DSGVO – Welche Kontrollrechte bestehen zur Einsicht im Datenschutz-Tätigkeitsbericht in die Auftragsverarbeitung
Die Kontrollrechte des Verantwortlichen bergen im Zusammenhang mit der Auftragsverarbeitung oft ein großes Konfliktpotenzial. Die Kontrollrechte sind in der DSGVO Datenschutzgrundverordnung zwar präzise erwähnt, aber sind häufig individuell und nach Bedarf auszuhandeln. Demzufolge oft mit Diskussionen zwischen den Parteien verbunden. In diesem Beitrag erläutern wir die Frage, wie weit reicht ein Audit und was darf durch den Kunden eines Dienstleisters (Verantwortlicher) alles verlangt und eingesehen werden.
Lesen Sie hier:
Inhalt DSGVO Art. 28 Auftragsverarbeiter
Die DSGVO regelt nach Art. 28 Abs. 3 S. 2 lit. h die Pflicht des Auftragsverarbeiters, dem Verantwortlichen alle erforderlichen Informationen, welche zum Nachweis der Einhaltung der sich aus Art. 28 DSGVO ergebenden Pflichten, zur Verfügung zu stellen.
Weiterhin kann der Verantwortliche auch erforderliche Überprüfungen beim Auftragsverarbeiter durchzuführen. Die Ermöglichung einer Überprüfung hat der Auftragsverarbeiter den Verantwortlichen zu unterstützen.
Im Gesetz ist diese Frage nicht ganz eindeutig geklärt. In Art. 28 abs. 4 DGSVO ist diesbezüglich folgendes nachzulesen: (wörtliche Wiedergabe)
“Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters [Subauftragsverarbeiter] in Anspruch, […] so werden diesem […] [Subauftragsverarbeiter] im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3 [des Art. 28 DSGVO] festgelegt sind […].”
Regelung Kontrollpflicht im Auftragsverarbeitungsvertrag
Ein zwingender Bestandteil im Auftragsverarbeitungsvertrag ist die Regelung zur Kontrollpflicht nach Art. 28. Die Einzelheiten sollten zwischen den Parteien genau und im Detail verhandelt werden. Hier könnte es zu einem Kräftemessen zwischen den Parteien kommen.
Dieser Pflicht kann insbesondere durch die Vorlage eines schlüssigen Datensicherheitskonzepts des Auftragsverarbeiters, Informationseinholung mittels Fragebögen, Anforderung von Prüfergebnissen oder die Einschaltung von sachverständigen Dritten nachgegangen werden. Auch kann dem mit der Ermöglichung von Vor-Ort-Kontrollen vereinbart und nachgegangen werden.
Prüfung – Inspektion Vor Ort lt. DSGVO Art. 28 Abs. 3 h
- dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.
Die Erfahrungen in der Praxis haben gezeigt, dass die Vor-Ort-Kontrollen vom Verantwortlichen selber eher zu den Ausnahmen gehören. In den meisten Fällen kann und wird ein externer Prüfer beauftragt, was meist ausreichend ist. Mit dem Zusenden der nötigen Dokumente und Zertifikate kommt der Prüfer dieser Aufgabe nach. Es gibt mittlerweile schon große Anbieter, welche hier seitenlange Konzepte vorlegen können.
Was versteckt sich hinter dem Datenschutz-Tätigkeitsbericht?
Wird über das Kontrollrecht gesprochen, geht es auch oft um die Frage, wer Einsicht in den Tätigkeits-Bericht hat, welchen ein Datenschutzbeauftragter erstellt hat. In dem Bericht können aussagekräftige Informationen enthalten sein.
Hier voran bedarf es der Erläuterung, was ist ein Datenschutzbeauftragter und was sind seine Aufgaben: Art 38 und Art 39 DSGVO normieren die Stellung eines Datenschutzbeauftragten und seine Aufgaben.
Datenschutzbeauftragter Aufgaben und Pflichten
Die Tätigkeiten eines Datenschutzbeauftragten sind in Art. 38 & 39 DSGVO ersichtlich. Der DSB hat überwiegend eine Beratungstätigkeit für das Unternehmen. Im Rahmen dieser Tätigkeit stellt er mit Einführung von Rechenschaftswerkzeugen und Prozessen sicher, mit welcher die DSGVO eingehalten wird, und agiert zudem als Vermittler zwischen relevanten Interessenvertretern, welche hier im Rahmen der Auftragsverarbeitung als Verantwortliche somit eingeschlossen sind
Art. 38 Abs. 3 S. 3 hießt es „der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.“, was bedeutet, es wird innerhalb der bestellten Organisation nur der Geschäftsleitung berichtet.
