Liebe Leser und Datenschutz-Interessierte,
wir möchten Sie heute über wichtiges Thema informieren, dessen Bedeutung in der Unternehmenspraxis leider nach wie vor unterschätzt wird. Wie das IT-Journal „Golem“ berichtete, hat ein dänischer Cloudanbieter durch einen Hackerangriff einen Großteil der Daten seiner Kunden, die auf seinen Servern gespeichert waren, verloren (Horror-Szenario wird wahr: Cloudanbieter verliert Kundendaten durch Hackerangriff – Golem.de).
Was ist passiert?
Wie das IT-Journal berichtet, schalteten die Angreifer sämtliche Systeme von „Cloudnordic“ ab und löschten alle möglichen Daten von Kunden, die mit Webseiten, E-Mail-Systemen und mit weiteren Systemen der Kunden in Verbindung standen; ein Super-Gau, nicht nur aus datenschutzrechtlicher Sicht. Denn: Wie der Cloudanbieter bekannt gab, sind – trotz umfangreicher Anstrengungen – die betreffenden Daten dauerhaft verloren. Möglich gemacht habe dies – ein wohl nicht sorgfältig geplanter und gesicherter – Serverumzug in ein anderes Rechenzentrum.
Warum ist die datenschutzrechtliche Prüfung von Auftragsverarbeitern so wichtig in der Praxis?
Dieser Fall verdeutlicht einmal mehr, wie wichtig es ist, eingesetzte Auftragsverarbeiter im Vorfeld und im laufenden Vertragsverhältnis auf Herz und Nieren (regelmäßig) zu prüfen.
Erste datenschutzrechtliche Mängel und damit Zweifel an der „Geeignetheit“ des Dienstleisters zeigen sich bereits sehr häufig zu Beginn, im Rahmen der Prüfung des sog. Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO. Fehlen hier beispielsweise gesetzlich geforderte Inhalte nicht enthalten oder sind die Schutzmaßnahmen (TOM gemäß Art. 32 DSGVO) für die Daten nur rudimentär beschrieben, so sollte Abstand von der Beauftragung genommen werden, aber warum eigentlich?
Datenschutzkonforme Prozesse bringen höhere Compliance
Datenschutz ist eine Querschnittsmaterie und hat Bedeutung für alle wesentlichen Prozesse in einem Unternehmen. Mängel im Kleinen deuten auf Basis unserer Erfahrung häufig auf strukturelle Mängel in der gesamten Datenschutz-Organisation hin. Ist der abzuschließende AV-Vertrag z.B. ohne Beanstandung, gut ausgearbeitet und die Abstimmung mit dem Dienstleister hierzu reibungslos, so ist dies ein sehr starkes Indiz dafür, dass das Thema Datenschutz ernst genommen wird; gleiches gilt allerdings auch im umgekehrten Fall.
Natürlich ist die sorgfältige Prüfung des Dienstleisters kein Garant dafür, dass nichts Negatives passiert. Aber die Wahrscheinlichkeit dafür ist deutlich reduziert, wenn der beauftragte Dienstleister das Thema „Datenschutz“ ernst nimmt und mit hoher Priorität behandelt.
Vorteile eines externen Datenschutzbeauftragten beim Auftragsverarbeiter
So ist bspw. schon die Tatsache, dass der Auftragsverarbeiter keinen (externen/internen) Datenschutzbeauftragten benannt hat, ein negatives Indiz für die „Zuverlässigkeit“ des Dienstleisters aus datenschutzrechtlicher Sicht.
Denn: Insbesondere ein qualifizierter externer Datenschutzbeauftragter überwacht die Datenschutzprozesse beim Dienstleister, prüft entsprechende technische, organisatorische Schutzmaßnahmen auf Angemessenheit und gibt Verbesserungsvorschläge und berät bei deren Umsetzung.
Drum prüfe, wer sich (ewig) bindet! Ihr DSB berät Sie hier umfassend, prüft und gibt Ihnen eine Einschätzung zur Sicherheit des Dienstleisters. Auf dieser Basis können Sie als Geschäftsführer dann eine fundierte Entscheidung treffen.
Bei Rückfragen oder Anregungen können Sie sich gerne jederzeit an uns wenden.
Ihre Datenschutzbeauftragten von der GDPC
Dr. Kevin Marschall und Stephan Blazy
