Der Europäische Datenschutzausschuss hat es Ende 2024 klar auf den Punkt gebracht: Die Verantwortung für den Datenschutz wird ein Unternehmen nicht los, indem es Auftragsverarbeiter einsetzt. Ein Verantwortlicher muss sich also kontinuierlich damit befassen, wie der Auftragsverarbeiter seinen Job macht.
Link zur EDSA-Resolution
Schwierig wird das, wenn der Auftragsverarbeiter auch selbst nicht alles völlig im Griff hat. Dann fängt man an, dessen Arbeit zu kontrollieren. Und dann findet man auf einmal unzulässige oder jedenfalls ungewollte Skripte in der eigenen Cloud – oder in den Tools mit denen man diese Cloud administriert. Dann fängt man an, Fragen zu stellen, welche Unterverarbeiter der Auftragsverarbeiter einsetzt – und dann kriegt man eine Liste aus dem Internet vorgesetzt, von der man zu dem Zeitpunkt schon annehmen muss, dass die nicht vollständig sein kann, weil einem Supportmitarbeiter etwas völlig anderes erzählt haben.
Und nun?
Wenn Du Deinem Auftragsverarbeiter nicht mehr vertraust, dann musst Du den austauschen. Das sagt die Landesdatenschutzbehörde Niedersachsen, mit der ich das Thema ausführlich besprochen ahbe, und das sagt im Prinzip auch die Datenschutzgrundverordnung.