Muss der Auftragsverarbeitungsvertrag um im Audit genannte Dienstleister ergänzt werden, wenn aktuell kein aktives Projekt besteht?

Um echte Unter-Auftragsverarbeiter (Subunternehmer im Sinne der DSGVO) zu erkennen, sind folgende Informationen entscheidend: 1. **Art der Dienstleistung:** Der Unter-Auftragsverarbeiter muss tatsächlich im Auftrag des Hauptdienstleisters personenbezogene Daten verarbeiten, die im Zusammenhang mit dem Hauptauftrag stehen. 2. **Vertragliche Einbindung:** Es muss ein Vertrag oder eine Vereinbarung bestehen, die die Datenverarbeitung im Auftrag regelt (Art. 28 DSGVO). 3. **Zweck der Datenverarbeitung:** Die Verarbeitung muss ausschließlich im Rahmen und zu den Zwecken erfolgen, die der Hauptauftraggeber vorgegeben hat. 4. **Zugriff auf personenbezogene Daten:** Der Unter-Auftragsverarbeiter muss tatsächlich Zugriff auf personenbezogene Daten haben, die im Rahmen des Hauptauftrags verarbeitet werden. 5. **Keine Eigenverantwortung:** Der Unter-Auftragsverarbeiter darf die Daten nicht für eigene Zwecke nutzen, sondern nur im Auftrag und nach Weisung des Hauptdienstleisters. **Typische Beispiele für echte Unter-Auftragsverarbeiter:** - IT-Hosting-Anbieter, die Server für den Dienstleister betreiben und dabei Zugriff auf personenbezogene Daten haben. - Callcenter, die im Auftrag des Dienstleisters Kundendaten verarbeiten. - Externe Buchhaltungsfirmen, die im Auftrag des Dienstleisters Lohnabrechnungen erstellen. **Nicht als Unter-Auftragsverarbeiter gelten z.B.:** - Reine Telekommunikationsanbieter (z.B. Internetprovider ohne Datenzugriff) - Post- und Kurierdienste (reiner Transport, kein Datenzugriff) - Wartungsfirmen ohne Zugriff auf produktive Daten **Fazit:** Entscheidend ist, ob der Dienstleister im Rahmen des Auftrags tatsächlich personenbezogene Daten im Auftrag verarbeitet und dabei den Weisungen des Hauptdienstleisters unterliegt. Eine bloße Nennung in einer Liste reicht nicht aus – es muss ein tatsächlicher Datenverarbeitungsbezug bestehen. Weitere Infos: [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/)

Ob ein Dienstleister, der Adressen für Werbezwecke einkauft, als Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt, hängt vom konkreten Auftrag und der Rolle des Dienstleisters ab. **Grundsätzliches:** - **Auftragsverarbeiter** ist nach Art. 4 Nr. 8 DSGVO eine Stelle, die personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet. - **Verantwortlicher** ist nach Art. 4 Nr. 7 DSGVO die Stelle, die über die Zwecke und Mittel der Verarbeitung entscheidet. **Typische Konstellationen:** 1. **Dienstleister kauft Adressen im eigenen Namen und verkauft sie weiter:** In diesem Fall ist der Dienstleister selbst Verantwortlicher für die Datenverarbeitung, da er über die Zwecke und Mittel der Datenerhebung entscheidet. Er ist dann kein Auftragsverarbeiter. 2. **Dienstleister kauft Adressen ausdrücklich im Auftrag und nach Weisung des Auftraggebers:** Hier könnte der Dienstleister als Auftragsverarbeiter agieren, wenn er ausschließlich im Namen und auf Weisung des Auftraggebers handelt und keine eigenen Zwecke verfolgt. **Praxis:** In der Regel kaufen Adresshändler oder Dienstleister Adressen im eigenen Namen und bieten sie verschiedenen Kunden an. Sie sind dann **eigene Verantwortliche** und nicht Auftragsverarbeiter. Nur wenn der Dienstleister ausschließlich für einen bestimmten Auftraggeber und nach dessen Weisung handelt, kann eine Auftragsverarbeitung vorliegen. **Fazit:** Ein Dienstleister, der Adressen für Werbezwecke einkauft, ist **in der Regel kein Auftragsverarbeiter**, sondern selbst Verantwortlicher. Eine Auftragsverarbeitung liegt nur vor, wenn der Dienstleister ausschließlich im Auftrag und nach Weisung des Auftraggebers handelt. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_24_10_auslegung_auftragsverarbeitung.pdf) (DSK) und beim [BayLDA](https://www.lda.bayern.de/media/FAQ_Auftragsverarbeitung.pdf).

