Kategorie: DSK-Papier

Knowledge Base der Datenbeschützerin

Seit Inkrafttreten der DSGVO wurden bereits einige Bußgelder in Deutschland und in der EU verhängt. Eine aktuelle Übersicht dazu finden Sie im Artikel zu den Bußgeldern DSGVO.

Die DSK hat nun ein Konzept zur Bußgeldberechnung erstellt und veröffentlicht. Mit diesem Berechnungskonzept soll vor allem die Transparenz bei der Bußgeldvergabe gewährleistet werden.

Nachfolgend zeigen wir Ihnen einen Überblick über die Ermittlung der Höhe des Bußgelds bei einem Verstoß gegen die DSGVO.

Continue reading „Bußgeldberechnung nach der DSGVO“

Diesen Beitrag teilen

Darf personalisierte Werbung nach der DSGVO noch versendet werden? Dürfen Kunden telefonisch auf neue Produkte hingewiesen werden? Und vor allem, darf ich jedem Kunden einen Newsletter zusenden?

Continue reading „Werbung und Datenschutz – Welche Voraussetzungen sind bei Newsletter und postalischer Werbung zu beachten?“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin

Auf den Punkt gebracht: Recht auf Löschung

Auf den Punkt gebracht: Besondere personenbezogene Daten
  • Artikel 17 Abs. 1 der DSGVO gibt an, wann Daten durch den Verantwortlichen gelöscht werden müssen.
  • Es bestehen auch Ausnahmen von der Pflicht auf Löschung der Daten. Diese werden in Artikel 17 Abs. 3 DSGVO genannt. Ebenfalls nennt §35 BDSG-neu Gründe für die Einschränkung der Löschpflicht.
  • Das Recht auf Vergessenwerden hat zum Ziel, personenbezogene Daten auf Wunsch des Betroffenen zu löschen, die zum Beispiel im Internet einer großen Öffentlichkeit zugänglich sind.
  • Nichtbeachtung von Löschanfragen und Löschpflichten kann zu hohen Bußgeldern führen, wie bereits Urteile zeigen.


Mit einem Kurzpapier gibt die DSK Hilfestellung auf ein weiteres Betroffenenrecht: Das Recht auf Löschung. Die zentralen Fragen werden hier erläutert: Wann sind Daten zwingend zu löschen? Wann bestehen Ausnahmen der Löschpflicht?

Continue reading „Summary DSK-Papier Nr. 11: Recht auf Löschung / Recht auf Vergessenwerden“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin

Auf den Punkt gebracht: Datenübermittlung in Drittländer

Auf den Punkt gebracht: Datenübermittlung in Drittländer
  • Als Drittländer gelten alle nicht EU-Staaten. Es wird zwischen sicheren und unsicheren Drittstaaten unterschieden. In sichere Drittländer ist die Datenübermittlung gestattet.
  • Folgende Möglichkeiten erlauben die Übertragung der Daten in ein Drittland: Angemessenheitsbeschluss liegt vor (sicheres Drittland), Es liegen geeignete Garantien für den Datenversand vor (Verhaltensregeln, Vertragsklauseln…)
  • Die Übertragung ist ebenfalls gestattet, wenn eine Einwilligung des Betroffenen vorliegt, die Verarbeitung für die Vertragserfüllung notwendig ist oder ein zwingendes berechtigtes Interesse vorliegt.


Ist die Datenübermittlung überhaupt noch zulässig? Wenn ja, was müssen Sie bei den Sicherheitsmaßnahmen und den Nachweisen beachten? Das DSK-Papier Nr. 4 gibt Antwort auf diese Fragen.

