Überprüfung durch Datenverarbeiter durch Dritte

What Is Überprüfung durch Datenverarbeiter durch Dritte?

Die Überprüfung von Datenverarbeitern durch Dritte ist der Due-Diligence-Prozess, der in Artikel 28 der DSGVO vorgeschrieben ist. Dieser schreibt vor, dass Verantwortliche nur Auftragsverarbeiter einsetzen, die „ausreichende Garantien“ für geeignete technische und organisatorische Maßnahmen zum Datenschutz bieten. Sie haften direkt für Compliance-Verstöße Ihrer Auftragsverarbeiter, daher ist eine Überprüfung keine Formsache. In dieser Übung wird die Bewertung eines SaaS-Anbieters simuliert, den Ihr Unternehmen mit der Verarbeitung von Kundendaten beauftragen möchte. Sie überprüfen deren Sicherheitszertifizierungen, Datenverarbeitungspraktiken, Unterauftragsverarbeitervereinbarungen und Verfahren zur Meldung von Datenschutzverletzungen. Das Szenario umfasst eine realistische Datenverarbeitungsvereinbarung (DPA) mit Klauseln, die Sie bewerten müssen, darunter einige, die nicht den DSGVO-Anforderungen entsprechen. Sie identifizieren Lücken wie fehlende Meldepflichten für Unterauftragsverarbeiter, vage Verpflichtungen zur Datenlöschung und unzureichende Prüfrechte. Die Übung befasst sich auch mit der Frage internationaler Datenübermittlungen: Wenn Ihr Auftragsverarbeiter eine Infrastruktur außerhalb des EWR nutzt, müssen Sie überprüfen, ob angemessene Schutzmaßnahmen gemäß Kapitel V vorhanden sind. Beispiele aus der Praxis verdeutlichen, was auf dem Spiel steht. Aufsichtsbehörden haben Verantwortliche für Versäumnisse von Auftragsverarbeitern verantwortlich gemacht, auch in Fällen, in denen der Auftragsverarbeiter eine Datenschutzverletzung erlitten hat, den der Verantwortliche durch eine bessere Sorgfaltspflicht hätte verhindern können. Sie erstellen einen Bewertungsrahmen für die Lieferantenbewertung, den Ihr Beschaffungsteam wiederverwenden kann, und verwandeln so eine einmalige Compliance-Übung in eine wiederholbare organisatorische Fähigkeit.

What You'll Learn in Überprüfung durch Datenverarbeiter durch Dritte

• Beurteilen Sie durch dokumentierte Beweisprüfung, ob ein Auftragsverarbeiter ausreichende Garantien gemäß Artikel 28 DSGVO bietet
• Überprüfen Sie die Datenverarbeitungsvereinbarungen auf erforderliche Klauseln, einschließlich Kontrollen für Unterauftragsverarbeiter, Prüfungsrechte und Löschpflichten
• Bewerten Sie die internationalen Datenübertragungsmechanismen eines Anbieters, wenn sich die Infrastruktur über den EWR hinaus erstreckt
• Identifizieren Sie häufige DPA-Mängel, die zu Compliance-Lücken führen, und verhandeln Sie Korrekturen vor der Unterzeichnung
• Erstellen Sie ein wiederverwendbares Rahmenwerk zur Lieferantenbewertung, das die DSGVO-Due-Diligence in die Beschaffungsabläufe integriert

Überprüfung durch Datenverarbeiter durch Dritte — Training Steps

1. Einführung

   Heute hat das Marketingteam eine Anfrage zur Einbindung eines neuen E-Mail-Analyseanbieters namens DataPulse Analytics eingereicht. Bevor ein Vertrag unterzeichnet werden kann, müssen Sie die Datenverarbeitungsvereinbarung (DPA) auf Einhaltung der DSGVO überprüfen.

2. Verstehen Sie Ihre Verantwortung

   Gemäß Artikel 28 der DSGVO sind Organisationen, die Drittverarbeiter einsetzen, dafür verantwortlich, sicherzustellen, dass diese Verarbeiter personenbezogene Daten korrekt verarbeiten. Das bedeutet: Eine schriftliche Datenverarbeitungsvereinbarung ist gesetzlich erforderlich. Die DPA muss bestimmte verbindliche Klauseln enthalten. Sie haften, wenn Ihr Auftragsverarbeiter gegen die DSGVO verstößt. Eine sorgfältige Prüfung muss VOR der Unterzeichnung eines Vertrags erfolgen. Ihre Aufgabe ist es, TechForward vor Compliance-Risiken zu schützen, indem Sie Probleme erkennen, bevor sie zu rechtlichen Verpflichtungen werden.

3. Zugriff auf das Beschaffungsportal

   Sie erhalten eine Benachrichtigung, dass eine neue Lieferantenanfrage zur Prüfung ansteht. Das Marketingteam freut sich darauf, DataPulse Analytics für die Kampagnenverfolgung im ersten Quartal zu nutzen. Melden wir uns beim Beschaffungsportal an, um die Anfrage und die vom Anbieter vorgeschlagene DPA zu prüfen.