Lesen Sie hierzu ausführlich:
Datenschutzbeauftragter Aufgaben und Pflichten
https://datenschutzbeauftragter-dsgvo.com/datenschutzbeauftragter-aufgaben-und-pflichten/
Datenschutzbeauftragter extern: Kosten sie wirklich so viel?
Wer hat durch den DSB erstellten Tätigkeitsbericht ein Einsicht-Recht
Der Datenschutzbeauftragte (DSB) hat, wie oben definiert, für durch das bestellte Unternehmen eine beratende Tätigkeit. Er nutzt Rechenschaftswerkzeuge und führt Prozesse ein, welche sicherstellen, dass die Datenschutzgrundverordnung eingehalten wird. Damit hat der DSB eine beratende Funktion. Hat der Verantwortliche ein Einsicht-Recht in den durch den DSB erstellten Tätigkeitsbericht?
Im Hinblick der Aufgaben des DSB kann demnach festgehalten werden, dass der Tätigkeitsbericht lediglich im Rahmen der internen Tätigkeiten zu verwenden ist. Zudem hat dieser nur der Managementebene zugänglich zu sein.
Demzufolge ist der Tätigkeitsbericht als ein internes Handling-Instrument anzusehen, welches nach Art. 38 Abs. 3 DSGVO somit auch nicht dem Verantwortlichen zugänglich zu machen.
Die Aufgabe bei der Erstellung des Tätigkeitsberichtes durch den DSB beschränkt sich somit auf die Beratungstätigkeit für die bestellte Organisation (Auftragsverarbeiter). Der Tätigkeitsbericht steht keiner externen Prüfung zum Nachweis der Einhaltung der Pflichten nach Art. 28 DSGVO für den Verantwortlichen zur Verfügung.
Auch steht dieser nicht zur Verfügung, da die Feststellungen des DSB im Tätigkeitsbericht auch sensible Daten und Inhalte beinhalten kann, welche einem Geschäftsgeheimnis unterliegen können und somit nicht an Dritte zu offenbaren sind. Was im Detail als ein Geschäftsgeheimnis gilt, liegt der Definition des Unternehmens selber sowie dem berechtigten Interesse zur Geheimhaltung dieser Informationen voraussetzen.
Die Erstellung des Tätigkeitsberichts ist keine Pflicht, die sich unmittelbar aus der DSGVO für den Datenschutzbeauftragten ergibt. Dies spricht gleichzeitig gegen eine Bereitstellungspflicht.
Rechenschaftspflicht:
Lesen Sie hierzu unseren Folgebeitrag zum Thema, welches wir hier ausführlich erläutern.
DSGVO – Was sagt die DSGVO zur Rechenschaftspflicht?
https://datenschutzbeauftragter-dsgvo.com/dsgvo-was-sagt-die-dsgvo-zur-rechenschaftspflicht/
Fazit
Somit fällt die Herausgabe eines Tätigkeitsberichts nicht unter die Bereitstellungspflicht nach Art. 28 Abs. 3 S.2 lit.h DSGVO. Ist somit auch nicht in den Kontrollrechten enthalten, da hier unter Umständen bei der Erlaubnis der Einsichtnahme das Unternehmen das Geschäftsgeheimnis seitens des Auftragsverarbeiters verletzt werden kann.
Der Auftragsverarbeiter kann jedoch die Daten (eingeschränkt) einer Prüfung bzw. eines Audits zur Verfügung stellen. Somit erfüllt er seine Rechenschaftspflichten und kommt somit dem Beweis einer ordnungsgemäßen Datenverarbeitung nach.
Weitere Beiträge zum Kontrollrecht
DSGVO – Kontrollrechte, Haftung und Inspektionsrecht von Auftragsverarbeiter und Subauftragsverarbeiter
DSGVO – Verantwortlicher und welche Verantwortung
https://datenschutzbeauftragter-dsgvo.com/dsgvo-verantwortlicher-und-welche-verantwortung/
DSGVO – Auftragsdatenverarbeiter – Was Beachten – Richtiger Umgang
https://datenschutzbeauftragter-dsgvo.com/dsgvo-auftragsdatenverarbeiter-beachten-richtiger-umgang/
DSGVO Arbeitnehmerüberlassung zu Leiharbeitern mit Joint Controllership
Hinterlasse einen Kommentar