Datenverarbeiter agieren oft im Schatten des Datenkontrolleurs, jedoch haben sie eine Reihe von strengen Verpflichtungen, die darauf abzielen, die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten zu gewährleisten. Diese Funktion umfasst nicht nur die Ausführung der dokumentierten Anweisungen, sondern auch die aktive Unterstützung des Datenkontrolleurs bei der Erfüllung der komplexen Anforderungen der DSGVO. Die operativen Prozesse müssen so gestaltet sein, dass jede Phase der Datenverarbeitung, vom Sammeln und Bearbeiten bis hin zur Speicherung und Vernichtung, nachvollziehbar ist. Technische Maßnahmen – wie Verschlüsselung, Zugriffskontrollen und Ereignisprotokolle – dürfen nie von organisatorischen Kontrollen wie Schulungen, Vertragsmanagement und der Organisation von Reaktionen auf Vorfälle getrennt werden.
Gleichzeitig agieren Datenverarbeiter in einem dynamischen regulatorischen Umfeld: Aufsichtsbehörden verschärfen ihre Anforderungen, die Rechtsprechung führt zu neuen Interpretationen und technologische Entwicklungen – wie KI und Cloud-native Services – schaffen unvorhergesehene Risiken. In Organisationen, in denen Vorwürfe von Fehlverhalten im Finanzbereich, Betrug oder Verstoß gegen Sanktionen erhoben werden, kann ein schlecht gestalteter Auftragsverarbeitungsvertrag schnell kritische Datenflüsse lahmlegen und Verantwortlichkeiten erzeugen, die auch auf die Datenverarbeiter persönlich zurückfallen können. Daher ist ein tiefes Verständnis der Verpflichtungen von Datenverarbeitern für jede Organisation, die personenbezogene Daten im Auftrag eines Dritten verarbeitet, unerlässlich.
(a) Verarbeitung nur nach Anweisung
Datenverarbeiter müssen jede Verarbeitungshandlung mit zuvor definierten und dokumentierten Anweisungen des Datenkontrolleurs rechtfertigen. Dies erfordert, dass alle Verarbeitungsprozesse – vom Sammeln von Daten bis hin zur automatisierten Analyse – ausführlich in verbindlichen, vertraglichen Anweisungen beschrieben werden. Aus technischer Sicht muss ein Datenverarbeiter Arbeitsabläufe und APIs konfigurieren, die die Ausführung von Verarbeitungsanweisungen außerhalb der definierten Grenzen ablehnen, mit Auditsystemen, die jede Abweichung automatisch den Compliance-Teams melden.
Im Fall einer Nichtkonformität, beispielsweise wenn nationales Recht eine übergeordnete Verpflichtung vorschreibt, muss der Datenverarbeiter den Datenkontrolleur sofort benachrichtigen und eine entsprechende rechtliche Bewertung einleiten. Jede nicht vorgesehene Verarbeitung muss explizit dokumentiert werden, einschließlich der rechtlichen Grundlage und der Genehmigung des Datenkontrolleurs, um mögliche Streitigkeiten über eine übermäßige oder nicht autorisierte Verarbeitung zu vermeiden.
(b) Datensicherheit
Datenverarbeiter sind verpflichtet, „angemessene technische und organisatorische Maßnahmen“ zu ergreifen, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Zerstörung zu schützen. Dies umfasst Verschlüsselungsalgorithmen, die Industriestandards entsprechen, Verfahren zur Schlüsselverwaltung und physische Sicherheit in Rechenzentren. Die Betriebsteams müssen kontinuierliche Risikobewertungen durchführen, um neue Schwachstellen zu identifizieren – beispielsweise in Drittanbieterbibliotheken oder Containerabbildern – und sofort Sicherheitsupdates und Konfigurationsverbesserungen anwenden.
Darüber hinaus erfordert die DSGVO eine Kultur der kontinuierlichen Verbesserung. Sicherheitszentren müssen rund um die Uhr überwacht werden, mit fortschrittlichen SIEM-Tools und Vorfallreaktionsprotokollen, die klar definierte Szenarien befolgen. Post-Incident-Analysen müssen immer Ursachenforschungen nach sich ziehen, und Korrekturmaßnahmen müssen systematisch in allen Verarbeitungsprozessen implementiert werden.
