Im Juli 2019 beschloss der EuGH in einem Urteil, dass der Webseitenbetreiber für Like-Buttons gemeinsam mit Facebook verantwortlich ist. [Interessanter Fun Fact an dieser Stelle: die Seite des EuGH mit den Rechtsprechungen ist nicht verschlüsselt 🙂 ]
Zudem ergibt sich aus dem Urteil die Einwilligungspflicht für viele Plugins auf der Webseite.
Beim Urteil des EuGH wurde explizit auf die Übertragung der Daten durch Social Media Plugins eingegangen. Natürlich kann man dies auch auf andere Plugins übertragen. Nicht eingegangen wurde allerdings im Urteil auf die Übertragung reiner IP-Adressen aus funktionellen Gründen (ohne Analyse und Marketing-Zwecke). Dass hierfür eine Einwilligung nötig sei, geht unserem Verständnis nach aus diesem Urteil nicht hervor.
In vielen Gesprächen und auch in den Artikeln auf diesem Blog verwenden wir Fachbegriffe. Einer der Grundlegenden ist der Begriff der Datensicherheit. Wahrscheinlich ist auch Ihnen dieses Wort schon regelmäßig untergekommen. Datensicherheit – was ist das eigentlich genau? Was versteht man darunter? Was ist der Unterschied zum Datenschutz? Warum ist denn Datensicherheit überhaupt so wichtig? Und vor allem, wie kann man Datensicherheit gewährleisten?
In den letzten Jahrhunderten ist viel passierte und es wurden unzählige wirtschaftliche Ereignisse und Prozessen in Bewegung gesetzt. Sei es nun die Industrialisierung im 19. Jahrhundert oder die Digitalisierung im 20. Jahrhundert. Auch die Gesetzgebung durchlebt einen Wandel; neue Gesetze treten in oder außer Kraft.
…oder das fehlende Verständnis für Artikel 6 (1) DSGVO
Heute muss ich mal spontan einen sehr impulsiven Beitrag los werden. Zum gefühlt 5326 Mal habe ich heute wieder eine Einwilligungserklärung vorgelegt bekommen. Diese muss ich natürlich unterzeichnen.
HINWEIS: Es handelt sich hierbei um keine Rechtsberatung, sondern lediglich um eine grundsätzliche Information. Es muss immer der Einzelfall betrachtet werden, welche Rechtsgrundlage vorliegt bei der Verarbeitung von Daten.
Einwilligungserklärung zum Datenschutz beim Tanzen
Meine Tochter möchte am Tanzkurs teilnehmen. Ich fülle eine Probemitgliedschaft aus und bekomme prompt noch eine Einwilligungserklärung zum Datenschutz nachgereicht. Wenn ich nicht zustimme, dass die Daten für die Probemitgliedschaft gespeichert werden dürfen, kann die Kleine nicht am Tanzunterricht teilnehmen.
Facebook und Datenschutz? Kein anderes soziales Netzwerk wie Facebook wird öffentlich wegen des Datenschutzes so angeprangert. Doch was weiß Facebook wirklich über Sie oder mich?
Heute zeigen ich Ihnen, wie Sie Ihre gespeicherten Daten von Facebook abrufen können. Ich zeige Ihnen auch, was Facebook über mich weiß! Seien Sie gespannt!
So richtig „ran getraut“ an eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO haben sich bisher nur wenige. Die Informationen, die man darüber findet, sind auch äußerst dürftig – jedenfalls richtig gute. Wir haben uns intensiv mit dem Thema DSFA befasst. Die Erkenntnisse, Vorgehensweisen und Empfehlungen dazu fasse ich in (hoffentlich gewohnter 🙂 ) kompakter und verständlicher Weise zusammen.
Es gibt sie nicht, die „Eine“, die richtige oder falsche Vorgehensweise für die Durchführung einer Datenschutz-Folgenabschätzung. Neben der DSGVO gibt es sogar eine internationale ISO Norm dazu. Die ISO/IEC 29134 (Guideline for privacy Impact assessment) stellt dazu ein Regelwerk bereit.
Für unsere Leser und Kunden ist es mir wichtig, eine Lösung vorzustellen, die den gesetzlichen Anforderungen entspricht, aber auf der anderen Seite auch praxisorientiert und machbar ist.
Jede natürliche Person, deren Daten bei einer Organisation, einem Verein oder einer Behörde gespeichert sind, hat Rechte an Ihren Daten. Was bedeutet das für den Betroffenen (also die Person, deren Daten gespeichert sind)? Und was für die verarbeitenden Organisation? Das möchte dieser Artikel erläutern.
