Auftragsdatenverarbeitung

Auftragsverarbeitung — Definition, Beispiele, Massnahmen, Risiken (Update) — früher Auftragsdatenverarbeitung

von Sascha Kuhrau
16. März 20208. Dezember 2020
4 Kommentare

Auftragsverarbeitung, das Auslagern von Datenverarbeitungsprozessen durch den Auftraggeber auf externe Dienstleister, ist ein häufiges Mittel zur Kostensenkung und der Nutzung von externem Know How — Stichwort “Outsourcing”. Sind hiervon personenbezogene Daten betroffen, findet Art. 28 DSGVO Auftragsverarbeiter Anwendung.

Schnell kommt es bei der Einschätzung, ob eine Auftragsverarbeitung vorliegt, zu Mißverständnissen und der Auftraggeber läuft Gefahr, gemäß DSGVO mit Geldbußen durch die Datenschutzbehörden belegt zu werden. Von Imageschäden in der Öffentlichkeitswahrnehmung nicht zu reden. Eine sorgfältige Prüfung durch einen Berater für Datenschutz oder einen Datenschutzbeauftragten hilft, diese Risiken zu minimieren und die notwendigen Regelungen umzusetzen.

Folgende Kriterien (Auswahl) unterstützen die Bewertung über das Vorliegen einer Auftragsverarbeitung:

Dem Auftragnehmer fehlt die Entscheidungsbefugnis über die übermittelten Daten.
Dem Auftragnehmer ist die Nutzung der überlassenen Daten über den eigentlichen Überlassungszweck hinaus verboten.
Der Auftragnehmer nutzt nur die ihm überlassenen Daten.
Die Datenverarbeitung wird nach außen durch den Auftraggeber vertreten.
Der Auftragnehmer steht in keiner vertraglichen Beziehung zu den Betroffenen der personenbezogenen Daten.

Einige praktische Beispiele von Auftragsverarbeitung:

Outsourcing des Rechenzentrums (ganz oder teilweise).
Software as a Service / Cloud-Services (nicht nur reine Dateiablage).
Marketingaktionen, Kundenumfragen, Newsletterversand durch eine externe Agentur.
Beauftragung eines Callcenters für Kundensupport oder Kundengewinnung.
Papier- und Aktenvernichtung sowie die Vernichtung von Datenträgern.
Externe Lohn- und Gehaltsabrechnung.
Externe Rechnungsbearbeitung / Buchhaltung.
Zugriff auf personenbezogene Daten vor Ort bei Auftraggeber

Aber auch weitere Leistungen sind ebenfalls von den Regelungen zu Art. 28 DSGVO betroffen (Beispiele):

Wartung von Servern und Computern durch einen externen Dienstleister (wichtig: auch Fernwartung!)
Parametrisierung oder Pflege von Software (Updates etc.), über die Zugriff auf personenbezogene Daten möglich ist.
Systemmigrationen.

Was heisst das jetzt für Sie als Auftraggeber?

Liegt eine Auftragsverarbeitung vor, muss diese schriftlich geregelt werden.
Sie als Auftraggeber müssen die im Vertrag festgeschriebenen Massnahmen zum Datenschutz und zur Datensicherheit beim Auftraggeber in geeigneter Form kontrollieren — im Zweifel persönlich vor Ort beim Auftragnehmer.
Für die Einhaltung der gesetzlichen Datenschutzvorschriften sind Sie als Auftraggeber verantwortlich, nicht der Auftragnehmer (dies wird oft irrtümlich falsch eingeschätzt).
Eine einfache Erklärung des Auftragnehmers über die Einhaltung der Datenschutzvorschriften ist nicht ausreichend!

Was heisst das jetzt für Auftragnehmer?

Als Auftragnehmer haben Sie sich ebenfalls den Regelungen des Art. 28 DSGVO zu unterwerfen und stehen in der Pflicht, Ihren Auftraggeber bei der Umsetzung zu unterstützen.
Zukunftsorientierte Unternehmen haben ein stichhaltiges Datenschutzkonzept samt einer vorformulierten Vereinbarung gem. Art. 28 DSGVO bereits in der Schublade und gehen damit aktiv auf ihre Bestandskunden zu. Ein kleines, aber sehr wirkungsvolles Detail, um sich positiv vom Wettbewerb abzuheben und ihren Auftraggeber von ihrer Leistungsfähigkeit zu überzeugen.
Wenig hilfreich: den Auftraggeber vor die Wahl stellen — entweder ohne diese Vereinbarung samt Kontrollrechte zusammenzuarbeiten oder es eben sein zu lassen. Außer Sie sind sich sicher, Ihrem Auftraggeber ist Ihre Dienstleistung oder Ihr Produkt ohne Regelungen zur Auftragsverarbeitung ein Bußgeld wert.

Mit Bedacht sollten Musterverträge aus dem Internet eingesetzt werden. Teilweise entsprechen diese nicht den aktuellen Regelungen aus den letzten Novellierungen des Datenschutzrechts. Diese können zwar sinnvolle Ansatzpunkte liefern, ersetzen jedoch weder die individuell notwendige Anpassung auf die vorliegende Auftragsverarbeitung noch die rechtlich sichere Einschätzung, welche Maßnahmen hierzu notwendig sind.

Daher kann zur Vermeidung von Bußgeldern und Imageschäden nur jedem Unternehmen und Unternehmer geraten werden, einen Berater / Anwalt für Datenschutz oder Datenschutzbeauftragten hinzuzuziehen. Dieser stellt die korrekte Umsetzung sicher und haftet im Zweifel für mögliche Versäumnisse aus seiner Tätigkeit.

