Brandmauer-it-security_Verlauf_heller_1920-x-600-px-Banner.jpg

BRANDMAUER IT Security Blog

So bleiben Sie in Sachen IT und IT Sicherheit stets auf dem neuesten Stand

Was Sie zu Auftragsverarbeitungsverträgen wissen sollten

Volker Bentz | 18.07.2018 12:00:00 | Lesezeit ca. 3 Minuten

Der Geschäftsführer ist verantwortlich für den Datenschutz im Unternehmen! Doch in einem Unternehmen sind nicht nur die eigenen Daten zu schützen. In der Regel sind hier auch externe Daten wie z.B. Kunden- oder Lieferantendaten gespeichert. Daraus ergibt sich natürlich eine enorme Verantwortung. Und um genau dieser Verantwortung gerecht zu werden, gibt es Auftragsverarbeitungsverträge, früher auch bekannt unter Auftragsdatenverarbeitungsverträge (ADV). In diesem Artikel erfahren Sie die Hintergründe über die Notwendigkeit dieser Auftragsverarbeitungsverträge.

 

Wer braucht Auftragsverarbeitungsverträge?

Grundsätzlich braucht man nach Artikel 28 der Datenschutzgrundverordnung Auftragsverarbeitungsverträge als Kunde eines Dienstleisters. Wenn Sie einen Dienstleister beauftragen, der im Zuge seiner Arbeit Zugriff auf Ihre Daten, also auch die Ihrer Lieferanten und Kunden, hat, sollten Sie als Verantwortlicher dafür sorgen, dass die Daten auch beim Dienstleister sicher und geschützt sind! Andernfalls handeln Sie fahrlässig, weil Sie die Kontrolle über den Datenschutz in fremde Hände legen, obwohl Sie selbst verantwortlich sind!

Nehmen wir einmal an, bei Ihnen im Unternehmen liegen Konstruktionspläne von einem Ihrer Kunden für den Sie arbeiten. Ihr Kunde übergibt Ihnen die Pläne im Rahmen eines Vertrags und verpflichtet Sie damit zur Geheimhaltung und zum Schutz der Pläne. Als Geschäftsführer sind Sie nun für deren Schutz verantwortlich. Sie beauftragen nun einen IT Dienstleister mit der Wartung Ihrer IT. Im Rahmen seiner Arbeit erhält der IT Dienstleister Zugriff auf diese Daten bzw. Ihre Unternehmensdaten. Bei diesem IT Dienstleister wird der Datenschutz aber nicht konsequent eingehalten bzw. umgesetzt. Auch wenn die Daten in Ihrem Unternehmen perfekt geschützt sind, stehen Sie nun in der Haftung, weil Sie unverantwortlich mit den eigenen Daten und den Kundendaten umgegangen sind! Sie haben es versäumt Ihre Pflicht zum Datenschutz mittels einer entsprechenden vertraglichen Regelung vor Auftragserteilung an Ihren IT Dienstleister zu delegieren. Nur durch entsprechende Auftragsverarbeitungsverträge können Sie Ihren IT Dienstleister zum Schutz Ihrer Daten verpflichten.

 

Was macht ein Auftragsverarbeitungsvertrag?

Vereinfacht gesagt sorgt ein Auftragsverarbeitungsvertrag dafür, dass Ihre Daten auch in anderen Unternehmen geschützt sind. Dazu macht der Vertrag Vorgaben, wie der Datenschutz in Ihrem Sinne umzusetzen ist. In der Regel sollte in einem Auftragsverarbeitungsvertrag auch ein Datenschutzkonzept enthalten sein, das vom Dienstleister umzusetzen ist. In anderen Worten: Sie schreiben vor, wie andere mit den Daten umzugehen haben, für die Sie verantwortlich sind. Wenn dann nämlich etwas mit den Daten passiert, sind nicht Sie verantwortlich, sondern der, der gegen den Vertrag verstoßen hat! Was glauben Sie, wird ein Richter zu Ihnen sagen, wenn Sie Daten einfach so herausgeben, ohne sich vorher Gedanken über deren Schutz gemacht zu haben?

 

Auftragsverarbeitungsverträge: die gängige Praxis

Ich habe bereits erklärt, dass der Kunde des Dienstleisters einen Auftragsverarbeitungsvertrag benötigt. Doch in der Realität wird der Vertrag eher vom Dienstleister aufgesetzt. Oft versteht der Kunde nichts von der Thematik oder will sich auch nicht damit befassen. Daher legt oftmals der Dienstleister dem Kunden einen Auftragsverarbeitungsvertrag vor, den dieser dann nur noch unterzeichnen muss. Aus der Sicht des Kunden sparen Sie sich natürlich eine Menge Arbeit, aber achten Sie darauf, dass die Verträge, die Sie unterzeichnen auch tatsächlich einen vernünftigen Datenschutz festlegen! Achten Sie insbesondere darauf welche Maßnahmen und organisatorischen Regelungen der Dienstleister auflistet, die dem Schutz der Daten dienen. Prüfen Sie, ob die Maßnahmen Ihren Ansprüchen an den Datenschutz gerecht werden und verlangen Sie ggf. Nachbesserungen.

 

Fazit

Um es noch einmal zusammenzufassen: Kunden von Dienstleistern brauchen einen Auftragsverarbeitungsvertrag, um zu steuern wie die eigenen Daten geschützt werden sollen. In der Praxis wird der Spieß jedoch oft umgedreht. Häufig erstellt der Dienstleister sozusagen einen Vertrag für sich selbst, den der Kunde dann unterzeichnet. Daraus ergibt sich natürlich, dass Sie eine gewisse Vorsicht walten lassen sollten. Schließlich geht es um Ihre Haftung! Sorgen Sie dafür, dass Ihre Daten auch bei Dienstleistern entsprechend geschützt sind und unterzeichnen Sie keine Verträge, die dies nicht gewährleisten!

 

Das könnte Sie auch interessieren:

»Wer haftet für die IT Sicherheit im Unternehmen?

 

Haben Sie bereits alle Maßnahmen der DSGVO umgesetzt? Überprüfen Sie es mit unserem DSGVO Ratgeber:

BRANDMAUER IT DSGVO Ratgeber

Themen: Haftung Geschäftsführer, Datenschutz

Autor: Volker Bentz

Volker Bentz ist seit 1989 im IT-Business tätig. Als Gründer und Gesellschafter prägt er seit über 25 Jahren die Geschicke der BRANDMAUER IT GmbH. Der IT-Experte berät, erstellt und implementiert IT-Lösungen für Unternehmen und Organisationen. Seine langjährigen Erfahrungen im Bereich des IT-Outsourcings und der IT Security machen Ihn zu einem Kenner der Thematik und ersten Ansprechpartner.

Telefon: (+49) 7272 92975 200
E-Mail: v.bentz@brandmauer.de