Richtlinie Auftragsverarbeitung (Art. 28 DSGVO)
Anforderungen an die Auswahl, Beauftragung und Überwachung von Auftragsverarbeitern.
1. Anwendungsbereich
Diese Richtlinie regelt die Auswahl, Beauftragung und laufende Überwachung von Auftragsverarbeitern, die personenbezogene Daten im Auftrag der Bank verarbeiten.
2. Auswahlkriterien
Die Auswahl erfolgt risikoorientiert. Geprüft werden technische und organisatorische Maßnahmen (TOM), Standort der Datenverarbeitung, Subdienstleister und Zertifizierungen (z.B. ISO 27001, SOC 2).
3. AV-Vertrag
Vor Beginn der Verarbeitung wird ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen. Mindestinhalte:
- Gegenstand, Dauer, Art und Zweck der Verarbeitung
- Kategorien betroffener Personen und Daten
- Pflichten und Rechte des Verantwortlichen
- Pflichten des Auftragsverarbeiters (Verschwiegenheit, TOM, Subdienstleister)
4. Drittlandsübermittlung
Bei Verarbeitung außerhalb der EU sind Standardvertragsklauseln (SCC) inklusive Transfer Impact Assessment (TIA) erforderlich.
5. Audits
Wesentliche Auftragsverarbeiter werden mindestens alle 24 Monate auditiert (Vor-Ort oder remote). Kritische Mängel führen zur Eskalation an die Geschäftsleitung.