Auf­trags­ver­ar­bei­tung, das Aus­la­gern von Daten­ver­ar­bei­tungs­pro­zes­sen durch den Auf­trag­ge­ber auf exter­ne Dienst­leis­ter, ist ein häu­fi­ges Mit­tel zur Kos­ten­sen­kung und der Nut­zung von exter­nem Know How — Stich­wort “Out­sour­cing”. Sind hier­von per­so­nen­be­zo­ge­ne Daten betrof­fen, fin­det Art. 28 DSGVO Auf­trags­ver­ar­bei­ter Anwendung.

Schnell kommt es bei der Ein­schät­zung, ob eine Auf­trags­ver­ar­bei­tung vor­liegt, zu Miß­ver­ständ­nis­sen und der Auf­trag­ge­ber läuft Gefahr, gemäß DSGVO mit Geld­bu­ßen durch die Daten­schutz­be­hör­den belegt zu wer­den. Von Image­schä­den in der Öffent­lich­keits­wahr­neh­mung nicht zu reden. Eine sorg­fäl­ti­ge Prü­fung durch einen Bera­ter für Daten­schutz oder einen Daten­schutz­be­auf­trag­ten hilft, die­se Risi­ken zu mini­mie­ren und die not­wen­di­gen Rege­lun­gen umzusetzen.

Fol­gen­de Kri­te­ri­en (Aus­wahl) unter­stüt­zen die Bewer­tung über das Vor­lie­gen einer Auftragsverarbeitung:

  • Dem Auf­trag­neh­mer fehlt die Ent­schei­dungs­be­fug­nis über die über­mit­tel­ten Daten.
  • Dem Auf­trag­neh­mer ist die Nut­zung der über­las­se­nen Daten über den eigent­li­chen Über­las­sungs­zweck hin­aus verboten.
  • Der Auf­trag­neh­mer nutzt nur die ihm über­las­se­nen Daten.
  • Die Daten­ver­ar­bei­tung wird nach außen durch den Auf­trag­ge­ber vertreten.
  • Der Auf­trag­neh­mer steht in kei­ner ver­trag­li­chen Bezie­hung zu den Betrof­fe­nen der per­so­nen­be­zo­ge­nen Daten.

Eini­ge prak­ti­sche Bei­spie­le von Auftragsverarbeitung:

  • Out­sour­cing des Rechen­zen­trums (ganz oder teilweise).
  • Soft­ware as a Ser­vice /​ Cloud-Ser­vices (nicht nur rei­ne Dateiablage).
  • Mar­ke­ting­ak­tio­nen, Kun­den­um­fra­gen, News­let­ter­ver­sand durch eine exter­ne Agentur.
  • Beauf­tra­gung eines Call­cen­ters für Kun­den­sup­port oder Kundengewinnung.
  • Papier- und Akten­ver­nich­tung sowie die Ver­nich­tung von Datenträgern.
  • Exter­ne Lohn- und Gehaltsabrechnung.
  • Exter­ne Rech­nungs­be­ar­bei­tung /​ Buch­hal­tung.
  • Zugriff auf per­so­nen­be­zo­ge­ne Daten vor Ort bei Auftraggeber

Aber auch wei­te­re Leis­tun­gen sind eben­falls von den Rege­lun­gen zu Art. 28 DSGVO betrof­fen (Bei­spie­le):

  • War­tung von Ser­vern und Com­pu­tern durch einen exter­nen Dienst­leis­ter (wich­tig: auch Fern­war­tung!)
  • Para­me­tri­sie­rung oder Pfle­ge von Soft­ware (Updates etc.), über die Zugriff auf per­so­nen­be­zo­ge­ne Daten mög­lich ist.
  • Sys­tem­mi­gra­tio­nen.

Was heisst das jetzt für Sie als Auftraggeber?

  • Liegt eine Auf­trags­ver­ar­bei­tung vor, muss die­se schrift­lich gere­gelt werden.
  • Sie als Auf­trag­ge­ber müs­sen die im Ver­trag fest­ge­schrie­be­nen Mass­nah­men zum Daten­schutz und zur Daten­si­cher­heit beim Auf­trag­ge­ber in geeig­ne­ter Form kon­trol­lie­ren — im Zwei­fel per­sön­lich vor Ort beim Auftragnehmer.
  • Für die Ein­hal­tung der gesetz­li­chen Daten­schutz­vor­schrif­ten sind Sie als Auf­trag­ge­ber ver­ant­wort­lich, nicht der Auf­trag­neh­mer (dies wird oft irr­tüm­lich falsch eingeschätzt).
  • Eine ein­fa­che Erklä­rung des Auf­trag­neh­mers über die Ein­hal­tung der Daten­schutz­vor­schrif­ten ist nicht ausreichend!

