Deutsche Datenschutzbehörden: Neue Checkliste zur Prüfung von Auftragsverarbeitungsverträgen
Im Rahmen einer koordinierten Prüfung von Auftragsverarbeitungsverträgen von Webhostern haben mehrere deutsche Aufsichtsbehörden eine Checkliste zur Prüfung von Auftragsverarbeitungsverträgen abgestimmt und veröffentlicht.
An der koordinierten Prüfung beteiligten sich die Datenschutzbehörden aus Berlin, Niedersachsen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und die Datenschutzbehörde für den nicht-öffentlichen Bereich in Bayern.
In ihrer Checkliste formulieren die deutschen Aufsichtsbehörden erstmals einen gemeinsamen Standard zur Prüfung von Auftragsverarbeitungsverträgen. Dabei geben die Aufsichtsbehörden auch konkrete Hinweise dazu, wann die gesetzlichen Regelungsvorgaben für Auftragsverarbeitungsverträge aus Sicht der Aufsichtsbehörden erfüllt sind - oder nicht.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) weist in ihrer Pressemitteilung zur koordinierten Prüfung darauf hin, dass die Checkliste nicht nur für Webhosting, sondern als Standard auch für die Prüfung von Auftragsverarbeitungsverträgen in anderen Bereichen angewendet werden kann. Aufsichtsbehörden könnten im Fall nicht ordnungsgemäßer Auftragsverarbeitungsverträge hohe Bußgelder sowohl gegen Unternehmen als Verantwortliche als auch gegen Dienstleister als Auftragsverarbeiter verhängen.
Wenngleich die in der Checkliste formulierten strengen Anforderungen teils weit über den Wortlaut der maßgeblichen gesetzlichen Mindestregelungsvorgaben für Auftragsverarbeitungsverträge hinausgehen, ist davon auszugehen, dass deutsche Aufsichtsbehörden Auftragsverarbeitungsverträge künftig an diesem strikten Maßstab bewerten werden. Bei Abweichungen drohen aufsichtsbehördliche Maßnahmen, insbesondere Untersagungen und ggf. Bußgelder.
Um das Risiko aufsichtsbehördlicher Maßnahmen und Sanktionen zu minimieren, empfehlen wir allen Unternehmen, die behördliche Checkliste bei der Prüfung von Auftragsverarbeitungsverträgen mit zu berücksichtigen. Im Unternehmen bereits vorhandene Checklisten für Auftragsverarbeitungsverträge sollten rasch einer Revision unterzogen werden. Auch bereits abgeschlossene Auftragsverarbeitungsverträge sollten unverzüglich überprüft werden, um ggf. auf erforderliche vertragliche Anpassungen hinzuwirken. Dienstleistern empfehlen wir zur Minimierung von Compliance-Risiken außerdem dringend, Ihre Musterverträge für Auftragsverarbeitung zu überprüfen und ggf. anzupassen.