Zum Inhalt springen

Datenschutzrichtlinie

Auf­trags­ver­ar­bei­tung — Defi­ni­ti­on, Bei­spie­le, Mass­nah­men, Risi­ken (Update) — frü­her Auftragsdatenverarbeitung

Auf­trags­ver­ar­bei­tung, das Aus­la­gern von Daten­ver­ar­bei­tungs­pro­zes­sen durch den Auf­trag­ge­ber auf exter­ne Dienst­leis­ter, ist ein häu­fi­ges Mit­tel zur Kos­ten­sen­kung und der Nut­zung von exter­nem Know How — Stich­wort “Out­sour­cing”. Sind hier­von per­so­nen­be­zo­ge­ne Daten betrof­fen, fin­det Art. 28 DSGVO Auf­trags­ver­ar­bei­ter Anwendung.

Schnell kommt es bei der Ein­schät­zung, ob eine Auf­trags­ver­ar­bei­tung vor­liegt, zu Miß­ver­ständ­nis­sen und der Auf­trag­ge­ber läuft Gefahr, gemäß DSGVO mit Geld­bu­ßen durch die Daten­schutz­be­hör­den belegt zu wer­den. Von Image­schä­den in der Öffent­lich­keits­wahr­neh­mung nicht zu reden. Eine sorg­fäl­ti­ge Prü­fung durch einen Bera­ter für Daten­schutz oder einen Daten­schutz­be­auf­trag­ten hilft, die­se Risi­ken zu mini­mie­ren und die not­wen­di­gen Rege­lun­gen umzusetzen.

Fol­gen­de Kri­te­ri­en (Aus­wahl) unter­stüt­zen die Bewer­tung über das Vor­lie­gen einer Auftragsverarbeitung:

  • Dem Auf­trag­neh­mer fehlt die Ent­schei­dungs­be­fug­nis über die über­mit­tel­ten Daten.
  • Dem Auf­trag­neh­mer ist die Nut­zung der über­las­se­nen Daten über den eigent­li­chen Über­las­sungs­zweck hin­aus verboten.
  • Der Auf­trag­neh­mer nutzt nur die ihm über­las­se­nen Daten.
  • Die Daten­ver­ar­bei­tung wird nach außen durch den Auf­trag­ge­ber vertreten.
  • Der Auf­trag­neh­mer steht in kei­ner ver­trag­li­chen Bezie­hung zu den Betrof­fe­nen der per­so­nen­be­zo­ge­nen Daten.

Eini­ge prak­ti­sche Bei­spie­le von Auftragsverarbeitung:

  • Out­sour­cing des Rechen­zen­trums (ganz oder teilweise).
  • Soft­ware as a Ser­vice /​ Cloud-Ser­vices (nicht nur rei­ne Dateiablage).
  • Mar­ke­ting­ak­tio­nen, Kun­den­um­fra­gen, News­let­ter­ver­sand durch eine exter­ne Agentur.
  • Beauf­tra­gung eines Call­cen­ters für Kun­den­sup­port oder Kundengewinnung.
  • Papier- und Akten­ver­nich­tung sowie die Ver­nich­tung von Datenträgern.
  • Exter­ne Lohn- und Gehaltsabrechnung.
  • Exter­ne Rech­nungs­be­ar­bei­tung /​ Buch­hal­tung.
  • Zugriff auf per­so­nen­be­zo­ge­ne Daten vor Ort bei Auftraggeber

Aber auch wei­te­re Leis­tun­gen sind eben­falls von den Rege­lun­gen zu Art. 28 DSGVO betrof­fen (Bei­spie­le):

  • War­tung von Ser­vern und Com­pu­tern durch einen exter­nen Dienst­leis­ter (wich­tig: auch Fern­war­tung!)
  • Para­me­tri­sie­rung oder Pfle­ge von Soft­ware (Updates etc.), über die Zugriff auf per­so­nen­be­zo­ge­ne Daten mög­lich ist.
  • Sys­tem­mi­gra­tio­nen.

Was heisst das jetzt für Sie als Auftraggeber?