Was heisst das jetzt für Auftragnehmer?

  • Als Auf­trag­neh­mer haben Sie sich eben­falls den Rege­lun­gen des Art. 28 DSGVO zu unter­wer­fen und ste­hen in der Pflicht, Ihren Auf­trag­ge­ber bei der Umset­zung zu unterstützen.
  • Zukunfts­ori­en­tier­te Unter­neh­men haben ein stich­hal­ti­ges Daten­schutz­kon­zept samt einer vor­for­mu­lier­ten Ver­ein­ba­rung gem. Art. 28 DSGVO bereits in der Schub­la­de und gehen damit aktiv auf ihre Bestands­kun­den zu. Ein klei­nes, aber sehr wir­kungs­vol­les Detail, um sich posi­tiv vom Wett­be­werb abzu­he­ben und ihren Auf­trag­ge­ber  von ihrer Leis­tungs­fä­hig­keit zu überzeugen.
  • Wenig hilf­reich: den Auf­trag­ge­ber vor die Wahl stel­len — ent­we­der ohne die­se Ver­ein­ba­rung samt Kon­troll­rech­te zusam­men­zu­ar­bei­ten oder es eben sein zu las­sen. Außer Sie sind sich sicher, Ihrem Auf­trag­ge­ber ist Ihre Dienst­leis­tung oder Ihr Pro­dukt ohne Rege­lun­gen zur Auf­trags­ver­ar­bei­tung ein Buß­geld wert.

Mit Bedacht soll­ten Mus­ter­ver­trä­ge aus dem Inter­net ein­ge­setzt wer­den. Teil­wei­se ent­spre­chen die­se nicht den aktu­el­len Rege­lun­gen aus den letz­ten Novel­lie­run­gen des Daten­schutz­rechts. Die­se kön­nen zwar sinn­vol­le Ansatz­punk­te lie­fern, erset­zen jedoch weder die indi­vi­du­ell not­wen­di­ge Anpas­sung auf die vor­lie­gen­de Auf­trags­ver­ar­bei­tung noch die recht­lich siche­re Ein­schät­zung, wel­che Maß­nah­men hier­zu not­wen­dig sind.

Daher kann zur Ver­mei­dung von Buß­gel­dern und Image­schä­den nur jedem Unter­neh­men und Unter­neh­mer gera­ten wer­den, einen Bera­ter /​ Anwalt für Daten­schutz oder Daten­schutz­be­auf­trag­ten hin­zu­zu­zie­hen. Die­ser stellt die kor­rek­te Umset­zung sicher und haf­tet im Zwei­fel für mög­li­che Ver­säum­nis­se aus sei­ner Tätigkeit.

Hilf­rei­che Links und Tipps zur Auf­trags­ver­ar­bei­tung im Internet:

aboutpixel.de / Geldfalle © Rainer Sturm

Vor­tei­le exter­ner News­let­ter-Ver­sen­der /​ Anbie­ter

Exter­ner News­let­ter-Ver­sen­der sind ein pro­ba­tes Mit­tel, um pro­fes­sio­nel­le News­let­ter an den Mann bzw. an die Frau zu brin­gen. Bedien­ba­re Web­ober­flä­chen,  Gestal­tungs­vor­la­gen und auto­ma­ti­sier­te Nut­zer­ver­wal­tung sind nur eini­ge der Punk­te, die einem Wer­be­trei­ben­den das Leben erleich­tern. Neben­bei ver­rin­gert die Nut­zung eines sol­chen Diens­tes das Risi­ko eines offe­nen News­let­ter-Ver­tei­lers, weil die Emp­fän­ger aus Ver­se­hen im „An“- oder „Kopie“- statt im „Blindkopie“-Feld ein­ge­tra­gen wurden.

Dou­ble opt-in

Es dürf­te sich mitt­ler­wei­le unter allen Ver­sen­dern von News­let­tern her­um­ge­spro­chen haben: Die Bestä­ti­gung und Über­prü­fung von News­let­ter-Emp­fän­gern mit­tels des sog. dou­ble opt-in Ver­fah­rens ist in Deutsch­land Pflicht.

