Die DSK hat Ende Dezember 2021 die Orientierungshilfe für Telemedienanbieter veröffentlicht.
Es handelt sich hier um eine Zusammenfassung des relevanten Inhalts durch die Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.
Die Orientierungshilfe, im folgenden mit OH abgekürzt, wird nicht im Ganzen wiedergegeben, es werden lediglich einzelne Abschnitte vorgestellt.
Hinweis: Im Folgenden in der männlichen Form gesprochen. Der Einfachheit halber beim Lesen unterscheiden wir nicht. Es sind natürlich alle Geschlechter angesprochen.
Seit Inkrafttreten der DSGVO wurden bereits einige Bußgelder in Deutschland und in der EU verhängt. Eine aktuelle Übersicht dazu finden Sie im Artikel zu den Bußgeldern DSGVO.
Die DSK hat nun ein Konzept zur Bußgeldberechnung erstellt und veröffentlicht. Mit diesem Berechnungskonzept soll vor allem die Transparenz bei der Bußgeldvergabe gewährleistet werden.
Nachfolgend zeigen wir Ihnen einen Überblick über die Ermittlung der Höhe des Bußgelds bei einem Verstoß gegen die DSGVO.
Darf personalisierte Werbung nach der DSGVO noch versendet werden? Dürfen Kunden telefonisch auf neue Produkte hingewiesen werden? Und vor allem, darf ich jedem Kunden einen Newsletter zusenden?
Artikel 17 Abs. 1 der DSGVO gibt an, wann Daten durch den Verantwortlichen gelöscht werden müssen.
Es bestehen auch Ausnahmen von der Pflicht auf Löschung der Daten. Diese werden in Artikel 17 Abs. 3 DSGVO genannt. Ebenfalls nennt §35 BDSG-neu Gründe für die Einschränkung der Löschpflicht.
Das Recht auf Vergessenwerden hat zum Ziel, personenbezogene Daten auf Wunsch des Betroffenen zu löschen, die zum Beispiel im Internet einer großen Öffentlichkeit zugänglich sind.
Nichtbeachtung von Löschanfragen und Löschpflichten kann zu hohen Bußgeldern führen, wie bereits Urteile zeigen.
Mit einem Kurzpapier gibt die DSK Hilfestellung auf ein weiteres Betroffenenrecht: Das Recht auf Löschung. Die zentralen Fragen werden hier erläutert: Wann sind Daten zwingend zu löschen? Wann bestehen Ausnahmen der Löschpflicht?
Auf den Punkt gebracht: Datenübermittlung in Drittländer
Als Drittländer gelten alle nicht EU-Staaten. Es wird zwischen sicheren und unsicheren Drittstaaten unterschieden. In sichere Drittländer ist die Datenübermittlung gestattet.
Folgende Möglichkeiten erlauben die Übertragung der Daten in ein Drittland: Angemessenheitsbeschluss liegt vor (sicheres Drittland), Es liegen geeignete Garantien für den Datenversand vor (Verhaltensregeln, Vertragsklauseln…)
Die Übertragung ist ebenfalls gestattet, wenn eine Einwilligung des Betroffenen vorliegt, die Verarbeitung für die Vertragserfüllung notwendig ist oder ein zwingendes berechtigtes Interesse vorliegt.
Ist die Datenübermittlung überhaupt noch zulässig? Wenn ja, was müssen Sie bei den Sicherheitsmaßnahmen und den Nachweisen beachten? Das DSK-Papier Nr. 4 gibt Antwort auf diese Fragen.
Auf den Punkt gebracht: Besondere personenbezogene Daten
Besondere Kategorien personenbezogener Daten sind noch höher zu schützen, als „normale“ personenbezogene Daten.
Unter die besonderen Daten fallen zum Beispiel: politische Meinung, religiöse Überzeugungen, Gewerkschaftszugehörigkeit Gesundheitsdaten (auch z.B. Medikamenteneinnahme), Sexuelle Orientierung
Grundsätzlich dürfen diese Daten NICHT verarbeitet werden, es sei denn, es liegt ein Erlaubnistatbestand nach Art. 9 vor
Die Voraussetzungen des Art. 9 (wann dürfen besonders schützenswerte Daten verarbeitet werden) und des Art. 6 DSGVO (wann ist eine Verarbeitung grundsätzlich rechtmäßig) sind bei der Verarbeitung zu beachten.