Wie sieht es mit dem Kündigungsschutz und der Haftung des Datenschutzbeauftragten aus?
Vorweg, im Folgenden wird vom Datenschutzbeauftragten in der männlichen Form gesprochen. Der Einfachheit halber beim Lesen unterscheiden wir nicht. Es sind natürlich alle Geschlechter angesprochen.
Wir weisen Sie auch darauf hin, dass es sich bei diesem Artikel um keine Rechtsberatung handelt, sondern lediglich um unsere Einschätzung und Erfahrung aus der Praxis.
Die Aufgaben eines Datenschutzbeauftragten wurden bereits ausführlich im letzten Blogartikel vorgestellt. Dennoch sorgen sich viele interne und externe Datenschutzbeauftragten, wie es um die Haftung bei Datenpannen, Datenschutzvorfällen oder die Nichteinhaltung von Betroffenenrechte bestellt ist.
Dieser Artikel soll Sie unterstützen und die Themen des Kündigungsschutzes sowie der Haftung des Datenschutzbeauftragten näherbringen.
Da die Fragezeichen zum Verfahrensverzeichnis nach Artikel 30 DSGVO nicht weniger werden, möchte ich hier noch mal ins Detail gehen.
Ein generelles Muster in Excel und PDF, wie ein Verfahrensverzeichnis aufgebaut werden soll, stelle ich im Blogartikel „Verfahrensverzeichnis mit Muster“ zur Verfügung. Sogar ein ausgefülltes Verfahrensverzeichnis für Online- und Kleinunternehmer finden Sie in meinem gleichnamigen Onlinekurs.
Jedes Verfahrensverzeichnis ist individuell
An dieser Stelle möchte ich nun aber ein paar Verfahren auflisten, die für verschiedene Branchen relevant sein können. Die Ausprägung dazu muss natürlich jeder selber machen. Da die Rechtmäßigkeit nach Artikel 6 (1) DSGVO sehr stark vom Zweck der Verarbeitung abhängt, kann ich hier nur eine Empfehlung geben. Das heißt ein Verfahrensverzeichnis DSGVO kann bei zwei Unternehme(er)n mit identischen Verfahren ganz unterschiedlich ausgeprägt sein. Daher rate ich Ihnen, sich zwar an den Mustern und Vorschlägen zu orientieren, aber im Detail noch mal selber zu prüfen, ob der Zweck und die Rechtmäßigkeit für SIE richtig beschrieben sind.
Die nachfolgenden Kategorieren sind nur eine grobe Klassifizierung und natürlich nicht ausschließlich. Wahrscheinlich ist eine Kombination aus den verschiedenen Kategorien für Sie eine sinnvolle Lösung.
Wichtiges vorweg!
Sehr oft höre ich die Frage, ob das Verfahrensverzeichnis dann täglich mit den aktuellen Daten ergänzt werden muss.
Keine persönlichen Informationen im Verfahrensverzeichnis!
Beim Verfahrensverzeichnis DSGVO handelt es sich um die Beschreibung allgemeiner Verfahren!!! Jede Verarbeitung wird einmal ganz allgemein beschrieben. Namen von einzelnen Kunden, Dienstleistern und Lieferanten gehören nicht in die Verarbeitungsübersicht.
Mögliche Verfahren in einem Verfahrensverzeichnis DSGVO
Nachfolgend beschreibe ich grundlegende Verfahren, die häufig in Verfahrensverzeichnissen nach der DSGVO erfasst werden. Ich gebe neben dem Zweck, also der Beschreibung des Verfahrens noch die Rechtmäßigkeit nach Artikel 6 an. Ein Verfahren muss immer auf einer Rechtmäßigkeit nach Artikel 6 basieren. Hier gibt es folgende Möglichkeiten.
Rechtmäßigkeit nach Artikel 6 DSGVO
Der Betroffene gibt eine freiwillige Einwilligung (perfekt für den Verarbeiter)
Die Verarbeitung der Daten basiert auf einem Vertrag oder vorvertraglichen Maßnahmen (also die Verhandlung mit potentiellen Kunden fällt auch darunter, auch wenn es dann ggf. nicht zu einem Vertragsschluss kommt). Übrigens, ein Vertrag kann mündlich und schriftlich erfolgen.
Die Verarbeitung basiert aufgrund eines Gesetzes oder sonstigen rechtlichen Verpflichtung
Es geht um lebenswichtige Interessen des Betroffenen
Zur Wahrung des öffentlichen Interesses oder öffentlicher Gewalt werden personenbezogene Daten verarbeitet
Solange die Grundrechte einer Person nicht verletzt werden, kann auch das eigene berechtigte Interesse des Verarbeiters ein Grund zur Verarbeitung der Daten sein
Allgemeine Verfahren in einem Verfahrensverzeichnis nach DSGVO
Verfahren
Beschreibung
Rechtmäßigkeit
Anmerkung
Kommunikation per E-mail
Durchführung von interner und externer Kommunikation per E-mail.