Beim dou­p­le opt-in Ver­fah­ren bestä­tigt der News­let­ter-Emp­fän­ger — zumeist über einen Akti­vie­rungs­link in einer Bestä­ti­gungs­mail — sei­nen tat­säch­li­chen Wunsch zum Erhalt des News­let­ters erneut (daher „dou­ble“). Gleich­zei­tig wird die­ser Vor­gang mit­tels Zeits­tem­peln pro­to­kol­liert, um die Anmel­dung und Akti­vie­rung jeder­zeit bele­gen zu können.

Dan­ke Mailchimp

Der auch in Deutsch­land oft genutz­te US Ser­vice Mail­chimp hat nun von heu­te auf mor­gen das Stan­dard-Anmel­de­ver­fah­ren auf sin­gle opt-in umge­stellt. Die­se Ver­fah­rens­wei­se wider­spricht den recht­li­chen Anfor­de­run­gen in Deutsch­land. Unter­neh­men in Deutsch­land, die Mail­chimp als exter­nen News­let­ter-Ver­sen­der nut­zen, tun gut dar­an, die­se auto­ma­ti­sier­te Umstel­lung wie­der rück­gän­gig zu machen. Ansons­ten dro­hen Abmahnungen!

Mail­chimp begrün­det die­se Vor­ge­hens­wei­se mit dem erhöh­ten Auf­wand für Nut­zer, die sich mit­tels dou­ble opt-in für einen News­let­ter anmel­den müs­sen. Dies wür­de die Absprung­ra­ten erhö­hen. Schlicht: die Maß­nah­me wird als „Kun­den­ser­vice“ ver­kauft, Abmahn­ri­si­ko inklu­si­ve. Die Umstel­lung erfolgt auto­ma­tisch zum 31.12.2017. Nut­zer des Ser­vice soll­ten unbe­dingt manu­ell wie­der auf dou­ble opt-in umstellen!

Die Kanz­lei LHR weist in einem Bei­trag dar­auf hin, dass Mail­chimp zwar als recht­li­cher Stö­rer in die Mit­haf­tung genom­men wer­den könn­te, das Abmahn­ri­si­ko wird hier­durch jedoch weder ver­mie­den noch gesenkt.

Exter­ner News­let­ter-Ver­sen­der ist Auftragsdatenverarbeitung

Die Nut­zung eines exter­nen News­let­ter-Ser­vices wie Mail­chimp fällt unter den Anwen­dungs­be­reich der sog. Auf­trags­da­ten­ver­ar­bei­tung (BDSG), zukünf­tig Auf­trags­ver­ar­bei­tung (EU DS-GVO). Der Anbie­ter ist vor der Nut­zung sorg­fäl­tig aus­zu­wäh­len, auf vor­han­de­nes Sicher­heits­ni­veau zu prü­fen und mit einer Ver­ein­ba­rung zur Auf­trags­da­ten­ver­ar­bei­tung aus­zu­stat­ten (nicht zu ver­wech­seln mit dem nor­ma­len Ver­trag für die zu erbrin­gen­de Leis­tung). Feh­len­de oder feh­ler­haf­te Auf­trags­da­ten­ver­ar­bei­tung kann Buß­gel­der bis 50.000 Euro nach sich ziehen.

Soll­ten Sie also einen exter­nen Dienst nut­zen, so prü­fen Sie VORHER, ob die Umset­zungs­schrit­te für eine Auf­trags­da­ten­ver­ar­bei­tung mög­lich sind und auch durch­ge­führt wer­den. Im Zwei­fel fra­gen Sie Ihren Datenschutzbeauftragten.

Es gibt übri­gens zahl­rei­che ande­re Anbie­ter, die mit dem dou­ble opt-in und dem Abmahn­ri­si­ko der Nut­zer sorg­fäl­ti­ger umge­hen, beispielsweise

Bei­de genann­ten Anbie­ter sind deut­sche Unter­neh­men, denen die Ver­fah­rens­wei­sen zur Auf­trags­da­ten­ver­ar­bei­tung bekannt sind, die sich mit ihren Ser­vices an deut­sches Wer­be-Recht hal­ten, ihre Daten in deut­schen Rechen­zen­tren hos­ten und über akti­ve, kom­pe­ten­te Daten­schutz­be­auf­trag­te ver­fü­gen. Ihre Kun­den soll­ten Ihnen das wert sein!

