{"id":6742,"date":"2021-06-11T10:48:00","date_gmt":"2021-06-11T10:48:00","guid":{"rendered":"https:\/\/vanleeuwenlawfirm.eu\/?p=6742"},"modified":"2026-06-16T14:21:08","modified_gmt":"2026-06-16T14:21:08","slug":"rolle-des-auftragsverarbeiters","status":"publish","type":"post","link":"https:\/\/vanleeuwenlawfirm.eu\/de\/fachgebiete\/technik-und-digital\/datenschutz-daten-und-cybersicherheit\/rolle-des-auftragsverarbeiters\/","title":{"rendered":"Rolle des Auftragsverarbeiters"},"content":{"rendered":"\t\t<div data-elementor-type=\"wp-post\" data-elementor-id=\"6742\" class=\"elementor elementor-6742\">\n\t\t\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-47eeb7ba elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"47eeb7ba\" data-element_type=\"section\" data-e-type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-34555689\" data-id=\"34555689\" data-element_type=\"column\" data-e-type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-208316d0 elementor-widget elementor-widget-text-editor\" data-id=\"208316d0\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t\n<p class=\"wp-block-paragraph\" data-start=\"57\" data-end=\"1985\">Der Auftragsverarbeiter nimmt im Rahmen der Datenschutz-Grundverordnung eine Stellung ein, die weit \u00fcber das traditionelle Bild eines externen Dienstleisters hinausgeht, der lediglich technische T\u00e4tigkeiten ausf\u00fchrt. In einer digitalen Wirtschaft, in der Cloud-Infrastrukturen, SaaS-Plattformen, Managed-Service-Provider, Rechenzentren, Cybersicherheitsanbieter, HR-Systeme, Zahlungsdienstleister, Marketingtechnologien und spezialisierte Analysedienste einen erheblichen Teil der operativen Datenverarbeitung tragen, befindet sich der Auftragsverarbeiter im Zentrum der digitalen Risikokette. Die rechtliche Einordnung als Auftragsverarbeiter bleibt formal an die Verarbeitung im Auftrag des Verantwortlichen gebunden, ihre praktische Bedeutung ist jedoch erheblich gewichtiger geworden. Ein Auftragsverarbeiter kann Zugriff auf umfangreiche Datens\u00e4tze haben, kritische Systeme verwalten, Sicherheitseinstellungen bestimmen, Protokollierung erm\u00f6glichen, Verletzungen des Schutzes personenbezogener Daten erkennen, Wiederherstellungsprozesse durchf\u00fchren und Unterauftragsverarbeiter innerhalb internationaler Verarbeitungsketten einsetzen. Damit ber\u00fchrt seine Rolle unmittelbar die Zuverl\u00e4ssigkeit, Kontinuit\u00e4t, Vertraulichkeit, Verf\u00fcgbarkeit und Kontrollierbarkeit personenbezogener Daten. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalit\u00e4t ist diese Stellung von besonderer Bedeutung, weil personenbezogene Daten nicht nur datenschutzrechtlich sensibel sind, sondern zugleich ein attraktives Ziel f\u00fcr Betrug, Identit\u00e4tsmissbrauch, Konto\u00fcbernahmen, Phishing, Ransomware, Business-E-Mail-Compromise und andere Risiken digitaler Kriminalit\u00e4t darstellen. Der Auftragsverarbeiter ist daher keine blo\u00df periphere Vertragspartei, sondern ein Glied der Kette, dessen Qualit\u00e4t mit dar\u00fcber entscheidet, ob personenbezogene Daten tats\u00e4chlich vor Missbrauch, Manipulation, Verlust und unbefugtem Zugriff gesch\u00fctzt bleiben.<\/p>\n<p data-start=\"1987\" data-end=\"3798\">Die zentrale Frage beim Einsatz eines Auftragsverarbeiters besteht nicht allein darin, ob ein Auftragsverarbeitungsvertrag vorhanden ist, sondern ob die tats\u00e4chliche Beziehung hinreichend steuerbar, \u00fcberpr\u00fcfbar und durchsetzbar ausgestaltet wurde. Eine rein dokumentarische Vereinbarung ohne operative Kontrolle bietet nur begrenzten Schutz, wenn unklar bleibt, wo Daten gespeichert werden, welche Unterauftragsverarbeiter eingesetzt werden, wie Vorf\u00e4lle gemeldet werden, welche Sicherheitsstandards gelten, wie \u00c4nderungen der Dienstleistung umgesetzt werden und wie Betroffenenrechte praktisch ausge\u00fcbt werden k\u00f6nnen. Die Datenschutz-Grundverordnung legt deshalb besonderes Gewicht auf Weisungen, Sicherheit, Vertraulichkeit, Kettenkontrolle, Unterst\u00fctzung, Beendigung der Beziehung und Nachweisbarkeit. Diese Pflichten d\u00fcrfen nicht als isolierte Vertragsklauseln verstanden werden, sondern als miteinander verbundene Governance-Anforderungen, die bestimmen, ob ausgelagerte Datenverarbeitung verantwortbar erfolgen kann. Im Kontext des Integrierten Risikomanagements digitaler Kriminalit\u00e4t bedeutet dies, dass Auftragsverarbeitungsverh\u00e4ltnisse unter den Gesichtspunkten rechtlicher Zul\u00e4ssigkeit, digitaler Widerstandsf\u00e4higkeit, Kettenabh\u00e4ngigkeit, Beweisfestigkeit und leitungsbezogener Kontrolle bewertet werden m\u00fcssen. Eine Organisation, die Datenverarbeitung auslagert, bleibt daf\u00fcr verantwortlich, ob der Auftragsverarbeiter geeignet ist, ob die Vereinbarungen hinreichend konkret sind und ob die Einhaltung w\u00e4hrend der gesamten Vertragsbeziehung \u00fcberwacht werden kann. Der Auftragsverarbeiter ist damit zugleich ausf\u00fchrende Stelle und Risikopunkt: rechtlich begrenzt in der Bestimmung der Zwecke, tats\u00e4chlich jedoch von erheblichem Einfluss auf Schutz, Kontinuit\u00e4t und Integrit\u00e4t personenbezogener Daten.<\/p>\n\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-ef718e1 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"ef718e1\" data-element_type=\"section\" data-e-type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-c17acaf\" data-id=\"c17acaf\" data-element_type=\"column\" data-e-type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-20c7f41 elementor-widget elementor-widget-text-editor\" data-id=\"20c7f41\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t\n<h4 data-start=\"3800\" data-end=\"3849\">Verarbeitung im Auftrag des Verantwortlichen<\/h4>\n<p class=\"wp-block-paragraph\" data-start=\"3851\" data-end=\"5287\">Der Auftragsverarbeiter verarbeitet personenbezogene Daten nicht f\u00fcr eigene Zwecke, sondern ausschlie\u00dflich f\u00fcr Rechnung und auf Weisung des Verantwortlichen. Dieser Grundsatz bildet den rechtlichen Anker der Rolle des Auftragsverarbeiters nach der Datenschutz-Grundverordnung. Der Verantwortliche bestimmt, warum personenbezogene Daten verarbeitet werden, zu welchem Zweck dies geschieht und innerhalb welches wesentlichen Rahmens die Verarbeitung stattfindet. Der Auftragsverarbeiter f\u00fchrt demgegen\u00fcber die tats\u00e4chlichen Handlungen aus, die zur Durchf\u00fchrung dieser Verarbeitung erforderlich sind, etwa Hosting, Speicherung, Wartung, technische Unterst\u00fctzung, administrative Verarbeitung, Sicherheits\u00fcberwachung, Backup-Verwaltung oder Plattformdienste. Diese Rollenverteilung ist keine Formalit\u00e4t, sondern bestimmt die gesamte Zuweisung von Verantwortlichkeiten innerhalb der Datenverarbeitungskette. Verwendet der Auftragsverarbeiter personenbezogene Daten f\u00fcr eigene kommerzielle Zwecke, eigene Analysen, Produktentwicklung au\u00dferhalb der vereinbarten Dienstleistung oder zur Wiederverwendung zugunsten anderer Kunden, entsteht unmittelbar ein Spannungsverh\u00e4ltnis zur Qualifikation als Auftragsverarbeiter. Der Kern der Verarbeitung im Auftrag liegt daher in funktionaler Unterordnung: Der Auftragsverarbeiter darf innerhalb der Grenzen des Auftrags handeln, nicht jedoch \u00fcber den Zweck hinaus, zu dem die Daten bereitgestellt wurden.