Auftragsverarbeitung-Kontrollpflicht
Auch: Kontrollpflicht des Verantwortlichen · Überwachungspflicht Auftragsverarbeiter
Die Kontrollpflicht verpflichtet den Makler als datenschutzrechtlich Verantwortlichen, seine Auftragsverarbeiter (z. B. CRM-Anbieter, IT-Dienstleister) nicht nur einmalig auszuwählen, sondern deren Datenverarbeitung fortlaufend zu überwachen und zu dokumentieren.
Ausführliche Erklärung
Art. 28 Abs. 1 DSGVO verlangt, dass der Verantwortliche nur Auftragsverarbeiter einsetzt, die "hinreichend Garantien" für eine DSGVO-konforme Verarbeitung bieten. Diese Pflicht erschöpft sich nicht in der Vertragsunterzeichnung (Auftragsverarbeitungsvertrag), sondern besteht als laufende Sorgfaltspflicht über die gesamte Vertragsdauer fort – abgeleitet auch aus dem allgemeinen Rechenschaftsprinzip (Art. 5 Abs. 2, Art. 24 DSGVO).
Für Makler bedeutet das konkret:
- Vor Vertragsschluss: Prüfung, ob der Dienstleister technische und organisatorische Maßnahmen (TOMs) nachweisen kann, z. B. Verschlüsselung, Zugriffskontrollen, Zertifizierungen (ISO 27001, C5-Testat) oder Referenzen.
- Während der Vertragslaufzeit: Regelmäßige Kontrolle, etwa durch Selbstauskünfte des Dienstleisters, Audit-Berichte, Zertifikate oder – bei größeren Dienstleistern selten möglich, aber rechtlich zulässig – eigene Vor-Ort-Kontrollen.
- Bei Änderungen: Wird ein Sub-Auftragsverarbeiter eingesetzt (z. B. ein Hosting-Anbieter des CRM-Anbieters), muss der Makler informiert werden und kann widersprechen (Art. 28 Abs. 2 DSGVO).
- Dokumentation: Die Kontrollmaßnahmen sollten dokumentiert werden, um im Fall einer Datenpanne oder einer Prüfung durch die Aufsichtsbehörde die Sorgfalt nachweisen zu können.
In der Praxis vieler kleiner Maklerbüros wird diese Pflicht oft vernachlässigt, weil sie im Alltag wenig sichtbar ist. Kommt es jedoch zu einer Datenpanne beim Dienstleister, prüft die Aufsichtsbehörde regelmäßig auch, ob der Makler seiner Auswahl- und Kontrollpflicht ausreichend nachgekommen ist. Eine grobe Vernachlässigung kann als eigenständiger Verstoß des Maklers gewertet werden – zusätzlich zur Haftung des Auftragsverarbeiters selbst.
Praktikabel für kleine Büros: jährliche Abfrage einer aktuellen Selbstauskunft oder eines Zertifikats bei allen wesentlichen Dienstleistern (CRM, Cloud-Speicher, E-Mail-Marketing) und Ablage dieser Nachweise in der eigenen Datenschutzdokumentation.
Beispiel aus der Praxis
Ein Makler setzt seit drei Jahren denselben CRM-Anbieter ein. Statt die anfängliche Prüfung als einmalig zu betrachten, fordert er jährlich eine aktuelle Übersicht der technischen Sicherheitsmaßnahmen sowie Informationen zu eingesetzten Sub-Dienstleistern an und dokumentiert dies in seiner Verfahrensübersicht.
Rechtsgrundlage
- Art. 28 Abs. 1 DSGVO – Pflicht zur Auswahl geeigneter Auftragsverarbeiter mit hinreichenden Garantien.
- Art. 24 DSGVO – allgemeine Verantwortung und Rechenschaftspflicht des Verantwortlichen.
- Art. 5 Abs. 2 DSGVO – Rechenschaftspflicht ("Accountability").