Continue reading „Summary DSK-Papier Nr. 4: Datenübermittlung in Drittländer“

Diesen Beitrag teilen

Knowledge Base der Datenbeschützerin

Auf den Punkt gebracht: Besondere personenbezogene Daten

Auf den Punkt gebracht: Besondere personenbezogene Daten
  • Besondere Kategorien personenbezogener Daten sind noch höher zu schützen, als „normale“ personenbezogene Daten.
  • Unter die besonderen Daten fallen zum Beispiel: politische Meinung, religiöse Überzeugungen, Gewerkschaftszugehörigkeit
    Gesundheitsdaten
    (auch z.B. Medikamenteneinnahme), Sexuelle Orientierung
  • Grundsätzlich dürfen diese Daten NICHT verarbeitet werden, es sei denn, es liegt ein Erlaubnistatbestand nach Art. 9 vor
  • Die Voraussetzungen des Art. 9 (wann dürfen besonders schützenswerte Daten verarbeitet werden) und des Art. 6 DSGVO (wann ist eine Verarbeitung grundsätzlich rechtmäßig) sind bei der Verarbeitung zu beachten.


Das DSK-Papier beschäftigt mit der Verarbeitung von besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO. Wer darf diese Daten überhaupt verarbeiten? Wer benötigt für die Verarbeitung eine Einwilligung? Dies sind die zentralen Fragen.

Continue reading „Summary DSK-Papier Nr. 17: Besondere Kategorien personenbezogener Daten“

Diesen Beitrag teilen

Wann handelt es sich um einen Auftragsverarbeiter?

[Update am 01.06.2018 – Aufgrund ständig neuer Veröffentlichungen und Stellungnahmen, wurde dieser Artikel nun noch mal angepasst!]

[Update am 13.10.2020 – Der Artikel wurde aktualisiert auf Basis der Leitlinie der EDSA mit der Abgrenzung der Begriffe „Verantwortlicher“ und „Auftragsverarbeiter“ !]

Ist Ihr Dienstleister tatsächlich ein Auftragsverarbeiter im Sinne der EU Datenschutzgrundverordnung? Sehr schnell tendiert man dazu, jedem den Titel Auftragsverarbeiter anzuhängen, der auch nur annähernd in die Nähe von personenbezogenen Daten kommt.

Es gibt viele Diskussionen zum Thema. Ist zum Beispiel Google schon ein Auftragsverarbeiter, wenn dort die IP-Adresse erfasst wird? Um die Frage fachlich fundiert zu beantworten, bin ich auf eine sehr gute Dokumentation der Bitkom gestoßen. Es wird dort auf 43 Seiten sehr detailliert über die Auftragsverarbeiter bzw. Auftragsdatenverarbeiter (wie sie vorher hießen) informiert.

Neben dem sehr wertvollen Papier der Bitkom gehe ich noch auf die Stellungnahme der Datenschutzkonferenz ein, die auch eine Aussage über die Auftragsverarbeitung getroffen haben. Ergänzt wird der Artikel im Oktober 2020 durch eine Leitlinie der EDSA zur Abgrenzung von Begrifflichkeiten.

Auf den Punkt gebracht: Auftragsverarbeiter und gemeinsame Verantwortliche im Datenschutz

Auf den Punkt gebracht: Führerschein- und Ausweiskopien nach der DSGVO
  • Wenn es sich um keinen Auftragsverarbeiter handelt, kann es sich um eine gemeinsame Verantwortlichkeit oder um fremde Fachleistungen handeln
  • Ein Auftragsverarbeiter bestimmt nicht den Zweck und die Mittel der Datenverarbeitung
  • Bei der gemeinsamen Verantwortlichkeit entscheiden beide Parteien über den Zweck und die Mittel der Datenverarbeitung

Begriffsdefinition Auftragsverarbeiter und gemeinsame Verantwortliche

Wer ist überhaupt Verantwortlicher?

Wer für die Daten verantwortlich ist, ergibt sich aus Art. 4 Nr. 7 DSGVO. Des Weiteren ist der Art. 5 DSGVO ebenfalls zu berücksichtigen.

Grundsätzlich ist Verantwortlicher derjenige, der über die Zwecke und Mittel der Datenverarbeitung entscheidet und diese delegiert.

Was bedeutet „Zweck“?

Der Zweck der Verarbeitung ist das „Warum“. Warum benötige ich die Daten für die Verarbeitungstätigkeit? Der Zweck wird im Verfahrensverzeichnis beschrieben und definiert.

Was bedeutet Mittel?

Das Mittel zeigt an, „wie“ die Verarbeitung durchgeführt wird. Als Beispiel können hier Programme, Softwaren oder Applikationen genannt werden.

