EU-Datenschutz-Aufsichtsbehörden: Prüfpflichten von Auftragsverarbeitern und deren Subunternehmern

Beschreibung

Das Video behandelt die aus Art. 28 DSGVO resultierenden Pflichten des Verantwortlichen bei der Zusammenarbeit mit Auftragsverarbeitern (AV) und deren Subunternehmern, basierend auf einer Stellungnahme des Europäischen Datenschutzausschusses (EDSA). Der Verantwortliche bleibt für die gesamte Kette der Datenverarbeitung verantwortlich.

Zentrale Pflichten und Anforderungen des EDSA:

Prüfung der Technischen und Organisatorischen Maßnahmen (TOMs): Der Verantwortliche muss die TOMs nicht nur beim direkten Auftragsverarbeiter, sondern auch bei dessen gesamten Subunternehmerkette prüfen und sicherstellen, dass ein Mindestmaß an Schutzmaßnahmen eingehalten wird.

Drittlandtransfers: Auch bei Datenübermittlungen in Drittländer durch Subunternehmer muss die Einhaltung der vertraglich zugesicherten und DSGVO-konformen technischen und organisatorischen Standards gewährleistet sein.

Audit- und Prüfrechte: Der Verantwortliche hat das Recht, den Auftragsverarbeiter und seine Subunternehmer auf die Einhaltung der vertraglichen Standards zu überprüfen. Der Prüfumfang kann sich nach dem Risiko orientieren (z.B. Vor-Ort-Audit bei hohem Risiko).

Sicherstellung des Datenschutzniveaus: Das Datenschutzniveau muss in der gesamten Verarbeitungskette über alle Sub- und Sub-Subunternehmer hinweg sichergestellt werden. In der Praxis wird hier oft auf ISMS-Zertifizierungen (Informationssicherheits-Managementsystem) zurückgegriffen.

Transparenz der Kette: Der Verantwortliche benötigt volle Transparenz darüber, welche Subunternehmer vom Dienstleister eingesetzt werden. Die gesamte Verarbeitungskette muss bekannt sein.

Einsatz von Subunternehmern: Subunternehmer müssen entweder einzeln und individuell vom Verantwortlichen freigegeben werden, oder der Verantwortliche muss bei einer generellen Freigabe jederzeit die Information erhalten können, welche Dienstleister zum Einsatz kommen.

Zusammenfassend betonen die Aufsichtsbehörden, dass Verantwortliche umfangreiche Pflichten tragen und transparente Prozesse sowie eine lückenlose Dokumentation unerlässlich sind, um die Anforderungen des EDSA und die Rechte der Betroffenen zu wahren.