Art. 6 (1) b - Vertrag oder vorvertragliche Maßnahmen
Art. 6 (1) c - Rechtliche Verpflichtung / gesetzliche Vorgabe
Ist der E-mail Provider extern, z.B. der Webhoster, dann ist er Auftragsverarbeiter.
Kommunikation per Messenger
Durchführung von interner und externer Kommunikation per Messenger Dienst.
Art. 6 (1) a - Freiwillige Zustimmung
Messenger Dienstleister ist in der Regel kein Auftragsverarbeiter. What's App ist aktuell kein DSGVO konformer Messenger Dienst (auch wenn's schwer fällt)!!!!
Zahlungsverkehr ( externe Rechnungsstellung )
Erstellung von Rechnungen für erbrachte Dienstleistung oder übergebene Waren.
Ggf. unter Einbeziehung eines externen Dienstleistern, der sich um die Rechnungsstellung und Zahlungsabwicklung kümmert.
Art. 6 (1) b - Vertrag
Bei externem Dienstleister für die Rechnungsstellung handelt es sich um einen Auftragsverarbeiter.
IT-Support
Zugriff auf die interne IT-Infrastruktur durch einen externen Dienstleister aufgrund IT-Support und Wartungstätigkeiten. Dabei kann der Supportmitarbeiter Einsicht auf personenbezogene Daten von Kunden erhalten.
Art. 6 (1) b - Vertrag
Beziehen sich die Wartungs- und Supporttätigkeiten überwiegend auf Programme, die keine personenbezogenen Daten enthalten, sollte eine Geheimhaltungsvereinbarung getroffen werden. Sind aber vorrangig Programme im Support betroffen, wie z.B. Lohnverwaltung oder andere personenbezogene Daten, dann wäre ein Auftragsverarbeitungsvertrag besser.
Verfahrensverzeichnis DSGVO: Inhalt für Dienstleister
Hier müssen nur Dienstleistungen erfasst werden, die auch mit personenbezogenen Daten in Berührung kommen. Bzw. bei denen die Verarbeitung personenbezogener Daten dazu gehört. Meistens ist die Grundlage für diese Verfahren ein Vertrag, der mit dem Kunden geschlossen wurde (mündlich oder schriftlich).
Verfahren
Beschreibung
Rechtmäßigkeit
Anmerkung
Persönliches Coaching
Individuelle Beratung einer Person in persönlichen Gesprächen. Notizen und Empfehlungen werden während des Gesprächs in schriftlicher Form notiert
Art. 6 (1) c - Vertrag
Je nachdem, wie genau das Coaching abläuft muss natürlich die Beschreibung angepasst werden. Wenn das Coaching die Hauptdienstleistung ist, dann würde ich an dieser Stelle auch die Kontaktdatenerfassung mit aufnehmen und nicht als separates Verfahren beschreiben.
Online-Coaching
Persönliches Coaching im Rahmen von Online- oder Telefonmeetings. Aufzeichnung des Coachings als Video und Dokumentation des Gesprächs in Notizen.
Art. 6 (1) c - Vertrag
Auch hier wieder wird es individuelle Unterschiede geben.
Patientenbehandlung
Behandlung des Patienten zur Vorsorge / bei akuten Problemen. Dokumentation der Behandlung in der Patientenakte (Papier / digital).
Art. 6 (1) c - Vertrag
Je nachdem, um welche Behandlung es handelt und wie die Dokumentation erfolgt, kann man das noch beschreiben. Grundsätzlich würde ich nicht weiter in die Tiefe gehen.
Kundenverwaltung
Verwaltung und Organisation der Kunden- und Interessentendaten in einer Datenbank / Programm.
Art. 6 (1) c - Vertrag
oder Art. 6 (1) f - Berechtigtes Interesse
Ja nach Umfang der Kundenverwaltung kann man die Erfassung der Kontaktdaten auch in den Dienstleistungsverfahren mit beschreiben.
Schulungen / Training
Durchführung von Schulungen / Trainings mit Qualifizierungstest zum Abschluss.
Art. 6 (1) c - Vertrag
Wenn der Dozent die Daten der Teilnehmer nicht erhält oder auch nicht benötigt, ist es kein Verfahren im Sinne des Datenschutzes.