Das DSK-Papier beschäftigt mit der Verarbeitung von besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO. Wer darf diese Daten überhaupt verarbeiten? Wer benötigt für die Verarbeitung eine Einwilligung? Dies sind die zentralen Fragen.
Ist Ihr Dienstleister tatsächlich ein Auftragsverarbeiter im Sinne der EU Datenschutzgrundverordnung? Sehr schnell tendiert man dazu, jedem den Titel Auftragsverarbeiter anzuhängen, der auch nur annähernd in die Nähe von personenbezogenen Daten kommt.
Es gibt viele Diskussionen zum Thema. Ist zum Beispiel Google schon ein Auftragsverarbeiter, wenn dort die IP-Adresse erfasst wird? Um die Frage fachlich fundiert zu beantworten, bin ich auf eine sehr gute Dokumentation der Bitkom gestoßen. Es wird dort auf 43 Seiten sehr detailliert über die Auftragsverarbeiter bzw. Auftragsdatenverarbeiter (wie sie vorher hießen) informiert.
Neben dem sehr wertvollen Papier der Bitkom gehe ich noch auf die Stellungnahme der Datenschutzkonferenz ein, die auch eine Aussage über die Auftragsverarbeitung getroffen hat. Ergänzt wird der Artikel im Oktober 2020 durch eine Leitlinie der EDSA zur Abgrenzung von Begrifflichkeiten.
Auf den Punkt gebracht: Auftragsverarbeiter und gemeinsame Verantwortliche im Datenschutz
Wenn es sich um keinen Auftragsverarbeiter handelt, kann es sich um eine gemeinsame Verantwortlichkeit oder um fremde Fachleistungen handeln
Ein Auftragsverarbeiter bestimmt nicht den Zweck und die Mittel der Datenverarbeitung
Bei der gemeinsamen Verantwortlichkeit entscheiden beide Parteien über den Zweck und die Mittel der Datenverarbeitung
Begriffsdefinition Auftragsverarbeiter und gemeinsame Verantwortliche
Wer ist überhaupt Verantwortlicher?
Wer für die Daten verantwortlich ist, ergibt sich aus Art. 4 Nr. 7 DSGVO. Des Weiteren ist der Art. 5 DSGVO ebenfalls zu berücksichtigen.
Grundsätzlich ist Verantwortlicher derjenige, der über die Zwecke und Mittel der Datenverarbeitung entscheidet und diese delegiert.
Was bedeutet „Zweck“?
Der Zweck der Verarbeitung ist das „Warum“. Warum benötige ich die Daten für die Verarbeitungstätigkeit? Der Zweck wird im Verfahrensverzeichnis beschrieben und definiert.
Was bedeutet Mittel?
Das Mittel zeigt an, „wie“ die Verarbeitung durchgeführt wird. Als Beispiel können hier Programme, Softwaren oder Applikationen genannt werden.
Was sind die Alternativen zur Auftragsverarbeitung?
Wie schon oben erwähnt, ist es nicht immer eine Auftragsverarbeitung, wenn Daten nicht alleine von der verantwortlichen Stelle verarbeitet werden. Es gibt hier drei Möglichkeiten:
Auftragsverarbeiter
Inanspruchnahme fremder Fachleistungen
Joint Controllership (Gemeinsame Verantwortliche)
Jede dieser Optionen hat rechtlich andere Parameter, die berücksichtigt werden müssen.
Diese Fälle richtig auseinander zu halten, ist die Kunst. Ich finde es auch nicht ganz trivial, aber mit den Hinweisen der Bitkom und der DSK ist es etwas einfacher.
Allerdings muss man erwähnen, dass im Leitfaden der Bitkom noch die Funktionsübertragung erwähnt wird, die ich vorher in diesem Artikel auch mehr herausgehoben habe. Nach der DSGVO gibt es diese nun nicht mehr. Momentan sieht es auch nicht danach aus, als würden sich Empfehlungen wieder in diese Richtung anlehnen.
