INFORMATIONEN

DSGVO und Vergabe von Unteraufträgen: Was sind die Verpflichtungen?

Der Hauptzweck der DSGVO, die seit vielen Monaten in Kraft ist, besteht darin, die verschiedenen Datenströme und die Art und Weise, wie sie verarbeitet und von einer Struktur in eine andere übertragen werden, genau zu beschreiben.

Die Mehrheit der Unternehmen ist daher auf der einen oder anderen Ebene betroffen. Jede Datenbank muss so verarbeitet werden, dass sie den Anforderungen der allgemeinen Datenschutzverordnung entspricht.

Die größte Herausforderung bei der Sicherstellung der Durchsetzung liegt in der regelmäßigen Vergabe von Unteraufträgen und damit in der Verbreitung von personenbezogenen Daten. Wie können Sie also Outsourcing und die Einhaltung der DSGVO miteinander verbinden?

Was ist ein Subunternehmer?

Im Rahmen der Umsetzung der DSGVO gilt jede Struktur, die personenbezogene Daten im Namen, im Auftrag und unter der Autorität des für die Verarbeitung Verantwortlichen verarbeitet, als Unterauftragnehmer.

Wenn ein Unternehmen solche personenbezogenen Daten ganz oder teilweise im Auftrag eines oder mehrerer Kunden verwaltet, speichert und bearbeitet, wird es als Unterauftragnehmer betrachtet.

Ohne Anspruch auf Vollständigkeit bezieht sich diese Definition auf die meisten Anbieter von IT- und digitalen Diensten, auf Kommunikationsfirmen, Personalunternehmen und Marketingdienste sowie auf öffentliche Einrichtungen oder Organisationen, die personenbezogene Daten im Auftrag anderer Unternehmen verarbeiten.

Beachten Sie, dass der Unterauftragnehmer und der für die Verarbeitung Verantwortliche zwei sehr unterschiedliche Einheiten im Sinne der Verarbeitung personenbezogener Daten sind. Die DSGVO definiert den für die Verarbeitung Verantwortlichen als die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet“.

Auf Antrag und im Namen des für die Verarbeitung verantwortlichen Rahmens wird der Unterauftragnehmer als die natürliche oder juristische Person identifiziert, die für die Verarbeitung dieses Datenflusses verantwortlich ist.

Es ist auch möglich, dass die Organisation je nach den gehandhabten Daten sowohl ein Unterauftragnehmer als auch ein für die Datenverarbeitung Verantwortlicher ist. Die einzige Möglichkeit, dies klarer zu sehen, besteht darin, die personenbezogenen Daten zu finden, die eine Organisation durchlaufen, und ihren genauen Weg zu verfolgen.

Pflichten der Unterauftragnehmer im Rahmen der DSGVO

Während der für die Datenverarbeitung Verantwortliche nach wie vor an vorderster Front steht, wenn es um den Umgang mit personenbezogenen Daten und deren Verwaltung geht, hat die Datenschutz-Grundverordnung die Rolle des Auftragsverarbeiters ausgeweitet, der in Bezug auf seine Pflichten ebenfalls nicht außen vor gelassen wird.

Obligatorische Rückverfolgbarkeit und Transparenz

Der Weg der personenbezogenen Daten zwischen dem für die Datenverarbeitung Verantwortlichen und den Unterauftragnehmern sowie die Änderungen, die letztere im Rahmen ihrer Unterauftragsvergabe erfahren, müssen erkennbar sein. Folglich müssen die beiden Parteien ihre jeweiligen Pflichten und den allgemeinen Umfang der ihnen obliegenden Aufgaben vertraglich festlegen, sofern sie dies noch nicht getan haben.

Der Unterauftragnehmer soll ein Dokument vorlegen, in dem die Maßnahmen aufgeführt sind, die er in Bezug auf die von seinem Kunden übermittelten oder von ihm bearbeiteten personenbezogenen Daten ergreifen kann.

Ersucht der Unterauftragnehmer den Unterauftragnehmer auch um die Weiterverarbeitung solcher von der Kundenstruktur übermittelten personenbezogenen Daten, muss er zuvor die ausdrückliche Zustimmung des Kunden einholen.

