hat Ihr Unternehmen/Ihre öffentliche Einrichtung Dienstleister (z.B. Cloudanbieter) verpflichtet, die als sogenannte Auftragsverarbeiter gemäß Artikel 28 DSGVO personenbezogenen Daten verarbeiten, sind Sie als Verantwortlicher verpflichtet, eine initiale Prüfung des Auftragsverarbeiters sowie regelmäßige Kontrollen/Überprüfungen durchzuführen.
Regelmäßige Kontrollen/Überprüfungen sollen zeitnah mögliche Schwachstellen beim Auftragsverarbeiter insbesondere bei der IT-Sicherheit erkennen, um Verstöße gegen die gesetzlichen Regelungen zu vermeiden.
Häufig setzen Auftragsverarbeiter weitere Unterauftragnehmer ein, wodurch die Datenflüsse für Sie als Auftraggeber schnell unübersichtlich werden können.
Der Auftragsverarbeiter muss den Auftraggeber vor Hinzuziehung eines neuen Unterauftragnehmers beziehungsweise beim Wechsel eines Unterauftragnehmers vorab um Genehmigung fragen oder zumindest eine Widerspruchsmöglichkeit einräumen – je nach Vereinbarung im Auftragsverarbeitungsvertrag. Ob dies auch zuverlässig erfolgt, sollte im Zuge einer Kontrolle hinterfragt werden.
Nachfolgend stellen wir Ihnen einen Mustertext zur Verfügung, welchen Sie an Ihre eingesetzten Auftragsverarbeiter senden können.
Kontrolle der Verträge zur Verarbeitung von Daten im Auftrag gemäß Art. 28 DSGVO
Sehr geehrte Damen und Herren,
Sie agieren als Auftragsverarbeiter für unser Unternehmen/unsere öffentliche Einrichtung und verarbeiten somit personenbezogene Daten. Entsprechend unserer vertraglichen Vereinbarungen obliegt es Ihnen hinreichende Garantien dafür zu bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der EU-Datenschutzgrundverordnung erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet ist.
Im Rahmen unserer regelmäßigen Kontrollhandlungen bitten wir Sie, uns die folgenden Informationen zukommen zu lassen:
- aktuelle Liste der Subauftragnehmer,
- Mitteilung über Änderungen der Verarbeitung bzw. eine Übersicht zu den derzeitigen technisch- organisatorischen Maßnahmen als auch
ein aktuelles Testat, Bericht oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren etc.) zur Wahrung der Vorgaben der DS-GVO bzw. datenschutzrechtlicher Bestimmungen - Mitteilung, ob es im Zusammenhang mit der Verarbeitung personenbezogener Daten unseres Unternehmens/unserer Einrichtung meldepflichtige Verletzungen des Schutzes personenbezogenerer Daten gab.
Sofern es hinsichtlich der vorstehenden Punkte keine Neuerungen geben sollte, bitten wir Sie ebenfalls, um die Übermittlung einer entsprechenden Negativauskunft.
Für den Eingang Ihrer Rückmeldung haben wir uns den 28.02.2023 vorgemerkt.
Sollten Rückfragen und/oder Unklarheiten bestehen, stehen wir für Fragen gern zur Verfügung.
Vielen Dank im Voraus.
Mit freundlichen Grüßen