Auswahl eines Dienstleistungsunternehmens bei der Verarbeitung personenbezogener Daten in der Cloud
Stand: 02.08.2024
Es ist ein alltäglicher Vorgang: Eine Hochschule möchte ein Unternehmen mit der Verarbeitung personenbezogener Daten beauftragen. Nahezu regelmäßig werden diese Dienste in der Cloud zur Verfügung gestellt. Die Datenverarbeitung findet mithin nicht auf Infrastruktur der Hochschule statt und oft genug nicht einmal auf der Infrastruktur der (potentiellen) unmittelbaren Vertragspartei, sondern auf Infrastruktur von weiteren Unternehmen, die im Rahmen eines Unterauftrags tätig werden.
Typische Fallgestaltungen ist zum Beispiel der Betrieb von Software as a Service (SaaS) wie:
- bEM-Software
- Finanzbuchhaltungssysteme
- Studierendenverwaltungssysteme
- Laborbücher
- Versuchstierverwaltung
Natürlich kann diese Software in der Regel auch im Haus (on premises) betrieben werden, die Tendenz geht jedoch seit einigen Jahren dahin, dies auszulagern.
Pflicht aus der DS-GVO bei der Auswahl der anbietenden Stellen
Im Regelfall liegt dabei eine Auftragsverarbeitung im Sinne von Art. 28 Datenschutz-Grundverordnung (DS-GVO) vor. Danach dürfen Verantwortliche (hier: die Hochschulen) nur mit solchen Dienstleistungsunternehmen zusammenarbeiten, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen (TOM) so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“ (Art. 28 Abs. 1 DS-GVO).
Entsprechend sind die daraus resultierenden Aspekte zwingend schon bei einer Vergabe zu berücksichtigen und nicht erst dann, wenn ein Unternehmen bereits den Zuschlag erhalten hat. Doch wie macht man das am besten?
Dafür hat ZENDAS (damals noch in Funktion der Datenschutzstelle der Universität Stuttgart) gemeinsam mit der Stabsstelle Informationssicherheit der Universität Stuttgart (RUS CERT) einen Anforderungskatalog entwickelt. Hier wurden die Synergieeffekte mit der Informationssicherheit genutzt, da eine Reihe von Anforderungen sowohl aus Sicht der Informationssicherheit als auch aus Sicht des Datenschutzes zu stellen sind. Die Idee ist, dass dieses Dokument im Rahmen der Beschaffungs- und Ausschreibungsunterlagen ein von der anbietenden Stelle verpflichtend auszufüllendes Dokument ist
Der vollständige Inhalt des Dokuments steht nur den mit ZENDAS kooperierenden Hochschulen zur Verfügung
(nähere Informationen finden Sie hier
).