<\/p>\n<p data-start=\"5289\" data-end=\"6810\">Bei komplexen digitalen Dienstleistungen wird diese Abgrenzung zunehmend verletzlich. Viele Auftragsverarbeiter bieten standardisierte Plattformen an, bei denen technische Konfiguration, Sicherheitseinstellungen, Speicherorte und operative Prozesse weitgehend durch den Dienstleister bestimmt werden. Der Verantwortliche kann daher formal Weisungen erteilen, w\u00e4hrend der tats\u00e4chliche Handlungsspielraum in erheblichem Ma\u00dfe durch Standardbedingungen, technische Beschr\u00e4nkungen und vertragliche Module des Anbieters gepr\u00e4gt wird. Diese Realit\u00e4t mindert die Bedeutung der Einordnung als Auftragsverarbeiter nicht, verlangt aber eine strengere Pr\u00fcfung. Verarbeitung im Auftrag setzt voraus, dass vorab festgelegt wird, welche Verarbeitungsvorg\u00e4nge stattfinden, welche Datenkategorien betroffen sind, welche betroffenen Personen erfasst werden, welche Systeme genutzt werden, welche Zugriffsm\u00f6glichkeiten bestehen und welche Grenzen f\u00fcr Nutzung, Speicherung, \u00dcbermittlung und L\u00f6schung gelten. Ohne diesen Konkretisierungsgrad kann sich die Auftragsbeziehung leicht in ein diffuses Abh\u00e4ngigkeitsverh\u00e4ltnis verwandeln, in dem der Verantwortliche nur unzureichende Sicht auf die tats\u00e4chliche Behandlung personenbezogener Daten hat. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalit\u00e4t ist dies problematisch, weil Unsicherheit \u00fcber Auftrag, Zugriff und Zweckbindung das Risiko unkontrollierter Datenfl\u00fcsse, schwacher Sicherheitsentscheidungen und unzureichender Erkennung von Risiken digitaler Kriminalit\u00e4t erh\u00f6ht.<\/p>\n<p data-start=\"6812\" data-end=\"8279\">Ein sorgf\u00e4ltig ausgestaltetes Auftragsverarbeitungsverh\u00e4ltnis beginnt daher mit einer inhaltlichen Bewertung der Dienstleistung, bevor personenbezogene Daten verarbeitet werden. Der Verantwortliche muss feststellen k\u00f6nnen, ob die Verarbeitung f\u00fcr den beabsichtigten Zweck tats\u00e4chlich erforderlich ist, ob der Auftragsverarbeiter ausschlie\u00dflich innerhalb dieses Zwecks handeln wird und ob die Dienstleistung hinreichend transparent ist, um Kontrolle zu erm\u00f6glichen. Dazu geh\u00f6rt eine klare Beschreibung von Art und Zweck der Verarbeitung, Dauer der Verarbeitung, Arten personenbezogener Daten, Kategorien betroffener Personen und Pflichten des Auftragsverarbeiters. Diese Angaben d\u00fcrfen nicht auf einer allgemeinen Formulierungsebene verbleiben, weil generische Beschreibungen im Fall von Streitigkeiten, Vorf\u00e4llen oder aufsichtsbeh\u00f6rdlichen Fragen nur geringe Orientierung bieten. Die Auftragsbeziehung muss so konkret sein, dass sowohl rechtlich als auch operativ festgestellt werden kann, welche Handlungen zul\u00e4ssig sind und welche Handlungen au\u00dferhalb des Auftrags liegen. Auf diese Weise wird der Auftragsverarbeiter in eine breitere Struktur der Steuerung digitaler Kriminalit\u00e4t eingebettet, in der Auslagerung nicht zu Kontrollverlust f\u00fchrt, sondern zu kontrollierter Ausf\u00fchrung innerhalb klarer Grenzen. Der Auftragsverarbeiter kann eine technisch starke Position einnehmen, doch diese Position muss stets dem Auftrag des Verantwortlichen untergeordnet bleiben.<\/p>\n<h4 data-start=\"8281\" data-end=\"8320\">Bindung an dokumentierte Weisungen<\/h4>\n<p data-start=\"8322\" data-end=\"9745\">Die Pflicht, ausschlie\u00dflich auf Grundlage dokumentierter Weisungen zu handeln, geh\u00f6rt zu den wesentlichsten Garantien im Verh\u00e4ltnis zwischen Verantwortlichem und Auftragsverarbeiter. Weisungen bilden den rechtlichen und operativen Rahmen, innerhalb dessen der Auftragsverarbeiter personenbezogene Daten erheben, einsehen, speichern, ver\u00e4ndern, sch\u00fctzen, \u00fcbermitteln, l\u00f6schen oder auf sonstige Weise verarbeiten darf. Ohne solche Weisungen fehlt die normative Begrenzung der Verarbeitung, und es entsteht das Risiko, dass der Auftragsverarbeiter selbst auslegt, welche Handlungen zul\u00e4ssig sind. Die Datenschutz-Grundverordnung verlangt deshalb mehr als m\u00fcndliche Absprachen oder allgemeine Verweise auf die Dienstleistung. Weisungen m\u00fcssen festgehalten, \u00fcberpr\u00fcfbar und hinreichend spezifisch auf die Art der Verarbeitung bezogen sein. Dabei geht es nicht nur um die Aufgaben des Auftragsverarbeiters, sondern auch um Beschr\u00e4nkungen: welche Daten nicht verwendet werden d\u00fcrfen, welche Verarbeitungsvorg\u00e4nge ausgeschlossen sind, welche Standorte untersagt sind, welche Zugriffsebenen gelten und welche Bedingungen bei \u00c4nderungen Anwendung finden. Dokumentierte Weisungen machen das Auftragsverarbeitungsverh\u00e4ltnis kontrollierbar und bilden ein wesentliches Beweismittel, wenn eine Aufsichtsbeh\u00f6rde, ein Gericht, eine betroffene Person oder eine interne Pr\u00fcfung fragt, warum eine bestimmte Datenverarbeitung stattgefunden hat.<\/p>\n<p data-start=\"9747\" data-end=\"11186\">In digitalen Ketten gewinnt die Bedeutung dokumentierter Weisungen zus\u00e4tzlich an Gewicht, weil Datenverarbeitung h\u00e4ufig \u00fcber automatisierte Prozesse erfolgt, die nicht bei jeder einzelnen Ausf\u00fchrung gesondert bewertet werden. Eine Softwareplattform kann automatisch Protokolle erzeugen, Metadaten speichern, Backups erstellen, Nutzerverhalten analysieren, Sicherheitsmeldungen verarbeiten oder Daten in verschiedene Umgebungen replizieren. Solche Prozesse k\u00f6nnen funktional notwendig sein, m\u00fcssen aber innerhalb des Auftragsrahmens liegen. Weisungen m\u00fcssen daher nicht nur rechtliche Sprache enthalten, sondern auch die technische Realit\u00e4t abbilden. Es muss klar sein, wie Datenfl\u00fcsse verlaufen, welche Systemhandlungen standardm\u00e4\u00dfig erfolgen, welche Entscheidungen konfigurierbar sind und welche Verarbeitung aus Sicherheit, Wartung, Fehlerbehebung oder Leistungsmanagement resultiert. Bleiben diese technischen Ebenen au\u00dfer Sicht, kann ein Verantwortlicher formal Weisungen erteilt haben, w\u00e4hrend wesentliche Teile der tats\u00e4chlichen Verarbeitung nicht wirklich abgegrenzt sind. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalit\u00e4t verdient dies besondere Aufmerksamkeit, weil Angreifer h\u00e4ufig technische Schw\u00e4chen, unkontrollierte Zugriffspfade und unklare Systemrechte ausnutzen. Dokumentierte Weisungen sind daher nicht nur datenschutzrechtlich relevant, sondern auch ein Instrument der Steuerung digitaler Kriminalit\u00e4t.