Verfahren für Blogger und Onlineunternehmer
An dieser Stelle würde ich die Verfahren nicht zu sehr im Detail aufsplitten. Ich weiß, dass viele Webseiten unterschiedliche Plugins für verschiedene Zwecke einsetzen. Ich würde nicht jedes Plugin als einzelnes Verfahren beschreiben, wenn es nicht einen wesentlichen Bestandteil des Geschäftsmodells ausmacht (wie es z.B. bei einem Onlineshop oder Mitgliederbereich der Fall ist). Viele Plugins, sollten sie überhaupt personenbezogene Daten in irgendeiner Weise verarbeiten, würde ich unter den Betrieb der Webseite fallen lassen.
Verfahren
Beschreibung
Rechtmäßigkeit
Anmerkung
Webseite
Betrieb einer Webseite / Blog für Marketing, Werbung und Außenauftritt. Erfassung personenbezogener Daten in Logfiles auf Server und ggf. im CMS.
Art. 6 (1) f - Berechtigtes Interesse
Für dieses Verfahren wäre z.B. der Webhoster der Auftragsverarbeiter.
Webseitenanalyse
Zur Erfassung der Besucherstatistik und daraus folgend die Optimierung der Webseite werden die Zugriffe auf die Webseite analysiert.
Art. 6 (1) f - Berechtigtes Interesse
Falls die Daten extern gespeichert werden, handelt es sich wie z.B. bei Google Analytics um eine Auftragsverarbeitung. Matomo lokal installiert ist keine Auftragsverarbeitung.
Kontaktformular
Kontaktanfrage über die Webseite für Interessenten und Kunden zur Beantwortung einer spezifischen Anfrage / Frage.
Art. 6 (1) a - Freiwillige Zustimmung
Kommentarfunktion im Blog
Seitenbesucher können Kommentare abgeben, um eine Diskussion oder Kommunikation am Blog aufzubauen.
Art. 6 (1) a - Freiwillige Zustimmung
Mitgliederbereich / Login-Bereich
Den Besuchern der Webseite / den Kunden wird ein Mitgliederbereich angeboten, um
- an Diskussionen teilzunehmen
- Beiträge zu verfassen
- auf bezahlte digitale Ware zugreifen zu können
.....
Art. 6 (1) a - Freiwillige Zustimmung
Art. 6 (1) b - Vertrag
...
Hier gibt es so viele Möglichkeiten, dass es wichtig ist, die richtige zu beschreiben und auch den richtigen Rechtsgrund auszuwählen.
Veröffentlichung von persönlichen Informationen Dritter
In Blogbeiträgen werden Interviews und / oder Bilder von Dritten veröffentlicht. Es werden dabei fachliche Informationen zum Blog publiziert.
Art. 6 (1) a - Freiwillige Zustimmung
Art. 6 (1) b - Vertrag
Auch hier wieder kann man ggf. die Beschreibung anpassen. Die Rechtmäßigkeit muss entweder auf der freiwilligen Zustimmung beruhen oder vielleicht sogar, weil es einen Vertrag gibt. Ein Interviewpartner kann z.B. die Zustimmung geben, indem er vor der Veröffentlichung den Beitrag noch mal gegenliest und mit OK bestätigt.
Für Fotos empfehle ich zur eigenen Absicherung eine schriftliche Freigabe des Betroffenen.
Affiliate Marketing
Monetarisierung der Webseite, um durch Produktempfehlungen oder Produktverlinkungen eine Provision durch Käufe von Webseitenbesuchern zu erhalten. Käufe werden durch Gesetze Cookies bei Käufern dienen dazu, die tatsächliche Provision dem Affiliate Partner zuzuordnen.
Art. 6 (1) f - Berechtigtes Interesse
Bei mehreren Affiliate Partnern macht es evtl. Sinn diese aufzuschlüsseln in einzelne Verfahren, wenn die erfassten Daten unterschiedlich sind. Der Affiliate Partner z.B. Amazon ist in der Regel kein Auftragsverarbeiter.
Newsletterversand
Regelmäßige Information und aktuelle Angebote und Angebote von Drittanbietern an Interessenten und Kunden.
Art. 6 (1) a - Freiwillige Zustimmung
Newsletterpartner ist Auftragsverarbeiter.
Onlineshop
Verkauf von Waren und Dienstleistungen über einen eigenen / oder über einen Dritten Onlineshop.
Art. 6 (1) f - Vertrag
Ob eine AVV mit dem Shopbetreiber notwendig ist, hängt vom Einzelfall ab.
