Gemäß Art. 28 DSGVO muss der Auftragsverarbeiter hin­reichend Garantien dafür bieten, dass geeignete techni­sche und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den An­forderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

Anstelle einer beim Auftragsverarbeiter durchzuführen­den Vor-Ort-Überprüfung sieht es der Auftraggeber ge­genwärtig grundsätzlich als ausreichend an, sich mittels ei­nes schriftlichen Nachweises von der Einhaltung der ver­einbarten technischen und organisatorischen Maßnah­men im Hause des Auftragsverarbeiters zu überzeugen.

Der Auftragsverarbeiter wird dazu aufgefordert, dem Auftraggeber einen entsprechenden schriftlichen Nach­weis zukommen zu lassen, aus dem hervorgeht, dass die zwischen ihm und dem Auftragsverarbeiter vereinbarten und im Hause des Auftragsverarbeiters getroffenen tech­nischen und organisatorischen Maßnahmen eingehalten werden. Den Nachweis kann der Auftragsverarbeiter durch die Vorlage eines aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirt­schaftsprüfer, seiner Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Qualitätsauditoren) oder einer ge­eigneten Zertifizierung durch IT-Sicherheits- oder Daten­schutzaudit (z.B. nach BSI-Grundschutz) erbringen.

In diesem Zusammenhang ist dem Auftraggeber zu be­stätigen, dass die innerbetriebliche Organisation des Auf­tragsverarbeiters so gestaltet ist, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Des Weiteren sind werthaltige Aussagen im Hinblick auf die erforderlichen Datenschutz- und Datensicherheitsmaß­nahmen (Art. 32 DSGVO) zu treffen.

Ferner hat der Auftragsverarbeiter dem Auftraggeber schriftlich zu bestätigen, dass

• die ihm überlassenen Daten ausschließlich zur Er­bringung der vertraglich vereinbarten Leistungen und gemäß den Weisungen des Auftraggebers verarbeitet werden,
• beim Umgang mit den überlassenen Daten nur Personal eingesetzt wird, das auf einen daten­schutzkonformen Umgang mit personenbezoge­nen Daten (insbesondere die Geheimhaltung der Daten) gemäß der DSGVO sowie weiterer maß­geblicher Bestimmungen zum Datenschutz ein­gewiesen und verpflichtet worden ist,
• nur Unterauftragnehmer eingesetzt werden, die der Auftragsverarbeiter hinsichtlich deren ge­troffenen technischen und organisatorischen Maßnahmen sorgfältig ausgewählt und sich vor Beginn der Datenverarbeitung und sodann jähr­lich (sofern im Einzelfall nichts Anderes vereinbart wurde) bezüglich der Einhaltung überzeugt hat,
• dem Auftragsverarbeiter für die Beauftragung dieser Unterauftragnehmer jeweils die Zustim­mung des Auftraggebers vorliegt,
• die zwischen den Auftragsverarbeiter und Unter­auftragnehmern (Kettenbeauftragung) vertrag­lich getroffenen Vereinbarungen so gestaltet sind, dass sie den vertraglich festgelegten Rege­lungen zwischen dem Auftraggeber und dem Auftragsverarbeiter entsprechen. Dies betrifft insbesondere die technischen und organisatori­schen Maßnahmen, welche ein gleichwertiges Schutzniveau aufweisen müssen,
• der Auftragsverarbeiter im Zusammenhang mit der vertraglich vereinbarten Leistungserbringung keine Unterauftragnehmer einsetzt, deren Be­triebsstätte sich außerhalb der EU-Staaten befin­det bzw. die von einem Drittland Zugriff auf die überlassenen Daten haben. Hierzu zählen auch die Prüfung oder Wartung automatisierter Ver­fahren oder von Datenverarbeitungsanlagen, wenn dabei ein Zugriff auf die überlassenen Da­ten nicht ausgeschlossen werden kann und
• die beim Auftragsverarbeiter für die Erbringung der vereinbarten Leistungen eingesetzten Ver­fahren einem regelmäßigen Audit bzw. Kontrolle unterliegen.

Aus der vorgenannten Bestätigung muss schließlich er­sichtlich sein:

• wer im Hause des Auftragsverarbeiters die Audits bzw. Kontrollen durchgeführt hat,
• wann und mit welchen Schwerpunkten die letz­ten Kontrollen durchgeführt wurden,
• wie das Prüfungsergebnis lautet (welche Bean­standungen; werden/wurden Feststellungen zeitnah behoben etc.),
• und in welchem Zeitintervall die vereinbarten technischen und organisatorischen Maßnahmen geprüft werden.

Der Auftragsverarbeiter hat, sofern noch nicht gesche­hen, dem Auftraggeber den derzeitigen Datenschutzbe­auftragten in seinem Hause mit Kontaktdaten bekannt zu geben.

Der Auftragsverarbeiter hat einen Nachweis im vorbeschrie­benen Umfang dem Auftraggeber unaufgefordert vor­zulegen:

• vor Beginn der Leistungserbringung (Datenverar­beitung) und danach
• regelmäßig einmal jährlich (gerechnet ab dem Zeitpunkt der erstmaligen Leistungserbringung) sofern im Einzelfall nichts Anderes vereinbart wurde

Stand: 13.01.2023