Wie managen Sie Ihre Lieferanten bei der Auftragsdatenverarbeitung?

Wird ein Lieferant bzw. Dienstleister, also jemand der in Ihrem Sinne Leistungen erbringen soll (Auftragsverarbeiter) beauftragt, dann ist hier eine Vereinbarung abzuschließen. Sicherlich nichts Neues und für Sie seit Jahren gelebte Praxis. Jetzt gilt das aber auch für jene Lieferanten, die für Sie zum Beispiel den Server betreiben, die Lohnbuchhaltung machen, die Rechenzentrumsleistungen liefern, Kundendaten erfassen, die Webseite betreiben, die Datensicherung machen, usw.. Mit diesen müssen Sie ebenfalls eine Vereinbarung über die Auftragsdatenverarbeitung abschließen.
In dieser Vereinbarung geht es um die Weisung zur ausschließlichen Verarbeitung von personenbezogenen Daten zum Zwecke der Vertragserfüllung.

Auskunftsfähig sein

Dabei sollen Sie als Verantwortlicher in der Lage sein, gegenüber Ihrer zuständigen Datenschutzaufsichtsbehörde folgende Informationen zu liefern:
1. Der Auftragsverarbeiter ist in der Lage, alle Anforderungen der EU-DSGVO und des BDSG zu erfüllen und er kann Garantien bzgl. der Sicherheit der Datenverarbeitung geben und die erforderlichen technischen und organisatorischen Maßnahmen sicherstellen.
2. Die Beauftragung von Sub-Unternehmen erfolgt nur, wenn im Vorfeld eine zusätzliche bzw. allgemein gültige schriftliche Genehmigung erteilt wurde.
3. Die Auftragsdatenverarbeitungsvereinbarung (ADV) entspricht den gesetzlichen Mindestanforderungen.

Lieferantenvereinbarungen prüfen

Daraus folgt für Sie, nochmals alle Vereinbarungen mit Ihren Auftragnehmern in Bezug auf die Einhaltung des Datenschutzes zu prüfen und ggf. hier entsprechende ADVs zu vereinbaren. Diverse Dienstleister z.B. Betreiber von Rechenzentrumsleistungen oder von Cloud-Lösungen bieten bereits von sich aus solche ADVs an. Es bleibt aber in ihrer Verantwortung, diese zu prüfen, ggf. anzupassen und dann abzuschließen.

 

Bildnachweis: (c) OpenClipart-Vectors, Pixabay