Verfahren für Unternehmen mit Mitarbeitern
Beschäftigt das Unternehmen Mitarbeiter oder Zeitarbeiter, müssen ein paar grundsätzliche Tätigkeiten abgedeckt werden. Auch hier können im Einzelfall noch einzelne Verfahren hinzukommen, wenn z.B. die Mitarbeiter Firmenwägen nutzen oder andere personenbezogene Geräte ausgehändigt bekommen.
Verfahren
Beschreibung
Rechtmäßigkeit
Anmerkung
Bewerbungen
Bewerber bewirbt sich initiativ oder konkret auf eine ausgeschriebene Stelle per E-mail oder per Post. Bewerbungen werden bei nicht eingestellten Personen zurück geschickt.
Art. 6 (1) b - Vertrag oder vorvertraglicher Maßnahmen
Bewerbungen müssen gelöscht oder zurück geschickt werden. Alternativ kann der Bewerber AKTIV zustimmen, dass seine Unterlagen einbehalten werden dürfen, falls ähnliche Stellen später wieder besetzt werden müssen.
Lohnabrechnung
Überweisung von Löhnen und Gehältern. Abgabe von Steuern und Gebühren
Art. 6 (1) b - Vertrag
Externer Dienstleister zur Lohnabrechnung ist in der Regel kein Auftragsverarbeiter, sondern Funktionsübertragung.
Zeitwirtschaft
Zeitwirtschaft zur Erfassung der Arbeitszeiten, Urlaubszeiten, Fehlzeiten der Beschäftigten,
sowie Abwesenheitsplanung,
Art. 6 (1) b - Vertrag
Verfahren bei IT-Dienstleistern oder größeren IT-Abteilungen
Verfahren
Beschreibung
Rechtmäßigkeit
Anmerkung
Firewalladministration
Zum sicheren Betrieb des Unternehmensnetzwerks wird als Gateway zum Internet eine Firewall betrieben. Es werden regelmäßig Logfiles protokolliert und ausgewertet, um sicherheitskritische Events zu identifizieren.
Art. 6 (1) f - Berechtigtes Interesse
oder Art. 6 (1) b - Vertrag
Bei externen Kunden wird es in der Regel ein Vertrag seien der die rechtliche Grundlage bildet. Bei einer internen IT-Abteilung ist es wahrscheinlich das berechtigte Interesse.
IT Serviceprozesse
Es werden IT-Vorfälle und Änderungswünsche im Incident- und Changemanagement-Tool von Kunden / Mitarbeitern erfasst. Die IT-Mitarbeiter können anhand der Tickets die Fälle klassifizieren und bearbeiten.
Art. 6 (1) f - Berechtigtes Interesse
oder Art. 6 (1) b - Vertrag
PC-User Management
Jeder PC-User im Unternehmen / beim Kunden erhält einen eigenen PC / Laptop und eine eigene Benutzerkennung mit Passwort, sowie eine E-mail Adresse. Die Verwaltung der User wird auf Anweisung des Kunden umgesetzt
Art. 6 (1) f - Berechtigtes Interesse
oder Art. 6 (1) b - Vertrag
Administration von Applikationen mit personenbezogenen Inhalten
Zur Konfiguration, Wartung und Durchführung von Updates an zentralen IT-Systemen mit personenbezogenen Daten (z.B. HR-Software, CRM-Software...) müssen die Administratoren Zugriff auf das System erhalten.
Art. 6 (1) f - Berechtigtes Interesse
oder Art. 6 (1) b - Vertrag
Verfahren für Vereine in einem Verfahrensverzeichnis DSGVO
Da auch Vereine der DSGVO unterliegen, sollte ebenfalls eine Übersicht der Verfahren erstellt werden. Je nach Vereinszweck unterscheiden sich die Verfahren natürlich. Trotzdem sollte mit diesen Verfahren ein Anfang gemacht sein.
Verfahren
Beschreibung
Rechtmäßigkeit
Anmerkung
Mitgliederverwaltung
Übersicht und Verwaltung der Mitglieder mit ihren persönlichen Daten in einer Excel Liste, Access Datenbank, externen Anwendung...
Art. 6 (1) b - Vertrag
Bei einem Onlineportal ist eine Auftragsverarbeitung mit dem Dienstleister nötig.
Terminanmeldung
Anmeldung einzelner Mitglieder für vereinsinterne Veranstaltungen. Eigenständige Anmeldung der Teilnehmer per Telefon / Mail über ein Onlineportal.
Art. 6 (1) b - Vertrag
Jubiläum
Ehrung langjähriger Mitglieder nach 10, 20, .... jähriger Mitgliedschaft oder bei runden Geburtstagen. Auswertung der Jubiläen jährlich in Excel Tabellen.