 

 

Wer die letz­ten Woche und Mona­te die Mel­dun­gen in den Nach­rich­ten, auf Blogs, in sozia­len Netz­wer­ken und auch per Post ver­folgt, kann es nur mit der Angst bekom­men. Da kommt die EU-Daten­schutz­grund­ver­ord­nung im Mai 2018 auf Unter­neh­men und Behör­den zu und man könn­te mei­nen, die Welt ste­he kurz vor ihrem Unter­gang. Ein­zi­ge Abhil­fe natür­lich, jetzt schnell diver­se Semi­na­re buchen oder diver­se Lite­ra­tur­zu­sam­men­stel­lun­gen kau­fen. Doch ist das wirk­lich so schlimm, was da auf Unter­neh­men und Behör­den zu kommt?

Recht­li­ches zur EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO)

Ja, es stimmt. In der Nacht vom 24.05.2018 auf den 25.05.2018 wird es ein har­tes Umschal­ten zwi­schen unse­ren bis­he­ri­gen natio­na­len Daten­schutz­ge­set­zen und der EU-DSGVO geben. Sind wir bis zu die­sem Ter­min noch an das Bun­des­da­ten­schutz­ge­setz und die Lan­des­da­ten­schutz­ge­set­ze gebun­den, so wer­den die­se zum og. Ter­min durch die EU-DSGVO ver­drängt. Hin­zu kom­men in den EU-Mit­glieds­staa­ten mög­li­che Anpas­sungs­ge­set­ze, in Deutsch­land für Bund und Län­der jeweils sepa­rat. Die­se beru­hen auf den soge­nann­ten Öff­nungs­klau­seln in der EU-DSGVO, zu denen die Mit­glieds­staa­ten eige­ne natio­na­le Regeln ergän­zen kön­nen. Der Spiel­raum ist hier jedoch begrenzt, dem Sinn der EU-DSGVO wird es schwer zu wider­spre­chen sein.

Vor die­sem Hin­ter­grund ist auch der Arbeits­ti­tel “BDSG-neu” für das deut­sche Anpas­sungs­ge­setz nicht ganz kor­rekt. Daher heißt es auch im rich­ti­gen Wort­laut “Daten­schutz­an­pas­sungs- und Umset­zungs­ge­setz (DSAn­pUG)” und wur­de gera­de nach eini­gen Dis­kus­sio­nen ver­ab­schie­det. Einer­seits sind die Daten­schutz­be­auf­trag­ten der Län­der nach wie vor nicht ganz zufrie­den, ande­rer­seits haben die ver­schie­de­nen Lob­by­grup­pen zur Auf­wei­chung des bis­he­ri­gen Daten­schutz-Niveaus eben­falls Federn las­sen müs­sen. Eine EU-wei­te Har­mo­ni­sie­rung eines sol­chen The­mas wird immer ein Kom­pro­miss sein. Die­ser ist im Fal­le der EU-DSGVO erfolgt. Ob es wirk­lich der Mei­lein­stein wur­de, der von zahl­rei­chen Betei­lig­ten aus­ge­ru­fen wird, das wird die Zukunft zeigen.

Von den Anpas­sungs­ge­set­zen in den Bun­des­län­dern ist bis­her wenig bis nichts zu sehen. Belast­ba­re Rechts­kom­men­ta­re — zumin­dest zur EU-DSGVO selbst — erschei­nen in den letz­ten Wochen ver­mehrt. Kom­me­na­ta­re zum DSAn­pUG sind noch abzu­war­ten, bis zum Erschei­nen brauch­ba­rer Kom­men­ta­re zu den Anpas­sungs­ge­set­zen der Bun­des­län­der wird noch mehr Zeit ver­strei­chen. Nicht viel anders sieht es mit brauch­ba­ren Vor­la­gen z.B. zu Ände­run­gen in der Auf­trags­da­ten­ver­ar­bei­tung oder mit Prüf- und Check­lis­ten aus, die eine geziel­te Vor­be­rei­tung und Umset­zung ermöglichen.

Dies merkt auch der Baye­ri­sche Lan­des­be­auf­trag­te für den Daten­schutz auf sei­ner Web­sei­te kor­rek­ter­wei­se im Mai 2017 an:

In die­sem Zusam­men­hang ist zu beach­ten, dass die Daten­schutz-Grund­ver­ord­nung gera­de für den öffent­li­chen Bereich eine Viel­zahl von soge­nann­ten “Öff­nungs­klau­seln” vor­sieht, die der Ergän­zung bzw. Aus­fül­lung durch die mit­glied­staat­li­chen Gesetz­ge­ber bedür­fen. Bis die dies­be­züg­li­chen Gesetz­ge­bungs­ver­fah­ren — ins­be­son­de­re auf baye­ri­scher Ebe­ne — abge­schlos­sen sind, kann daher zu bestimm­ten The­men nur eine vor­läu­fi­ge Dar­stel­lung unter dem Vor­be­halt spä­te­rer natio­na­ler Rege­lung erfolgen.