Hilfreiche Links und Tipps zur Auftragsverarbeitung im Internet:

“15 Irrtümer bei der Auftragsdatenverarbeitung” — sehr interessanter und aufklärender Beitrag über die zahlreichen Möglichkeiten, was bei der Bewertung und Umsetzung von Auftrags(daten)verarbeitung alles falsch gemacht werden kann
Div. Infos und Vorlagen des BayLDA zur Auftragsverarbeitung

Danke Mailchimp! Abmahnrisiko für deutsche Newsletter-Versender

von Sascha Kuhrau
30. Oktober 2017
4 Kommentare

Vorteile externer Newsletter-Versender / Anbieter

Externer Newsletter-Versender sind ein probates Mittel, um professionelle Newsletter an den Mann bzw. an die Frau zu bringen. Bedienbare Weboberflächen, Gestaltungsvorlagen und automatisierte Nutzerverwaltung sind nur einige der Punkte, die einem Werbetreibenden das Leben erleichtern. Nebenbei verringert die Nutzung eines solchen Dienstes das Risiko eines offenen Newsletter-Verteilers, weil die Empfänger aus Versehen im „An“- oder „Kopie“- statt im „Blindkopie“-Feld eingetragen wurden.

Double opt-in

Es dürfte sich mittlerweile unter allen Versendern von Newslettern herumgesprochen haben: Die Bestätigung und Überprüfung von Newsletter-Empfängern mittels des sog. double opt-in Verfahrens ist in Deutschland Pflicht.

Beim douple opt-in Verfahren bestätigt der Newsletter-Empfänger — zumeist über einen Aktivierungslink in einer Bestätigungsmail — seinen tatsächlichen Wunsch zum Erhalt des Newsletters erneut (daher „double“). Gleichzeitig wird dieser Vorgang mittels Zeitstempeln protokolliert, um die Anmeldung und Aktivierung jederzeit belegen zu können.

Danke Mailchimp

Der auch in Deutschland oft genutzte US Service Mailchimp hat nun von heute auf morgen das Standard-Anmeldeverfahren auf single opt-in umgestellt. Diese Verfahrensweise widerspricht den rechtlichen Anforderungen in Deutschland. Unternehmen in Deutschland, die Mailchimp als externen Newsletter-Versender nutzen, tun gut daran, diese automatisierte Umstellung wieder rückgängig zu machen. Ansonsten drohen Abmahnungen!

Mailchimp begründet diese Vorgehensweise mit dem erhöhten Aufwand für Nutzer, die sich mittels double opt-in für einen Newsletter anmelden müssen. Dies würde die Absprungraten erhöhen. Schlicht: die Maßnahme wird als „Kundenservice“ verkauft, Abmahnrisiko inklusive. Die Umstellung erfolgt automatisch zum 31.12.2017. Nutzer des Service sollten unbedingt manuell wieder auf double opt-in umstellen!

Die Kanzlei LHR weist in einem Beitrag darauf hin, dass Mailchimp zwar als rechtlicher Störer in die Mithaftung genommen werden könnte, das Abmahnrisiko wird hierdurch jedoch weder vermieden noch gesenkt.

Externer Newsletter-Versender ist Auftragsdatenverarbeitung

Die Nutzung eines externen Newsletter-Services wie Mailchimp fällt unter den Anwendungsbereich der sog. Auftragsdatenverarbeitung (BDSG), zukünftig Auftragsverarbeitung (EU DS-GVO). Der Anbieter ist vor der Nutzung sorgfältig auszuwählen, auf vorhandenes Sicherheitsniveau zu prüfen und mit einer Vereinbarung zur Auftragsdatenverarbeitung auszustatten (nicht zu verwechseln mit dem normalen Vertrag für die zu erbringende Leistung). Fehlende oder fehlerhafte Auftragsdatenverarbeitung kann Bußgelder bis 50.000 Euro nach sich ziehen.

Sollten Sie also einen externen Dienst nutzen, so prüfen Sie VORHER, ob die Umsetzungsschritte für eine Auftragsdatenverarbeitung möglich sind und auch durchgeführt werden. Im Zweifel fragen Sie Ihren Datenschutzbeauftragten.

Es gibt übrigens zahlreiche andere Anbieter, die mit dem double opt-in und dem Abmahnrisiko der Nutzer sorgfältiger umgehen, beispielsweise

Beide genannten Anbieter sind deutsche Unternehmen, denen die Verfahrensweisen zur Auftragsdatenverarbeitung bekannt sind, die sich mit ihren Services an deutsches Werbe-Recht halten, ihre Daten in deutschen Rechenzentren hosten und über aktive, kompetente Datenschutzbeauftragte verfügen. Ihre Kunden sollten Ihnen das wert sein!

Keine Panik: Die EU-Datenschutzgrundverordnung kommt

von Sascha Kuhrau
11. Juni 2017
4 Kommentare

Wer die letzten Woche und Monate die Meldungen in den Nachrichten, auf Blogs, in sozialen Netzwerken und auch per Post verfolgt, kann es nur mit der Angst bekommen. Da kommt die EU-Datenschutzgrundverordnung im Mai 2018 auf Unternehmen und Behörden zu und man könnte meinen, die Welt stehe kurz vor ihrem Untergang. Einzige Abhilfe natürlich, jetzt schnell diverse Seminare buchen oder diverse Literaturzusammenstellungen kaufen. Doch ist das wirklich so schlimm, was da auf Unternehmen und Behörden zu kommt?