  • Liegt eine Auf­trags­ver­ar­bei­tung vor, muss die­se schrift­lich gere­gelt werden.
  • Sie als Auf­trag­ge­ber müs­sen die im Ver­trag fest­ge­schrie­be­nen Mass­nah­men zum Daten­schutz und zur Daten­si­cher­heit beim Auf­trag­ge­ber in geeig­ne­ter Form kon­trol­lie­ren — im Zwei­fel per­sön­lich vor Ort beim Auftragnehmer.
  • Für die Ein­hal­tung der gesetz­li­chen Daten­schutz­vor­schrif­ten sind Sie als Auf­trag­ge­ber ver­ant­wort­lich, nicht der Auf­trag­neh­mer (dies wird oft irr­tüm­lich falsch eingeschätzt).
  • Eine ein­fa­che Erklä­rung des Auf­trag­neh­mers über die Ein­hal­tung der Daten­schutz­vor­schrif­ten ist nicht ausreichend!

Was heisst das jetzt für Auftragnehmer?

  • Als Auf­trag­neh­mer haben Sie sich eben­falls den Rege­lun­gen des Art. 28 DSGVO zu unter­wer­fen und ste­hen in der Pflicht, Ihren Auf­trag­ge­ber bei der Umset­zung zu unterstützen.
  • Zukunfts­ori­en­tier­te Unter­neh­men haben ein stich­hal­ti­ges Daten­schutz­kon­zept samt einer vor­for­mu­lier­ten Ver­ein­ba­rung gem. Art. 28 DSGVO bereits in der Schub­la­de und gehen damit aktiv auf ihre Bestands­kun­den zu. Ein klei­nes, aber sehr wir­kungs­vol­les Detail, um sich posi­tiv vom Wett­be­werb abzu­he­ben und ihren Auf­trag­ge­ber  von ihrer Leis­tungs­fä­hig­keit zu überzeugen.
  • Wenig hilf­reich: den Auf­trag­ge­ber vor die Wahl stel­len — ent­we­der ohne die­se Ver­ein­ba­rung samt Kon­troll­rech­te zusam­men­zu­ar­bei­ten oder es eben sein zu las­sen. Außer Sie sind sich sicher, Ihrem Auf­trag­ge­ber ist Ihre Dienst­leis­tung oder Ihr Pro­dukt ohne Rege­lun­gen zur Auf­trags­ver­ar­bei­tung ein Buß­geld wert.

Mit Bedacht soll­ten Mus­ter­ver­trä­ge aus dem Inter­net ein­ge­setzt wer­den. Teil­wei­se ent­spre­chen die­se nicht den aktu­el­len Rege­lun­gen aus den letz­ten Novel­lie­run­gen des Daten­schutz­rechts. Die­se kön­nen zwar sinn­vol­le Ansatz­punk­te lie­fern, erset­zen jedoch weder die indi­vi­du­ell not­wen­di­ge Anpas­sung auf die vor­lie­gen­de Auf­trags­ver­ar­bei­tung noch die recht­lich siche­re Ein­schät­zung, wel­che Maß­nah­men hier­zu not­wen­dig sind.

Daher kann zur Ver­mei­dung von Buß­gel­dern und Image­schä­den nur jedem Unter­neh­men und Unter­neh­mer gera­ten wer­den, einen Bera­ter /​ Anwalt für Daten­schutz oder Daten­schutz­be­auf­trag­ten hin­zu­zu­zie­hen. Die­ser stellt die kor­rek­te Umset­zung sicher und haf­tet im Zwei­fel für mög­li­che Ver­säum­nis­se aus sei­ner Tätigkeit.

Hilf­rei­che Links und Tipps zur Auf­trags­ver­ar­bei­tung im Internet:

Daten­si­cher­heit in Unter­neh­men oft­mals noch ver­nach­läs­sig­tes Thema

Online-Umfra­ge von “Deutsch­land sicher im Netz e.V.” (DsiN) ent­hüllt Schwachstellen

600 klei­ne und mit­tel­stän­di­sche Unter­neh­men betei­lig­ten sich an der aktu­el­len anony­men Online-Umfra­ge von DsiN. Das Ergeb­nis ist wenig schmei­chel­haft für die Ver­ant­wort­li­chen in den Unter­neh­men: ledig­lich ein Drit­tel der Befrag­ten gibt an, über eine Com­pli­ance-Stra­te­gie zu ver­fü­gen. Vor dem Hin­ter­grund dro­hen­der Buß­gel­der bei Nicht­ein­hal­tung von Daten­schutz- und Daten­si­cher­heits­re­geln — gera­de im Umgang mit per­so­nen­be­zo­ge­nen Daten — schwer nachvollziehbar.