4. Überprüfung der Lieferantenanfrage

   Sie sehen die ausstehende Anfrage des Marketingteams. DataPulse Analytics bietet E-Mail-Kampagnenanalysen – Verfolgung von Öffnungsraten, Klickraten und Abonnentenengagement. Das bedeutet, dass sie personenbezogene Daten einschließlich E-Mail-Adressen, Verhaltensdaten und möglicherweise Geräteinformationen von TechForward-Kunden verarbeiten. Der Anbieter hat seine Standard-DPA beigefügt. Lassen Sie es uns sorgfältig prüfen.

5. Erstes Warnsignal – vage Sicherheitsmaßnahmen

   Wenn Sie die DPA lesen, fällt Ihnen sofort das erste Problem auf. Im Abschnitt „Sicherheitsmaßnahmen“ heißt es in der Vereinbarung lediglich: „DataPulse Analytics unterhält branchenübliche Sicherheitsmaßnahmen zum Schutz personenbezogener Daten.“ Das ist viel zu vage. Artikel 32 der DSGVO erfordert konkrete, angemessene technische und organisatorische Maßnahmen – keine allgemeinen Versprechen.

6. Zweites Warnsignal: Keine Unterauftragsverarbeiterklausel

   Wenn Sie Ihre Überprüfung fortsetzen, suchen Sie nach den Bestimmungen zum Unterauftragsverarbeiter. Dies ist von entscheidender Bedeutung, da DataPulse wahrscheinlich Cloud-Infrastrukturanbieter, E-Mail-Zustelldienste oder andere Anbieter für den Betrieb seiner Plattform nutzt. Sie finden... nichts. Die Datenschutzbehörde erwähnt überhaupt keine Unterauftragsverarbeiter. Gemäß der DSGVO müssen Auftragsverarbeiter eine Genehmigung einholen, bevor sie Unterauftragsverarbeiter beauftragen, und alle Unterauftragsverarbeiter müssen denselben Datenschutzverpflichtungen unterliegen.

7. Drittes Warnsignal: Keine Prüfungsrechte

   Sie suchen nach Audit- und Inspektionsbestimmungen – ein weiteres obligatorisches Element gemäß Artikel 28. Als Datenverantwortlicher hat TechForward das Recht zu überprüfen, ob Auftragsverarbeiter ihren Verpflichtungen tatsächlich nachkommen. Das DPA sieht keinerlei Prüfungsbestimmungen vor. Ohne Prüfungsrechte haben Sie keine Möglichkeit, die Compliance-Ansprüche von DataPulse zu überprüfen. Sie würden ihnen blind vertrauen.

8. Viertes Warnsignal – Internationale Transferprobleme

   Die Datenschutzbehörde erwähnt, dass die Daten auf Servern in den Vereinigten Staaten verarbeitet werden. Es gibt jedoch keine Erwähnung von Standardvertragsklauseln (SCCs), Angemessenheitsbeschlüssen oder anderen Übertragungsmechanismen. Die Übermittlung personenbezogener Daten außerhalb des EWR erfordert besondere rechtliche Garantien. Ohne sie wäre diese Übertragung gemäß Kapitel V der DSGVO rechtswidrig.

9. Fünftes Warnsignal: Kein Zeitplan für die Datenlöschung

   Abschließend prüfen Sie, was mit den Daten von TechForward passiert, wenn der Vertrag endet. Die Datenschutzbehörde erklärt: „Nach der Kündigung löscht DataPulse Analytics die Daten auf Wunsch des Verantwortlichen oder gibt sie zurück.“ Das klingt zunächst vernünftig, es gibt jedoch keinen festgelegten Zeitplan. Ohne eine Frist könnten die Daten auf unbestimmte Zeit auf ihren Systemen verbleiben. Die DSGVO verlangt, dass Daten nach Beendigung der Verarbeitung unverzüglich gelöscht oder zurückgegeben werden.

10. Dokumentieren Sie Ihre Beurteilung

    Sie haben fünf kritische Probleme mit der DPA von DataPulse identifiziert: 1. Vage Sicherheitsmaßnahmen (keine spezifischen technischen Kontrollen) 2. Keine Benachrichtigungs- oder Autorisierungsanforderungen für Unterauftragsverarbeiter 3. Keine Audit- oder Inspektionsrechte für TechForward 4. Internationale Überweisungen ohne Standardvertragsklauseln oder Schutzmaßnahmen 5. Keine Frist für die Datenlöschung nach Vertragsende Nun müssen Sie diese Erkenntnisse im Lieferantenbewertungsformular dokumentieren und die erforderlichen Änderungen festlegen, bevor der Vertrag abgeschlossen werden kann.