal­len, iden­ti­fi­ziert oder bereits bekannt, kommt Schritt 2. Es gilt nun das vor­han­de­ne Schutz­ni­veau des Dienst­leis­ters zu prü­fen. Die soge­nann­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men müs­sen aktu­ell und dem not­wen­di­gen Schutz­be­darf für die betrof­fe­nen Daten ent­spre­chen. Bei Lücken sind die­se durch den Dienst­leis­ter zu schlie­ßen oder bei Bedarf ein alter­na­ti­ver Dienst­leis­ter aus­zu­wäh­len. Die Prü­fung sowie des­sen Ergeb­nis sind zu doku­men­tie­ren, damit die­se spä­ter belegt wer­den können.

Schritt 3: Vereinbaren

Alle von Art. 28 DSGVO betrof­fe­nen Dienst­leis­ter soll­ten nun bekannt sein. Das Schutz­ni­veau ist geprüft und aus­rei­chend vor­han­den. Nun kommt Schritt 3 der Auf­trags­ver­ar­bei­tung: die schrift­li­che Vereinbarung.Hier kann viel falsch gemacht wer­den. Über­se­hen Sie einen Rege­lungs­punkt, den die DSGVO vor­sieht, spricht man von einer feh­ler­haf­ten Auf­trags­ver­ar­bei­tung. Die­se ist mit einem Buß­geld risi­ko­be­haf­tet. Auch die Nut­zung der zahl­rei­chen im Inter­net auf­find­ba­ren Vor­la­gen zur Auf­trags­ver­ar­bei­tung kön­nen davor nicht bewah­ren. Vie­le die­ser Vor­la­gen sind lei­der immer noch ver­al­tet, unvoll­stän­dig oder mit Vor­schrif­ten ver­se­hen, die gegen ande­re Rech­te /​ Geset­ze verstoßen.

Schritt 4: Nachprüfen

Iden­ti­fi­ka­ti­on der Dienst­leis­ter voll­stän­dig. Prü­fen des Schutz­ni­veaus erfolgt und doku­men­tiert. Not­wen­di­ge Ver­ein­ba­rung schrift­lich mit dem Dienst­leis­ter geschlossen.

Falsch liegt, wer meint, der Vor­gang sei nun abge­schlos­sen. In regel­mä­ßi­gen Abstän­den müs­sen Sie sich jetzt von dem Erhalt oder der Ver­bes­se­rung des Schutz­ni­veaus Ihres Dienst­leis­ters über­zeu­gen. Die Prü­fung muss eben­falls wie­der nach­voll­zieh­bar und beleg­bar doku­men­tiert werden.

Schritt 5: Über­le­gen, ob Sie sich das wirk­lich alles selbst antun wollen

Wenn Sie sich weder mit den Risi­ken noch dem Zeit­auf­wand für das The­ma Auf­trags­ver­ar­bei­tung aus­ein­an­der­set­zen wol­len, dann las­sen Sie uns das über­neh­men. Wie das geht? Ganz ein­fach — spre­chen Sie uns an und wir infor­mie­ren Sie unver­bind­lich über unse­re Dienst­leis­tun­gen rund um die Auftragsverarbeitung.