Grund zur Panik?

Die Uhr tickt, das steht fest. Dies ist jedoch kein Grund zur Panik. Die Grund­sät­ze wie Ver­bots­ge­setz mit Erlaub­nis­vor­be­halt (Rechts­vor­schrift, Ver­trag, Ein­wil­li­gung) blei­ben uns erhal­ten. Grund­le­gen­de Ver­fah­rens­wei­sen blei­ben iden­tisch, bekom­men teil­wei­se nur einen ande­ren Namen (Ver­fah­rens­ver­zeich­nis wird zum Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten). Die Rege­lun­gen zur Bestell­pflicht eines (inter­nen oder exter­nen) Daten­schutz­be­auf­trag­ten wur­den in das Anpas­sungs­ge­setz über­nom­men. Für Unter­neh­men ändert sich hier nichts. In eini­gen Bun­des­län­dern wie Bay­ern war bis­her für kom­mu­na­le Ein­rich­tun­gen nur die Bestel­lung eines inter­nen Daten­schutz­be­auf­trag­ten mög­lich, in eini­gen Bun­des­län­dern wur­de die Bestel­lung auf frei­wil­li­ger Basis erwähnt (intern oder extern). Dies wird durch die EU-DSGVO har­mo­ni­siert und ab Mai 2018 müs­sen alle kom­mu­na­le Ein­rich­tun­gen einen Daten­schutz­be­auf­trag­ten bestellt haben und die­se Bestel­lung kann selbst­ver­ständ­lich auch extern erfol­gen (beach­ten Sie hier­zu auch unser Ange­bot “Exter­ner Daten­schutz­be­auf­trag­ter für baye­ri­sche Kommunen”).

 Also alles nur Panikmache?

Nein, selbst­ver­ständ­lich bringt die EU-DSGVO auch Neue­run­gen und Ände­run­gen mit sich. Statt der nur gele­gent­lich durch­zu­füh­ren­den Vor­ab­kon­trol­le wird es nun die soge­nann­te Risi­ko­fol­gen­ab­schät­zung geben. Die­se ist auch öfter durch­zu­füh­ren als bis­her. Die Rech­te der Betrof­fe­nen wer­den erwei­tert. Neben den bekann­ten Rech­ten auf Aus­kunft, Löschung und /​ oder Sper­rung kommt das Recht auf Daten­über­trag­bar­keit hin­zu. Die Ver­ein­ba­run­gen zur Auf­trags­da­ten­ver­ar­bei­tung mit bestehen­den Dienst­leis­tern sind zu aktua­li­sie­ren, sobald hier sinn­vol­le Vor­la­gen vor­lie­gen. Neu hin­zu kom­men Daten­schutz durch Tech­nik­ge­stal­tung und Daten­schutz durch Vor­ein­stel­lung (pri­va­cy by design und pri­va­cy by default). Bei­des kon­se­quen­te Fort­füh­run­gen der bis­he­ri­gen Prin­zi­pi­en Daten­ver­mei­dung und Daten­spar­sam­keit. Wei­ter­hin wur­den die Doku­men­ta­ti­ons­pflich­ten erwei­tert. Mehr Vor­gän­ge und Ent­schei­dun­gen als bis­her sind schrift­lich nach­voll­zieh­bar fest­zu­hal­ten. Hier wer­den unse­re Kun­den bereits durch die Nut­zung unse­rer voll­ver­schlüs­sel­ten Pro­jekt­platt­form bes­tens unter­stützt. Wei­te­re Ände­run­gen und Anpas­sun­gen sind abseh­bar. Doch ein Grund zur Panik ist das nicht.