Was sind die Alternativen zur Auftragsverarbeitung?

Wie schon oben erwähnt, ist es nicht immer eine Auftragsverarbeitung, wenn Daten nicht allein von der verantwortlichen Stelle verarbeitet werden. Es gibt hier drei Möglichkeiten:

  • Auftragsverarbeiter
  • Inanspruchnahme fremder Fachleistungen
  • Joint Controllership (Gemeinsame Verantwortliche)

Jede dieser Optionen hat rechtlich andere Parameter, die berücksichtigt werden müssen.

Diese Fälle richtig auseinander zu halten, ist die Kunst. Ich finde es auch nicht ganz trivial, aber mit den Hinweisen der Bitkom und der DSK ist es etwas einfacher.

Allerdings muss man erwähnen, dass im Leitfaden der Bitkom noch die Funktionsübertragung erwähnt wird, dich ich vorher in diesem Artikel auch mehr heraus gehoben habe. Nach der DSGVO gibt es diese nun nicht mehr. Momentan sieht es auch nicht danach aus, als würden sich Empfehlungen wieder in diese Richtung anlehnen.

Übermittlung (Funktionsübertragung) aus dem „alten“ BDSG

  • Die Datenverarbeitung personenbezogener Daten spielt eine untergeordnete Rolle
  • Der Auftragnehmer hat nur eine unterstützende Funktion, indem er dem Auftraggeber in einer oder mehreren Phasen der Verarbeitung unterstütz.
  • Der Dienstleister ist quasi der „verlängerte Arm“ des Auftraggebers.
  • Es wird keine Aufgabe in ihrer Vollständigkeit, sondern lediglich ihre technische Ausführung übertragen.

Beispiele für Funktionsübertragung – ALT

  • Ausgelagerte Finanzbuchhaltung
  • Gehaltsabrechnung durch den Steuerberater

Ich empfehle daher, sich nicht mehr auf die Funktionsübertragung zu berufen – was es im allgemeinen aber auch einfacher macht, wie ich finde. Dann hat man noch die Optionen:

  • Auftragsverarbeiter
  • kein Auftragsverarbeiter
    • Fremde Fachleistungen
  • oder Gemeinsame Verantwortliche

Auftragsverarbeitung

Wenn Sie einen Auftragsverarbeiter beauftragen legen Sie die Zwecke und Mittel der Datenverarbeitung fest. Sie sind verantwortlich für die Daten dem Betroffenen gegenüber.

Auch der Auftragsverarbeiter hat eine Unterstützungsfunktion, wenn der Verantwortliche seinen Verpflichtungen nicht alleine nachkommen kann oder will. Der Auftragsverarbeiter muss dann dem Verantwortlichen bei der Erfüllung der Anfragen und Ansprüche des Betroffenen unterstützen.

Es deutet auf eine Auftragsverarbeitung hin, wenn der Auftragnehmer:

  • keine Entscheidungsbefugnis über die Daten hat
  • keinen eigenen Geschäftszweck verfolgt bezüglich der personenbezogenen Daten
  • einem Nutzungsverbot der zu verarbeitenden Daten unterliegt
  • in keiner vertraglichen Beziehung zu den Betroffenen steht, die er verarbeitet
  • und nach außen hin der Auftraggeber für die Datenverarbeitung verantwortlich ist

Ergänzen muss man aber noch, dass zwar der Auftraggeber die Zwecke und Mittel der Verarbeitung festlegt, dies aber nicht bedeutet, dass auch jede technische Schutzmaßnahme durch den Auftraggeber entschieden werden muss. Hier hat der Auftragnehmer durchaus das Recht, eigene Entscheidungen zu treffen.