Jeder Wechsel des Unterauftragnehmers, der zu einer Änderung des Datenflusses führt, muss entweder Gegenstand einer Informationsmitteilung oder einer neuen Vereinbarung mit dem Kunden unter Einhaltung der ursprünglichen Vertragsbedingungen sein.

In diesem Punkt ist die Datenschutz-Grundverordnung besonders klar: „Der Auftragsverarbeiter darf keinen anderen Auftragsverarbeiter ohne die vorherige ausdrückliche oder allgemeine schriftliche Genehmigung des für die Verarbeitung Verantwortlichen beschäftigen.

Im Falle einer schriftlichen Allgemeingenehmigung teilt der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen alle vorgeschlagenen Änderungen in Bezug auf die Hinzufügung oder Ersetzung anderer Auftragsverarbeiter mit und gibt dem für die Verarbeitung Verantwortlichen die Möglichkeit, Einwände gegen diese Änderungen zu erheben.“

Die Notwendigkeit, die grundlegenden Konzepte der Datensicherheit zu berücksichtigen

Schon im Vorfeld müssen alle Werkzeuge und Dienste von Unterauftragnehmern die Vorgaben der Datenschutz-Grundverordnung berücksichtigen, um sie im Hinblick auf die Sicherheit personenbezogener Daten einzuhalten.

Der Unterauftragnehmer muss außerdem sicherstellen können, dass nur die Daten gespeichert und verarbeitet werden, die für den ihm übertragenen Auftrag relevant sind, und dass diese nur von Personen ausgeführt werden, die dazu berechtigt sind.

Verantwortung für die Achtung und den Schutz der verarbeiteten personenbezogenen Daten

Der Unterauftragnehmer muss die Auftraggeberstruktur davon überzeugen, dass die ihm anvertrauten Daten wirklich sicher sind. Das gesamte Personal, das mit solchen personenbezogenen Daten umgeht, unterliegt außerdem einer Vertraulichkeitsvereinbarung über diese Informationen.

Nach dem Betrieb muss der Unterauftragnehmer diese Daten auf Wunsch seines Auftraggebers ausliefern oder löschen, es sei denn, er ist aufgrund einer gesetzlichen Verpflichtung zur Aufbewahrung dieser Daten verpflichtet.

Verantwortung für Warnung, Unterstützung und Beratung

Bei der Kontrolle der Verarbeitung personenbezogener Daten im Auftrag des für die Verarbeitung Verantwortlichen (seines Kunden) muss der Unterauftragnehmer in der Lage sein, den für die Verarbeitung Verantwortlichen zu unterstützen und ihn hinsichtlich der ordnungsgemäßen Verwendung der verarbeiteten Informationen zu beraten.

Der Unterauftragnehmer wiederum muss den Kunden warnen, wenn eine Gefahr für die Daten selbst oder deren Verarbeitung besteht. Der Unterauftragsrahmen ist also verpflichtet, die Kundenstruktur zu warnen, wenn eine seiner Forderungen gegen eine der Vorschriften der DSGVO verstößt.

Schließlich sollte der Unterauftragnehmer auch gewährleisten, dass sein Auftraggeber, der für die Verarbeitung personenbezogener Daten verantwortlich ist, auf Anfragen von Personen reagieren kann, die ihre Rechte auf Zugang, Änderung, Übertragbarkeit oder Löschung wahrnehmen möchten. Schließlich muss der Unterauftragnehmer im Falle einer Verletzung der Vertraulichkeit auch den Auftraggeber informieren.

Datenschutz im EWR

Mit Ausnahme der Schweiz ist der Europäische Wirtschaftsraum (EWR) ein Zusammenschluss der Staaten der Europäischen Union (EU) und der Europäischen Freihandelsassoziation (EFTA). Der EWR hat

mehr »

Was ist der Grundsatz der Rechenschaftspflicht?

Um den Schutz der Privatsphäre der Nutzer zu gewährleisten, wurden die Akteure mit dem Inkrafttreten der Datenschutz-Grundverordnung verpflichtet. um solche Sicherheitsmaßnahmen zu ergreifen. Um sicherzustellen,

mehr »