Inter­es­san­ter­wei­se spielt das The­ma Infor­ma­ti­ons­si­cher­heit (end­lich) eine wich­ti­ge­re Rol­le und fin­det sich inhalt­lich auch in der EU-DSGVO wider. Orga­ni­sa­tio­nen sind gehal­ten, aus­rei­chen­de Maß­nah­men zur Infor­ma­ti­ons­si­cher­heit (nicht IT-Sicher­heit!) ein­zu­füh­ren, um den Schutz per­so­nen­be­zo­ge­ner Daten (und im eige­nen Inter­es­se gene­rell für inter­ne schüt­zens­wer­te Infor­ma­tio­nen) ein­zu­füh­ren und zu betrei­ben. Der Grad der Infor­ma­ti­ons­si­cher­heit wird sich bei Ver­stö­ßen auf die Höhe der Stra­fen aus­wir­ken. Mehr Infos zum The­ma Infor­ma­ti­ons­si­cher­heit fin­den Sie auf unse­rem Blog zur Infor­ma­ti­ons­si­cher­heit. Ger­ne unter­stüt­zen wir Sie neben den Daten­schutz-The­men auch bei Ein­füh­rung und Betrieb eines Informationssicherheitskonzepts.

Für eine kor­rek­te Umset­zung und Anpas­sung emp­fiehlt es sich, belast­ba­re Rechts­kom­men­ta­re und auch Vor­la­gen sowie Stel­lung­nah­men der für Ihre Orga­ni­sa­ti­on jeweils zustän­di­gen Daten­schutz­auf­sicht abzu­war­ten. Wer bis­her nach Bun­des­da­ten­schutz­ge­setz oder Län­der­da­ten­schutz­ge­setz kor­rekt gear­bei­tet hat, muss nicht Schlim­mes befürch­ten. Die­se Rechts­grund­la­gen fal­len zwar weg, inhalt­lich fin­den sich wei­te Tei­le davon in der EU-DSGVO und dem DSAn­pUG wider. Das wird bei den Anpas­sungs­ge­set­zen in den Bun­des­län­dern nicht viel anders sein.

Kon­zer­ne mit inter­na­tio­na­len Ver­flech­tun­gen ste­hen da vor grö­ße­ren Her­aus­for­de­run­gen als natio­nal agie­ren­de Unter­neh­men oder Kom­mu­nal­ein­rich­tun­gen. Jedoch soll­te man sich von der Panik­ma­che nicht anste­cken las­sen. Sofern Grund­la­gen des bis­he­ri­gen Daten­schutz­rechts in Ihrer Orga­ni­sa­ti­on vor­han­den sind und aktu­ell gehal­ten wer­den, wird es zwar Anpas­sungs­auf­wand geben, die­ser wird jedoch über­schau­bar blei­ben. Wer sich bis­her um das gel­ten­de Daten­schutz­recht nicht geküm­mert hat, der wird einen gro­ßen Berg Arbeit vor sich sehen. Für die­se Ein­rich­tun­gen heißt es, früh­zei­tig Gas zu geben — und wenn es zu Beginn noch auf den Vor­la­gen und Mate­ria­li­en zum BDSG oder der Lan­des­da­ten­schutz­ge­set­ze geschieht.

Tipps /​ Hin­wei­se

Die Lan­des­da­ten­schutz­be­hör­de Nie­der­sach­sen hat einen (noch) recht all­ge­mei­nen Leit­fa­den für Unter­neh­men bereit­ge­stellt. Sie fin­den die­sen hier.

Immer einen Abste­cher für Infor­ma­tio­nen wert, sind die fol­gen­den Web­sei­ten /​ Blogs:

  • Die Bei­trags­se­rie “Die EU-DSGVO ist da” von Frau RAin Nina Diercks.
  • Die Web­sei­te mit Tipps und Tricks samt Vor­la­gen des “Daten­schutz-Guru” RA Ste­phan Hansen-Oest.
  • Unser Part­ner­blog “Daten­schutz­be­auf­trag­ter Info” mit aktu­el­len Infor­ma­tio­nen zur EU-DSGVO.

Wir wer­den in den nächs­ten Wochen und Mona­ten eben­falls suk­zes­si­ve nach Erschei­nen belast­ba­rer Vor­la­gen und Kom­men­ta­re wei­te­re Bei­trä­ge zur EU-DSGVO hier veröffentlichen.

Und jetzt … Ruhig Blut!

aboutpixel.de / Datenschutz © Rainer Sturm

Die Lan­des­da­ten­schutz­be­hör­den in Bay­ern, Ber­lin, Bre­men, Ham­burg, Meck­len­burg-Vor­pom­mern, Nie­der­sach­sen, Nord­rhein-West­fa­len, Rhein­land-Pfalz, Saar­land und Sach­sen-Anhalt wäh­len per Zufall 500 Unter­neh­men in die­sen Bun­des­län­dern aus. Die­se erhal­ten im Zuge der Prü­fung einen aus­führ­li­chen Fra­ge­bo­gen (Down­load zur Selbst­über­prü­fung hier) zur zeit­na­hen Beant­wor­tung. Bit­te beach­ten Sie: Sie sind gemäß Bun­des­da­ten­schutz­ge­setz gegen­über der Behör­de aus­kunfts­pflich­tig. Neh­men Sie die Anfra­ge ernst und ertei­len Sie inner­halb des genann­ten Rück­mel­de­zeit­raums aus­führ­lich Aus­kunft. Es besteht sonst ein Buß­gel­dri­si­ko für Ihre Organisation.

