TOMs alleine machen nicht glücklich

Vorhin wurde ich von einem befreundeten Unternehmer angesprochen, dem von seinem Auftraggeber ein Auftragsverarbeitungsvertrag und ein Fragebogen vorgelegt worden war. Der befreundete Unternehmer soll als Auftragsverarbeiter seine TOMs, seine „technischen und organisatorischen Maßnahmen zur Sicherstellung des Datenschutzes“ aufführen.

TOMs-Checklisten

Wie leider üblich, führte der Fragebogen, im konkreten Fall geordnet nach der Sortierung der Anlage zu §9 des alten BDSG (1990), eine Reihe technischer und organisatorischer Maßnahmen auf, die der Auftragsverarbeiter ankreuzen solle, ob er diese erfülle. Der Vertrags zur Auftragsverarbeitung war – auch hier war offensichtlich ein Muster aus dem Internet genommen worden – zwar hinsichtlich der zu Regelnden Punkte nach Artikel 28 DSGVO korrekt: alle zu regelnden Punkte waren angesprochen. Er war jedoch im Hinblick auf die Leistungsbeschreibung bemerkenswert unkonkret. Offensichtlich hatten sich Auftraggeber und Auftragnehmer im Groben geeinigt, dass man zusammen arbeiten wolle und festgestellt, dass dann wohl personenbezogene Daten von Auftraggeber zum Auftraggeber flössen. Vermutlich war dem Auftraggeber gesagt worden, dann bräuchte er einen AVV, Muster gäbe es im Internet.

Doch bevor man sich Gedanken über TOMs macht, muss man sich über die Daten und die Datenverarbeitung Gedanken machen. Man muss zuerst wissen was man tut bzw. tun möchte. Dann kann man die Risiken ermitteln und bewerten und dann die adäquaten TOMs festlegen und umsetzen.

Es ist nicht sinnvoll, allgemein – ohne Wissen der Verarbeitung – über TOMs zu schreiben. TOMs müssen zur Verarbeitung passen. Wird ein Auftragsverarbeiter gefragt, ob er ein Schließsystem einsetzt, wird er, wenn er ein solches einsetzt, sicherlich mit „Ja“ antworten – leider ist das wenig hilfreich, wenn genau der Bereich, in dem die Daten des Auftraggebers verarbeitet werden, davon nicht erfasst werden. Und seien wir ehrlich: Die Mitarbeiter, die den Fragebogen dann ausfüllen, handeln im besten Wissen und Gewissen. Haben Sie, wie in meinem Beispielfall, nur den Fragebogen, so sind sie chancenlos, diesen sinnvoll auszufüllen.

Die Seite des Auftraggebers

Daher, liebe Auftraggeber: Beschreiben Sie die Leistungen genau, beschreiben Sie genau, welche Daten wie verarbeitet werden sollen. Definieren Sie, gemeinsam mit dem Auftragnehmer, die TOMs. Aber überlassen Sie Ihren Auftragnehmern nicht irgendwelche „Checklisten“, die diese dann ohne Hintergrundwissen ausfüllen müssen.

Die Seite des Auftragnehmers

Und liebe Auftragnehmer: Wenn Sie Ihre TOM-Listen an die Auftraggeber geben, so geben Sie die TOM-Listen immer gemeinsam mit den jeweiligen Leistungsbeschreibungen ab. Damit klar ist: Für Datenverarbeitung in Verbindung mit Leistung „A“ werden die TOMs „TA“ eingehalten.

Und noch einmal an die Auftragnehmer: Wenn Sie Checklisten von einem Auftraggeber bekommen, die Sie „abhaken“ sollen: Prüfen Sie, ob die Leistung konkret im Vertrag beschrieben ist und beziehen Ihre Antworten nur auf die Datenverarbeitung in Verbindung mit dieser Leistung. Konkretisieren Sie ggf. mit dem Auftraggeber die Leistungsbeschreibung.

Fazit

Auftragsverarbeitung und TOMs bedeuten nicht das lästige Schließen von Verträgen und das Abhaken von Checklisten. Auftragsverarbeitung bedeutet, sich gemeinsam, Auftraggeber mit Auftragnehmer, Gedanken über die Datenverarbeitung und den Datenschutz zu machen, gemeinsam mögliche Risiken aufzudecken und zu bewerten und gemeinsam für die konkrete Datenverarbeitung sinnvolle TOMs zu entwickeln.

Markierungen: , , ,

Antwort schreiben

Sie müssen angemeldet sein um einen Kommentar zu verfassen.