Art. 6 (1) f - Berechtigtes Interesse
Übermittlung der Mitgliedsdaten an den übergeordneten Verband
Meldung der persönlichen Daten der Mitglieder beim Eintritt in den Verein an den übergeordneten Verein.
Art. 6 (1) f - Vertrag
Je nachdem, wenn der Verein einem übergeordneten Verband angehört und die Mitglieder dort gemeldet werden müssen, muss das auch Teil des Mitgliedsvertrags sein. Damit ist sichergestellt, dass ein Mitglied dagegen nicht im einzelnen widersprechen kann, falls der Verein zur Meldung verpflichtet ist.
Wie füllt man ein komplettes Verfahrensverzeichnis aus?
Da es trotzdem viele Fragen und Fragezeichen gibt, wie nun ein solches Verfahrensverzeichnis ausgefüllt wird, helfe ich hier gerne. Ich biete regelmäßig kostenlose Webinare an, in denen ich an mehreren Beispielen zeige, wie man vorgeht, ein Verfahrensverzeichnis auszufüllen. Hier finden Sie die nächsten Webinar-Termine.
Eine bereits ausgefüllte Verfahrensübersicht als Excel-Datei mit 25+ Verfahren gibt es in meinem Onlinekurs.
Vorschläge zur Erweiterung erwünscht
Ich hab diese Liste mal begonnen, um möchte sie gerne mit weiterem Input von Ihnen ergänzen. Welche Verfahren haben Sie und wissen nicht recht, wie Sie diese formulieren sollen? Gerne ergänze ich die Punkte in dieser Übersicht.
Ist Ihr Dienstleister tatsächlich ein Auftragsverarbeiter im Sinne der EU Datenschutzgrundverordnung? Sehr schnell tendiert man dazu jedem den Titel Auftragsverarbeiter anzuhängen, der auch nur annähernd in die Nähe von personenbezogenen Daten kommt.
Es gibt viele Diskussionen zum Thema. Ist zum Beispiel Google schon ein Auftragsverarbeiter, wenn dort die IP-Adresse erfasst wird? Um die Frage fachlich fundiert zu beantworten, bin ich auf eine sehr gute Dokumentation der Bitkom gestoßen. Es wird dort auf 43 Seiten sehr detailliert über die Auftragsverarbeiter bzw. Auftragsdatenverarbeiter (wie sie vorher hießen) informiert.
[Update am 01.06.2018 – Aufgrund ständig neuer Veröffentlichungen und Stellungnahmen, wurde dieser Artikel nun noch mal angepasst!]
Neben dem sehr wertvollen Papier der Bitkom gehe ich nun auch noch auf die Stellungnahme der Datenschutzkonferenz ein, die auch eine Aussage über die Auftragsverarbeitung getroffen haben.
Die wesentlichen Informationen, extrahiert und zusammengefasst, möchte ich hier anbieten. Ich bin mir sicher, dass diese Informationen viel viele Leser genauso hilfreich sind, wie sie für mich waren.
Was sind die Alternativen zur Auftragsverarbeitung?
Wie schon oben erwähnt, ist es nicht immer eine Auftragsverarbeitung, wenn Daten nicht allein von der verantwortlichen Stelle verarbeitet werden. Es gibt hier drei Möglichkeiten:
Auftragsverarbeiter
Inanspruchnahme fremder Fachleistungen
Joint Controllership (Gemeinsame Verantwortliche)
Jede dieser Optionen hat rechtlich andere Parameter, die berücksichtigt werden müssen.
Diese Fälle richtig auseinander zu halten, ist die Kunst. Ich finde es auch nicht ganz trivial, aber mit den Hinweisen der Bitkom und der DSK ist es etwas einfacher.
Allerdings muss man erwähnen, dass im Leitfaden der Bitkom noch die Funktionsübertragung erwähnt wird, dich ich vorher in diesem Artikel auch mehr heraus gehoben habe. Nach der DSGVO gibt es diese nun scheinbar nicht mehr. Ob sich die Urteile später wieder in die Richtung anlehnen, also das Prinzip der Funktionsübertragung in Betracht ziehen? Wie an so vielen Stellen, ist dies ein Fragezeichen, momentan sieht es aber nicht danach aus.
Übermittlung (Funktionsübertragung) aus dem „alten“ BDSG
Die Datenverarbeitung personenbezogener Daten spielt eine untergeordnete Rolle
Der Auftragnehmer hat nur eine unterstützende Funktion, indem er dem Auftraggeber in einer oder mehreren Phasen der Verarbeitung unterstütz.
Der Dienstleister ist quasi der „verlängerte Arm“ des Auftraggebers.
Es wird keine Aufgabe in ihrer Vollständigkeit, sondern lediglich ihre technische Ausführung übertragen.
