Tipps & Tricks — 23 Januar 2018

Wie Sie gemeinsam mit Ihren Vertragspartnern auf die Einhaltung der DSGVO hinarbeiten

Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft und sowohl große als auch kleine Unternehmen bereiten sich momentan auf die Umsetzung der neuen Anforderungen vor. Als Weiterentwicklung des bestehenden Datenschutzrechts betrifft die DSGVO auch solche Organisationen, die nicht in der EU ansässig sind und Waren oder Dienstleistungen an betroffene Personen in der EU anbieten oder das Verhalten betroffener Personen in der EU beobachten.

Rechenschaftspflicht

Die DSGVO legt einen besonderen Schwerpunkt auf die Rechenschaftspflicht. Das verlangt von datenverarbeitenden Unternehmen, die Einhaltung der wichtigsten Anforderungen an den Datenschutz nachweisen zu können – von Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz bis hin zur Datenminimierung. Doch die Rechenschaftspflicht beschränkt sich nicht nur auf den Datenfluss innerhalb Ihres eigenen Unternehmens. Da Daten oft an und zwischen Unternehmen, mit denen Sie zusammenarbeiten, übertragen werden (sei es die externe Abwicklung der Gehaltszahlungen oder eine Cloudlösung), stellt das Vertragsverhältnis zu Ihren Vertragspartnern einen entscheidenden Punkt dar, um die Einhaltung der DSGVO gewährleisten zu können.

Gleiche Grundsätze – höhere Anforderungen

Die DSGVO baut auf dem bestehenden Datenschutzrecht auf, was auch die gegenwärtige EU-Datenschutzrichtlinie mit einbezieht. Allerdings sind die Datenschutzregeln der DSGVO  teilweise strenger als die bisherigen Bestimmungen. Das schließt die Auftragsdatenverarbeitung mit ein. Die DSGVO behält viele der Grundsätze der bestehenden Gesetze bei, zum Beispiel die Rollen des Auftraggebers und des Auftragsverarbeiters. Auftraggeber sind dafür verantwortlich, den Zweck und die Mittel der personenbezogenen Datenverarbeitung zu bestimmen. Beim Auftragsverarbeiter handelt es sich um Organisationen, die von einem Auftraggeber damit beauftragt werden, personenbezogene Daten auf seine Anweisung hin zu verarbeiten. Auftragsverarbeiter sind beispielsweise Handelsvertreter oder Lieferanten.

Die DSGVO führt nicht zu einer völlig neuen Beziehung zwischen Ihnen und Ihren Lieferanten. Allerdings legt die DSGVO ein größeres Augenmerk auf die Rolle des Auftragsverarbeiters, da dieser erstmals für die Datenverarbeitung teilweise mitverantwortlich ist.

Die Sicherheit steht im Mittelpunkt

Die DSGVO verlangt von den verantwortlichen Stellen, angemessene Sicherheitsstandards einzuhalten und Auftragsverarbeiter auszuwählen, die technische und organisatorische Sicherheitsmaßnahmen implementiert haben, die den gesetzlichen Anforderungen entsprechen. Diese Sicherheitsmaßnahmen sind strenger ausgestaltet als nach der bisher geltenden Richtlinie. Somit sollten Auftraggeber sehr bedacht bei der Wahl ihrer Auftragsverarbeiter sein und Partner finden, die ihre DSGVO-Compliance unterstützen. In manchen Fällen können Ihre Lieferanten Ihrem Unternehmen bei der Vorbereitung auf die DSGVO helfen, da sie gegebenenfalls bereits Tools nutzen, die auch Ihnen bei der Einhaltung der Regelungen der DSGVO helfen können. Die DSGVO wird einen großen Einfluss auf alle Aspekte der Zusammenarbeit im Bereich der Datenverarbeitung haben. Das fängt bereits an, wenn Sie einen Auftragsverarbeiter auswählen, betrifft die Inhalte, die Sie in den Vertrag mit dem Auftragsverarbeiter aufnehmen müssen, und bestimmt weiterhin, wie mit den Daten am Ende der Zusammenarbeit verfahren wird.

Checkliste für Lieferanten

Die DSGVO gibt einige spezifische Verpflichtungen vor, von deren Einhaltung durch Ihren Auftragsverarbeiter Sie sich versichern sollten. Das beinhaltet die sorgfältige Dokumentation aller Verarbeitungstätigkeiten (Artikel 30), die Zusammenarbeit mit den nationalen Aufsichtsbehörden (Artikel 31), die Gewährleistung eines dem Risiko angemessenen Schutzniveaus (Artikel 32), die Durchführung von Datenschutz-Folgenabschätzungen (Artikel 35), die Ernennung eines Datenschutzbeauftragten (Artikel 37) und die Einhaltung der Bestimmungen, die den internationalen Datentransfer betreffen (Kapitel V). Weitere Pflichten, die sich aus Artikel 28 ergeben, erfordern unter anderem eine schriftliche Vereinbarung zur Auftragsverarbeitung, die zwischen Ihnen und Ihrem Vertragspartner geschlossen werden muss.

Prüfung der Zulieferkette

Bei der Evaluierung der Geschäftsbeziehung zwischen Verantwortlichem und Auftragsverarbeiter müssen zwei Schritte unternommen werden. Erstens muss die Zulieferkette geprüft werden, um zu bestimmen, ob die Einhaltung der DSGVO gegenwärtig gewährleistet ist. Zweitens müssen in vielen Fällen die Verträge dahingehend überprüft werden, ob sie den Anforderungen der DSGVO entsprechen. Unternehmen sollten bereits jetzt handeln, um sicherzustellen, dass sämtliche Vereinbarungen mit Ihren Geschäftspartnern, die auch nach dem 25. Mai 2018 noch Gültigkeit besitzen werden, den neuen Anforderungen entsprechen. Das betrifft sowohl Verträge, die mit neu ausgewählten Lieferanten geschlossen werden, als auch bereits existierende Vereinbarungen. Bei letzteren sollte ausreichend Zeit für den Fall eingeplant werden, dass die Verträge neu verhandelt werden müssen.

Weiterführende Compliance

Natürlich steht und fällt die Einhaltung der Regelungen der DSGVO in Ihrem Unternehmen nicht nur mit Ihren Vertragspartnern. Sie sollten sich auch darüber Gedanken machen, wie Daten innerhalb Ihres Unternehmens weitergegeben und geschützt werden. Die erfolgreiche Zusammenarbeit mit Ihrem jeweiligen Vertragspartner ist aber eine wichtige Voraussetzung, wenn Sie die Anforderungen der DSGVO erfolgreich umsetzen möchten.

Dyann Heward-Mills ist Leiterin der Praxisgruppe für Datenschutz und Cybersecurity im Londoner Büro von Baker McKenzie.

Hinweis: Gelegentlich schreiben wir hier über zukünftige Produktfeatures, bevor diese allgemein verfügbar sind.
Letztendlich können Veröffentlichungen und die genaue Funktionsweise dieser Features vom Inhalt in diesem Blog abweichen.
Die Entscheidung, unsere Produkte zu kaufen, sollte aufgrund von heute zur Verfügung stehenden Produktfeatures fallen.

Im Smart Workspace arbeiten Teams produktiv und fokussiert

30 Tage kostenlos testen