Beispiele für die Auftragsverarbeitung

  • Outsourcing eines Rechenzentrums
  • Externe Datenhaltung
  • Cloud Systeme  zur Personal- und Kundenverwaltung
  • externe Druckdienstleister
  • Aktenvernichtung, Vernichtung von Datenträgern
  • Marketingagenturen, die auch die Auswertung der Webseitenanalyse durchführen

Wann ist ein Dienstleister kein Auftragsverarbeiter

Laut Bitkom bezog sich die Grenze vor allem bei den IT-Dienstleistern darauf, dass ein Dienstleister, der nur Support Tätigkeit übernimmt und keine aktive Verarbeitung der Daten dabei übernimmt, kein Auftragsverarbeiter ist. Nach der Stellungnahme der DSK wird das nun etwas globaler gesehen.

Kein Auftragsverarbeiter ist daher ein Dienstleister, der z.B. die Wartung an der Stromzufuhr und an der Kühlung übernimmt. Jeglicher IT-Dienstleister, der sich z.B. auf den Rechner per Fernwartung aufschalten kann und dabei Zugriff auf personenbezogene Daten HABEN KÖNNTE, ist demnach ein Auftragsverarbeiter.

Die Beispiele der BitKom, wer kein Auftragsverarbeiter ist, sind nun noch ergänzt mit dem Einfluss des DSK Papiers:

  • Installation und Wartung von Netzwerken, Hardware
    • Telefonanlage, nur solange ein eventueller Zugriff auf personenbezogene Daten ausgeschlossen wird (was eigentlich ja nicht möglich ist)
  • Pflege von Software – wäre nach Stellungnahme der DSK nun immer ein Auftragsverarbeiter
  • Programmentwicklung und -tests von Programmen, die keine personenbezogenen Daten verarbeiten, sei es durch Userkennungen, Protokolle oder durch den originären Zweck des Programms
  • Ein Taxiunternehmen bietet eine Buchungsplattform für die Fahrten an. Die Kerntätigkeit des Taxiunternehmens besteht jedoch in der Beförderung der Fahrgäste. Die Buchungsplattform dient nur als Mittel zum Zweck.

Zudem handelt es sich nicht um einen Auftragsverarbeiter, wenn

  • die Dienstleistung in Gesetzen geregelt ist (Postdienstleistungen – siehe auch weiter unten….)
  • bei E-mail Providern, die nur die E-mail Übermittlung sicherstellen und keine weiteren Funktionen anbieten
  • ausgelagerte Tätigkeiten, deren Kernaufgabe nicht die Verarbeitung von personenbezogenen Daten darstellt, trotzdem aber der Umgang mit personenbezogenen Daten nötig ist (Wachdienst, Reinigungsdienstleistung…)

Kerntätigkeit im Sinne der Datenverarbeitung

Die EDSA zieht zur Abgrenzung auch die Argumentation über die Kerntätigkeit heran. Einige Aufsichtsbehörden folgten dieser Annahme bisher nicht.

Das BayLDA lies diese Argumentation bereits im Jahr 2018, kurz nach Inkrafttreten der DSGVO, in ihrem FAQ zu.

Fremde Fachleistungen

Hier spricht sich nun die Datenschutzkonferenz aus, dass die fremden Fachleistungen sich folgendermaßen auszeichnen:

  • für die Verarbeitung und die Übermittlung gibt es einen eigenen Verantwortlichen
  • für die Verarbeitung muss eine Rechtsgrundlage nach Art. 6 DSGVO vorliegen

[Update am 05.08.2018]

Es muss doch immer eine Rechtsgrundlage nach Art. 6 vorliegen, oder?
Beim Auftragsverarbeiter aber nur INDIREKT. Der Verantwortliche muss eine Rechtsgrundlage nach Art. 6 DSGVO haben. Der Auftragsverarbeiter hat diese in der Regel nicht. Liest man sich nämlich den Gesetzestext in Art. 6 genau durch, dann heißt es, es muss z.B. bei Art. 6 (1) lit. b ein Vertrag zwischen dem Betroffenen und dem Verantwortlichen existieren. Das heißt aber auch, dass diese Rechtsgrundlage für den Auftragsverarbeiter nicht gilt, da er ja nicht der Verantwortliche ist, sondern „nur“ der Dienstleister. Es gibt also keine Rechtsgrundlage beim Auftragsverarbeiter. Diese braucht er dementsprechend auch nicht dokumentieren (es ist nämlich keine Pflichtanforderung in Verfahrensverzeichnis!).
Aber zurück zu den fremden Fachleistungen. Wenn beim Dienstleister, der als „fremde Fachleistung“ gilt, eine Rechtsgrundlage vorliegen muss, sieht das ganz anders aus. Das heißt, es muss z.B. ein direkter Vertrag zwischen dem Betroffenen und dem Dienstleister existieren, was z.B. bei nachfolgenden Beispielen exakt der Fall ist.