Beispiele für Funktionsübertragung – ALT
Ausgelagerte Finanzbuchhaltung
Gehaltsabrechnung durch den Steuerberater
Ich empfehle daher, sich nicht mehr auf die Funktionsübertragung zu berufen – was es im allgemeinen aber auch einfacher macht, wie ich finde. Dann hat man noch die Optionen:
Auftragsverarbeiter
kein Auftragsverarbeiter
oder Gemeinsame Verantwortliche
Auftragsverarbeitung
Wenn Sie einen Auftragsverarbeiter beauftragen legen Sie die Zwecke und Mittel der Datenverarbeitung fest. Sie sind verantwortlich für die Daten dem Betroffenen gegenüber.
Auch der Auftragsverarbeiter hat eine Unterstützungsfunktion, wenn der Verantwortliche seinen Verpflichtungen nicht alleine nachkommen kann oder will. Der Auftragsverarbeiter muss dann den Verantwortlichen bei der Erfüllung der Anfragen und Ansprüche des Betroffenen unterstützen.
Es deutet auf eine Auftragsverarbeitung hin, wenn der Auftragnehmer:
keine Entscheidungsbefugnis über die Daten hat
keinen eigenen Geschäftszweck verfolgt bezüglich der personenbezogenen Daten
einem Nutzungsverbot der zu verarbeitenden Daten unterliegt
in keiner vertraglichen Beziehung zu den Betroffenen steht, die er verarbeitet
und nach außen hin der Auftraggeber für die Datenverarbeitung verantwortlich ist
Ergänzen muss man aber noch, dass zwar der Auftraggeber die Zwecke und Mittel der Verarbeitung festlegt, das aber nicht bedeutet, dass auch jede technische Schutzmaßnahme durch den Auftraggeber entschieden werden muss. Hier hat der Auftragnehmer durchaus das Recht, eigene Entscheidungen zu treffen.
Beispiele für die Auftragsverarbeitung
Outsourcing eines Rechenzentrums
Externe Datenhaltung
Cloud Systeme zur Personal- und Kundenverwaltung
externe Druckdienstleister
Aktenvernichtung, Vernichtung von Datenträgern
Marketingagenturen, die auch die Auswertung der Webseitenanalyse durchführen
Wann ist ein Dienstleister kein Auftragsverarbeiter
Laut Bitkom bezog sich die Grenze vor allem bei den IT-Dienstleistern darauf, dass ein Dienstleister, der nur Support Tätigkeit übernimmt und keine aktive Verarbeitung der Daten dabei übernimmt, kein Auftragsverarbeiter ist. Nach der Stellungnahme der DSK wird das nun etwas globaler gesehen.
Kein Auftragsverarbeiter ist daher ein Dienstleister, der z.B. die Wartung an der Stromzufuhr und an der Kühlung übernimmt. Jeglicher IT-Dienstleister, der sich z.B. auf den Rechner per Fernwartung aufschalten kann und dabei Zugriff auf personenbezogene Daten HABEN KÖNNTE, ist demnach ein Auftragsverarbeiter.
Die Beispiele der BitKom, wer kein Auftragsverarbeiter ist, sind nun noch ergänzt mit dem Einfluss des DSK Papiers:
Installation und Wartung von Netzwerken, Hardware
Telefonanlage, nur solange ein eventueller Zugriff auf personenbezogene Daten ausgeschlossen wird (was eigentlich ja nicht möglich ist)
Pflege von Software – wäre nach Stellungnahme der DSK nun immer ein Auftragsverarbeiter
Programmentwicklung und -tests von Programmen, die keine personenbezogenen Daten verarbeiten, sei es durch Userkennungen, Protokolle oder durch den originären Zweck des Programms
Zudem handelt es sich nicht um einen Auftragsverarbeiter, wenn
die Dienstleistung in Gesetzen geregelt ist (Postdienstleistungen – siehe auch weiter unten….)
bei E-mail Providern, die nur die E-mail Übermittlung sicherstellen und keine weiteren Funktionen anbieten
ausgelagerte Tätigkeiten, deren Kernaufgabe nicht die Verarbeitung von personenbezogenen Daten darstellt, trotzdem aber der Umgang mit personenbezogenen Daten nötig ist (Wachdienst, Reinigungsdienstleistung…)
Fremde Fachleistungen
Hier spricht sich nun die Datenschutzkonferenz aus, dass die fremden Fachleistungen sich folgendermaßen auszeichnen:
für die Verarbeitung und die Übermittlung gibt es einen eigenen Verantwortlichen
für die Verarbeitung muss eine Rechtsgrundlage nach Art. 6 DSGVO vorliegen
[Update am 05.08.2018]
Bisher war mir der Punkt „es muss eine Rechtsgrundlage nach Art. 6 DSGVO vorliegen“ absolut nicht klar. Es muss doch immer eine Rechtsgrundlage nach Art. 6 vorliegen, oder?