Rechtliches zur EU-Datenschutzgrundverordnung (EU-DSGVO)

Ja, es stimmt. In der Nacht vom 24.05.2018 auf den 25.05.2018 wird es ein hartes Umschalten zwischen unseren bisherigen nationalen Datenschutzgesetzen und der EU-DSGVO geben. Sind wir bis zu diesem Termin noch an das Bundesdatenschutzgesetz und die Landesdatenschutzgesetze gebunden, so werden diese zum og. Termin durch die EU-DSGVO verdrängt. Hinzu kommen in den EU-Mitgliedsstaaten mögliche Anpassungsgesetze, in Deutschland für Bund und Länder jeweils separat. Diese beruhen auf den sogenannten Öffnungsklauseln in der EU-DSGVO, zu denen die Mitgliedsstaaten eigene nationale Regeln ergänzen können. Der Spielraum ist hier jedoch begrenzt, dem Sinn der EU-DSGVO wird es schwer zu widersprechen sein.

Vor diesem Hintergrund ist auch der Arbeitstitel “BDSG-neu” für das deutsche Anpassungsgesetz nicht ganz korrekt. Daher heißt es auch im richtigen Wortlaut “Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG)” und wurde gerade nach einigen Diskussionen verabschiedet. Einerseits sind die Datenschutzbeauftragten der Länder nach wie vor nicht ganz zufrieden, andererseits haben die verschiedenen Lobbygruppen zur Aufweichung des bisherigen Datenschutz-Niveaus ebenfalls Federn lassen müssen. Eine EU-weite Harmonisierung eines solchen Themas wird immer ein Kompromiss sein. Dieser ist im Falle der EU-DSGVO erfolgt. Ob es wirklich der Meileinstein wurde, der von zahlreichen Beteiligten ausgerufen wird, das wird die Zukunft zeigen.

Von den Anpassungsgesetzen in den Bundesländern ist bisher wenig bis nichts zu sehen. Belastbare Rechtskommentare — zumindest zur EU-DSGVO selbst — erscheinen in den letzten Wochen vermehrt. Kommenatare zum DSAnpUG sind noch abzuwarten, bis zum Erscheinen brauchbarer Kommentare zu den Anpassungsgesetzen der Bundesländer wird noch mehr Zeit verstreichen. Nicht viel anders sieht es mit brauchbaren Vorlagen z.B. zu Änderungen in der Auftragsdatenverarbeitung oder mit Prüf- und Checklisten aus, die eine gezielte Vorbereitung und Umsetzung ermöglichen.

Dies merkt auch der Bayerische Landesbeauftragte für den Datenschutz auf seiner Webseite korrekterweise im Mai 2017 an:

In diesem Zusammenhang ist zu beachten, dass die Datenschutz-Grundverordnung gerade für den öffentlichen Bereich eine Vielzahl von sogenannten “Öffnungsklauseln” vorsieht, die der Ergänzung bzw. Ausfüllung durch die mitgliedstaatlichen Gesetzgeber bedürfen. Bis die diesbezüglichen Gesetzgebungsverfahren — insbesondere auf bayerischer Ebene — abgeschlossen sind, kann daher zu bestimmten Themen nur eine vorläufige Darstellung unter dem Vorbehalt späterer nationaler Regelung erfolgen.

Grund zur Panik?

Die Uhr tickt, das steht fest. Dies ist jedoch kein Grund zur Panik. Die Grundsätze wie Verbotsgesetz mit Erlaubnisvorbehalt (Rechtsvorschrift, Vertrag, Einwilligung) bleiben uns erhalten. Grundlegende Verfahrensweisen bleiben identisch, bekommen teilweise nur einen anderen Namen (Verfahrensverzeichnis wird zum Verzeichnis der Verarbeitungstätigkeiten). Die Regelungen zur Bestellpflicht eines (internen oder externen) Datenschutzbeauftragten wurden in das Anpassungsgesetz übernommen. Für Unternehmen ändert sich hier nichts. In einigen Bundesländern wie Bayern war bisher für kommunale Einrichtungen nur die Bestellung eines internen Datenschutzbeauftragten möglich, in einigen Bundesländern wurde die Bestellung auf freiwilliger Basis erwähnt (intern oder extern). Dies wird durch die EU-DSGVO harmonisiert und ab Mai 2018 müssen alle kommunale Einrichtungen einen Datenschutzbeauftragten bestellt haben und diese Bestellung kann selbstverständlich auch extern erfolgen (beachten Sie hierzu auch unser Angebot “Externer Datenschutzbeauftragter für bayerische Kommunen”).

Also alles nur Panikmache?

Nein, selbstverständlich bringt die EU-DSGVO auch Neuerungen und Änderungen mit sich. Statt der nur gelegentlich durchzuführenden Vorabkontrolle wird es nun die sogenannte Risikofolgenabschätzung geben. Diese ist auch öfter durchzuführen als bisher. Die Rechte der Betroffenen werden erweitert. Neben den bekannten Rechten auf Auskunft, Löschung und / oder Sperrung kommt das Recht auf Datenübertragbarkeit hinzu. Die Vereinbarungen zur Auftragsdatenverarbeitung mit bestehenden Dienstleistern sind zu aktualisieren, sobald hier sinnvolle Vorlagen vorliegen. Neu hinzu kommen Datenschutz durch Technikgestaltung und Datenschutz durch Voreinstellung (privacy by design und privacy by default). Beides konsequente Fortführungen der bisherigen Prinzipien Datenvermeidung und Datensparsamkeit. Weiterhin wurden die Dokumentationspflichten erweitert. Mehr Vorgänge und Entscheidungen als bisher sind schriftlich nachvollziehbar festzuhalten. Hier werden unsere Kunden bereits durch die Nutzung unserer vollverschlüsselten Projektplattform bestens unterstützt. Weitere Änderungen und Anpassungen sind absehbar. Doch ein Grund zur Panik ist das nicht.

