Der Verantwortliche ist verpflichtet, seine Auftragsverarbeiter zu überprüfen, um sicherzustellen, dass sie personenbezogene Daten im Einklang mit der DSGVO verarbeiten (Art. 28 DSGVO). Dementsprechend hat die dänische Datenschutzbehörde kürzlich (2022) die Frage erläutert, wie oft Auftragsverarbeiter überprüft werden sollten.
Die Anforderungen an die Prüfung von Auftragsverarbeitern steigen, wenn der Verarbeiter mehr personenbezogene Daten verarbeitet, die Daten vertraulicher oder sensibler werden oder die Verarbeitung eingreifender wird. Je kritischer daher die Verarbeitung für die betroffenen Personen ist, desto intensiver müssen die Kontrollen des Datenverarbeiters sein.
Wenn die Risiken für die betroffenen Personen hoch sind, ist ein jährliches Audit (vor Ort oder remote) erforderlich. Faktoren, die auf eine höhere Häufigkeit hindeuten, sind:
- Schwierigkeiten des Auftragsverarbeiters in der Vergangenheit bei der Einhaltung der AV-Vereinbarung,
- gehäuftes Auftreten schwerwiegender Datenpannen,
- Subprozessoren werden häufig ersetzt,
- häufige Übernahmen, Eigentümerwechsel, Fusionen oder erhebliche Änderungen in der Geschäftsstrategie des Auftragsverarbeiters.