<\/p>\n<p data-start=\"11188\" data-end=\"12625\">Ein Auftragsverarbeiter muss au\u00dferdem in der Lage sein, Situationen zu erkennen, in denen eine Weisung unklar, widerspr\u00fcchlich oder m\u00f6glicherweise rechtswidrig ist. Der Auftragsverarbeiter ist kein unabh\u00e4ngiger Kontrolleur des Verantwortlichen, darf aber offenkundig datenschutzrechtswidrige Weisungen auch nicht blind ausf\u00fchren. In einem belastbaren Auftragsverarbeitungsverh\u00e4ltnis wird deshalb festgelegt, wie Weisungen erteilt, ge\u00e4ndert, best\u00e4tigt und dokumentiert werden, wer zur Erteilung von Weisungen befugt ist und wie eine Eskalation erfolgt, wenn eine Weisung rechtlich oder technisch problematisch ist. Diese Verfahrensebene verhindert, dass entscheidende Vorgaben in einzelnen E-Mails, informellen Supporttickets oder operativen Arbeitsabsprachen ohne leitungsbezogene Absicherung verschwinden. Insbesondere bei Incident Response, Migrationen, System\u00e4nderungen, Datenexporten, L\u00f6schungsersuchen und Eilma\u00dfnahmen ist es wesentlich, dass Weisungen schnell, klar und beweisfest sind. Der Wert von Weisungen liegt nicht nur in der vorherigen Abgrenzung, sondern auch in der nachtr\u00e4glichen nachweisbaren Rechenschaft. Ein Auftragsverarbeiter, der zeigen kann, dass Verarbeitung ausschlie\u00dflich innerhalb schriftlich festgelegter Parameter erfolgt ist, st\u00e4rkt die Position des Verantwortlichen und reduziert das Risiko, dass Auslagerung als unkontrollierte \u00dcbertragung tats\u00e4chlicher Macht \u00fcber personenbezogene Daten angesehen wird.<\/p>\n<h4 data-start=\"12627\" data-end=\"12673\">Keine eigenst\u00e4ndige Bestimmung der Zwecke<\/h4>\n<p data-start=\"12675\" data-end=\"14061\">Der Auftragsverarbeiter bestimmt grunds\u00e4tzlich nicht eigenst\u00e4ndig die Zwecke und die wesentlichen Mittel der Verarbeitung. Dies unterscheidet ihn vom Verantwortlichen und bildet ein zentrales Element der Qualifikation nach der Datenschutz-Grundverordnung. Zweckbestimmung betrifft die Frage, warum personenbezogene Daten verarbeitet werden und welches Ergebnis mit der Verarbeitung erreicht werden soll. Wesentliche Mittel beziehen sich auf grundlegende Entscheidungen, etwa welche personenbezogenen Daten erforderlich sind, welche betroffenen Personen erfasst werden, wie lange Daten gespeichert werden, an wen Daten offengelegt werden und auf welcher Rechtsgrundlage die Verarbeitung erfolgt. Der Auftragsverarbeiter darf praktische oder technische Entscheidungen treffen, soweit diese in den Auftrag eingebettet sind; er darf jedoch nicht eigenst\u00e4ndig die normative Richtung der Verarbeitung bestimmen. Nutzt ein Anbieter beispielsweise Kundendaten zum Aufbau eigener Profile, kombiniert Datens\u00e4tze zur Verbesserung eigener Produkte, verwendet Daten f\u00fcr unabh\u00e4ngige Marketingzwecke oder entscheidet selbstst\u00e4ndig, dass Daten l\u00e4nger gespeichert werden, als es der Auftrag erfordert, kann sich seine Rolle in Richtung eines Verantwortlichen verschieben. Eine solche Verschiebung kann erhebliche Folgen f\u00fcr Haftung, Transparenz, Vertragsgestaltung, Aufsicht und Betroffenenrechte haben.<\/p>\n<p data-start=\"14063\" data-end=\"15382\">In der Praxis ist die Unterscheidung zwischen technischem Entscheidungsspielraum und eigenst\u00e4ndiger Zweckbestimmung h\u00e4ufig sensibel. Auftragsverarbeiter verf\u00fcgen oft \u00fcber spezialisiertes Fachwissen, das der Verantwortliche selbst nicht besitzt. Sie bestimmen, welche Sicherheitstechniken eingesetzt werden, wie Infrastruktur konfiguriert wird, wie Monitoring erfolgt, welche Backup-Strategie angewendet wird und wie Plattformfunktionen entwickelt werden. Dies macht sie nicht automatisch zu Verantwortlichen. Technische Fachkunde innerhalb eines Auftragsrahmens bleibt mit der Rolle des Auftragsverarbeiters vereinbar, solange die Verarbeitung dem vom Verantwortlichen bestimmten Zweck dient. Die Grenze wird \u00fcberschritten, wenn der Auftragsverarbeiter personenbezogene Daten f\u00fcr ein eigenes Interesse nutzt, das f\u00fcr die vereinbarte Dienstleistung nicht erforderlich ist, oder wenn er faktisch \u00fcber den Kern der Verarbeitung entscheidet. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalit\u00e4t muss diese Grenze sorgf\u00e4ltig \u00fcberwacht werden, weil Rollenunklarheit zu unklaren Verantwortlichkeiten bei Vorf\u00e4llen, Verletzungen des Schutzes personenbezogener Daten, unbefugten Zugriffen, \u00dcbermittlungen und Datenmissbrauch f\u00fchrt. Rollenunklarheit stellt in digitalen Ketten einen eigenst\u00e4ndigen Risikopunkt dar.<\/p>\n<p data-start=\"15384\" data-end=\"16904\">Vertr\u00e4ge, Due Diligence und operative Governance m\u00fcssen daher ausdr\u00fccklich untersuchen, welche Entscheidungen der Auftragsverarbeiter eigenst\u00e4ndig trifft und welche Entscheidungen den Weisungen des Verantwortlichen unterliegen. Allgemeine Begriffe wie \u201eServiceverbesserung\u201c, \u201eSecurity Analytics\u201c, \u201ePlattformoptimierung\u201c oder \u201eNutzererkenntnisse\u201c k\u00f6nnen rechtlich problematisch sein, wenn unklar ist, ob personenbezogene Daten hierf\u00fcr verwendet werden und aus welchem Grund. Auch Pseudonymisierung oder Aggregation beseitigen nicht automatisch jedes Risiko, insbesondere wenn Reidentifizierung oder Kombination mit anderen Datens\u00e4tzen m\u00f6glich bleibt. Der Verantwortliche muss beurteilen k\u00f6nnen, ob solche Formen der Verarbeitung noch innerhalb des Auftrags liegen oder gesonderte Rechtsgrundlagen, Transparenzpflichten und Rollenverteilungen erfordern. Ein Auftragsverarbeiter, der seine Rolle sauber h\u00e4lt, beschr\u00e4nkt die Nutzung personenbezogener Daten auf das f\u00fcr die Dienstleistung Erforderliche, legt zus\u00e4tzliche Verarbeitungen gesondert zur Bewertung vor und unterl\u00e4sst eigenst\u00e4ndige Verwertung ohne klare Rechtsgrundlage. Dadurch wird verhindert, dass Auslagerung schrittweise in geteilte oder eigenst\u00e4ndige Datenmacht \u00fcbergeht. F\u00fcr die Steuerung digitaler Kriminalit\u00e4t ist diese Klarheit von erheblicher Bedeutung, weil eindeutige Rollen bestimmen, wer handeln, melden, untersuchen, beheben und Rechenschaft ablegen muss, wenn personenbezogene Daten durch digitale Bedrohungen oder operative Fehler betroffen sind.<\/p>\n<h4 data-start=\"16906\" data-end=\"16961\">Pflicht zur Gew\u00e4hrleistung angemessener Sicherheit<\/h4>\n<p data-start=\"16963\" data-end=\"18218\">Die Pflicht zur Umsetzung geeigneter technischer und organisatorischer Ma\u00dfnahmen geh\u00f6rt zu den gewichtigsten Verantwortlichkeiten des Auftragsverarbeiters. Der Auftragsverarbeiter befindet sich h\u00e4ufig n\u00e4her an den tats\u00e4chlichen Systemen, Zugriffsrechten, Datenbanken, Schnittstellen, Protokollen, Cloud-Konfigurationen und Sicherheitsma\u00dfnahmen als der Verantwortliche. Dadurch hat er unmittelbaren Einfluss darauf, ob personenbezogene Daten gegen Verlust, unbefugten Zugriff, Zerst\u00f6rung, Ver\u00e4nderung, Exfiltration oder rechtswidrige Verarbeitung gesch\u00fctzt bleiben. Angemessene Sicherheit ist anhand von Risiko, Kontext, Stand der Technik, Implementierungskosten, Art der personenbezogenen Daten, Umfang der Verarbeitung und m\u00f6glichen Folgen f\u00fcr betroffene Personen zu beurteilen. Eine allgemeine Zusicherung, die Sicherheit sei \u201eangemessen\u201c, gen\u00fcgt nicht. Der Auftragsverarbeiter muss konkret nachweisen k\u00f6nnen, welche Ma\u00dfnahmen getroffen wurden, wie diese Ma\u00dfnahmen aufrechterhalten werden, wie Schwachstellen verfolgt werden, wie Zugriff begrenzt wird, wie Protokollierung erfolgt und wie Wiederherstellung nach einem Vorfall organisiert ist. Sicherheit ist daher kein Anhang der Dienstleistung, sondern eine Kernvoraussetzung rechtm\u00e4\u00dfiger Verarbeitung.