Interessanterweise spielt das Thema Informationssicherheit (endlich) eine wichtigere Rolle und findet sich inhaltlich auch in der EU-DSGVO wider. Organisationen sind gehalten, ausreichende Maßnahmen zur Informationssicherheit (nicht IT-Sicherheit!) einzuführen, um den Schutz personenbezogener Daten (und im eigenen Interesse generell für interne schützenswerte Informationen) einzuführen und zu betreiben. Der Grad der Informationssicherheit wird sich bei Verstößen auf die Höhe der Strafen auswirken. Mehr Infos zum Thema Informationssicherheit finden Sie auf unserem Blog zur Informationssicherheit. Gerne unterstützen wir Sie neben den Datenschutz-Themen auch bei Einführung und Betrieb eines Informationssicherheitskonzepts.

Für eine korrekte Umsetzung und Anpassung empfiehlt es sich, belastbare Rechtskommentare und auch Vorlagen sowie Stellungnahmen der für Ihre Organisation jeweils zuständigen Datenschutzaufsicht abzuwarten. Wer bisher nach Bundesdatenschutzgesetz oder Länderdatenschutzgesetz korrekt gearbeitet hat, muss nicht Schlimmes befürchten. Diese Rechtsgrundlagen fallen zwar weg, inhaltlich finden sich weite Teile davon in der EU-DSGVO und dem DSAnpUG wider. Das wird bei den Anpassungsgesetzen in den Bundesländern nicht viel anders sein.

Konzerne mit internationalen Verflechtungen stehen da vor größeren Herausforderungen als national agierende Unternehmen oder Kommunaleinrichtungen. Jedoch sollte man sich von der Panikmache nicht anstecken lassen. Sofern Grundlagen des bisherigen Datenschutzrechts in Ihrer Organisation vorhanden sind und aktuell gehalten werden, wird es zwar Anpassungsaufwand geben, dieser wird jedoch überschaubar bleiben. Wer sich bisher um das geltende Datenschutzrecht nicht gekümmert hat, der wird einen großen Berg Arbeit vor sich sehen. Für diese Einrichtungen heißt es, frühzeitig Gas zu geben — und wenn es zu Beginn noch auf den Vorlagen und Materialien zum BDSG oder der Landesdatenschutzgesetze geschieht.

Tipps / Hinweise

Die Landesdatenschutzbehörde Niedersachsen hat einen (noch) recht allgemeinen Leitfaden für Unternehmen bereitgestellt. Sie finden diesen hier.

Immer einen Abstecher für Informationen wert, sind die folgenden Webseiten / Blogs:

Die Beitragsserie “Die EU-DSGVO ist da” von Frau RAin Nina Diercks.
Die Webseite mit Tipps und Tricks samt Vorlagen des “Datenschutz-Guru” RA Stephan Hansen-Oest.
Unser Partnerblog “Datenschutzbeauftragter Info” mit aktuellen Informationen zur EU-DSGVO.

Wir werden in den nächsten Wochen und Monaten ebenfalls sukzessive nach Erscheinen belastbarer Vorlagen und Kommentare weitere Beiträge zur EU-DSGVO hier veröffentlichen.

Und jetzt … Ruhig Blut!

Landesdatenschutzbehörden prüfen Cloud-Einsatz in Unternehmen

von Sascha Kuhrau
4. November 2016
1 Kommentar

Die Landesdatenschutzbehörden in Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt wählen per Zufall 500 Unternehmen in diesen Bundesländern aus. Diese erhalten im Zuge der Prüfung einen ausführlichen Fragebogen (Download zur Selbstüberprüfung hier) zur zeitnahen Beantwortung. Bitte beachten Sie: Sie sind gemäß Bundesdatenschutzgesetz gegenüber der Behörde auskunftspflichtig. Nehmen Sie die Anfrage ernst und erteilen Sie innerhalb des genannten Rückmeldezeitraums ausführlich Auskunft. Es besteht sonst ein Bußgeldrisiko für Ihre Organisation.

“[…] viele kleinere und mittlere Unternehmen in Deutschland verarbeiten inzwischen zahlreiche personenbezogene Daten (z. B. von Kunden, Mitarbeitern oder Bewerbern) häufig auf Servern externer Dienstleister, oft außerhalb der Europäischen Union. Dies ist vor allem bei Angeboten wie dem sog. Software as a Service der Fall. Ein klassisches Beispiel hierfür sind Office-Anwendungen „aus dem Internet“, die standortunabhängig und flexibel genutzt werden können.”

Inhaltlich beschäftigt sich der Fragebogen daher zu Beginn mit generellen Datenübermittlungen außerhalb der EU (USA, sonstige Drittstaaten).

“Ein wichtiges Ziel der Prüfung liegt in der Sensibilisierung der Unternehmen für Datenübermittlungen in Länder außerhalb der Europäischen Union. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, wird auch gezielt nach dem Einsatz von Produkten und Leistungen externer Anbieter gefragt, die – nach bisherigen Erfahrungen der Aufsichtsbehörden – mit einer Übermittlung personenbezogener Daten in Nicht-EU-Staaten verbunden sind.”

Im zweiten Teil wird es ziemlich konkret im Hinblick auf in der Cloud eingesetzte Lösungen wie Reisemanagement, Customer-Relationship-Management, Bewerberportale bis hin zu kompletten Recruitment und Personalverwaltung und Abrechnung, Cloud-Speicher, Newsletter-Services, Cloud Office, aber auch Kollaborationsplattformen. Hier wollen die Behörden sehr konkrete Angaben zu den genutzten Anbietern und Lösungen.

