Auf­trags­ver­ar­bei­tung, das Aus­la­gern von Daten­ver­ar­bei­tungs­pro­zes­sen durch den Auf­trag­ge­ber auf exter­ne Dienst­leis­ter, ist ein häu­fi­ges Mit­tel zur Kos­ten­sen­kung und der Nut­zung von exter­nem Know How — Stich­wort “Out­sour­cing”. Sind hier­von per­so­nen­be­zo­ge­ne Daten betrof­fen, fin­det Art. 28 DSGVO Auf­trags­ver­ar­bei­ter Anwendung.

Schnell kommt es bei der Ein­schät­zung, ob eine Auf­trags­ver­ar­bei­tung vor­liegt, zu Miß­ver­ständ­nis­sen und der Auf­trag­ge­ber läuft Gefahr, gemäß DSGVO mit Geld­bu­ßen durch die Daten­schutz­be­hör­den belegt zu wer­den. Von Image­schä­den in der Öffent­lich­keits­wahr­neh­mung nicht zu reden. Eine sorg­fäl­ti­ge Prü­fung durch einen Bera­ter für Daten­schutz oder einen Daten­schutz­be­auf­trag­ten hilft, die­se Risi­ken zu mini­mie­ren und die not­wen­di­gen Rege­lun­gen umzusetzen.

Fol­gen­de Kri­te­ri­en (Aus­wahl) unter­stüt­zen die Bewer­tung über das Vor­lie­gen einer Auftragsverarbeitung:

  • Dem Auf­trag­neh­mer fehlt die Ent­schei­dungs­be­fug­nis über die über­mit­tel­ten Daten.
  • Dem Auf­trag­neh­mer ist die Nut­zung der über­las­se­nen Daten über den eigent­li­chen Über­las­sungs­zweck hin­aus verboten.
  • Der Auf­trag­neh­mer nutzt nur die ihm über­las­se­nen Daten.
  • Die Daten­ver­ar­bei­tung wird nach außen durch den Auf­trag­ge­ber vertreten.
  • Der Auf­trag­neh­mer steht in kei­ner ver­trag­li­chen Bezie­hung zu den Betrof­fe­nen der per­so­nen­be­zo­ge­nen Daten.

Eini­ge prak­ti­sche Bei­spie­le von Auftragsverarbeitung:

  • Out­sour­cing des Rechen­zen­trums (ganz oder teilweise).
  • Soft­ware as a Ser­vice /​ Cloud-Ser­vices (nicht nur rei­ne Dateiablage).
  • Mar­ke­ting­ak­tio­nen, Kun­den­um­fra­gen, News­let­ter­ver­sand durch eine exter­ne Agentur.
  • Beauf­tra­gung eines Call­cen­ters für Kun­den­sup­port oder Kundengewinnung.
  • Papier- und Akten­ver­nich­tung sowie die Ver­nich­tung von Datenträgern.
  • Exter­ne Lohn- und Gehaltsabrechnung.
  • Exter­ne Rech­nungs­be­ar­bei­tung /​ Buch­hal­tung.
  • Zugriff auf per­so­nen­be­zo­ge­ne Daten vor Ort bei Auftraggeber

Aber auch wei­te­re Leis­tun­gen sind eben­falls von den Rege­lun­gen zu Art. 28 DSGVO betrof­fen (Bei­spie­le):

  • War­tung von Ser­vern und Com­pu­tern durch einen exter­nen Dienst­leis­ter (wich­tig: auch Fern­war­tung!)
  • Para­me­tri­sie­rung oder Pfle­ge von Soft­ware (Updates etc.), über die Zugriff auf per­so­nen­be­zo­ge­ne Daten mög­lich ist.
  • Sys­tem­mi­gra­tio­nen.

Was heisst das jetzt für Sie als Auftraggeber?

  • Liegt eine Auf­trags­ver­ar­bei­tung vor, muss die­se schrift­lich gere­gelt werden.
  • Sie als Auf­trag­ge­ber müs­sen die im Ver­trag fest­ge­schrie­be­nen Mass­nah­men zum Daten­schutz und zur Daten­si­cher­heit beim Auf­trag­ge­ber in geeig­ne­ter Form kon­trol­lie­ren — im Zwei­fel per­sön­lich vor Ort beim Auftragnehmer.
  • Für die Ein­hal­tung der gesetz­li­chen Daten­schutz­vor­schrif­ten sind Sie als Auf­trag­ge­ber ver­ant­wort­lich, nicht der Auf­trag­neh­mer (dies wird oft irr­tüm­lich falsch eingeschätzt).
  • Eine ein­fa­che Erklä­rung des Auf­trag­neh­mers über die Ein­hal­tung der Daten­schutz­vor­schrif­ten ist nicht ausreichend!

Was heisst das jetzt für Auftragnehmer?