Beispiele für fremde Fachleistungen

Die DSK kategorisiert in Ihrer Stellungnahme folgende Gruppen

  • Berufsgeheimnisträger (Steuerberater, Anwälte, externe Betriebsärzte, Wirtschaftsprüfer…)
  • Inkassobüros mit Forderungsübertragung
  • Bankinstitute für den Geldtransfer
  • Postdienst…

[Update am 02.02.2019]

Weitere Beispiele hat das Bayerische Landesamt für Datenschutz in einer Übersicht zusammen gestellt. Hier können Sie das Dokument einsehen.

Joint Controllership – Gemeinsame Verantwortliche

Die DSGVO ermöglicht neben der alleinigen Verantwortung für ein Verfahren ein arbeitsteiliges Zusammenwirken. Dabei können „zwei oder mehr Verantwortlich“ gemeinsam die Verantwortung für die Verarbeitung personenbezogener Daten übernehmen.

Damit haben also alle verantwortlichen Stellen die Entscheidung über Zwecke und Mittel der Verarbeitung. Im Gegensatz zum Auftragsverarbeiter, bei dem keine Entscheidungsbefugnis über die Zwecke und Mittel der Verarbeitung vorliegt.

Bei der Entscheidungsbefugnis geht es nicht um untergeordnete Entscheidungen, welche Verschlüsselung eingesetzt wird oder wie die Akten entsorgt werden. Die Schutzmöglichkeiten nach dem aktuellen Stand der Technik wählt natürlich der Auftragsverarbeiter frei. Die erwähnte Entscheidungsbefugnis bezieht sich auf die Zwecke und Mittel der Verarbeitung allgemein.

Interessant fand ich den Hinweis, dass maßgeblich ein faktisches Verhalten entscheidend ist, ob es sich um gemeinsame Verantwortliche handelt. Nicht der gemeinsame Wille regelt die Joint Controllership, sondern eben das Verhalten, also wie es tatsächlich gelebt wird.

Umsetzung der gemeinsamen Verantwortung

Es ist zwar kein Vertrag zur Auftragsverarbeitung nötig, trotzdem müssen ein paar Punkte dokumentiert werden.

  • Welcher der Partner hat welche Pflichten nach der DSGVO
  • Wer übernimmt die Wahrung welcher Betroffenenrechte
  • Welcher der Partner übernimmt die Informationspflicht

Beispiele für Joint Controllership

Die aktuellen Beispiele der DSK sind etwas anders als die der Bitkom. Hier also die aktuellen der DSK:

  • klinische Arzneimittelstudien bei mehreren Verantwortlichen, die eigene Entscheidungen treffen (in Teilbereichen)
  • mehrere Unternehmen eines Konzerns, die gemeinsam bestimmte Datenkategorien verwalten und für gleichlaufende Geschäftszwecke verarbeiten
  • Soziale Medien, wenn Sie als Unternehmer eine Unternehmens- oder Fanpage betreiben
  • Reisebüro
  • Forschungsprojekt Institute
  • Marketingveranstaltung mehrere Unternehmen
  • Klinische Studien
  • Headhunter (konkreter Einzelfall)

Keine gemeinsame Verantwortlichkeit

  • Übermittlung Lohndaten an Finanzverwaltung (gesetzlich geregelt)
  • Gemeinsame Nutzung einer Datenbank mit getrennten Bereichen – Mandantenfähigkeit / Berechtigungskonzepte etc.
  • Gemeinsame Infrastruktur (Rechenzentren etc.)
Wann handelt es sich um einen Auftragsverarbeiter?
Pin it on Pinterest!

FAQs Auftragsverarbeitung

Muss der AV-Vertrag unterschrieben werden?

