Eine unserer Standardaufgaben im Datenschutzteam ist es, Kunden bei der Auswahl und Einführung neuer Dienste zu unterstützen,
die personenbezogene Daten verarbeiten. Die Hinzuziehung eines Datenschutzberaters in diesen Auswahlprozess macht hier absolut Sinn. Was man nicht vergessen darf, ist, dass Organisationen für alle Datenverarbeitungen, die im neuen Dienst erfolgen, in der Verantwortung bleiben. Meist liegen diese Datenverarbeitungen dabei nicht mehr inhouse, der Anwendungsbereich erweitert sich zusätzlich auf externe Umgebungen. Je sensibler die Daten sind, die dabei verarbeitet werden, desto wichtiger ist die Zuverlässigkeit des Dienstleisters und damit auch die Prüfpflicht.
Rechtliche Grundlage einer Prüfpflicht
Die Pflicht zur sorgfältigen Auswahl eines Dienstes ergibt sich nicht direkt aus einem Artikel der DSGVO, sondern lässt sich u.a. aus der Rechenschaftspflicht Art.5, der Verantwortlichkeit Art.24 und der sorgfältigen Auswahl von Auftragsverarbeitern Art.28 ableiten.
Im Alltag läuft es meist so: Ein Fachbereich stellt in einem Meeting eine neue Lösung vor. Sie wirkt durchdacht, passt zum Bedarf, vielleicht sogar besser als das, was bisher im Einsatz ist. Und irgendwo im Gespräch fällt dann auch dieser eine Satz, der vermeintlich alles klärt: "Ist DSGVO-konform - steht so auf der Webseite."
Aber erst die Einordnung durch einen Datenschutzberater zeigt, was dieses Statement wirklich wert ist. Denn für unsere Zunft hat ein solches Werbeversprechen zunächst nur begrenzen Wert. Nicht zuletzt, weil es sich oft auch bei Anbietern findet, deren Datenschutzniveau bei näherem Hinsehen zumindest Zweifel aufkommen lässt.
Vom Versprechen zur Faktenprüfung
Entscheidend ist, den Verarbeitungsvorgang wirklich zu verstehen und alle notwendigen Informationen transparent zu dokumentieren. Um welchen Dienstleister handelt es sich? Wo sitzt das Unternehmen? Gibt es definierte Ansprechpartner und sind interne Fachverantwortliche benannt? Gibt es markante Informationen oder Bewertungen die zielführende Informationen für die Einschätzungen liefern? Auf Basis dieser Informationen kann bereits eine Hintergrundrecherche durchgeführt werden.
Oft zeigt sich genau hier, ob hinter einem Versprechen Substanz steckt oder ob es bei einer guten Formulierung bleibt.
Sobald ein Dienst personenbezogene Daten verarbeitet, führt in der Regel kein Weg am Vertrag für Auftragsverarbeitung vorbei. Und genau hier zeigt sich schnell, wie ernst es ein Anbieter wirklich meint. Aus unserer Sicht ist es entscheidend, den Vertrag auf seine wesentlichen Inhalte hin zu prüfen.
Worauf es in der Praxis ankommt:
- Gibt es einen klar benannten Datenschutzansprechpartner?
- Ist geregelt, wie und wann Datenschutzverletzungen gemeldet werden?
- Unterstützt der Anbieter aktiv bei Betroffenenanfragen?
- Sind Verschwiegenheitspflichten sauber festgelegt?
- Werden technische und organisatorische Maßnahmen konkret beschrieben - idealerweise mit Nachweisen oder Zertifikaten?
- Sind Kontroll- und Prüfrechte realistisch umsetzbar?
Liegen nicht alle Informationen vor oder sind die Aussagen nicht konkret, lohnt es sich nachzuhaken. Es können gezielt Nachfragen an den Dienstleister gestellt oder Nachweise eingefordert werden. Die Reaktionszeit und Qualität der Antworten lassen schon eine indirekte Einschätzung zu. Die Art, wie ein Anbieter auf solche Fragen reagiert, sagt oft mehr als jedes Dokument. Wenn man beispielsweise längere Zeit auf eine Antwort warten muss, in welchem Rechenzentrum die Daten verarbeitet werden, ist dies nicht vertrauensfördernd.