Was gilt für Provider und Subunternehmen in Bezug auf Meldepflichten von Verletzungen der Datensicherheit
Die Meldepflichten von Verletzungen der Datensicherheit (Verlinken), die voraussichtlich ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person darstellen, gelten nicht nur für den Verantwortlichen bzw. dich als Unternehmen. Arbeitest du mit Drittfirmen (Providern) zusammen, wie beispielsweise einem IT-Provider, die für dein Unternehmen Dienstleistungen erbringen und personenbezogene Daten bearbeiten, müssen auch diese solche Datenverletzungen melden. Und zwar auch dann, wenn sie folgenlos geblieben sind. Es empfiehlt sich daher, in Verträgen mit Drittfirmen auf die Meldepflichten hinzuweisen und einen Prozess dafür festzulegen.
Was solltest du regeln?
- Es gibt keine gesetzlichen Vorschriften, was in Bezug auf die Datensicherheit in einem Vertrag mit Subunternehmen geregelt werden muss. Wir empfehlen dir jedoch Folgendes festzuhalten:
- Die Meldepflicht sämtlicher Datenverletzungen
- Den Meldeprozess sowie die verantwortlichen Personen beider Parteien
- Auf welche Weise die Datensicherheit gewährleistet werden soll
Was musst du sonst noch beachten?
Bearbeiten andere Unternehmen in deinem Auftrag Personendaten, muss dies in der Datenschutzerklärung festhalten werden. Vergiss also nicht, diese zu aktualisieren.