Nein. Eine Unterschrift ist nicht zwingend erforderlich. Es ist ausreichen, wenn der Auftraggeber und Auftragnehmer die Vereinbarung bekunden. Dies kann mündlich oder konkludent erfolgen.

Es wird jedoch zu Nachweiszwecken empfohlen, den Vertrag schriftlich und mit einer Unterschrift abzuschließen.

Wie detailliert müssen die technischen und organisatorischen Maßnahmen im AV-Anhang beschrieben werden?

Hier lässt der EDSA einen gewissen Spielraum offen.

In der Leitlinie heißt es frei übersetzt, dass in einigen Fällen der Auftraggeber eine detaillierte Beschreibung der TOMs verlangen kann.

Welche Fälle damit gemeint sind, ist vermutlich wieder Auslegungssache. Es wäre wünschenswert, wenn diese Fälle im offiziellen Papier beispielshaft beschrieben werden.

In allen anderen Fällen sind zumindest die Sicherheitsvorgaben nach Art. 32 DSGVO einzuhalten.

Beispiel:

Sofern sensible Daten (z.B. Gesundheitsdaten) seitens des Auftragnehmers verarbeitet werden, bietet es sich an ein ausführlicheres Sicherheitskonzept vorzulegen.

Bei Fällen, in denen nur „normale“ personenbezogene Daten (Name, Adresse, E-Mail-Adresse etc.) verarbeitet werden, ist eine Anlehnung und Auflistung nach Art. 32 DSGVO ausreichend.

Bin ich dafür Verantwortlich, dass mein Auftragsverarbeiter einen AV mit seinem Subdienstleister hat?

Ja und nein. Sie mit müssen mit Ihrem Auftragsverarbeiter einen AV-Vertrag schließen. In diesem müssen Sie sicherstellen, dass der Umgang mit Subdienstleistern geregelt ist. Das heißt, die Anforderungen von Ihnen als Verantwortlicher müssen an den Unterlieferanten weiter gegeben werden.

Damit ist Ihr Auftragsverarbeiter verpflichtet, mit seinen Subdienstleistern einen AV-Vertrag zu schließen.

Sie müssen regelmäßig prüfen oder einen Nachweis haben, dass Ihr Auftragsverarbeiter diese Vorgaben auch einhält. Dies kann auf unterschiedlichen Wegen passieren. Sie auditieren den Auftragsverarbeiter vor Ort und lassen sich die AV-Verträge zeigen. In vielen Fällen wird dies eher unwahrscheinlich sein. Sie können auch Fragebögen ausgeben und diese beantworten lassen oder Sie lassen sich Prüfberichte oder Zertifikate vorlegen.

Beispiele: Wer ist Auftragsverarbeiter?

Hier handelt es sich nur um einen Auszug und ein paar Beispiele. Die Liste ist natürlich nicht vollständig.

Wenn Sie einen dieser Dienste als Privatperson nutzen, handelt es sich um KEINE Auftragsverarbeitung.

AnbieterAuftragsverarbeiterErläuterungLink
DropboxJaCloud
GMXNeinsofern nur E-Mail Service genutzt wird
GoogleJaGSuite und andere Cloud-Services
HetznerJaServer, Webhosting, Cloud..
IonosJaServer, Webhosting, Cloud..
JimdoJaOnline-CMS
LinkedinNeinEine Unternehmensseite ist keine Auftragsverarbeitung
LohnbüroJaWenn kein Steuerberater
NewsletterdienstleisterJa
SendinBlueJaNewsletterdienstleister
ReinigungsfirmaNein
StratoJaServer, Webhosting, Cloud..
wordpress.orgJaOnline CMS (nicht ein eigenes installiertes WordPress)

Bei welchen Dienstleistern sind Sie unsicher, ob es sich um einen Auftragsverarbeiter handelt?

Ich freue mich über Ihren Kommentar!

Quellen

Quelle: Bitkom

Datenschutzkonferenz unter diesem Link.

LfDI Baden-Württemberg: FAQ zur Abgrenzung der Verantwortlichkeiten und des Konzepts der Auftragsverarbeitung

Diesen Beitrag teilen