Übermittlung (Funktionsübertragung) aus dem „alten“ BDSG
Die Datenverarbeitung personenbezogener Daten spielt eine untergeordnete Rolle
Der Auftragnehmer hat nur eine unterstützende Funktion, indem er den Auftraggeber in einer oder mehreren Phasen der Verarbeitung unterstützt.
Der Dienstleister ist quasi der „verlängerte Arm“ des Auftraggebers.
Es wird keine Aufgabe in ihrer Vollständigkeit, sondern lediglich ihre technische Ausführung übertragen.
Beispiele für Funktionsübertragung – ALT
Ausgelagerte Finanzbuchhaltung
Gehaltsabrechnung durch den Steuerberater
Ich empfehle daher, sich nicht mehr auf die Funktionsübertragung zu berufen – was es im allgemeinen aber auch einfacher macht, wie ich finde. Dann hat man noch die Optionen:
Auftragsverarbeiter
kein Auftragsverarbeiter
Fremde Fachleistungen
oder Gemeinsame Verantwortliche
Auftragsverarbeitung
Wenn Sie einen Auftragsverarbeiter beauftragen, legen Sie die Zwecke und Mittel der Datenverarbeitung fest. Sie sind verantwortlich für die Daten dem Betroffenen gegenüber.
Auch der Auftragsverarbeiter hat eine Unterstützungsfunktion, wenn der Verantwortliche seinen Verpflichtungen nicht alleine nachkommen kann oder will. Der Auftragsverarbeiter muss dann den Verantwortlichen bei der Erfüllung der Anfragen und Ansprüche des Betroffenen unterstützen.
Es deutet auf eine Auftragsverarbeitung hin, wenn der Auftragnehmer
keine Entscheidungsbefugnis über die Daten hat
keinen eigenen Geschäftszweck verfolgt bezüglich der personenbezogenen Daten
einem Nutzungsverbot der zu verarbeitenden Daten unterliegt
in keiner vertraglichen Beziehung zu den Betroffenen steht, die er verarbeitet
und nach außen hin der Auftraggeber für die Datenverarbeitung verantwortlich ist.
Ergänzen muss man aber noch, dass zwar der Auftraggeber die Zwecke und Mittel der Verarbeitung festlegt, dies aber nicht bedeutet, dass auch jede technische Schutzmaßnahme durch den Auftraggeber entschieden werden muss. Hier hat der Auftragnehmer durchaus das Recht, eigene Entscheidungen zu treffen.
Beispiele für die Auftragsverarbeitung
Outsourcing eines Rechenzentrums
Externe Datenhaltung
Cloud Systeme zur Personal- und Kundenverwaltung
externe Druckdienstleister
Aktenvernichtung, Vernichtung von Datenträgern
Marketingagenturen, die auch die Auswertung der Webseitenanalyse durchführen
Update am 23.01.2023 – Microsoft hat am 1. Januar 2023 einen neuen AV-Vertrag veröffentlicht.
Aktuell ist dieser nur in englischer Sprache verfügbar. Damit hat Microsoft auf die angebrachte Kritik der Aufsichtsbehörden reagiert.
Im neuen AV-Vertrag ist vor allem folgende Änderung bedeutend, dass über die EU-Cloud sämtliche Kundendaten ausschließlich in der EU verarbeitet und gespeichert werden. Des Weiteren wurde der Anhang I (relevante Regelungen zum AV-Vertrag) überarbeitet und ergänzt. Es werden dabei Bezüge auf die verschiedenen Rechtsgrundlagen nach Art. 5, 28, 32 und 33 genommen und ergänzt.
Ob der Vertrag nun den Anforderungen der Aufsichtsbehörden entsprechen, wird sich wohl erst mit einer erneuten Bewertung zeigen.
Wann ist ein Dienstleister kein Auftragsverarbeiter
Laut Bitkom bezog sich die Grenze vor allem bei den IT-Dienstleistern darauf, dass ein Dienstleister, der nur Support Tätigkeit übernimmt und dabei keine aktive Verarbeitung der Daten übernimmt, kein Auftragsverarbeiter ist. Nach der Stellungnahme der DSK wird das nun etwas globaler gesehen.
