Überprüfung des Auftragsverarbeiters nach Art. 28 DS-GVO

Wird ein Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt, dann hat dieser Auftragsverarbeiter sich gegenüber dem Verantwortlichen vertraglich zu verpflichten, in dem laufenden Auftragsverhältnis nachzuweisen, dass die mit ihm vereinbarten technischen und organisatorischen Maßnahmen tatsächlich auch durchgeführt werden. Es ist in dieser Phase der Kontrollen dann nicht mehr die Aufgabe des Verantwortlichen, zu bewerten, ob die allgemeinen Maßnahmen des Auftragsverarbeiters, die dieser getroffen hat, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der IT-Systeme im Zusammenhang mit der Datenverarbeitung sicherzustellen, generell auch ausreichend und angemessen sind. Vielmehr hat sich seine Prüfung nur noch darauf zu beschränken, ob die vertraglich vereinbarten Maßnahmen effektiv durchgeführt werden.

      Näheres dazu Wessel in RDV 2024, 70 ff.