(c) Vertraulichkeit
Alle Personen und Unterauftragnehmer, die Zugang zu personenbezogenen Daten haben, müssen einer gesetzlichen oder vertraglichen Verpflichtung zur Vertraulichkeit unterliegen. Dies erfordert, dass die Integrationsprozesse für Mitarbeiter mit rechtlich verbindlichen Geheimhaltungsvereinbarungen ergänzt werden. Operativ bedeutet dies, dass die Zugriffsprivilegien täglich überwacht, die Vertraulichkeitsverpflichtung regelmäßig von den Mitarbeitern bestätigt und ein Zugriffskontrollsystem auf Basis von Rollen und Just-in-Time-Priviligien eingesetzt wird, die automatisch nach Gebrauch ablaufen.
Nichtkonformitäten sollten durch Data Loss Prevention (DLP)-Lösungen in Echtzeit erkannt werden, die versuche des unbefugten Datenabzugs blockieren. Compliance-Berichte müssen angeben, welche Konten kürzlich bestätigt wurden und welche Abweichungen es gibt, damit Regulierungsbehörden und interne Governance-Teams eine direkte Einsicht in die Wirksamkeit der Vertraulichkeitsmaßnahmen erhalten können.
(d) Einsatz von Unterauftragnehmern
Bevor ein Unterauftragnehmer eingesetzt wird, muss der Datenverarbeiter eine Due-Diligence-Prüfung durchführen, um den Unterauftragnehmer in Bezug auf technische und organisatorische Sicherheitsmaßnahmen, Datenschutzvorfälle und finanzielle Stabilität zu bewerten. Verträge mit Unterauftragnehmern müssen in gleicher Weise wie der Hauptverarbeitungsvertrag verfasst werden: Die gleichen Verpflichtungen in Bezug auf Sicherheit, Vertraulichkeit, Prüfungsrechte und Haftungsklauseln. Operativ ist es notwendig, ein Register der Unterauftragnehmer zu führen, sodass jede Änderung in der Unterauftragnehmerkette sofort durch Audits nachvollziehbar ist.
Außerdem muss der Datenverarbeiter die Einhaltung der Unterauftragnehmer kontinuierlich überwachen, entweder durch Vor-Ort- oder Fern-Audits. Die Ergebnisse der Audits sollten an das Management eskaliert werden, das entscheiden muss, ob die Unteraufträge fortgeführt oder beendet werden. Vertragsstrafen bei Verstößen – wie die sofortige Aussetzung der Dienste – sollten ohne Ausnahme durchgesetzt werden, um Risiken von Anfang an zu minimieren.
(e) Unterstützung des Datenkontrolleurs
Die Unterstützung des Datenkontrolleurs umfasst die Erleichterung von Betroffenenanfragen, die Hilfe bei Datenschutz-Folgenabschätzungen (DPIA) und die Vorbereitung von Konsultationen mit den Aufsichtsbehörden. Operativ bedeutet dies, dass die Datenverarbeiter Service Level Agreements (SLAs) für Antwortzeiten auf Anfragen nach Zugang und Löschung vereinbaren und spezialisierte Teams bereitstellen, die die erforderliche technische und rechtliche Dokumentation für DPIAs liefern.
Der Datenverarbeiter muss, wenn erforderlich, Tools wie Diagramme von Datenflüssen, Risikoinventare und Strategien zur Minderung zusätzlicher Risiken der Privatsphäre bereitstellen, damit der Datenkontrolleur seine Berichtspflichten gegenüber Aufsichtsbehörden fristgerecht erfüllen kann. Diese Unterstützungsprozesse sollten in standardisierte Betriebsverfahren (SOPs) integriert und in Governance-, Risikomanagement- und Compliance-Plattformen (GRC) abgebildet werden, um jederzeit eine umfassende Audit-Trail zu gewährleisten.
(f) Meldung von Datenschutzverletzungen
Datenverarbeiter müssen über Prozesse verfügen, die es ihnen ermöglichen, jede Verletzung, ob potenziell oder real, innerhalb weniger Stunden zu erkennen und den Datenkontrolleur innerhalb von 72 Stunden zu benachrichtigen. Aus technischer Sicht erfordert dies die Fähigkeit zur Mehrkanalerkennung – von Intrusion Detection Systemen bis hin zur Anomalieerkennung in Anwendungsprotokollen – und automatisierte Eskalationsmechanismen, die Vorfalldetails in forensische Berichte integrieren.