Abgeschlossen wird der Fragebogen mit Angaben zum betrieblichen Datenschutzbeauftragten. Diesen sollten Sie bei Vorliegen der gesetzlichen Bestellpflicht hoffentlich benennen können und in die Beantwortung des Fragebogens einbezogen haben.

„Übermittlungen personenbezogener Daten in Nicht-EU-Staaten gehören inzwischen auch bei vielen mittelständischen Unternehmen zum Alltag, nicht zuletzt aufgrund der immer stärkeren Verbreitung von Angeboten des Cloud Computing. Unternehmen müssen sich aber dessen bewusst sein, dass hierfür besondere datenschutzrechtliche Anforderungen gelten. Durch die koordinierte Prüfaktion, an der sich zehn deutsche Datenschutzaufsichtsbehörden beteiligen, wollen wir auch die Sensibilität der Unternehmen in diesem Bereich erhöhen.“ betont Thomas Kranig, der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht. „Ausgehend von der Beantwortung des Fragebogens kann und wird das Bayerische Landesamt für Datenschutzaufsicht dort, wo sich dies als notwendig zeigt, auch in eine tiefere Prüfung einsteigen.“

Sie haben einen solchen Fragebogen erhalten, jedoch keinen betrieblichen Datenschutzbeauftragten zur Beantwortung parat? Sprechen Sie uns an.

Quelle: https://www.lda.bayern.de/media/pm2016_09.pdf

EU US Privacy Shield tritt in Kraft — alles wird gut?

von Sascha Kuhrau
13. Juli 2016
1 Kommentar

EU US Privacy Shield ist da

Nachdem die europäische Kommission erwartungsgemäß das recht umstrittene Privacy Shield als Nachfolger von Safe Harbor durchgewunken hat, tritt diese Regelung zum 01. August 2016 in Kraft. Nach Wegfall der Safe Harbor Regelung aufgrund eines Urteils des EUGH im Herbst 2015 — wir berichteten — soll Privacy Shield eine belastbare Grundlage für die Zulässigkeit des Austauschs personenbezogener Daten zwischen Europa und den USA bilden. Durch das Urteil des EUGH blieben hierfür ja lediglich die EU Standardvertragsklauseln oder Verfahrensweisen im Rahmen der sogenannten “binding corporate rules” (BCR). Nachdem einige Unternehmen eine rechtzeitige Umstellung nach Wegfall von Safe Harbor auf die Standardvertragsklauseln versäumt haben, wurde zum Beispiel der Datenschutzbeauftragte Hamburgs, Prof. Dr. Johannes Caspar bereits aktiv und ging dagegen aktiv vor.

Und jetzt wird alles gut?

Es verwundert wenig, dass die beteiligten EU Kommissare den Stellenwert und Wirkungsgrad des von ihnen umgesetzten Privacy Shields loben. Nach ihrer Sicht seien erhebliche Zugeständnisse zum Schutz personenbezogener Daten in den USA von EU Bürgern geleistet worden. Dass diese lediglich in kurzer Briefform und ohne belastbare rechtliche Untermauerung in Form von neuen oder angepassten Gesetzen in den USA erbracht wurden, stellt das Privacy Shield auf kein solides Fundament.

Die hierdurch gewonnene Erleichterung im Datentransfer ist generell zu begrüßen. Jedoch unterscheiden sich Safe Harbor und Privacy Shield im Schutzwert für personenbezogene Daten von EU Bürgern lediglich geringfügig. Der Initiator des EUGH-Urteils (Max Schrems) verweist daher nicht ganz zu Unrecht auf die mangelnde Umsetzung der Schutzrechte, die der EUGH für ein neues Abkommen als Voraussetzung genannt hat. Die Halbwertszeit des Privacy Shields könnte demnach recht kurz sein, mit einer neuen Klage ist zu rechnen.

Was tun?

Unserer Meinung nach reicht es nicht aus, auf die Regelungen des Privacy Shields und deren Fortbestand zu hoffen. Wer es nach Wegfall von Safe Harbor bisher immer noch versäumt hat, beispielsweise die EU Standardvertragsklauseln umzusetzen, sollte dies zeitnah nachholen oder zumindest als zweite Säule neben dem Privacy Shield vertraglich regeln. Da jedoch auch die Standardvertragsklauseln ähnlichen argumentativen Schwächen unterliegt wie Safe Harbor respektive Privacy Shield , ist dies keine Garantie, auch langfristig rechtlich sauber zu arbeiten. Es gilt, die Entwicklung weiter zu beobachten.

Abmahnung für den Einsatz von Google Analytics

von Sascha Kuhrau
29. März 201615. Oktober 2023
1 Kommentar

Google Analytics als Webtracking- und Analyse-Tool ist bei Webmastern recht beliebt. Eine aus Datenschutzsicht beanstandungsfreie Umsetzung ist seit geraumer Zeit möglich. Dabei gilt es jedoch, einiges zu beachten. Wer sich darum nicht kümmert, kann zukünftig vom Wettbewerb dazu mit rechtlichen Mitteln — im Zweifel mittels Abmahnung — gezwungen werden.

In einer einstweiligen Verfügung des Landgerichts Hamburg vom 10.03.2016 mit dem Aktenzeichen 312 O 127/16 untersagt das Gericht dem Betreiber einer Webseite den Einsatz von Google Analytics aufgrund fehlender Hinweise auf den Einsatz, beispielweise im Rahmen der Datenschutzerklärung. Das Landgericht Hamburg droht dem Webseitenbetreiber für den Fall der Zuwiderhandlung gegen diese Anordnung ein Ordnungsgeld von bis zu 250.000 Euro an (als Ersatz Ordnungshaft bis zu 6 Monaten).

