unsere Firma ist ein Auftragsverarbeiter und wir haben natürlich mit unseren Kunden Verträge zur Auftragsverarbeitung (AVV) abgeschlossen. Im Zuge eines Updates unserer Subunternehmerliste, wurden wir nun von einem Kunden angeschrieben der uns um die Vorlage des abgeschlossenen AVV mit dem Subdienstleister bat.
Sind wir hierzu verpflichtet? Müssten wir vorher einen NDA mit dem Kunden abschliessen oder den AVV anonymisieren ( damit wir keine pbD veröffentlichen)? Oder reicht es das der Vertrag in einem gemeinsamen Termin vorgezeigt wird.
Nachweisen, dass weiteren Auftragsverarbeitern dieselben (für ihren Teil der Verarbeitung relevanten) Pflichen aus dem Vertrag auferlegt wurden…
Wie sonst, wenn nicht durch Vertragskopie?
Man könnte auch nur die entsprechenden Passagen mitteilen. Dann könnte der Verantwortliche dort nachfragen, ob das stimmt. Ist aber nicht seine Aufgabe, sondern die Pflicht des (ersten) Auftragsverarbeiters.
Der nächste Punkt wäre der Nachweis, 1. dass der nachgeordnete Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen hat. Und 2. dass sie wirksam wären. Das muss der Auftragsverarbeiter prüfen. Aber wie dem Auftraggeber nachweisen? 1. auch die TOM schicken; 2. ???
D., der in der Auftragskette noch viel unbesprochenes Potenzial für Spaß vermutet. (Und der deshalb, wenn er es beeinflussen kann, auf Standarddatenschutzklauseln setzt.)
Verpflichtet ist die eine Sache, aber wenn der Kunde sonst ggfs. den Vertrag nicht weiter fortführen will, weil er sich nicht vergewissern kann, dass die Pflichten auch gegenüber dritten auch umgesetzt werden, macht das ganze natürlich potenziell blöd.
Wie Domasla sagt, es muss eine Möglichkeit geben für den Verantwortlichen die Einhaltung zu überprüfen, da ist eine Kopie des AVVs die einfachste Möglichkeit, auf einen Vor-Ort-Audit habt ihr und euer UnterAN vermutlich noch weniger Bock.
Die EU Klauseln machen das wirklich am schmerzfreisten, da schließe ich mit D. auch an.