Operativ bedeutet dies, dass die Krisenmanagement-Teams klare Verantwortlichkeiten zugewiesen bekommen: Informationssicherheit zur Eindämmung und Ursachenanalyse, Rechtsabteilungen für Mitteilungen und Kommunikation sowie PR-Teams zur Verwaltung von Presse- und Stakeholder-Kommunikation. Alle Maßnahmen müssen durch Incident-Management-Systeme nachvollziehbar sein, um zu zeigen, dass der gesamte Prozess innerhalb der von der DSGVO festgelegten Fristen durchgeführt wurde.
(g) Datenschutz-Folgenabschätzungen (DPIA)
Wenn die Verarbeitung ein „hohes Risiko“ darstellt – beispielsweise im Falle der Erstellung umfangreicher Profile oder der Verarbeitung besonderer Kategorien personenbezogener Daten – muss der Datenverarbeiter den Datenkontrolleur bei jeder Phase der DPIA unterstützen. Dies umfasst die Bereitstellung technischer Diagramme der Datenflüsse, Risikoinventare und potenzieller Strategien zur Minderung der Privatsphärenrisiken wie Re-Identifikation.
Nach Abschluss der DPIA müssen die Ergebnisse in konkrete Änderungen an der Produkt- oder Servicekonfiguration umgesetzt werden. Datenverarbeiter helfen bei der Implementierung von „Privacy by Design“-Änderungen und stellen sicher, dass nachweislich alle in der DPIA formulierten Empfehlungen umgesetzt wurden. Governance-Teams überwachen dann, ob alle Empfehlungen tatsächlich umgesetzt und in Echtzeit überwacht werden.
(h) Internationale Datenübertragungen
Datenverarbeiter müssen sicherstellen, dass jede internationale Übertragung personenbezogener Daten durch eine gültige Grundlage abgedeckt ist: eine Angemessenheitsentscheidung, Standardvertragsklauseln oder verbindliche unternehmensinterne Vorschriften (BCR). Aus operativer Sicht bedeutet dies, dass die Verbindungspunkte – wie API-Gateways und ETL-Flüsse – so konfiguriert werden müssen, dass die Übertragungen nur über verschlüsselte Kanäle erfolgen und dass die Ziele automatisch gegen aktualisierte Compliance-Listen validiert werden.
Die Standardvertragsklauseln müssen ausdrücklich alle technischen Garantien wie Verschlüsselungsalgorithmen, Schlüsselrotation und Verfahren für internationale Datenschutzverletzungen erwähnen. Compliance-Teams müssen Tools implementieren, die automatisch erkennen, wenn Datenflüsse neue Regionen betreten, woraufhin sofortige Korrekturmaßnahmen eingeleitet werden.
(i) Verpflichtungen für Verarbeitungsaktivitäten
Datenverarbeiter müssen ein Register aller durchgeführten Verarbeitungsvorgänge führen, einschließlich der Kategorien personenbezogener Daten, der Verarbeitungszwecke, der Dauer und der beteiligten Empfängerkategorien. Operativ erfordert dies eine integrierte Plattform für Vertrags- und Prozessmanagement, in der jeder Datenprozess als Datensatz erfasst und kontinuierlich mit Datenflussdiagrammen und Metadaten-Repositories synchronisiert wird.
Kontrollen der Kontinuität—periodische Überprüfungen, automatische Benachrichtigungen bei abweichenden Verarbeitungsvolumen und Abgleiche zwischen Verarbeitungsprotokollen und Registern—müssen sicherstellen, dass das Register aktuell und genau bleibt. Dieses Register dient als Grundlage für interne Audits und mögliche Anfragen von Aufsichtsbehörden.
(j) Zusammenarbeit mit Aufsichtsbehörden
Datenverarbeiter müssen direkte Kontaktstellen für Aufsichtsbehörden benennen und proaktiv Beziehungen pflegen. Operativ führen Compliance-Teams ein Repository aller Interaktionen mit Aufsichtsbehörden—von Vorankündigungen bis hin zu Inspektionsberichten—damit im Falle von Folgeuntersuchungen schnell alle relevanten Korrespondenzen und Beweismittel zur Verfügung stehen.
Darüber hinaus müssen Datenverarbeiter an Koalitionen und Branchenplattformen teilnehmen, um über Auslegungen der Vorschriften und bewährte Praktiken auf dem Laufenden zu bleiben. Ein strategischer Vorteil entsteht, wenn ein Datenverarbeiter als vertrauenswürdiger Partner für Aufsichtsbehörden fungiert, indem er zu Konsultationsdokumenten und Pilotprojekten für neue Datenschutztechnologien beiträgt und damit eine proaktive und transparente Haltung der Organisation demonstriert.