  • Als Auf­trag­neh­mer haben Sie sich eben­falls den Rege­lun­gen des Art. 28 DSGVO zu unter­wer­fen und ste­hen in der Pflicht, Ihren Auf­trag­ge­ber bei der Umset­zung zu unterstützen.
  • Zukunfts­ori­en­tier­te Unter­neh­men haben ein stich­hal­ti­ges Daten­schutz­kon­zept samt einer vor­for­mu­lier­ten Ver­ein­ba­rung gem. Art. 28 DSGVO bereits in der Schub­la­de und gehen damit aktiv auf ihre Bestands­kun­den zu. Ein klei­nes, aber sehr wir­kungs­vol­les Detail, um sich posi­tiv vom Wett­be­werb abzu­he­ben und ihren Auf­trag­ge­ber  von ihrer Leis­tungs­fä­hig­keit zu überzeugen.
  • Wenig hilf­reich: den Auf­trag­ge­ber vor die Wahl stel­len — ent­we­der ohne die­se Ver­ein­ba­rung samt Kon­troll­rech­te zusam­men­zu­ar­bei­ten oder es eben sein zu las­sen. Außer Sie sind sich sicher, Ihrem Auf­trag­ge­ber ist Ihre Dienst­leis­tung oder Ihr Pro­dukt ohne Rege­lun­gen zur Auf­trags­ver­ar­bei­tung ein Buß­geld wert.

Mit Bedacht soll­ten Mus­ter­ver­trä­ge aus dem Inter­net ein­ge­setzt wer­den. Teil­wei­se ent­spre­chen die­se nicht den aktu­el­len Rege­lun­gen aus den letz­ten Novel­lie­run­gen des Daten­schutz­rechts. Die­se kön­nen zwar sinn­vol­le Ansatz­punk­te lie­fern, erset­zen jedoch weder die indi­vi­du­ell not­wen­di­ge Anpas­sung auf die vor­lie­gen­de Auf­trags­ver­ar­bei­tung noch die recht­lich siche­re Ein­schät­zung, wel­che Maß­nah­men hier­zu not­wen­dig sind.

Daher kann zur Ver­mei­dung von Buß­gel­dern und Image­schä­den nur jedem Unter­neh­men und Unter­neh­mer gera­ten wer­den, einen Bera­ter /​ Anwalt für Daten­schutz oder Daten­schutz­be­auf­trag­ten hin­zu­zu­zie­hen. Die­ser stellt die kor­rek­te Umset­zung sicher und haf­tet im Zwei­fel für mög­li­che Ver­säum­nis­se aus sei­ner Tätigkeit.

Hilf­rei­che Links und Tipps zur Auf­trags­ver­ar­bei­tung im Internet:

Out­sour­cing ist ein pro­ba­tes Mit­tel zur Kos­ten­kon­trol­le, aber auch um bewähr­tes Know How von extern in die Orga­ni­sa­ti­on zu holen. Sind dabei jedoch per­so­nen­be­zo­ge­ne Daten im Spiel, dann redet die DSGVO mit Art. 28 Auf­trags­ver­ar­bei­ter ein erheb­li­ches Wört­chen mit.

Auf die Rei­hen­fol­ge kommt es an

Was oft nicht bekannt ist,  Art. 28 DSGVO schal­tet sich schon weit vor dem akti­ven Beginn der Zusam­men­ar­beit ein. Zuerst muss geprüft wer­den, ob eine Auf­trags­ver­ar­bei­tung vor­liegt (z.B. exter­nes Rechen­zen­trum, Let­ter­shop, exter­ner News­let­ter, Fern­war­tung für Hard- und Soft­ware, etcpp .)

Ist das der Fall, gilt es, das Schutz­ni­veau des Anbie­ters zu prü­fen und das Ergeb­nis zu doku­men­tie­ren, die sog. Über­prü­fung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM). Sind die­se für das not­wen­di­ge Schutz­ni­veau aus­rei­chend, muss eine soge­nann­te Ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung geschlos­sen wer­den. Hin­wei­se wie “Die Par­tei­en ver­ein­ba­ren, sich an deut­sches Daten­schutz­recht bzw. die DSGVO zu hal­ten” sind Geschich­te und unzu­rei­chend. Auch bei der Nut­zung der diver­sen Vor­la­gen aus dem Web soll­te man sehr vor­sich­tig sein. Oft sind die­se ver­al­tet, feh­ler­haft, unvoll­stän­dig oder ent­hal­ten Pas­sa­gen, die mas­siv gegen ande­res Recht ver­sto­ßen und somit eben­falls nicht gültig.

Alles halb so schlimm?

Mei­nen Sie, aber auch nur, bis Sie den Buß­geld­ka­ta­log der DSGVO ken­nen­ge­lernt haben. Buß­gel­der wer­den fäl­lig, wenn eine Auf­trags­ver­ar­bei­tung gar nicht, unvoll­stän­dig oder feh­ler­haft umge­setzt ist. Übri­gens pro Dienst­leis­ter, wie uns vor eini­ger Zeit der Ver­tre­ter einer Schutz­be­hör­de erst wie­der bestä­tigt hat.