Nicht eindeutig geklärt ist bisher, ob § 13 Absatz 1 Satz 1 Telemediengesetz (TMG) Grundlage für eine Abmahnung sein kann. Das Oberlandesgericht (OLG) München hat 2012 diesen Sachverhalt verneint. Dem entgegen hat das OLG Hamburg in 2013 die Abmahnfähigkeit bestätigt.

Wer demnach zur Zeit Abmahnung und weiteres Ungemach wegen des Einsatzes von Google Analytics vermeiden will, tut gut daran, die Empfehlungen aus 2011 für die Einführung und Nutzung von Google Analytics als Webtracking- und Analyse-Tool umzusetzen:

Abschluss einer Regelung zur Auftragsdatenverarbeitung nach § 11 BDSG. Eine gemeinsam erarbeitete Vorlage samt Anleitung finden Sie unter www.google.com/analytics/terms/de.pdf oder Sie suchen bei google.de nach „analytics +tos.pdf“.
Detaillierte Formulierung der Nutzung in der Datenschutzerklärung Ihrer Webseite zusammen mit dem Hinweis auf die Widerspruchsmöglichkeit durch das Google Tool „gaoptaut“ inkl. Downloadlink.
Aktivierung der anonymizeIP-Funktion (Achtung: hierfür ist ein gesonderter Tracking-Code notwendig!)
Löschen ALLER bisher zu Unrecht erhobenen Daten

Viel Erfolg beim datenschutzkonformen Einsatz von Google Analytics. Wer es unkomplizierter mag, setzt auf das Open Source Tool PIWIK, wie in unserem Blogbeitrag beschrieben.

Die Auftragsverarbeitung — Besonderheiten des Datenschutzrechts beim Outsourcing

von Sascha Kuhrau
3. März 201615. Oktober 2023

Um was geht es bei Auftragsverarbeitung (früher Auftragsdatenverarbeitung)?

Ein sperriger Begriff für einen einfachen Sachverhalt. Auftragsverarbeitung meint das klassische Outsourcing an einen externen Dienstleister. Nur sind in diesem speziellen Fall personenbezogene Daten betroffen. Für diesen Fall hat die DSGVO den Artikel 28 BDSG “Auftragsverarbeiter” vorgesehen.

Um ein möglichst hohes Schutzniveau zu gewährleisten und das Risiko von Datenpannen bei der Auslagerung auf Subunternehmer zu minimieren, sieht Artikel 28 DSGVO einige Auflagen vor. Um die Bedeutung und Ernsthaftigkeit des Themas zu unterstreichen, stehen auf eine fehlende oder fehlerhafte Umsetzung empfindliche Bußgelder.

Was fällt alles unter den Begriff Auftragsverarbeitung?

Am einfachsten läßt sich das an konkreten Beispielen erklären. Von einer Auftragsverarbeitung spricht man im Falle

der Nutzung einer Mailingagentur oder eines Lettershops zum Erstellen und Versand von Anschreiben, die an natürliche Personen gerichtet sind oder
der Durchführung der monatlichen Gehaltsabrechnung durch eine externe Lohn- und Gehaltsabrechnungstelle (nicht Steuerberater) oder
des Einsatzes einer extern gehosteten Software zur Verwaltung und zum Versand von Newslettern oder
der Beauftragung eines externen Callcenter oder Office-Services oder
dem teilweisen oder vollständigen Auslagern des Rechenzentrums oder
Software as a Service / Cloud-Lösungen oder
in vielen ähnlichen vergleichbaren Fällen — fragen Sie Ihren Datenschutzbeauftragten oder gleich uns.

Darunter fallen aber auch Leistungen wie Wartung / Konfiguration / Installation von Hard- und Software ebenfalls unter die Anwendung von Art. 28 DSGVO und sind entsprechend zu regeln. Dabei ist es unerheblich, ob Ihr Dienstleister das auch so sieht. Sie als Auftraggeber sind verantwortlich und zahlen am Ende auch das Bußgeld.

Was ist bei einer Auftragsverarbeitung zu tun?

Schritt 1: Identifizieren

Bereits vor Beginn der Zusammenarbeit muss ein Dienstleister auf sein Schutzniveau hin geprüft und mit der passenden Vereinbarung zur Auftragsdatenverarbeitung schriftlich vereinbart sein. Sollten Sie mit dem Dienstleister bereits zusammenarbeiten, dann ist schnelles Handeln angebracht.

Schritt 2: Prüfen

Sind alle externen Dienstleister, die unter Art. 28 DGSVO fallen, identifiziert oder bereits bekannt, kommt Schritt 2. Es gilt nun das vorhandene Schutzniveau des Dienstleisters zu prüfen. Die sogenannten technischen und organisatorischen Maßnahmen müssen aktuell und dem notwendigen Schutzbedarf für die betroffenen Daten entsprechen. Bei Lücken sind diese durch den Dienstleister zu schließen oder bei Bedarf ein alternativer Dienstleister auszuwählen. Die Prüfung sowie dessen Ergebnis sind zu dokumentieren, damit diese später belegt werden können.

Schritt 3: Vereinbaren

Alle von Art. 28 DSGVO betroffenen Dienstleister sollten nun bekannt sein. Das Schutzniveau ist geprüft und ausreichend vorhanden. Nun kommt Schritt 3 der Auftragsverarbeitung: die schriftliche Vereinbarung.Hier kann viel falsch gemacht werden. Übersehen Sie einen Regelungspunkt, den die DSGVO vorsieht, spricht man von einer fehlerhaften Auftragsverarbeitung. Diese ist mit einem Bußgeld risikobehaftet. Auch die Nutzung der zahlreichen im Internet auffindbaren Vorlagen zur Auftragsverarbeitung können davor nicht bewahren. Viele dieser Vorlagen sind leider immer noch veraltet, unvollständig oder mit Vorschriften versehen, die gegen andere Rechte / Gesetze verstoßen.