<\/p>\n<p data-start=\"18220\" data-end=\"19612\">Im Rahmen des Integrierten Risikomanagements digitaler Kriminalit\u00e4t erh\u00e4lt diese Sicherheitspflicht eine zus\u00e4tzliche Dimension. Personenbezogene Daten sind h\u00e4ufig der Treibstoff digitaler Kriminalit\u00e4t. Zugangsdaten, Kopien von Ausweisdokumenten, Finanzdaten, Kontaktdaten, medizinische Informationen, Personalakten, Kundenprofile und Kommunikationsdaten k\u00f6nnen f\u00fcr Phishing, Identit\u00e4tsbetrug, Erpressung, Ransomware, Social Engineering, Konto\u00fcbernahmen und gezielte Angriffe auf Organisationen oder Einzelpersonen genutzt werden. Ein Auftragsverarbeiter, der schwache Authentifizierung zul\u00e4sst, unzureichende Segmentierung anwendet, Protokolle nicht \u00fcberwacht, Patchmanagement vernachl\u00e4ssigt oder Unterauftragsverarbeiter unzureichend kontrolliert, erh\u00f6ht nicht nur Datenschutzrisiken, sondern auch weitergehende Risiken digitaler Kriminalit\u00e4t. Angemessene Sicherheit muss daher als Kombination aus Pr\u00e4vention, Erkennung, Reaktion und Wiederherstellung verstanden werden. Pr\u00e4vention umfasst Ma\u00dfnahmen wie Verschl\u00fcsselung, Zugriffsbeschr\u00e4nkung, Multifaktor-Authentifizierung, Datenminimierung, H\u00e4rtung und sichere Konfiguration. Erkennung umfasst Monitoring, Protokollierung, Anomalieerkennung und Alarmierung. Reaktion umfasst Vorfallverfahren, Eskalation, Eind\u00e4mmung und forensische Sicherung. Wiederherstellung umfasst Backups, Kontinuit\u00e4tsma\u00dfnahmen, Wiederherstellungstests und Auswertung.<\/p>\n<p data-start=\"19614\" data-end=\"20993\">Bei der Auswahl und \u00dcberwachung eines Auftragsverarbeiters muss der Verantwortliche daher inhaltlich pr\u00fcfen, ob das Sicherheitsniveau zur Art der Verarbeitung passt. Zertifizierungen, Assurance-Berichte, Penetrationstests, Richtliniendokumente und Sicherheitserkl\u00e4rungen k\u00f6nnen relevant sein, d\u00fcrfen aber nicht unkritisch als ausreichender Nachweis akzeptiert werden. Die zentrale Frage bleibt, ob die Ma\u00dfnahmen der konkreten Verarbeitung entsprechen und ob der Auftragsverarbeiter in der Lage ist, Sicherheit w\u00e4hrend der gesamten Laufzeit der Dienstleistung aufrechtzuerhalten. Auch \u00c4nderungsmanagement ist dabei bedeutsam. Neue Funktionen, Migrationen, ge\u00e4nderte Unterauftragsverarbeiter, andere Speicherorte oder ver\u00e4nderte Zugriffsmodelle k\u00f6nnen das Risikoprofil wesentlich ver\u00e4ndern. Die Pflicht zu angemessener Sicherheit ist daher dynamisch: Was heute vertretbar ist, kann morgen aufgrund neuer Bedrohungen, technischer Schwachstellen oder ver\u00e4nderter Datenfl\u00fcsse unzureichend sein. Im Rahmen der Steuerung digitaler Kriminalit\u00e4t bedeutet dies, dass Sicherheit nicht auf vertragliche Garantien im Zeitpunkt der Unterzeichnung beschr\u00e4nkt bleiben darf. Kontinuierliche Bewertung, Berichterstattung, Vorfallanalyse und leitungsbezogene Nachverfolgung sind erforderlich, um zu verhindern, dass der Auftragsverarbeiter zum Schwachpunkt beim Schutz personenbezogener Daten wird.<\/p>\n<h4 data-start=\"20995\" data-end=\"21033\">Geheimhaltung und Vertraulichkeit<\/h4>\n<p data-start=\"21035\" data-end=\"22316\">Geheimhaltung und Vertraulichkeit bilden eine grundlegende Schutzschicht in jedem Auftragsverarbeitungsverh\u00e4ltnis. Der Auftragsverarbeiter muss gew\u00e4hrleisten, dass Personen, die zum Zugriff auf personenbezogene Daten befugt sind, einer angemessenen Vertraulichkeitspflicht unterliegen. Diese Pflicht betrifft nicht nur festangestellte Mitarbeitende, sondern auch tempor\u00e4re Kr\u00e4fte, externe Spezialisten, Supportmitarbeiter, Administratoren, Entwickler, Berater und andere Personen, die \u00fcber den Auftragsverarbeiter Zugang zu personenbezogenen Daten erhalten k\u00f6nnen. Vertraulichkeit ist mehr als eine Klausel in einem Arbeitsvertrag oder einem allgemeinen Verhaltenskodex. Sie betrifft eine tats\u00e4chliche Begrenzung von Zugriff, Kenntnisnahme und Nutzung. Nur Personen, die personenbezogene Daten zur Durchf\u00fchrung des Auftrags ben\u00f6tigen, d\u00fcrfen Zugriff erhalten, und dieser Zugriff muss beschr\u00e4nkt, protokolliert und kontrolliert werden. Ohne solche Ma\u00dfnahmen bleibt Vertraulichkeit eine rein dokumentarische Garantie. Die Datenschutz-Grundverordnung verlangt, dass Vertraulichkeit praktisch eingebettet wird, etwa durch Berechtigungsmanagement, rollenbasierte Zugriffe, Schulungen, Protokollierung, Zugriffs\u00fcberpr\u00fcfungen sowie disziplinarische oder vertragliche Folgen bei Verst\u00f6\u00dfen.<\/p>\n<p data-start=\"22318\" data-end=\"23656\">Die Bedeutung der Vertraulichkeit ist besonders hoch in digitalen Umgebungen, in denen Zugriff auf personenbezogene Daten aus der Ferne \u00fcber Supportportale, Verwaltungstools, Schnittstellen oder Administratorkonten erfolgen kann. Ein Mitarbeiter eines Auftragsverarbeiters kann mitunter in kurzer Zeit Zugriff auf gro\u00dfe Mengen sensibler Daten erhalten. Eine einzelne Schw\u00e4che bei Autorisierung, Personenpr\u00fcfung oder Aufsicht kann daher erheblichen Schaden verursachen. Vertraulichkeit steht somit in unmittelbarem Zusammenhang mit Insider-Risiken, Verletzungen des Schutzes personenbezogener Daten, Social Engineering und Missbrauch administrativer Rechte. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalit\u00e4t muss Geheimhaltung mit einer breiteren Steuerung digitaler Kriminalit\u00e4t verbunden werden. Das Risiko beschr\u00e4nkt sich nicht auf externe Angreifer, die in Systeme eindringen; auch interner oder halbinterner Zugriff kann missbraucht, erzwungen oder unzureichend \u00fcberwacht werden. Dazu geh\u00f6ren unbefugte Einsichtnahme, rechtswidrige Exporte, Datenmanipulation, Verkauf von Informationen, nachl\u00e4ssige Behandlung von Kundendaten oder Missbrauch von Supportrechten. Eine ernsthafte Vertraulichkeitspflicht verlangt daher eine Kombination aus rechtlicher Bindung, organisatorischer Disziplin und technischer Beschr\u00e4nkung.<\/p>\n<p data-start=\"23658\" data-end=\"25078\" data-is-last-node=\"\" data-is-only-node=\"\">Der Auftragsverarbeiter muss nachweisen k\u00f6nnen, dass Vertraulichkeit innerhalb der eigenen Organisation und in der Kette der Unterauftragsverarbeiter gew\u00e4hrleistet ist. Das bedeutet, dass Vertraulichkeitspflichten vertraglich dokumentiert sein m\u00fcssen, aber auch, dass Zugriffe auf personenbezogene Daten regelm\u00e4\u00dfig \u00fcberpr\u00fcft werden, das Ende eines Besch\u00e4ftigungsverh\u00e4ltnisses rasch zum Entzug von Berechtigungen f\u00fchrt, privilegierter Zugriff streng verwaltet wird und au\u00dfergew\u00f6hnliche Zugriffe protokolliert und bewertet werden. Auch Schulung spielt eine wichtige Rolle. Personen mit Zugriff auf personenbezogene Daten m\u00fcssen verstehen, welche Daten verarbeitet werden, welche Beschr\u00e4nkungen gelten, wie Phishing und Social Engineering erkannt werden, wie Vorf\u00e4lle zu melden sind und welche Folgen eine unbefugte Verarbeitung haben kann. Vertraulichkeit ist daher keine statische Pflicht, sondern ein aktiver Kontrollprozess. Ein Auftragsverarbeiter, der Vertraulichkeit ernst nimmt, beschr\u00e4nkt Zugriff auf das unbedingt Erforderliche, \u00fcberwacht diesen Zugriff fortlaufend und schafft eine nachweisbare Kultur der Sorgfalt im Umgang mit personenbezogenen Daten. Dadurch wird das Auftragsverarbeitungsverh\u00e4ltnis nicht nur rechtlich gest\u00e4rkt, sondern auch widerstandsf\u00e4higer gegen\u00fcber Risiken digitaler Kriminalit\u00e4t, die aus menschlichen Fehlern, internen Schwachstellen und dem Missbrauch operativer Befugnisse entstehen.