05.11.2018
EU-Datenschutz-Grundverordnung
Kostenfalle bei Auftragsverarbeitungen
Autor: Nils Müller
Yuriy Vlasenko / shutterstock.com
Die DSGVO verändert das Verhältnis von Unternehmen und Dienstleister. Der Einsatz von sogenannten Auftragsverarbeitern ist dabei strengstens geregelt. Dennoch gibt es einiges zu beachten.
Wenn Unternehmen als Verantwortliche personenbezogene Daten erheben und verarbeiten, werden oft externe Dienstleister (vor allem im Business-Process-Outsourcing) eingesetzt. Die Dienstleister sind in der Regel als Auftragsverarbeiter im Sinne der DSGVO einzuordnen - sodass ein Auftragsverarbeitungsvertrag (AVV) gemäß Artikel 28 DSGVO abzuschließen ist. Nun ist nach Inkrafttreten der DSGVO der Trend zu beobachten, dem Verantwortlichen im Rahmen des AVV Zusatzkosten aufzuerlegen. Vorsicht ist daher geboten, wenn der Dienstleister seinen Muster-AVV zur Verfügung stellt.
Die Ausgangslage
Der Einsatz eines Auftragsverarbeiters ist in der DSGVO streng geregelt. Zum einen hat die Auftragsverarbeitung auf Grundlage eines Vertrages zu erfolgen. Zum anderen hat der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung von Datenschutzbestimmungen zu unterstützen. Artikel 28 DSGVO räumt dem Verantwortlichen etwa die Möglichkeit ein, Audits vor Ort beim Auftragsverarbeiter vorzunehmen.
Die Kosten solcher Audits werden dem Verantwortlichen oft in voller Höhe übertragen. Auch weitere Unterstützungsleistungen wie Auskunfts- und Löschgesuche von betroffenen Personen werden von zusätzlichen Kostenübernahmen abhängig gemacht. Die gesetzlich vorgesehene, zwingend zu
regelnde Unterstützungspflicht wird so von einer oft nicht unwesentlichen Gegenleistung abgängig gemacht.
regelnde Unterstützungspflicht wird so von einer oft nicht unwesentlichen Gegenleistung abgängig gemacht.
Was ist nun zu tun?
Diese Problematik hat der bayerische Landesbeauftragte für den Datenschutz in einem Kurzpapier aufgegriffen. Darin stellt er fest, dass der Verantwortliche auch bei Einsatz eines Auftragsverarbeiters weiterhin vollumfänglich die Einhaltung von Datenschutzbestimmungen zu gewährleisten hat. Dies wird jedoch durch die beschriebene gesonderte Entgeltpflicht für Unterstützungsleistungen des Auftragsverarbeiters behindert. So ein Zusatzentgelt läuft dem Gesetzeszweck der DSGVO entgegen und ist somit als unzulässig zu erachten. Die bayerische Behörde empfiehlt, dass sich Verantwortliche in der Aushandlung der Auftragsverarbeitung nicht zur Zahlung eines Sonderentgelts für Unterstützungsleistungen des Auftragsverarbeiters verpflichten.
Verantwortliche sollten daher davon absehen, zwecks Kostenersparnis auf Unterstützungsleistungen des Auftragsverarbeiters zu verzichten und so die DSGVO-Compliance zu vernachlässigen.
Huawei Roadshow 2024
Technologie auf Rädern - der Show-Truck von Huawei ist unterwegs
Die Huawei Europe Enterprise Roadshow läuft dieses Jahr unter dem Thema "Digital & Green: Accelerate Industrial Intelligence". Im Show-Truck zeigt das Unternehmen neueste Produkte und Lösungen. Ziel ist es, Kunden und Partner zusammenzubringen.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>
Roadmap
Estos bringt neue Services und Produkte
Der Software-Hersteller feilt an seinem Partnerprogramm, hat Schlüsselpositionen neu besetzt und kündigt eine ganze Reihe neuer Produkte und Services an. Das ist die Estos-Roadmap bis Ende des Jahres.
>>