Schritt 4: Nachprüfen

Identifikation der Dienstleister vollständig. Prüfen des Schutzniveaus erfolgt und dokumentiert. Notwendige Vereinbarung schriftlich mit dem Dienstleister geschlossen.

Falsch liegt, wer meint, der Vorgang sei nun abgeschlossen. In regelmäßigen Abständen müssen Sie sich jetzt von dem Erhalt oder der Verbesserung des Schutzniveaus Ihres Dienstleisters überzeugen. Die Prüfung muss ebenfalls wieder nachvollziehbar und belegbar dokumentiert werden.

Schritt 5: Überlegen, ob Sie sich das wirklich alles selbst antun wollen

Wenn Sie sich weder mit den Risiken noch dem Zeitaufwand für das Thema Auftragsverarbeitung auseinandersetzen wollen, dann lassen Sie uns das übernehmen. Wie das geht? Ganz einfach — sprechen Sie uns an und wir informieren Sie unverbindlich über unsere Dienstleistungen rund um die Auftragsverarbeitung.

Bußgeld wegen fehlerhafter Auftragsdatenverarbeitung verhängt

von Sascha Kuhrau
29. August 2015

Langjährige Kunden und Empfänger unserer Datenschutz-Information werden sich an das wiederkehrende Thema dieses Beitrages sicher erinnern und haben die Information am Tag der Veröffentlichung der Presse-Information des BayLDA bereits als Sonder-Newsletter erhalten. Aufgrund der Tragweite des Vorgangs informieren wir hier noch mal auf unserem Datenschutz-Fachblog.

Es geht um das Thema Outsourcing an externe Dienstleister im Hinblick auf möglicherweise betroffene personenbezogene Daten. Das Datenschutzrecht spricht hier von einer Auftragsdatenverarbeitung. Nicht weil hier ein Auftrag vergeben wird, sondern weil im Auftrag der verantwortlichen Stelle jemand Drittes mit den personenbezogenen Daten zu tun hat oder in Kontakt kommt / kommen kann. Die bayerische Landesdatenschutzbehörde hat jetzt wegen fehlerhafter Umsetzung der gesetzlich vorgeschriebenen Verfahrensweise und Inhalte ein Bußgeld verhängt.

Fehlerhafte Auftragsdatenverarbeitung führt zu Bußgeld

Das ist so klar und deutlich in § 43 Absatz 1 Satz 2b BDSG geregelt.

“(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

2b.: entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder entgegen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt,”

Mit Datum vom 20. August 2015 gibt das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach nun bekannt, dass es gegen ein Unternehmen ein Bußgeld in fünfstelliger Euro-Höhe verhängt hat.

Auslöser war die fehlerhafte Umsetzung der Auftragsdatenverarbeitung. In mehreren Verträgen mit externen Dienstleistern waren die durch den Dienstleister zu treffenden technischen und organisatorischen Schutzmaßnahmen nur sehr oberflächlich und allgemein festgesetzt. Damit sei die gesetzlich vorgeschriebene Kontrolle durch den Auftraggeber nicht durchführbar, ob der Dienstleister in ausreichendem Umfang für die Sicherheit der Daten sorgen kann.
Dabei hat die Behörde bereits berücksichtigt, dass es kein pauschales Schutzniveau gibt, sondern dieses individuell nach Art der Dienstleistung und der betroffenen Daten definiert und vereinbart werden muss.

Was ist zu tun?

In einem ersten Schritt sollten Sie prüfen, ob Sie alle für eine Auftragsdatenverarbeitung in Frage kommenden Dienstleister überhaupt bereits identifiziert haben. Wenn ja, wäre die vertragliche Situation zu prüfen, ob das Schutzniveau des Dienstleisters in ausreichender schriftlicher Form nachgewiesen ist und ob eine gültige Auftragsdatenverarbeitung (Achtung Novelle in 2009 mit neuen Anforderungen!) schriftlich vereinbart wurde.
Wenn nein, sollten Sie zeitnah Ihren Datenschutzbeauftragten informieren, damit dieser alles weitere mit Ihnen zusammen in die Wege leiten kann.

Pressemitteilung des BayLDA vom 20.08.2015
Informationsblatt des BayLDA zum Thema Auftragsdatenverarbeitung
Blogbeitrag a.s.k. Datenschutz zum Thema Auftragsdatenverarbeitung

Hilfe bei Auftragsverarbeitung

von Sascha Kuhrau
23. März 20158. Dezember 2020

Outsourcing ist ein probates Mittel zur Kostenkontrolle, aber auch um bewährtes Know How von extern in die Organisation zu holen. Sind dabei jedoch personenbezogene Daten im Spiel, dann redet die DSGVO mit Art. 28 Auftragsverarbeiter ein erhebliches Wörtchen mit.

Auf die Reihenfolge kommt es an

Was oft nicht bekannt ist, Art. 28 DSGVO schaltet sich schon weit vor dem aktiven Beginn der Zusammenarbeit ein. Zuerst muss geprüft werden, ob eine Auftragsverarbeitung vorliegt (z.B. externes Rechenzentrum, Lettershop, externer Newsletter, Fernwartung für Hard- und Software, etcpp .)