Erfreu­lich zumin­dest die Aus­sa­ge, daß fast 70% immer­hin mit der Umset­zung von Ein­zel­maß­nah­men außer­halb eines Stra­te­gie­kon­zepts begon­nen haben. Aller­dings sind ledig­lich in 26,7% aller befrag­ten Unter­neh­men die Mit­ar­bei­ter durch regel­mä­ßi­ge Schu­lun­gen zum The­ma Daten­schutz und Daten­si­cher­heit sensibilisiert.

Gefah­ren lau­ern im (Büro-) Alltag

Spre­che ich mit Ver­ant­wort­li­chen in Unter­neh­men, so höre ich beim The­ma Daten­si­cher­heit oft ein­an­der ähneln­de Aus­sa­gen wie “Wir haben alles tech­nisch mög­li­che gegen Hacker­an­grif­fe unter­nom­men”, “Unse­re Back­up- und Reco­very-Stra­te­gie wird immer wie­der geprüft” oder auch “Unse­re IT ist in ein Rechen­zen­trum out­ges­ourct und daher voll­kom­men sicher”. In der Sum­me sicher der rich­ti­ge Ansatz, als häu­fig iso­liert umge­setz­te Ein­zel­maß­nah­men im Sin­ne einer Com­pli­ance-Stra­te­gie unzureichend.

Dabei wird oft­mals über­se­hen, daß die Gefah­ren für die Daten im Unter­neh­men nicht unbe­dingt von außen dro­hen, son­dern im ganz nor­ma­len Büro-All­tag auftreten:

  • USB-Sticks /​ Mobi­le Spei­cher­me­di­en: hier lau­ert gleich dop­pel­te Gefahr. Einer­seits durch den Ver­lust die­ser oft­mals nur noch dau­men­na­gel­gro­ßen Gerä­te mit eige­nen sen­si­blen und /​ oder per­so­nen­be­zo­ge­nen Daten. Ande­rer­seits das Risi­ko, unbe­merkt und unbe­wußt Schad­rou­ti­nen durch das unge­schütz­te Ein­ste­cken oder Ein­le­gen in das inter­ne Fir­men­netz einzuschleusen.
  • Mobi­le Gerä­te /​ Lap­tops /​ Smart­phones: Pro­ble­me tre­ten hier bei Ver­lust schnell zuta­ge durch feh­len­de Ver­schlüs­se­lung, lokal gespei­cher­te Infor­ma­tio­nen oder unzu­rei­chend gesi­cher­te VPN-Zugän­ge, meist zuguns­ten eines höhe­ren Bedien­kom­forts (in einer Stu­die von 2008 steht Kom­fort für knapp ein Vier­tel der IT-Ver­ant­wort­li­chen vor Datensicherheit).
  • Mul­ti­funk­ti­ons­ge­rä­te (MFG) /​ Kopie­rer: in einer immer mehr ver­netz­ten Welt kom­mu­ni­zie­ren die­se Gerä­te mitt­ler­wei­le über das Inter­net und sind somit von außen angreif­bar. Inter­ne Zwi­schen­spei­cher kön­nen bei Repa­ra­tur oder Aus­tausch durch exter­ne Dienst­leis­ter eben­falls Internas nach außen tragen.
  • VoIP (Voice over IP): meist kom­for­ta­bler und preis­güns­ti­ger als Tele­fon­an­la­gen birgt die Tech­nik jedoch auch Gefah­ren. Wie jede IP-Tech­no­lo­gie ist sie von außen angreif­bar und im Zwei­fel auf­grund unzu­rei­chen­der Schutz­maß­neh­men abhörbar.
  • Cloud Com­pu­ting: der gro­ße Hype aus 2010 setzt sich in 2011 fort — alle wol­len “in die Cloud”. Kos­ten­druck und Über­all-Ver­füg­bar­keit hin oder her soll­ten nicht davon ablen­ken, daß hier Fir­men­in­ter­na und per­so­nen­be­zo­ge­ne Daten in “öffent­li­che” Berei­che außer­halb des Unter­neh­mens aus­ge­la­gert und in die Ver­ant­wor­tung exter­ner Anbie­ter über­ge­ben werden.
  • Mit­ar­bei­ter: man­geln­der Kennt­nis­stand und feh­len­de Sen­si­bi­li­sie­rung Ihrer Mit­ar­bei­ter stell­ten mit die größ­ten Bedro­hungs­po­ten­tia­le für Ihre Unter­neh­mens­da­ten dar. Gesel­len sich noch Frust oder Vor­satz hin­zu, dann ist Ihr Unter­neh­men fast chancenlos.