<\/p>\n<h4 data-start=\"0\" data-end=\"60\">Einsatz von Unterauftragsverarbeitern unter Bedingungen<\/h4>\n<p data-start=\"62\" data-end=\"1432\">Der Einsatz von Unterauftragsverarbeitern geh\u00f6rt zu den sensibelsten Aspekten des Auftragsverarbeitungsverh\u00e4ltnisses, weil personenbezogene Daten dadurch nicht mehr ausschlie\u00dflich innerhalb der unmittelbaren operativen Sph\u00e4re des prim\u00e4ren Auftragsverarbeiters verbleiben. Jeder Unterauftragsverarbeiter f\u00fcgt der Datenverarbeitungskette ein weiteres Glied hinzu und damit einen weiteren Punkt, an dem Vertraulichkeit, Verf\u00fcgbarkeit, Integrit\u00e4t, \u00dcbermittlung, Sicherheit und Kontrolle beeintr\u00e4chtigt werden k\u00f6nnen. Die Datenschutz-Grundverordnung verlangt deshalb, dass ein Auftragsverarbeiter nicht frei weitere Auftragsverarbeiter einsetzen darf, ohne dass eine vorherige Genehmigung vorliegt oder ein vertraglicher Rahmen besteht, der dasselbe Schutzniveau gew\u00e4hrleistet wie das urspr\u00fcngliche Auftragsverarbeitungsverh\u00e4ltnis. Diese Anforderung ist von grundlegender Bedeutung, weil der Verantwortliche nicht nachtr\u00e4glich mit einer tats\u00e4chlichen Kette von Lieferanten, Hosting-Anbietern, Supportdienstleistern, Infrastrukturpartnern oder ausl\u00e4ndischen Konzerngesellschaften konfrontiert werden darf, \u00fcber die zuvor keine Transparenz bestand. Der Einsatz von Unterauftragsverarbeitern ver\u00e4ndert die Risikostruktur: Wo zun\u00e4chst eine einzelne Vertragsbeziehung bestand, entsteht eine Kette, in der jedes Glied den Schutz personenbezogener Daten st\u00e4rken oder schw\u00e4chen kann.<\/p>\n<p data-start=\"1434\" data-end=\"2802\">In der Praxis ist Unterauftragsverarbeitung h\u00e4ufig in moderne digitale Dienstleistungen eingebettet. Cloud-Anbieter arbeiten mit Rechenzentren, Content-Delivery-Netzwerken, Supportstandorten, Sicherheitsanbietern, Analysekomponenten und Softwaremodulen Dritter. SaaS-Plattformen k\u00f6nnen auf externes Hosting, E-Mail-Anbieter, Protokollierungsdienste, Monitoring-Tools, Authentifizierungsl\u00f6sungen und Kundensupport-Dienstleister zur\u00fcckgreifen. Dadurch kann ein scheinbar einfaches Auftragsverarbeitungsverh\u00e4ltnis tats\u00e4chlich auf einer internationalen und technisch vielschichtigen Kette beruhen. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalit\u00e4t muss diese Kette sichtbar, bewertbar und vertraglich kontrollierbar sein. Relevant ist nicht nur die Identit\u00e4t des Unterauftragsverarbeiters, sondern auch die Funktion, die diese Partei erf\u00fcllt, die betroffenen Kategorien personenbezogener Daten, der Ort der Verarbeitung, die eingesetzten Sicherheitsma\u00dfnahmen, etwaige \u00dcbermittlungen au\u00dferhalb des Europ\u00e4ischen Wirtschaftsraums, die Verfahren zur Meldung von Vorf\u00e4llen sowie die M\u00f6glichkeiten zur Pr\u00fcfung oder Verifizierung. Ohne diese Informationen kann der Verantwortliche nicht beurteilen, ob der Einsatz des Unterauftragsverarbeiters mit den eigenen Datenschutzpflichten und mit dem breiteren Rahmen der Steuerung digitaler Kriminalit\u00e4t vereinbar ist.<\/p>\n<p data-start=\"2804\" data-end=\"4328\">Eine sorgf\u00e4ltig formulierte Regelung zu Unterauftragsverarbeitern erfordert daher mehr als eine allgemeine Genehmigungsklausel in einem Standardvertrag. Erforderlich ist, dass der Verantwortliche vorab oder regelm\u00e4\u00dfig eine aktuelle \u00dcbersicht \u00fcber Unterauftragsverarbeiter erh\u00e4lt, dass wesentliche \u00c4nderungen rechtzeitig angek\u00fcndigt werden und dass ein Widerspruch m\u00f6glich ist, wenn ein neuer Unterauftragsverarbeiter ein unannehmbares Risiko begr\u00fcndet. Der prim\u00e4re Auftragsverarbeiter muss au\u00dferdem vertraglich sicherstellen, dass jeder Unterauftragsverarbeiter gleichwertigen Verpflichtungen in Bezug auf Sicherheit, Vertraulichkeit, Weisungen, Reaktion auf Vorf\u00e4lle, L\u00f6schung, \u00dcbermittlungen und Zusammenarbeit unterliegt. Die Verantwortung f\u00fcr eine ordnungsgem\u00e4\u00df kontrollierte Kette endet nicht mit der blo\u00dfen Weitergabe vertraglicher Bestimmungen. Ein Auftragsverarbeiter, der Unterauftragsverarbeiter einsetzt, muss nachweisen k\u00f6nnen, dass die Auswahl sorgf\u00e4ltig erfolgt ist, Risiken bewertet wurden, Schutzma\u00dfnahmen \u00fcberwacht werden und M\u00e4ngel wirksam nachverfolgt werden k\u00f6nnen. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalit\u00e4t ist dies wesentlich, weil sich Risiken digitaler Kriminalit\u00e4t h\u00e4ufig \u00fcber das schw\u00e4chste Glied einer Kette verwirklichen. Ein starker prim\u00e4rer Auftragsverarbeiter verliert erheblich an Wert, wenn ein unzureichend kontrollierter Unterauftragsverarbeiter ohne gleichwertige Garantien Zugriff auf personenbezogene Daten, Protokolldaten, Backups oder Verwaltungssysteme hat.<\/p>\n<h4 data-start=\"4330\" data-end=\"4391\">Unterst\u00fctzung bei der Wahrnehmung von Betroffenenrechten<\/h4>\n<p data-start=\"4393\" data-end=\"5552\">Der Auftragsverarbeiter spielt eine wichtige unterst\u00fctzende Rolle bei der Wahrnehmung der Rechte betroffener Personen. Rechte auf Auskunft, Berichtigung, L\u00f6schung, Einschr\u00e4nkung der Verarbeitung, Daten\u00fcbertragbarkeit und Widerspruch k\u00f6nnen formal an den Verantwortlichen gerichtet werden, ihre praktische Umsetzung h\u00e4ngt jedoch h\u00e4ufig von Systemen und Datenumgebungen ab, die vom Auftragsverarbeiter verwaltet werden. Werden personenbezogene Daten in Cloud-Systemen, Anwendungsdatenbanken, Backup-Umgebungen, Kundenportalen, Protokolldateien oder technischen Supportsystemen gespeichert, kann der Verantwortliche ein Ersuchen einer betroffenen Person ohne Mitwirkung des Auftragsverarbeiters nicht vollst\u00e4ndig oder fristgerecht bearbeiten. Die Unterst\u00fctzungspflicht des Auftragsverarbeiters ist daher nicht lediglich akzessorisch, sondern betrifft unmittelbar die praktische Wirksamkeit datenschutzrechtlicher Rechte. Ein Recht, das rechtlich besteht, technisch jedoch nicht innerhalb angemessener Frist umgesetzt werden kann, verliert einen erheblichen Teil seiner Bedeutung und kann zu Beschwerden, aufsichtsrechtlichen Risiken und Vertrauensverlust f\u00fchren.<\/p>\n<p data-start=\"5554\" data-end=\"6856\">Diese Pflicht erfordert im Voraus eingerichtete Prozesse. Es gen\u00fcgt nicht, wenn ein Auftragsverarbeiter erst nach Eingang eines konkreten Ersuchens pr\u00fcft, ob Daten lokalisiert, exportiert, berichtigt oder gel\u00f6scht werden k\u00f6nnen. Systeme, Prozesse und vertragliche Vereinbarungen m\u00fcssen die Rechte betroffener Personen von Beginn an ber\u00fccksichtigen. Das bedeutet, dass personenbezogene Daten auffindbar sein m\u00fcssen, Datenkategorien hinreichend klassifiziert sein m\u00fcssen, Exportfunktionen vorhanden sein m\u00fcssen, L\u00f6schung technisch durchf\u00fchrbar sein muss, Einschr\u00e4nkungen angewendet werden k\u00f6nnen und klar sein muss, welche Daten sich in aktiven Systemen, Archiven, Backups, Protokollierungsumgebungen und Ketten von Unterauftragsverarbeitern befinden. