Erstellen Sie als nächstes eine Liste aller Dienstleister und deren Dienste und prüfen Sie, ob dadurch Risiken entstehen.

So können Sie das Risiko prüfen

Hauptsitz des Dienstleisters

Die DSGVO unterscheidet zwischen sicheren und unsicheren Drittländern. Zu den sicheren Drittländern zählen:

• alle EU-Staaten
• alle Staaten, denen die Europäische Kommission per Angemessenheitsbeschluss ein angemessenes Datenschutzniveau bestätigt hat: Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay, Japan, das Vereinigte Königreich und Südkorea. 

In diese Länder ist die Datenübermittlung ausdrücklich gestattet. Auch die USA zählt mit Abschluss des neuen „EU-US Data Privacy Framework“ seit dem 10.07.2023 wieder zu den sicheren Drittstaaten. 

Nutzt Ihre Organisation einen Dienstleister aus einem unsicheren Drittland, muss sie über entsprechende Verträge sicherstellen, dass der Dienstleister die personenbezogenen Daten ausreichend schützt. Zur Vereinfachung einer solchen vertraglichen Absicherung hat die EU-Kommission sogenannte "Standarddatenschutzklauseln" verabschiedet. Es handelt sich hier hierbei um ein vorgegebenes Vertragswerk, das für diese Zwecke genutzt werden kann.

Sicherheitsmechanismen

Zur Bewertung des Dienstleisters ist ebenfalls zu berücksichtigen, wo die Datenverarbeitung stattfindet und welche Sicherheitsmechanismen es zum technischen Schutz der Daten gibt (z.B. Ende-zu-Ende-Verschlüsselung, etc.).

Am Ende müssen Sie abwägen, ob ein Dienstleister für den geplanten Einsatz akzeptabel ist.