Kein Auftragsverarbeiter ist daher ein Dienstleister, der z.B. die Wartung an der Stromzufuhr und an der Kühlung übernimmt. Jeglicher IT-Dienstleister, der sich z.B. auf den Rechner per Fernwartung aufschalten kann und dabei Zugriff auf personenbezogene Daten HABEN KÖNNTE, ist demnach ein Auftragsverarbeiter.
Die Beispiele der BitKom, wer kein Auftragsverarbeiter ist, sind nun noch ergänzt mit dem Einfluss des DSK Papiers:
Installation und Wartung von Netzwerken, Hardware
Telefonanlage, nur solange ein eventueller Zugriff auf personenbezogene Daten ausgeschlossen wird (was eigentlich ja nicht möglich ist)
Pflege von Software – wäre nach Stellungnahme der DSK nun immer ein Auftragsverarbeiter
Programmentwicklung und -tests von Programmen, die keine personenbezogenen Daten verarbeiten, sei es durch Userkennungen, Protokolle oder durch den originären Zweck des Programms
Ein Taxiunternehmen bietet eine Buchungsplattform für die Fahrten an. Die Kerntätigkeit des Taxiunternehmens besteht jedoch in der Beförderung der Fahrgäste. Die Buchungsplattform dient nur als Mittel zum Zweck.
Zudem handelt es sich nicht um einen Auftragsverarbeiter
wenn die Dienstleistung in Gesetzen geregelt ist (Postdienstleistungen – siehe auch weiter unten….)
bei E-Mail Providern, die nur die E-Mail Übermittlung sicherstellen und keine weiteren Funktionen anbieten
bei ausgelagerten Tätigkeiten, deren Kernaufgabe nicht die Verarbeitung von personenbezogenen Daten darstellt, trotzdem aber der Umgang mit personenbezogenen Daten nötig ist (Wachdienst, Reinigungsdienstleistung…)
Kerntätigkeit im Sinne der Datenverarbeitung
Die EDSA zieht zur Abgrenzung auch die Argumentation über die Kerntätigkeit heran. Einige Aufsichtsbehörden folgten dieser Annahme bisher nicht.
Das BayLDA ließ diese Argumentation bereits im Jahr 2018, kurz nach Inkrafttreten der DSGVO, in ihrem FAQ zu.
Fremde Fachleistungen
Hier spricht sich nun die Datenschutzkonferenz aus, dass die fremden Fachleistungen sich folgendermaßen auszeichnen:
Für die Verarbeitung und die Übermittlung gibt es einen eigenen Verantwortlichen
Für die Verarbeitung muss eine Rechtsgrundlage nach Art. 6 DSGVO vorliegen
Es muss doch immer eine Rechtsgrundlage nach Art. 6 vorliegen, oder? Beim Auftragsverarbeiter aber nur INDIREKT. Der Verantwortliche muss eine Rechtsgrundlage nach Art. 6 DSGVO haben. Der Auftragsverarbeiter hat diese in der Regel nicht. Liest man sich nämlich den Gesetzestext in Art. 6 genau durch, dann heißt es, es muss z.B. bei Art. 6 (1) lit. b ein Vertrag zwischen dem Betroffenen und dem Verantwortlichen existieren. Das heißt aber auch, dass diese Rechtsgrundlage für den Auftragsverarbeiter nicht gilt, da er ja nicht der Verantwortliche ist, sondern „nur“ der Dienstleister. Es gibt also keine Rechtsgrundlage beim Auftragsverarbeiter. Diese braucht er dementsprechend auch nicht dokumentieren (es ist nämlich keine Pflichtanforderung in Verfahrensverzeichnis!). Aber zurück zu den fremden Fachleistungen. Wenn beim Dienstleister, der als „fremde Fachleistung“ gilt, eine Rechtsgrundlage vorliegen muss, sieht das ganz anders aus. Das heißt, es muss z.B. ein direkter Vertrag zwischen dem Betroffenen und dem Dienstleister existieren, was z.B. bei nachfolgenden Beispielen exakt der Fall ist.