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalit\u00e4t ist diese Operationalisierung von erheblicher Bedeutung. Die Unf\u00e4higkeit, Daten rechtzeitig zu lokalisieren oder zu berichtigen, kann nicht nur zu einer Verletzung von Datenschutzrechten f\u00fchren, sondern auch zu fehlerhaften Entscheidungen, Fehlidentifikationen, betrugsanf\u00e4lligen Kundenprozessen, unberechtigten Warnmeldungen oder erh\u00f6hten Risiken digitaler Kriminalit\u00e4t. Datenqualit\u00e4t, Nachverfolgbarkeit und wirksame Rechtsaus\u00fcbung sind daher eng mit digitaler Integrit\u00e4t verbunden.<\/p>\n<p data-start=\"6858\" data-end=\"8361\">Der Auftragsverarbeitungsvertrag muss konkret regeln, wie die Unterst\u00fctzung bei Betroffenenrechten erfolgt, innerhalb welcher Fristen der Auftragsverarbeiter zu reagieren hat, welche Kommunikationskan\u00e4le genutzt werden, welche Kosten gegebenenfalls berechnet werden k\u00f6nnen, wie die Identit\u00e4tspr\u00fcfung behandelt wird und wie sichergestellt wird, dass der Auftragsverarbeiter keine inhaltlichen Entscheidungen trifft, die dem Verantwortlichen vorbehalten sind. Der Auftragsverarbeiter muss Unterst\u00fctzung leisten, darf jedoch ohne Weisung nicht entscheiden, ob ein Ersuchen zu erf\u00fcllen oder abzulehnen ist, sofern nicht besondere vertragliche Vereinbarungen und rechtliche Parameter dies zulassen. Ebenso muss gew\u00e4hrleistet sein, dass Ersuchen, die unmittelbar beim Auftragsverarbeiter eingehen, unverz\u00fcglich weitergeleitet oder gem\u00e4\u00df vorab festgelegten Weisungen behandelt werden. In einem ordnungsgem\u00e4\u00df kontrollierten Rahmen wird jedes Ersuchen als Test von Datenqualit\u00e4t, Systemgestaltung und Rechenschaftspflicht verstanden. Ist eine Organisation von einem Auftragsverarbeiter abh\u00e4ngig, der keinen verl\u00e4sslichen Export, keine gezielten Suchm\u00f6glichkeiten oder keine \u00fcberpr\u00fcfbare L\u00f6schung bereitstellen kann, entsteht eine strukturelle Schwachstelle. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalit\u00e4t muss der Auftragsverarbeiter daher danach bewertet werden, in welchem Ma\u00dfe seine technische Dienstleistung tats\u00e4chlich zu Transparenz, Kontrollierbarkeit und rechtlichem Schutz beitr\u00e4gt.<\/p>\n<h4 data-start=\"8363\" data-end=\"8440\">Mitwirkung bei Sicherheit, Vorf\u00e4llen und Datenschutz-Folgenabsch\u00e4tzungen<\/h4>\n<p data-start=\"8442\" data-end=\"9679\">Der Auftragsverarbeiter muss den Verantwortlichen bei der Erf\u00fcllung von Pflichten im Zusammenhang mit Sicherheit, Verletzungen des Schutzes personenbezogener Daten, Risikoanalysen und Datenschutz-Folgenabsch\u00e4tzungen unterst\u00fctzen. Diese Mitwirkungspflicht folgt aus der Stellung des Auftragsverarbeiters als Partei, die h\u00e4ufig den unmittelbarsten Einblick in technische Umgebungen, Zugriffsprotokolle, Konfigurationen, Schwachstellen, Systemmeldungen, Supportaktivit\u00e4ten und operative Vorf\u00e4lle hat. Der Verantwortliche kann rechtlich verpflichtet sein, Sicherheitsma\u00dfnahmen zu bewerten, Verletzungen des Schutzes personenbezogener Daten rechtzeitig zu melden oder eine Datenschutz-Folgenabsch\u00e4tzung durchzuf\u00fchren; daf\u00fcr ben\u00f6tigt er jedoch Informationen, die sich h\u00e4ufig beim Auftragsverarbeiter befinden. Ein Auftragsverarbeiter, der unzureichende oder versp\u00e4tete Informationen liefert, kann den Verantwortlichen in eine Lage bringen, in der gesetzliche Fristen nicht eingehalten werden, Risiken nicht vollst\u00e4ndig verstanden werden und Abhilfema\u00dfnahmen nicht ausreichend begr\u00fcndet sind. Mitwirkung ist daher keine Frage der H\u00f6flichkeit, sondern eine notwendige Voraussetzung f\u00fcr rechtm\u00e4\u00dfiges, \u00fcberpr\u00fcfbares und wirksames Risikomanagement.<\/p>\n<p data-start=\"9681\" data-end=\"11070\">Bei Sicherheitsvorf\u00e4llen ist Geschwindigkeit von besonderer Bedeutung. Eine Verletzung des Schutzes personenbezogener Daten oder ein Cybervorfall kann sich schneller entwickeln, als rechtliche Entscheidungsprozesse reagieren k\u00f6nnen. Ransomware, Diebstahl von Zugangsdaten, unbefugter Zugriff, Malware, Fehlkonfigurationen, API-Missbrauch oder Exfiltration k\u00f6nnen innerhalb kurzer Zeit erhebliche Folgen f\u00fcr betroffene Personen und Organisationen ausl\u00f6sen. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalit\u00e4t muss deshalb im Voraus klar sein, welche Ereignisse als Vorf\u00e4lle gelten, wann eine Eskalation verpflichtend ist, welche Informationen der Auftragsverarbeiter bereitstellen muss, welche forensischen Daten zu sichern sind, wer kommunikationsbefugt ist, welche Eind\u00e4mmungsma\u00dfnahmen gelten und wie Beweise gesichert werden. Dabei geht es nicht nur um die formale Meldung einer Verletzung des Schutzes personenbezogener Daten, sondern auch um die Qualit\u00e4t der tats\u00e4chlichen Rekonstruktion. Ohne Protokollierung, Zeitachsen, technische Analyse, Folgenabsch\u00e4tzung und Einblick in betroffene Datens\u00e4tze kann der Verantwortliche nicht beurteilen, ob eine Meldung an die Aufsichtsbeh\u00f6rde oder an betroffene Personen erforderlich ist. Der Auftragsverarbeiter spielt daher eine entscheidende Rolle beim \u00dcbergang von einer technischen St\u00f6rung zu einer rechtlichen Qualifikation.<\/p>\n<p data-start=\"11072\" data-end=\"12664\">Der Auftragsverarbeiter muss au\u00dferdem in der Lage sein, substantielle Informationen f\u00fcr Datenschutz-Folgenabsch\u00e4tzungen und breitere Risikoanalysen bereitzustellen. Kann eine Verarbeitung voraussichtlich ein hohes Risiko f\u00fcr die Rechte und Freiheiten betroffener Personen mit sich bringen, kann eine Datenschutz-Folgenabsch\u00e4tzung erforderlich sein. Der Verantwortliche bleibt daf\u00fcr prim\u00e4r verantwortlich, der Auftragsverarbeiter muss jedoch Informationen \u00fcber Systemfunktionen, Sicherheitsma\u00dfnahmen, Datenfl\u00fcsse, Zugriffsmanagement, Aufbewahrungsfristen, Unterauftragsverarbeiter, \u00dcbermittlungen und technische Beschr\u00e4nkungen bereitstellen k\u00f6nnen. Diese Informationen m\u00fcssen hinreichend konkret sein, um eine tats\u00e4chliche Risikobewertung zu erm\u00f6glichen. Allgemeine Compliance-Erkl\u00e4rungen oder Marketingunterlagen reichen hierf\u00fcr nicht aus. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalit\u00e4t ist die Datenschutz-Folgenabsch\u00e4tzung zudem als mehr zu verstehen als eine datenschutzrechtliche Formalit\u00e4t. Sie ist ein Instrument, um Risiken digitaler Kriminalit\u00e4t, Missbrauchsszenarien, Abh\u00e4ngigkeiten, Schwachstellen und Reaktionsf\u00e4higkeiten systematisch zu untersuchen. Der Auftragsverarbeiter darf sich daher nicht darauf beschr\u00e4nken, Fragen zu beantworten, sondern muss aktiv zum Verst\u00e4ndnis der tats\u00e4chlichen Funktionsweise der Technologie beitragen. Ein Auftragsverarbeiter, der keine Transparenz \u00fcber kritische Prozesse bietet oder keine angemessenen Informationen zu Vorf\u00e4llen liefern kann, stellt ein Governance-Risiko dar, das bereits vor Vertragsschluss zu bewerten ist.