Ist das der Fall, gilt es, das Schutzniveau des Anbieters zu prüfen und das Ergebnis zu dokumentieren, die sog. Überprüfung der technischen und organisatorischen Maßnahmen (TOM). Sind diese für das notwendige Schutzniveau ausreichend, muss eine sogenannte Vereinbarung zur Auftragsverarbeitung geschlossen werden. Hinweise wie “Die Parteien vereinbaren, sich an deutsches Datenschutzrecht bzw. die DSGVO zu halten” sind Geschichte und unzureichend. Auch bei der Nutzung der diversen Vorlagen aus dem Web sollte man sehr vorsichtig sein. Oft sind diese veraltet, fehlerhaft, unvollständig oder enthalten Passagen, die massiv gegen anderes Recht verstoßen und somit ebenfalls nicht gültig.

Alles halb so schlimm?

Meinen Sie, aber auch nur, bis Sie den Bußgeldkatalog der DSGVO kennengelernt haben. Bußgelder werden fällig, wenn eine Auftragsverarbeitung gar nicht, unvollständig oder fehlerhaft umgesetzt ist. Übrigens pro Dienstleister, wie uns vor einiger Zeit der Vertreter einer Schutzbehörde erst wieder bestätigt hat.

Wieso noch selbst plagen und das Risiko tragen?

Ganz unabhängig, ob Sie einen Datenschutzbeaufragten bestellen müssen oder nicht, a.s.k Datenschutz kümmert sich um die rechtskonforme Umsetzung in Ihrer Organisation. Wir identifizieren die betroffenen Dienstleister, prüfen deren Schutzniveau, dokumentieren dieses wie vorgeschrieben, erstellen Ihnen die notwendige rechtskonforme Vereinbarung zur Auftragsverarbeitung — Sie und Ihr Dienstleister müssen nur noch unterschreiben. Den Fortschritt und die Dokumentation finden Sie jederzeit in unserem komfortablen Online Projekt Tool. Auf Wunsch übernehmen wir auch die Nachprüfung nach 12, 24 oder 36 Monaten.

Einfacher und risikofreier für Sie geht es nicht!

Sprechen Sie uns an. Günstige Pauschaltarife warten auf Sie, egal ob Ihre Dienstleister in Deutschland, der EU oder in einem sogenannten Drittland sitzen.

Datenschutz in der Arzt-Praxis — Wann brauchen Praxen einen Datenschutzbeauftragten?

von Sascha Kuhrau
31. Oktober 2012

Vorsicht Falle!

In den letzten Wochen haben zahlreiche Praxisbetreiber Info-Post erhalten. Darin wurde suggeriert, eine Arztpraxis habe stets einen Datenschutzbeauftragten zu bestellen. Ansonsten drohen Bußgelder und weiteres Ungemach. Die Art und Weise der Darstellung ist nach Sicht z.B. der Ärztekammer Nordrhein ein “irreführendes Vertragsangebot”, weshalb eine entsprechende Klarstellung veröffentlicht wurde.

Die gesetzliche Bestellpflicht

§ 4 f BDSG regelt klar und deutlich, wann ein Datenschutzbeauftragter zu bestellen ist und welche Voraussetzungen dieser zu erfüllen hat. “Übersetzt” heißt es für eine Praxis konkret: Sobald mehr als 9 Mitarbeiter ständig mittels EDV mit personenbezogenen Daten arbeiten, ist ein Datenschutzbeauftragter zu bestellen. Die Bestellung kann extern erfolgen.

Datenschutz ist Vertrauenssache

Prüfen Sie in Frage kommende Anbieter genau, denn die Basis für eine langfristige Zusammenarbeit (wie sie der Gesetzgeber wünscht) ist nun mal Vertrauen. Das Angebot sollte seriös sein, Sie umfassend informieren und neben aktuellen Fachkundenachweisen ebenfalls den Versicherungsschutz des externen Beraters umfassen.

Auch Ihre Patienten setzen auf Vertrauen

Eine kürzliche Umfrage förderte beachtliche Fakten zu Tage:

95% der Befragten halten das Patientengeheimnis für ein wichtiges, schützenswertes Gut!

89% der Befragten wünschen keine Behandlung durch einen Arzt, der diesen Umstand ignoriert!

50% der Befragten haben ungewollt sensible Informationen anderer Patienten mit anhören müssen!

Schweigepflicht ist nicht alles

Aus eigener Erfahrung und aus zahlreichen Gesprächen mit Veranstaltungsteilnehmern zeigt sich, die Tücke steckt oft im Detail. Im Praxis-Alltag schleichen sich Verfahrensweisen ein, die genau betrachtet die ärztliche Schweigepflicht verletzten. Seien es laute Gespräche an der Rezeption über Beschwerden und Behandlungen oder eingeloggte Computer im Behandlungsraum, in dem der Patient auf den behandelnden Arzt wartet. Diese Art von “Verstößen” nimmt Ihr Patient direkt wahr, ist vielleicht sogar selbst davon betroffen. Die Folge: Wechsel zu einer anderen Praxis (nicht gut) und / oder eine Beschwerde bei der zuständigen Ärztekammer oder Schutzbehörde (noch weniger gut).

Datenschutz ist mehr als lästige Pflicht

Gelebter Datenschutz schafft Vertrauen. Sie binden Ihre Patienten mit einem “gesetzlichen Wohlfühlfaktor” und sichern Ihren Praxis-Erfolg nachhaltig.

Auftragsdatenverarbeitung

Vor­tei­le exter­ner News­let­ter-Ver­sen­der /​ Anbie­ter

Dou­ble opt-in

Dan­ke Mailchimp

Exter­ner News­let­ter-Ver­sen­der ist Auftragsdatenverarbeitung

Recht­li­ches zur EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO)

Um was geht es bei Auf­trags­ver­ar­bei­tung (frü­her Auftragsdatenverarbeitung)?