Beispiele für fremde Fachleistungen
Die DSK kategorisiert in Ihrer Stellungnahme folgende Gruppen:
Die DSGVO ermöglicht neben der alleinigen Verantwortung für ein Verfahren ein arbeitsteiliges Zusammenwirken. Dabei können „zwei oder mehr Verantwortliche“ gemeinsam die Verantwortung für die Verarbeitung personenbezogener Daten übernehmen.
Damit haben also alle verantwortlichen Stellen die Entscheidung über Zwecke und Mittel der Verarbeitung. Im Gegensatz zum Auftragsverarbeiter, bei dem keine Entscheidungsbefugnis über die Zwecke und Mittel der Verarbeitung vorliegt.
Bei der Entscheidungsbefugnis geht es nicht um untergeordnete Entscheidungen, welche Verschlüsselung eingesetzt wird oder wie die Akten entsorgt werden. Die Schutzmöglichkeiten nach dem aktuellen Stand der Technik wählt natürlich der Auftragsverarbeiter frei. Die erwähnte Entscheidungsbefugnis bezieht sich auf die Zwecke und Mittel der Verarbeitung allgemein.
Interessant fand ich den Hinweis, dass maßgeblich ein faktisches Verhalten entscheidend ist, ob es sich um gemeinsame Verantwortliche handelt. Nicht der gemeinsame Wille regelt die Joint Controllership, sondern eben das Verhalten, also wie es tatsächlich gelebt wird.
Umsetzung der gemeinsamen Verantwortung
Es ist zwar kein Vertrag zur Auftragsverarbeitung nötig, trotzdem müssen ein paar Punkte dokumentiert werden.
Welcher der Partner hat welche Pflichten nach der DSGVO?
Wer übernimmt die Wahrung welcher Betroffenenrechte?
Die aktuellen Beispiele der DSK sind etwas anders als die der Bitkom. Hier also die aktuellen der DSK:
klinische Arzneimittelstudien bei mehreren Verantwortlichen, die eigene Entscheidungen treffen (in Teilbereichen)
mehrere Unternehmen eines Konzerns, die gemeinsam bestimmte Datenkategorien verwalten und für gleichlaufende Geschäftszwecke verarbeiten
Soziale Medien, wenn Sie als Unternehmer eine Unternehmens- oder Fanpage betreiben
Reisebüro
Forschungsprojekt Institute
Marketingveranstaltung mehrere Unternehmen
Klinische Studien
Headhunter (konkreter Einzelfall)
Keine gemeinsame Verantwortlichkeit
Übermittlung Lohndaten an Finanzverwaltung (gesetzlich geregelt)
Gemeinsame Nutzung einer Datenbank mit getrennten Bereichen – Mandantenfähigkeit / Berechtigungskonzepte etc.
Gemeinsame Infrastruktur (Rechenzentren etc.)
Pin it on Pinterest!
FAQs Auftragsverarbeitung
Gibt es eine Vorlage für einen AV-Vertrag?
Hier gibt es mehrere Möglichkeiten. Wir nutzen z.B. die kostenlose Vorlage der GDD oder der Bitkom. Aber auch Anwälte stellen Vorlagen zur Verfügung. Für Auftragsverarbeiter im EWR gibt es auch eine Vorlage auf Basis der SCC, die seitens der EU-Kommission vorgegeben ist. Erfolgt die Auftragsverarbeitung in einem unsicheren Drittland, z.B. USA, ist die Vorlage der EU-Kommission anzuwenden, konkret das SCC-Modul 2 (Verantwortlicher-Auftragsverarbeiter). Weitere Informationen zu den „neuen“ Standardvertragsklauseln (SCC) finden Sie in einem separaten Blogbeitrag.
Muss der AV-Vertrag unterschrieben werden?
Nein. Eine Unterschrift ist nicht zwingend erforderlich. Es ist ausreichend, wenn der Auftraggeber und Auftragnehmer die Vereinbarung bekunden. Dies kann mündlich oder konkludent erfolgen.
Es wird jedoch zu Nachweiszwecken empfohlen, den Vertrag schriftlich und mit einer Unterschrift abzuschließen.