<\/p>\n<h4 data-start=\"12666\" data-end=\"12738\">L\u00f6schung oder R\u00fcckgabe der Daten nach Beendigung der Dienstleistung<\/h4>\n<p data-start=\"12740\" data-end=\"13871\">Nach Beendigung der Dienstleistungen muss der Auftragsverarbeiter personenbezogene Daten je nach Weisungen, vertraglichen Vereinbarungen und etwaigen gesetzlichen Aufbewahrungspflichten l\u00f6schen oder an den Verantwortlichen zur\u00fcckgeben. Diese Pflicht ist von gro\u00dfer Bedeutung, weil das Ende einer Dienstleistungsbeziehung nicht automatisch bedeutet, dass personenbezogene Daten tats\u00e4chlich aus den Systemen verschwinden. Daten k\u00f6nnen in Produktionsumgebungen, Backups, Archiven, Testumgebungen, Protokolldateien, Supporttickets, Replikaten, Exporten, tempor\u00e4ren Speichern, Disaster-Recovery-Umgebungen oder Systemen von Unterauftragsverarbeitern verbleiben. Ohne klare Exit-Regelungen besteht das Risiko, dass personenbezogene Daten nach Beendigung der Beziehung weiterhin zug\u00e4nglich, verwundbar oder rechtswidrig gespeichert bleiben. Die Beendigungsphase ist daher ein kritischer Moment im Lebenszyklus der Datenverarbeitung. W\u00e4hrend Vertr\u00e4ge h\u00e4ufig erhebliche Aufmerksamkeit auf den Beginn der Dienstleistungen richten, verlangt das Integrierte Risikomanagement digitaler Kriminalit\u00e4t auch eine pr\u00e4zise Regelung ihres Abschlusses.<\/p>\n<p data-start=\"13873\" data-end=\"15093\">Ein sorgf\u00e4ltiger Exit-Prozess muss im Voraus gestaltet werden und darf nicht erst improvisiert werden, wenn die Beziehung bereits unter Druck steht oder die Beendigung schon mitgeteilt wurde. Der Verantwortliche muss bestimmen k\u00f6nnen, ob personenbezogene Daten zur\u00fcckgegeben werden, in welchem Format, innerhalb welcher Frist, \u00fcber welchen sicheren Kanal, mit welcher Verifizierung und mit welchen Garantien zur Vollst\u00e4ndigkeit. Wird L\u00f6schung verlangt, muss klar sein, welche Systeme betroffen sind, wie die L\u00f6schung durchgef\u00fchrt wird, wie Unterauftragsverarbeiter einbezogen werden, wie Backups behandelt werden und wie nachgewiesen wird, dass die Daten f\u00fcr die gew\u00f6hnliche Verarbeitung nicht mehr verf\u00fcgbar sind. Backups erfordern besondere Aufmerksamkeit, weil eine sofortige physische L\u00f6schung in bestimmten F\u00e4llen technisch komplex sein kann. In diesem Fall m\u00fcssen Vereinbarungen \u00fcber Isolierung, Ausschluss aktiver Nutzung, automatische \u00dcberschreibung, Aufbewahrungsfristen und Wiederherstellungsbeschr\u00e4nkungen bestehen. Ohne diese Pr\u00e4zision kann sich ein Auftragsverarbeiter auf technische Beschr\u00e4nkungen berufen, w\u00e4hrend personenbezogene Daten tats\u00e4chlich l\u00e4nger fortbestehen, als erforderlich oder zul\u00e4ssig ist.<\/p>\n<p data-start=\"15095\" data-end=\"16467\">Die Pflicht zur L\u00f6schung oder R\u00fcckgabe von Daten ist auch f\u00fcr die Steuerung digitaler Kriminalit\u00e4t relevant. Verbleibende Datens\u00e4tze stellen attraktive Ziele f\u00fcr Angreifer dar, insbesondere wenn sie au\u00dferhalb aktiver \u00dcberwachung oder regul\u00e4rer Sicherheitsprozesse liegen. Alte Exporte, Migrationsdateien, Backups oder Testkopien k\u00f6nnen sensible personenbezogene Daten enthalten, ohne dass der Organisation noch bewusst ist, dass diese Daten existieren. Dies erh\u00f6ht das Risiko von Verletzungen des Schutzes personenbezogener Daten, Identit\u00e4tsbetrug, unbefugtem Zugriff und Missbrauch. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalit\u00e4t muss Datenspeicherung daher nicht nur als Frage von Aufbewahrungsfristen, sondern auch als Risikofrage betrachtet werden. Je l\u00e4nger personenbezogene Daten unn\u00f6tig fortbestehen, desto gr\u00f6\u00dfer wird die Angriffsfl\u00e4che und desto schwieriger wird es, Kontrolle aufrechtzuerhalten. Ein Auftragsverarbeiter muss deshalb nachweisen k\u00f6nnen, dass die Beendigung der Beziehung zu einem kontrollierten Abschluss, einer sicheren \u00dcbertragung, einer nachweisbaren L\u00f6schung und dem Entzug von Zugriffsrechten f\u00fchrt. Eine klare Exit-Regelung sch\u00fctzt nicht nur die rechtliche Position des Verantwortlichen, sondern verhindert auch, dass ausgelagerte Datenverarbeitung nach Beendigung der Beziehung als verborgene Schwachstelle fortbesteht.<\/p>\n<h4 data-start=\"16469\" data-end=\"16514\">Nachweisbarkeit und Pr\u00fcfungsbereitschaft<\/h4>\n<p data-start=\"16516\" data-end=\"17646\">Nachweisbarkeit bildet die abschlie\u00dfende Sicherung der Pflichten des Auftragsverarbeiters. Ein Auftragsverarbeiter muss ausreichende Informationen zur Verf\u00fcgung stellen, um die Einhaltung der Datenschutz-Grundverordnung und des Auftragsverarbeitungsvertrags \u00fcberpr\u00fcfen zu k\u00f6nnen. Diese Pflicht steht im Zusammenhang mit dem umfassenderen Grundsatz der Rechenschaftspflicht: Nicht nur die Einhaltung der Regeln ist erforderlich, sondern auch die F\u00e4higkeit, diese Einhaltung \u00fcberzeugend nachzuweisen. F\u00fcr den Verantwortlichen ist dies wesentlich, weil die formale Verantwortung auch dann bestehen bleibt, wenn die Verarbeitung ausgelagert wurde. Ohne Zugang zu relevanten Informationen kann nicht festgestellt werden, ob der Auftragsverarbeiter Weisungen einh\u00e4lt, angemessene Sicherheit anwendet, Unterauftragsverarbeiter sorgf\u00e4ltig verwaltet, Vorf\u00e4lle rechtzeitig meldet, bei Betroffenenrechten unterst\u00fctzt und Daten nach Beendigung der Beziehung ordnungsgem\u00e4\u00df l\u00f6scht. Nachweisbarkeit ist daher keine verwaltungstechnische Nebensache, sondern eine Voraussetzung f\u00fcr leitungsbezogene Kontrolle und rechtliche Verteidigungsf\u00e4higkeit.<\/p>\n<p data-start=\"17648\" data-end=\"19021\">Pr\u00fcfungsbereitschaft muss praktisch und verh\u00e4ltnism\u00e4\u00dfig ausgestaltet sein. Sie kann in Form periodischer Berichte, Zertifizierungen, Assurance-Erkl\u00e4rungen, Sicherheitsberichte, Ergebnisse von Penetrationstests, Informationen zu Datenschutz-Folgenabsch\u00e4tzungen, \u00dcbersichten \u00fcber Unterauftragsverarbeiter, Vorfallberichte, Richtliniendokumente, technische Erkl\u00e4rungen oder gezielte Pr\u00fcfungen erfolgen. Die genaue Form h\u00e4ngt von der Art der Verarbeitung, dem Risikoprofil, der Sensibilit\u00e4t der Daten und der Stellung des Auftragsverarbeiters ab. Eine gro\u00df angelegte oder risikoreiche Verarbeitung kann gr\u00f6\u00dfere Tiefe erfordern als eine begrenzte administrative Unterst\u00fctzung. Zugleich darf Pr\u00fcfungsbereitschaft nicht durch zu weitgehende Beschr\u00e4nkungen, einseitiges Ermessen des Auftragsverarbeiters oder ausschlie\u00dflich generische Dokumentation ausgeh\u00f6hlt werden. Ein Pr\u00fcfmechanismus muss den Verantwortlichen tats\u00e4chlich in die Lage versetzen, angemessene Sicherheit \u00fcber die Einhaltung zu erlangen. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalit\u00e4t darf sich Pr\u00fcfungsinformation zudem nicht auf Datenschutzerkl\u00e4rungen beschr\u00e4nken, sondern muss Einblick in Risiken digitaler Kriminalit\u00e4t, Sicherheitsvorf\u00e4lle, Zugriffsmanagement, Schwachstellen, Wiederherstellungsf\u00e4higkeit, Ketten von Unterauftragsverarbeitern und relevante operative Abh\u00e4ngigkeiten bieten.