Zum Inhalt springen

DSB

Auf­trags­ver­ar­bei­tung — Defi­ni­ti­on, Bei­spie­le, Mass­nah­men, Risi­ken (Update) — frü­her Auftragsdatenverarbeitung

Auf­trags­ver­ar­bei­tung, das Aus­la­gern von Daten­ver­ar­bei­tungs­pro­zes­sen durch den Auf­trag­ge­ber auf exter­ne Dienst­leis­ter, ist ein häu­fi­ges Mit­tel zur Kos­ten­sen­kung und der Nut­zung von exter­nem Know How — Stich­wort “Out­sour­cing”. Sind hier­von per­so­nen­be­zo­ge­ne Daten betrof­fen, fin­det Art. 28 DSGVO Auf­trags­ver­ar­bei­ter Anwendung.

Schnell kommt es bei der Ein­schät­zung, ob eine Auf­trags­ver­ar­bei­tung vor­liegt, zu Miß­ver­ständ­nis­sen und der Auf­trag­ge­ber läuft Gefahr, gemäß DSGVO mit Geld­bu­ßen durch die Daten­schutz­be­hör­den belegt zu wer­den. Von Image­schä­den in der Öffent­lich­keits­wahr­neh­mung nicht zu reden. Eine sorg­fäl­ti­ge Prü­fung durch einen Bera­ter für Daten­schutz oder einen Daten­schutz­be­auf­trag­ten hilft, die­se Risi­ken zu mini­mie­ren und die not­wen­di­gen Rege­lun­gen umzusetzen.

Fol­gen­de Kri­te­ri­en (Aus­wahl) unter­stüt­zen die Bewer­tung über das Vor­lie­gen einer Auftragsverarbeitung:

  • Dem Auf­trag­neh­mer fehlt die Ent­schei­dungs­be­fug­nis über die über­mit­tel­ten Daten.
  • Dem Auf­trag­neh­mer ist die Nut­zung der über­las­se­nen Daten über den eigent­li­chen Über­las­sungs­zweck hin­aus verboten.
  • Der Auf­trag­neh­mer nutzt nur die ihm über­las­se­nen Daten.
  • Die Daten­ver­ar­bei­tung wird nach außen durch den Auf­trag­ge­ber vertreten.
  • Der Auf­trag­neh­mer steht in kei­ner ver­trag­li­chen Bezie­hung zu den Betrof­fe­nen der per­so­nen­be­zo­ge­nen Daten.

Eini­ge prak­ti­sche Bei­spie­le von Auftragsverarbeitung:

  • Out­sour­cing des Rechen­zen­trums (ganz oder teilweise).
  • Soft­ware as a Ser­vice /​ Cloud-Ser­vices (nicht nur rei­ne Dateiablage).
  • Mar­ke­ting­ak­tio­nen, Kun­den­um­fra­gen, News­let­ter­ver­sand durch eine exter­ne Agentur.
  • Beauf­tra­gung eines Call­cen­ters für Kun­den­sup­port oder Kundengewinnung.
  • Papier- und Akten­ver­nich­tung sowie die Ver­nich­tung von Datenträgern.
  • Exter­ne Lohn- und Gehaltsabrechnung.
  • Exter­ne Rech­nungs­be­ar­bei­tung /​ Buch­hal­tung.
  • Zugriff auf per­so­nen­be­zo­ge­ne Daten vor Ort bei Auftraggeber

Aber auch wei­te­re Leis­tun­gen sind eben­falls von den Rege­lun­gen zu Art. 28 DSGVO betrof­fen (Bei­spie­le):

  • War­tung von Ser­vern und Com­pu­tern durch einen exter­nen Dienst­leis­ter (wich­tig: auch Fern­war­tung!)
  • Para­me­tri­sie­rung oder Pfle­ge von Soft­ware (Updates etc.), über die Zugriff auf per­so­nen­be­zo­ge­ne Daten mög­lich ist.
  • Sys­tem­mi­gra­tio­nen.

Was heisst das jetzt für Sie als Auftraggeber?

  • Liegt eine Auf­trags­ver­ar­bei­tung vor, muss die­se schrift­lich gere­gelt werden.
  • Sie als Auf­trag­ge­ber müs­sen die im Ver­trag fest­ge­schrie­be­nen Mass­nah­men zum Daten­schutz und zur Daten­si­cher­heit beim Auf­trag­ge­ber in geeig­ne­ter Form kon­trol­lie­ren — im Zwei­fel per­sön­lich vor Ort beim Auftragnehmer.
  • Für die Ein­hal­tung der gesetz­li­chen Daten­schutz­vor­schrif­ten sind Sie als Auf­trag­ge­ber ver­ant­wort­lich, nicht der Auf­trag­neh­mer (dies wird oft irr­tüm­lich falsch eingeschätzt).
  • Eine ein­fa­che Erklä­rung des Auf­trag­neh­mers über die Ein­hal­tung der Daten­schutz­vor­schrif­ten ist nicht ausreichend!

Was heisst das jetzt für Auftragnehmer?