“[…] vie­le klei­ne­re und mitt­le­re Unter­neh­men in Deutsch­land ver­ar­bei­ten inzwi­schen zahl­rei­che per­so­nen­be­zo­ge­ne Daten (z. B. von Kun­den, Mit­ar­bei­tern oder Bewer­bern) häu­fig auf Ser­vern exter­ner Dienst­leis­ter, oft außer­halb der Euro­päi­schen Uni­on. Dies ist vor allem bei Ange­bo­ten wie dem sog. Soft­ware as a Ser­vice der Fall. Ein klas­si­sches Bei­spiel hier­für sind Office-Anwen­dun­gen „aus dem Inter­net“, die stand­ortu­n­ab­hän­gig und fle­xi­bel genutzt wer­den können.”

Inhalt­lich beschäf­tigt sich der Fra­ge­bo­gen daher zu Beginn mit gene­rel­len Daten­über­mitt­lun­gen außer­halb der EU (USA, sons­ti­ge Drittstaaten).

“Ein wich­ti­ges Ziel der Prü­fung liegt in der Sen­si­bi­li­sie­rung der Unter­neh­men für Daten­über­mitt­lun­gen in Län­der außer­halb der Euro­päi­schen Uni­on. Um Unter­neh­men das Auf­fin­den sol­cher Über­mitt­lun­gen zu erleich­tern, wird auch gezielt nach dem Ein­satz von Pro­duk­ten und Leis­tun­gen exter­ner Anbie­ter gefragt, die – nach bis­he­ri­gen Erfah­run­gen der Auf­sichts­be­hör­den – mit einer Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in Nicht-EU-Staa­ten ver­bun­den sind.”

Im zwei­ten Teil wird es ziem­lich kon­kret im Hin­blick auf in der Cloud ein­ge­setz­te Lösun­gen wie Rei­se­ma­nage­ment, Cus­to­mer-Rela­ti­ons­hip-Manage­ment, Bewer­ber­por­ta­le bis hin zu kom­plet­ten Recruit­ment und Per­so­nal­ver­wal­tung und Abrech­nung, Cloud-Spei­cher, News­let­ter-Ser­vices, Cloud Office, aber auch Kol­la­bo­ra­ti­ons­platt­for­men. Hier wol­len die Behör­den sehr kon­kre­te Anga­ben zu den genutz­ten Anbie­tern und Lösungen.

Abge­schlos­sen wird der Fra­ge­bo­gen mit Anga­ben zum betrieb­li­chen Daten­schutz­be­auf­trag­ten. Die­sen soll­ten Sie bei Vor­lie­gen der gesetz­li­chen Bestell­pflicht hof­fent­lich benen­nen kön­nen und in die Beant­wor­tung des Fra­ge­bo­gens ein­be­zo­gen haben.

„Über­mitt­lun­gen per­so­nen­be­zo­ge­ner Daten in Nicht-EU-Staa­ten gehö­ren inzwi­schen auch bei vie­len mit­tel­stän­di­schen Unter­neh­men zum All­tag, nicht zuletzt auf­grund der immer stär­ke­ren Ver­brei­tung von Ange­bo­ten des Cloud Com­pu­ting. Unter­neh­men müs­sen sich aber des­sen bewusst sein, dass hier­für beson­de­re daten­schutz­recht­li­che Anfor­de­run­gen gel­ten. Durch die koor­di­nier­te Prüf­ak­ti­on, an der sich zehn deut­sche Daten­schutz­auf­sichts­be­hör­den betei­li­gen, wol­len wir auch die Sen­si­bi­li­tät der Unter­neh­men in die­sem Bereich erhö­hen.“ betont Tho­mas Kra­nig, der Prä­si­dent des Baye­ri­schen Lan­des­am­tes für Daten­schutz­auf­sicht. „Aus­ge­hend von der Beant­wor­tung des Fra­ge­bo­gens kann und wird das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht dort, wo sich dies als not­wen­dig zeigt, auch in eine tie­fe­re Prü­fung einsteigen.“ 

Sie haben einen sol­chen Fra­ge­bo­gen erhal­ten, jedoch kei­nen betrieb­li­chen Daten­schutz­be­auf­trag­ten zur Beant­wor­tung parat? Spre­chen Sie uns an.