Beim Auftragsverarbeiter aber nur INDIREKT. Der Verantwortliche muss eine Rechtsgrundlage nach Art. 6 DSGVO haben. Der Auftragsverarbeiter hat diese in der Regel nicht. Liest man sich nämlich den Gesetzestext in Art. 6 genau durch, dann heißt es, es muss z.B. bei Art. 6 (1) lit. b ein Vertrag zwischen dem Betroffenen und dem Verantwortlichen existieren. Das heißt aber auch, dass diese Rechtsgrundlage für den Auftragsverarbeiter nicht gilt, da er ja nicht der Verantwortliche ist, sondern „nur“ der Dienstleister. Es gibt also keine Rechtsgrundlage beim Auftragsverarbeiter. Diese braucht er dementsprechend auch nicht dokumentieren (es ist nämlich keine Pflichtanforderung in Verfahrensverzeichnis!).
Aber zurück zu den fremden Fachleistungen. Wenn beim Dienstleister, der als „fremde Fachleistung“ gilt, eine Rechtsgrundlage vorliegen muss, sieht das ganz anders aus. Das heißt, es muss z.B. ein direkter Vertrag zwischen dem Betroffenen und dem Dienstleister existieren, was z.B. bei nachfolgenden Beispielen exakt der Fall ist.
Beispiele für fremde Fachleistungen
Die DSK kategorisiert in Ihrer Stellungnahme folgende Gruppen
Die DSGVO ermöglicht neben der alleinigen Verantwortung für ein Verfahren ein arbeitsteiliges Zusammenwirken. Dabei können „zwei oder mehr Verantwortlich“ gemeinsam die Verantwortung für die Verarbeitung personenbezogener Daten übernehmen.
Damit haben also alle verantwortlichen Stellen die Entscheidung über Zwecke und Mittel der Verarbeitung. Im Gegensatz zum Auftragsverarbeiter, bei dem keine Entscheidungsbefugnis über die Zwecke und Mittel der Verarbeitung vorliegt.
Bei der Entscheidungsbefugnis geht es nicht um untergeordnete Entscheidungen, welche Verschlüsselung eingesetzt wird oder wie die Akten entsorgt werden. Die Schutzmöglichkeiten nach dem aktuellen Stand der Technik wählt natürlich der Auftragsverarbeiter frei. Die erwähnte Entscheidungsbefugnis bezieht sich auf die Zwecke und Mittel der Verarbeitung allgemein.
Interessant fand ich den Hinweis, dass maßgeblich ein faktisches Verhalten entscheidend ist, ob es sich um gemeinsame Verantwortliche handelt. Nicht der gemeinsame Wille regelt die Joint Controllership, sondern eben das Verhalten, also wie es tatsächlich gelebt wird.
Umsetzung der gemeinsamen Verantwortung
Es ist zwar kein Vertrag zur Auftragsverarbeitung nötig, trotzdem müssen ein paar Punkte dokumentiert werden.
Welcher der Partner hat welche Pflichten nach der DSGVO
Wer übernimmt die Wahrung welcher Betroffenenrechte
Die aktuellen Beispiele der DSK sind etwas anders als die der Bitkom. Hier also die aktuellen der DSK:
klinische Arzneimittelstudien bei mehreren Verantwortlichen, die eigene Entscheidungen treffen (in Teilbereichen)
mehrere Unternehmen eines Konzerns, die gemeinsam bestimmte Datenkategorien verwalten und für gleichlaufende Geschäftszwecke verarbeiten
Wie schon oben erwähnt stammt die Information dieses Beitrags aus einem Leitfaden der Biktom. Ich habe hier die Inhalte kompakt zusammen gefasst. Der gesamte Leitfaden ist hier zu finden: Quelle: Bitkom
Neu dazu kam nun die Quelle der Datenschutzkonferenz unter diesem Link.
Pin it!
Bei welchen Dienstleistern sind Sie unsicher, ob es sich um einen Auftragsverarbeiter handelt?
Melden Sie sich zu meinem Newsletter an und erhalten Sie regelmäßig aktuelle und praxisorientierte Informationen zum Datenschutz und zur Informationssicherheit.
Melden Sie sich zu meinem Newsletter an und erhalten Sie regelmäßig aktuelle und praxisorientierte Informationen zum Datenschutz und zur Informationssicherheit.
