Hinreichende Garantien in AV-Verträgen

Geschrieben von Cindy Urbank, veröffentlicht am 03.12.2018

Was man im Datenschutzrecht unter hinreichende Garantien versteht, erfahren Sie in diesem kurzen Beitrag.

Wer sich intensiv mit Datenschutz beschäftigt, kommt früher oder später mit der Auftragsverarbeitung in Berührung, was uns zu Auftragsverarbeitungsverträgen und zu den hinreichenden Garantien derer führt. Aber was genau sind hinreichende Garantien? 

Besagte hinreichende Garantien gibt es in der EU-Datenschutz-Grundverordnung mehrere. Ein Auftragsverarbeitungsvertrag – kurz AVV oder AV-Vertrag – weist als hinreichende Garantie etwa auf einen Angemessenheitsbeschluss der Kommission (Art. 45 Abs. 3 DSGVO) hin. Des Weiteren stellen verbindliche interne Datenschutzvorschriften (Art. 46 Abs. 2 lit. b) DSGVO i. V. m. Art. 47 DSGVO), Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c) und d) DSGVO), genehmigte Verhaltensregeln (Art. 46 Abs. 2 lit. e) DSGVO i. V. m. Art. 40 DSGV) oder auch ein genehmigter Zertifizierungsmechanismus (Art. 46 Abs. 2 lit. f) DSGVO i. V. m. Art. 42 DSGVO) hinreichende Garantien dar. Um die Liste der hinreichenden Garantien zu ergänzen, kann man zudem auf Zertifizierungen nach einem genehmigten Zertifizierungsverfahren gem. Art. 42 DSGVO verweisen. Beispiele hierfür sind Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen oder geeignete Zertifizierungen durch Informationssicherheits- oder Datenschutzaudit (ISO 27001, PCI DSS, European Privacy Seal, etc.). Hierzu zählen auch die Datenschutzberichte der WS Datenschutz GmbH. 

Die größte Aufmerksamkeit ziehen aber die sogenannten technischen und organisatorischen Maßnahmen zur Datensicherheit – kurz TOMs – i. S. v. Art. 32 Abs. 1 DSGVO in der Gruppe der hinreichenden Garantien auf sich. Während die in den vorherig genannten Vorschriften aufgeführten Garantien größtenteils auf interne Verhaltensregeln und Vereinbarungen mit externen Stellen verweisen, beziehen sich die TOMs auf die praktische Anwendung von Datenschutzmaßnahmen im eigenen Unternehmen. Hier soll exakt aufgezeigt werden, welche Maßnahmen ein Unternehmen ergriffen hat, um sicherzustellen, dass die personenbezogenen Daten von Betroffenen vor unberechtigtem Zugriff geschützt werden. Nicht jedes Unternehmen wird dabei die gleichen Maßnahmen ergreifen. Denn diese TOMs müssen anhand der Eintrittswahrscheinlichkeit und Schwere des Risikos ausgewählt werden. Dabei sollen sowohl der Stand der Technik als auch die möglichen bei der Implementierung auf die Organisation zukommenden Kosten berücksichtigt werden.

Für weitere Fragen zum Thema hinreichende Garantien und technische- sowie organisatorische Maßnahmen zur Datensicherheit stehen wir Ihnen jederzeit zur Verfügung.