Quel­le: https://​www​.lda​.bay​ern​.de/​m​e​d​i​a​/​p​m​2​0​1​6​_​0​9​.​pdf

EU US Pri­va­cy Shield ist da

Nach­dem die euro­päi­sche Kom­mis­si­on erwar­tungs­ge­mäß das recht umstrit­te­ne Pri­va­cy Shield als Nach­fol­ger von Safe Har­bor durch­ge­wun­ken hat, tritt die­se Rege­lung zum 01. August 2016 in Kraft. Nach Weg­fall der Safe Har­bor Rege­lung auf­grund eines Urteils des EUGH im Herbst 2015 — wir berich­te­ten — soll Pri­va­cy Shield eine belast­ba­re Grund­la­ge für die Zuläs­sig­keit des Aus­tauschs per­so­nen­be­zo­ge­ner Daten zwi­schen Euro­pa und den USA bil­den. Durch das Urteil des EUGH blie­ben hier­für ja ledig­lich die EU Stan­dard­ver­trags­klau­seln oder Ver­fah­rens­wei­sen im Rah­men der soge­nann­ten “bin­ding cor­po­ra­te rules” (BCR). Nach­dem eini­ge Unter­neh­men eine recht­zei­ti­ge Umstel­lung nach Weg­fall von Safe Har­bor auf die Stan­dard­ver­trags­klau­seln ver­säumt haben, wur­de zum Bei­spiel der Daten­schutz­be­auf­trag­te Ham­burgs, Prof. Dr. Johan­nes Cas­par bereits aktiv und ging dage­gen aktiv vor.

Und jetzt wird alles gut?

Es ver­wun­dert wenig, dass die betei­lig­ten EU Kom­mis­sa­re den Stel­len­wert und Wir­kungs­grad des von ihnen umge­setz­ten Pri­va­cy Shiel­ds loben. Nach ihrer Sicht sei­en erheb­li­che Zuge­ständ­nis­se zum Schutz per­so­nen­be­zo­ge­ner Daten in den USA von EU Bür­gern geleis­tet wor­den. Dass die­se ledig­lich in kur­zer Brief­form und ohne belast­ba­re recht­li­che Unter­maue­rung in Form von neu­en oder ange­pass­ten Geset­zen in den USA erbracht wur­den, stellt das Pri­va­cy Shield auf kein soli­des Fundament.

Die hier­durch gewon­ne­ne Erleich­te­rung im Daten­trans­fer ist gene­rell zu begrü­ßen. Jedoch unter­schei­den sich Safe Har­bor und Pri­va­cy Shield im Schutz­wert für per­so­nen­be­zo­ge­ne Daten von EU Bür­gern ledig­lich gering­fü­gig. Der Initia­tor des EUGH-Urteils (Max Schrems) ver­weist daher nicht ganz zu Unrecht auf die man­geln­de Umset­zung der Schutz­rech­te, die der EUGH für ein neu­es Abkom­men als Vor­aus­set­zung genannt hat. Die Halb­werts­zeit des Pri­va­cy Shiel­ds könn­te dem­nach recht kurz sein, mit einer neu­en Kla­ge ist zu rechnen.

Was tun?

Unse­rer Mei­nung nach reicht es nicht aus, auf die Rege­lun­gen des Pri­va­cy Shiel­ds und deren Fort­be­stand zu hof­fen. Wer es nach Weg­fall von Safe Har­bor bis­her immer noch ver­säumt hat, bei­spiels­wei­se die EU Stan­dard­ver­trags­klau­seln umzu­set­zen, soll­te dies zeit­nah nach­ho­len oder zumin­dest als zwei­te Säu­le neben dem Pri­va­cy Shield ver­trag­lich regeln. Da jedoch auch die Stan­dard­ver­trags­klau­seln ähn­li­chen argu­men­ta­ti­ven Schwä­chen unter­liegt wie Safe Har­bor respek­ti­ve Pri­va­cy Shield , ist dies kei­ne Garan­tie, auch lang­fris­tig recht­lich sau­ber zu arbei­ten. Es gilt, die Ent­wick­lung wei­ter zu beobachten.