Wie­so noch selbst pla­gen und das Risi­ko tragen?

Ganz unab­hän­gig, ob Sie einen Daten­schutz­be­auf­rag­ten bestel­len müs­sen oder nicht, a.s.k Daten­schutz küm­mert sich um die rechts­kon­for­me Umset­zung in Ihrer Orga­ni­sa­ti­on. Wir iden­ti­fi­zie­ren die betrof­fe­nen Dienst­leis­ter, prü­fen deren Schutz­ni­veau, doku­men­tie­ren die­ses wie vor­ge­schrie­ben, erstel­len Ihnen die not­wen­di­ge rechts­kon­for­me Ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung — Sie und Ihr Dienst­leis­ter müs­sen nur noch unter­schrei­ben. Den Fort­schritt und die Doku­men­ta­ti­on fin­den Sie jeder­zeit in unse­rem kom­for­ta­blen Online Pro­jekt Tool. Auf Wunsch über­neh­men wir auch die Nach­prü­fung nach 12, 24 oder 36 Monaten.

Ein­fa­cher und risi­ko­frei­er für Sie geht es nicht!

Spre­chen Sie uns an. Güns­ti­ge Pau­schal­ta­ri­fe war­ten auf Sie, egal ob Ihre Dienst­leis­ter in Deutsch­land, der EU oder in einem soge­nann­ten Dritt­land sitzen.

Informationen

Anlei­tung: Win­dows Bild­schirm­scho­ner mit­tels Tas­ta­tur­kür­zel /​ Short­cut oder Desk­top Icon aktivieren

Hin­ter­grund:

Ihr geschäft­li­cher PC-Arbeits­platz soll­te stets vor Zugrif­fen durch Unbe­fug­te geschützt sein. Zu die­sem Zweck ist oft­mals der Bild­schirm­scho­ner mit Kenn­wort­ak­ti­vie­rung ein­ge­rich­tet. Die­ser star­tet nach einer gewis­sen Zeit der Inak­ti­vi­tät (weni­ge Minu­ten) auto­ma­tisch und „ver­schließt“ qua­si Ihren Arbeits­platz. Wenn Sie wei­ter­ar­bei­ten und Zugriff auf Ihre Pro­gram­me und Daten neh­men wol­len, ist das Ein­ge­ben Ihres Pass­worts zwin­gend erforderlich.

Pro­ble­me:

Im All­tag tre­ten nun zwei Pro­ble­me auf. Wid­men Sie sich ohne Ver­las­sen des Arbeits­plat­zes einer Auf­ga­be, wel­che die Nut­zung des PCs für eine Wei­le nicht vor­sieht, so müs­sen Sie sich andau­ernd wie­der neu per Pass­wort­ein­ga­be als berech­tig­ter Nut­zer iden­ti­fi­zie­ren. Oft­mals wird daher das Zeit­in­ter­vall für die auto­ma­ti­sche Bild­schirm­scho­ner­ak­ti­vie­ren in einen eine „Kom­fort­zo­ne“ jen­seits von 10 Minu­ten und län­ger verschoben.

Damit sind Sie die läs­ti­ge Neu­ein­ga­be Ihres Pass­worts zwar los, jedoch öff­nen Sie damit der unbe­rech­tig­ten Nut­zung Ihres Arbeits­plat­zes und IT-Accounts Tor und Tür. Gesetzt der Fall, Sie haben die Zeit­span­ne wirk­lich auf 10 Minu­ten ein­ge­stellt und Sie ver­las­sen für eine Ziga­ret­ten­pau­se mit Tas­se Kaf­fee Ihren Arbeits­platz. Dann besteht 10 Minu­ten lang – näm­lich bis zur auto­ma­ti­schen Sper­re durch den Bild­schirm­scho­ner – das nicht uner­heb­li­che Risi­ko, dass Unbe­fug­te (und dazu zäh­len nicht nur Frem­de, son­dern auch Kol­le­gin­nen und Kol­le­gen) über Ihren Arbeits­platz Zugriff auf Fir­men­ge­heim­nis­se und /​ oder per­so­nen­be­zo­ge­ne Daten neh­men. In 10 Minu­ten kann viel pas­sie­ren:  Kun­den­da­ten auf einen USB-Stick kopie­ren (Ach­tung: Ver­lust per­so­nen­be­zo­ge­ner Daten -> Buß­gel­dri­si­ko DSGVO), Datei­en löschen (oder ver­än­dern) oder je nach Sys­tem­rech­ten Ihres Accounts Schad- und Schnüf­fel­soft­ware instal­lie­ren, um in aller Ruhe aus der Fer­ne das Unter­neh­men aus­spä­hen und schä­di­gen zu können.

Aus Sicht des Daten­schut­zes und der Daten­si­cher­heit ein unhalt­ba­rer Zustand.

Lösung:
(mehr …)