<\/p>\n<p data-start=\"19023\" data-end=\"20327\" data-is-last-node=\"\" data-is-only-node=\"\">Eine starke Pr\u00fcfungs- und Rechenschaftsstruktur st\u00e4rkt die gesamte Datenverarbeitungskette. Sie macht sichtbar, wo Risiken entstehen, welche Verbesserungsma\u00dfnahmen erforderlich sind und welche vertraglichen Vereinbarungen nachgesch\u00e4rft werden m\u00fcssen. Ein Auftragsverarbeiter, der zu Transparenz, \u00dcberpr\u00fcfung und korrigierender Nachverfolgung bereit ist, zeigt damit, dass Datenschutz nicht als blo\u00dfe vertragliche Pflicht behandelt wird, sondern als Bestandteil professioneller digitaler Dienstleistung. F\u00fcr den Verantwortlichen entsteht dadurch eine besser verteidigungsf\u00e4hige Position gegen\u00fcber Aufsichtsbeh\u00f6rden, betroffenen Personen, Leitungsorganen, Kunden und anderen Stakeholdern. Mangelnde Pr\u00fcfungsbereitschaft ist demgegen\u00fcber ein ernstes Warnsignal. Ein Auftragsverarbeiter, der keinen Einblick in Sicherheit, Unterauftragsverarbeiter, Vorf\u00e4lle oder Compliance gew\u00e4hren will, verlangt im Ergebnis Vertrauen ohne Kontrolle. In einem Umfeld zunehmender Risiken digitaler Kriminalit\u00e4t ist dies unzureichend. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalit\u00e4t muss der Auftragsverarbeiter daher nicht nur weisungsgem\u00e4\u00df verarbeiten, sondern auch nachweisen k\u00f6nnen, dass diese Verarbeitung rechtm\u00e4\u00dfig, sicher, kontrollierbar und \u00fcber die gesamte Kette hinweg widerstandsf\u00e4hig erfolgt.<\/p>\n\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-da7caba elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"da7caba\" data-element_type=\"section\" data-e-type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-77c1ed1\" data-id=\"77c1ed1\" data-element_type=\"column\" data-e-type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-2a5f3f8 elementor-widget elementor-widget-spacer\" data-id=\"2a5f3f8\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"spacer.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<div class=\"elementor-spacer\">\n\t\t\t<div class=\"elementor-spacer-inner\"><\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-45f79ed elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"45f79ed\" data-element_type=\"section\" data-e-type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-9b886fb\" data-id=\"9b886fb\" data-element_type=\"column\" data-e-type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-75f6e08 elementor-widget elementor-widget-post-grid\" data-id=\"75f6e08\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"post-grid.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\r\n\r\n<div class=\"blog-container blog-container-grid\">\r\n    \r\n    <div class=\"wi-blog fox-blog blog-grid fox-grid blog-card-has-shadow blog-card-normal column-3 spacing-normal\">\r\n    \r\n    \n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-10351 post type-post status-publish format-standard has-post-thumbnail hentry category-die-rolle-des-rechtanwaltes\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/de\/ueber\/die-rolle-des-rechtanwaltes\/pravention\/\" rel=\"bookmark\">        \r\n        Pr\u00e4vention\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-10353 post type-post status-publish format-standard has-post-thumbnail hentry category-die-rolle-des-rechtanwaltes\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/de\/ueber\/die-rolle-des-rechtanwaltes\/erkennung\/\" rel=\"bookmark\">        \r\n        Erkennung\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-10355 post type-post status-publish format-standard has-post-thumbnail hentry category-die-rolle-des-rechtanwaltes\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/de\/ueber\/die-rolle-des-rechtanwaltes\/untersuchung\/\" rel=\"bookmark\">        \r\n        Untersuchung\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-10357 post type-post status-publish format-standard has-post-thumbnail hentry category-die-rolle-des-rechtanwaltes\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/de\/ueber\/die-rolle-des-rechtanwaltes\/reaktion\/\" rel=\"bookmark\">        \r\n        Reaktion\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-10359 post type-post status-publish format-standard has-post-thumbnail hentry category-die-rolle-des-rechtanwaltes\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/de\/ueber\/die-rolle-des-rechtanwaltes\/beratung\/\" rel=\"bookmark\">        \r\n        Beratung\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-21689 post type-post status-publish format-standard has-post-thumbnail hentry category-die-rolle-des-rechtanwaltes\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/de\/ueber\/die-rolle-des-rechtanwaltes\/prozessfuehrung\/\" rel=\"bookmark\">        \r\n        Prozessf\u00fchrung\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-21691 post type-post status-publish format-standard has-post-thumbnail hentry category-die-rolle-des-rechtanwaltes\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/de\/ueber\/die-rolle-des-rechtanwaltes\/verhandlung\/\" rel=\"bookmark\">        \r\n        Verhandlung\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->        \r\n            \r\n    <\/div><!-- .fox-blog -->\r\n    \r\n        \r\n<\/div><!-- .fox-blog-container -->\r\n\r\n    \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"<p>Der Auftragsverarbeiter nimmt im Rahmen der Datenschutz-Grundverordnung eine Stellung ein, die weit \u00fcber das traditionelle Bild eines externen Dienstleisters hinausgeht, der lediglich technische T\u00e4tigkeiten ausf\u00fchrt. In einer digitalen Wirtschaft, in der Cloud-Infrastrukturen, SaaS-Plattformen, Managed-Service-Provider, Rechenzentren, Cybersicherheitsanbieter, HR-Systeme, Zahlungsdienstleister, Marketingtechnologien und spezialisierte Analysedienste einen erheblichen Teil der operativen Datenverarbeitung tragen, befindet sich der Auftragsverarbeiter im Zentrum der digitalen Risikokette. Die rechtliche Einordnung als Auftragsverarbeiter bleibt formal an die Verarbeitung im Auftrag des Verantwortlichen gebunden, ihre praktische Bedeutung ist jedoch erheblich gewichtiger geworden. Ein Auftragsverarbeiter kann Zugriff auf umfangreiche Datens\u00e4tze haben, kritische Systeme verwalten, Sicherheitseinstellungen bestimmen, Protokollierung erm\u00f6glichen, Verletzungen des Schutzes personenbezogener<\/p>\n","protected":false},"author":2,"featured_media":34735,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[184],"tags":[],"class_list":["post-6742","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz-daten-und-cybersicherheit"],"acf":[],"_links":{"self":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/posts\/6742","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/comments?post=6742"}],"version-history":[{"count":19,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/posts\/6742\/revisions"}],"predecessor-version":[{"id":34807,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/posts\/6742\/revisions\/34807"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/media\/34735"}],"wp:attachment":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/media?parent=6742"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/categories?post=6742"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/tags?post=6742"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}