Wie detailliert müssen die technischen und organisatorischen Maßnahmen im AV-Anhang beschrieben werden?
Hier lässt der EDSA einen gewissen Spielraum offen.
In der Leitlinie heißt es frei übersetzt, dass in einigen Fällen der Auftraggeber eine detaillierte Beschreibung der TOMs verlangen kann.
Welche Fälle damit gemeint sind, ist vermutlich wieder Auslegungssache. Es wäre wünschenswert, wenn diese Fälle im offiziellen Papier beispielhaft beschrieben werden.
In allen anderen Fällen sind zumindest die Sicherheitsvorgaben nach Art. 32 DSGVO einzuhalten.
Beispiel:
Sofern sensible Daten (z.B. Gesundheitsdaten) seitens des Auftragnehmers verarbeitet werden, bietet es sich an, ein ausführlicheres Sicherheitskonzept vorzulegen.
Bei Fällen, in denen nur „normale“ personenbezogene Daten (Name, Adresse, E-Mail-Adresse etc.) verarbeitet werden, ist eine Anlehnung und Auflistung nach Art. 32 DSGVO ausreichend.
Bin ich dafür Verantwortlich, dass mein Auftragsverarbeiter einen AV mit seinem Subdienstleister hat?
Ja und nein. Sie mit müssen mit Ihrem Auftragsverarbeiter einen AV-Vertrag schließen. In diesem müssen Sie sicherstellen, dass der Umgang mit Subdienstleistern geregelt ist. Das heißt, die Anforderungen von Ihnen als Verantwortlicher müssen an den Unterlieferanten weiter gegeben werden.
Damit ist Ihr Auftragsverarbeiter verpflichtet, mit seinen Subdienstleistern einen AV-Vertrag zu schließen.
Sie müssen regelmäßig prüfen oder einen Nachweis haben, dass Ihr Auftragsverarbeiter diese Vorgaben auch einhält. Dies kann auf unterschiedlichen Wegen passieren. Sie auditieren den Auftragsverarbeiter vor Ort und lassen sich die AV-Verträge zeigen. In vielen Fällen wird dies eher unwahrscheinlich sein. Sie können auch Fragebögen ausgeben und diese beantworten lassen oder Sie lassen sich Prüfberichte oder Zertifikate vorlegen.
Beispiele: Wer ist Auftragsverarbeiter?
Hier handelt es sich nur um einen Auszug und ein paar Beispiele. Die Liste ist natürlich nicht vollständig.
Wenn Sie einen dieser Dienste als Privatperson nutzen, handelt es sich um KEINE Auftragsverarbeitung.
Anbieter
Auftragsverarbeiter
Erläuterung
Dropbox
Ja
Cloud
GMX
Nein
sofern nur E-Mail Service genutzt wird
Google
Ja
GSuite und andere Cloud-Services
Hetzner
Ja
Server, Webhosting, Cloud..
Ionos
Ja
Server, Webhosting, Cloud..
Jimdo
Ja
Online-CMS
Linkedin
Nein
Eine Unternehmensseite ist keine Auftragsverarbeitung
Lohnbüro
Ja
Wenn kein Steuerberater
Microsoft
Ja
Newsletterdienstleister
Ja
SendinBlue
Ja
Newsletterdienstleister
Reinigungsfirma
Nein
Strato
Ja
Server, Webhosting, Cloud..
wordpress.org
Ja
Online CMS (nicht ein eigenes installiertes WordPress)
Bei welchen Dienstleistern sind Sie unsicher, ob es sich um einen Auftragsverarbeiter handelt?
kostenloses Live-Webinar: So setzen Sie TISAX® um!
Von Experten – für Experten im Datenschutz
Tauschen Sie sich mit Gleichgesinnten aus und bleiben Sie up to date!
Whistleblowing-Portal der Datenbeschützerin
Whistleblowing Richtlinie - Bereit für das Hinweisgeberschutzgesetz?
Bleiben wir in Kontakt
Melden Sie sich zu unserem Newsletter an und erhalten Sie alle 14 Tage aktuelle und praxisorientierte Informationen zum Datenschutz und zur Informationssicherheit.