Wie begeg­nen Sie die­sen Gefahren?

Eine schlüs­si­ge Com­pli­ance-Stra­te­gie bewer­tet die­se bei­spiel­haft genann­ten Gefah­ren­punk­te ent­spre­chend und sieht dafür — neben IT-gestütz­ten Mecha­nis­men — bewähr­te Ver­fah­rens­wei­sen vor:

  • Erstel­len und Umset­zen geeig­ne­ter, unter­neh­mens­wei­ter Benut­zer­richt­li­ni­en für den Umgang mit Tech­no­lo­gien mit Gefährdungspotential
  • Regel­mä­ßi­ge Schu­lun­gen und Sen­si­bi­li­sie­run­gen der Mit­ar­bei­ter z.B. im Rah­men der obli­ga­to­ri­schen Ver­pflich­tung auf das Datengeheimnis
  • Fort­lau­fen­de Infor­ma­ti­on der Unter­neh­mens­füh­rung und Mit­ar­bei­ter über neue Bedro­hungs­sze­na­ri­en auf­grund tech­ni­scher Weiterentwicklungen

Ihr Daten­schutz­be­auf­trag­ter ist gefordert

Die­se fort­wäh­ren­de Tätig­keit in Abstim­mung mit Unter­neh­mens­füh­rung und IT-Lei­tung ist ein klas­si­sches Tätig­keits­feld für Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen Daten­schutz­be­auf­trag­ten? Dann spre­chen Sie mich an. Even­tu­ell sind Sie in Ihrem Unter­neh­men gesetz­lich zur Bestel­lung ver­pflich­tet. Ver­mei­den Sie unnö­ti­ge Bußgelder.

  • DsiN Sicher­heits­check online: Prü­fen Sie, wie fit Ihr Unter­neh­men in punk­to Daten­si­cher­heit ist

Deutsch­land ver­stößt gegen EG-Datenschutzrecht

Mit Urteil vom 09.03.2010 stellt der Euro­päi­sche Gerichts­hof klar: Deutsch­land ver­stößt mit sei­ner Orga­ni­sa­ti­on und Ein­bin­dung der Auf­sichts­be­hör­den für die Pri­vat­wirt­schaft gegen die EG-Daten­schutz­richt­li­nie. Hier­bei wird nicht nur die orga­ni­sa­to­ri­sche Ein­bin­dung die­ser Auf­sichts­be­hör­den in fast 50% aller Fäl­le in die jewei­li­gen Innen­mi­nis­te­ri­en der Län­der moniert, zusätz­lich erregt die Unter­stel­lung der Daten­schutz­be­hör­den für den nicht-öffent­li­chen Bereich zu den Lan­des­re­gie­run­gen das Miß­fal­len der Richter.

Die EG-Daten­schutz­richt­li­nie schreibt in§ 28 vor, daß die Daten­schutz­be­hör­den in “völ­li­ger Unhabhän­gig­keit” ihre Tätig­keit aus­üben kön­nen müs­sen. Die Trag­wei­te die­ser For­mu­lie­rung war bis zu die­sem Urteil umstrit­ten — nun ist sie klar: jedes Risi­ko einer Ein­fluß­nah­me auf die Tätig­kei­ten und Ent­schei­dun­gen der Daten­schutz­be­hör­den muss ver­mie­den werden.

Der Bun­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit, Peter Schaar begrüßt die­ses Urteil und sieht dar­in eine deut­li­che Stär­kung des Daten­schutz in Deutsch­land. Jetzt müs­sen die Ver­ant­wort­li­chen alles dar­an set­zen, die Umstän­de für die Richt­li­ni­en­ver­stö­ße zu beseitigen.

  • Pres­se­mel­dung des Bundesdatenschutzbeauftragten
  • Urteil des Euro­päi­schen Gerichtshofs
Die mobile Version verlassen