Ein Fragenkatalog für die Durchführung eines Datenschutzaudits könnte folgende Bereiche abdecken: 1. **Allgemeine Informationen** - Welche personenbezogenen Daten werden verarbeitet? - Wer ist für den Datenschutz im Unternehmen verantwortlich? 2. **Rechtsgrundlagen** - Auf welcher Rechtsgrundlage erfolgt die Datenverarbeitung? - Sind die betroffenen Personen über die Datenverarbeitung informiert? 3. **Datenverarbeitung** - Wie werden die Daten erhoben (z.B. direkt, durch Dritte)? - Welche technischen und organisatorischen Maßnahmen sind zum Schutz der Daten implementiert? 4. **Zugriffsrechte** - Wer hat Zugriff auf die personenbezogenen Daten? - Wie wird der Zugriff auf die Daten dokumentiert und kontrolliert? 5. **Datenübermittlung** - Werden Daten an Dritte übermittelt? Wenn ja, an wen und zu welchem Zweck? - Gibt es internationale Datenübermittlungen? Welche Schutzmaßnahmen sind dafür getroffen? 6. **Speicherung und Löschung** - Wie lange werden die personenbezogenen Daten gespeichert? - Gibt es ein Löschkonzept für die Daten? 7. **Betroffenenrechte** - Wie wird sichergestellt, dass die Rechte der betroffenen Personen (z.B. Auskunft, Berichtigung, Löschung) gewahrt werden? - Gibt es Verfahren zur Bearbeitung von Anfragen betroffener Personen? 8. **Schulung und Sensibilisierung** - Werden Mitarbeiter regelmäßig zum Thema Datenschutz geschult? - Gibt es ein Bewusstsein für Datenschutzfragen im Unternehmen? 9. **Dokumentation und Nachweis** - Wie wird die Einhaltung der Datenschutzvorschriften dokumentiert? - Gibt es regelmäßige Überprüfungen und Anpassungen der Datenschutzmaßnahmen? 10. **Risikobewertung** - Wurden Risikoanalysen durchgeführt, um potenzielle Datenschutzrisiken zu identifizieren? - Welche Maßnahmen wurden ergriffen, um identifizierte Risiken zu minimieren? Dieser Katalog kann je nach spezifischen Anforderungen und Gegebenheiten des Unternehmens angepasst werden.

Um ein Audit zur Überprüfung der Einhaltung der Datenschutzbestimmungen durch, kannst du folgende Schritte befol: 1. **Zielsetzung und Planung**: Definiere die Ziele des Audits und erstelle einen detaillierten Plan, der den Umfang die Ressourcen und den Zeitrahmen festlegt. 2. **Relevante Gesetze und Vorschriften**: Informiere dich über die geltenden Datenschutzgesetze, wie die Datenschutz-Grundverordnung (DSGVO) in der EU oder andere lokale Vorschriften, die für dein Unternehmen relevant sind. 3. **Dokumentation sammeln**: Sammle alle relevanten Dokumente, wie Datenschutzrichtlinien, Verfahrensanweisungen, Einwilligungserklärungen und Aufzeichnungen über Datenverarbeitungsaktivitäten. 4. **Interviews Befragungen**: Führe Interviews mit Mitarbeitern durch, die für den Datenschutz verantwortlich sind, um deren Verständnis und Umsetzung der Datenschutzbestimmungen zu überprüfen. 5. **Technische und organisatorische Maßnahmen prüfen**: Überprüfe die technischen und organisatorischen Maßnahmen, die zum Schutz personenbezogener Daten implementiert wurden, wie Zugriffskontrollen, Verschlüsselung und Schulungen. 6. **Risikoanalyse**: Identifiziere und bewerte potenzielle Risiken für die Datenverarbeitung und die Einhaltung der Datenschutzbestimmungen. 7. **Berichterstattung**: Erstelle einen Auditbericht, der die Ergebnisse zusammenfasst, einschließlich festgestellter Mängel, Risiken und Empfehlungen zur Verbesserung. 8. **Maßnahmen umsetzen**: Entwickle einen Aktionsplan zur Behebung der festgestellten Mängel und setze die empfohlenen Maßnahmen um. 9. **Nachverfolgung**: Plane regelmäßige Nachverfolgungen und Audits, um sicherzustellen, dass die Datenschutzbestimmungen kontinuierlich eingehalten werden. Durch diese Schritte kannst du sicherstellen, dass dein Unternehmen die Datenschutzbestimmungen einhält und potenzielle Risiken minimiert werden.

Eine Auftragsverarbeitung nach der Datenschutz-GrundverordnungDSGVO) liegt vor, wenn ein Verantwortlicher (z.B. ein Unternehmen) einen Auftragsverarbeiter (z.B. einen Dienstleister) damit beauftragt, personenbezogene Daten im Auftrag des Verantwortlichen zu verarbeiten. Der Auftragsverarbeiter handelt dabei nach den Weisungen des Verantwortlichen. Folgende Schritte müssen bezüglich der Auftragsverarbeitung unternommen werden: 1. **Vertrag zur Auftragsverarbeitung (AV-Vertrag)**: Es muss ein schriftlicher Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossen werden. Dieser Vertrag muss bestimmte Mindestinhalte gemäß Art. 28 DSGVO enthalten, wie z.B. den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen. 2. **Sorgfältige Auswahl des Auftragsverarbeiters**: Der Verantwortliche muss sicherstellen, dass der Auftragsverarbeiter ausreichende Garantien bietet, um geeignete technische und organisatorische Maßnahmen zu ergreifen, damit die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt. 3. **Überwachung und Kontrolle**: Der Verantwortliche muss regelmäßig überprüfen, ob der Auftragsverarbeiter die im AV-Vertrag festgelegten Maßnahmen einhält. Dies kann durch Audits oder andere Kontrollmechanismen geschehen. 4. **Dokumentation**: Alle Maßnahmen und Verträge im Zusammenhang mit der Auftragsverarbeitung müssen dokumentiert werden, um im Falle einer Überprüfung durch die Aufsichtsbehörden nachweisen zu können, dass die DSGVO eingehalten wird. Weitere Informationen zur Auftragsverarbeitung nach DSGVO können auf der offiziellen Website der Europäischen Kommission gefunden werden: [Europäische Kommission - Datenschutz](https://ec.europa.eu/info/law/law-topic/data-protection_de).