  • Als Auf­trag­neh­mer haben Sie sich eben­falls den Rege­lun­gen des Art. 28 DSGVO zu unter­wer­fen und ste­hen in der Pflicht, Ihren Auf­trag­ge­ber bei der Umset­zung zu unterstützen.
  • Zukunfts­ori­en­tier­te Unter­neh­men haben ein stich­hal­ti­ges Daten­schutz­kon­zept samt einer vor­for­mu­lier­ten Ver­ein­ba­rung gem. Art. 28 DSGVO bereits in der Schub­la­de und gehen damit aktiv auf ihre Bestands­kun­den zu. Ein klei­nes, aber sehr wir­kungs­vol­les Detail, um sich posi­tiv vom Wett­be­werb abzu­he­ben und ihren Auf­trag­ge­ber  von ihrer Leis­tungs­fä­hig­keit zu überzeugen.
  • Wenig hilf­reich: den Auf­trag­ge­ber vor die Wahl stel­len — ent­we­der ohne die­se Ver­ein­ba­rung samt Kon­troll­rech­te zusam­men­zu­ar­bei­ten oder es eben sein zu las­sen. Außer Sie sind sich sicher, Ihrem Auf­trag­ge­ber ist Ihre Dienst­leis­tung oder Ihr Pro­dukt ohne Rege­lun­gen zur Auf­trags­ver­ar­bei­tung ein Buß­geld wert.

Mit Bedacht soll­ten Mus­ter­ver­trä­ge aus dem Inter­net ein­ge­setzt wer­den. Teil­wei­se ent­spre­chen die­se nicht den aktu­el­len Rege­lun­gen aus den letz­ten Novel­lie­run­gen des Daten­schutz­rechts. Die­se kön­nen zwar sinn­vol­le Ansatz­punk­te lie­fern, erset­zen jedoch weder die indi­vi­du­ell not­wen­di­ge Anpas­sung auf die vor­lie­gen­de Auf­trags­ver­ar­bei­tung noch die recht­lich siche­re Ein­schät­zung, wel­che Maß­nah­men hier­zu not­wen­dig sind.

Daher kann zur Ver­mei­dung von Buß­gel­dern und Image­schä­den nur jedem Unter­neh­men und Unter­neh­mer gera­ten wer­den, einen Bera­ter /​ Anwalt für Daten­schutz oder Daten­schutz­be­auf­trag­ten hin­zu­zu­zie­hen. Die­ser stellt die kor­rek­te Umset­zung sicher und haf­tet im Zwei­fel für mög­li­che Ver­säum­nis­se aus sei­ner Tätigkeit.

Hilf­rei­che Links und Tipps zur Auf­trags­ver­ar­bei­tung im Internet:

Das Anhe­ben der Mit­ar­bei­ter­gren­ze für die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten senkt nicht die Bürokratie

Daten­schutz-Anpas­sungs­ge­setz 2019 und die Folgen

Die Uni­ons­par­tei­en las­sen sich fei­ern bzw. fei­ern sich selbst. Von einem Weg­fall der Büro­kra­tie im Daten­schutz für klei­ne Betrie­be und Ver­ei­ne ist die Rede. Das The­ma Daten­schutz sei jetzt viel ein­fa­cher und weni­ger auf­wän­dig für eine Viel­zahl von Betrie­ben und Ver­ei­nen. Anlass ist die Ver­ab­schie­dung eines Anpas­sungs­ge­set­zes mit not­wen­di­gen Kor­rek­tu­ren in 154 natio­na­len Geset­zen im Bun­des­tag am ver­gan­ge­nen Frei­tag, zu nächt­li­cher Unzeit. Und es stimmt, eine Anpas­sung zahl­rei­cher natio­na­ler Geset­ze und Rege­lun­gen war durch die DSGVO aus Mai 2018 not­wen­dig gewor­den. Doch was aktu­ell in ver­schie­de­nen Medi­en als Erfolg für den Abbau von Büro­kra­tie gefei­ert wird, allen vor­an bei Hand­werks­kam­mern und Ver­ei­nen, das ent­behrt einer Grund­la­ge. Noch dazu zeugt es davon, dass die Betei­lig­ten, das The­ma Daten­schutz und die recht­li­chen Anfor­de­run­gen nicht ganz umris­sen haben.

Hin­ter­grund ist die Anhe­bung der Mit­ar­bei­ter­gren­ze, ab der für Unter­neh­men und Ver­ei­ne die Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten vor­liegt. War hier bis­her die Gren­ze von min­des­tens 10 (mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten befass­ten) Mit­ar­bei­tern gezo­gen, soll zukünf­tig — die Zustim­mung im Bun­des­rat vor­aus­ge­setzt — erst ab 20 Mit­ar­bei­tern eine Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten vor­lie­gen. Die Ver­ant­wort­li­chen ver­spre­chen den betrof­fe­nen Unter­neh­men und Ver­ei­nen eine spür­ba­re büro­kra­ti­sche Ent­las­tung im Daten­schutz. Ist dem so?

Weg­fall des Daten­schutz­be­auf­trag­ten bedeu­tet weni­ger Datenschutz-Bürokratie?

Ein kla­res NEIN. Und das ist auch ganz ohne juris­ti­sche Kennt­nis­se ganz leicht zu beant­wor­ten. Die DSGVO schreibt (wie übri­gens auch das vor­he­ri­ge Daten­schutz­recht) die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten unter gewis­sen Vor­aus­set­zun­gen vor. Eben­so beinhal­tet das Bun­des­da­ten­schutz­ge­setz in neu­er Fas­sung 2018 die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten und kon­kre­ti­siert im Rah­men einer sog. Öff­nung­klau­sel wei­te­re Vor­aus­set­zun­gen. So heißt es im § 38 Abs. 1 BDSG n.F.

Ergän­zend zu Arti­kel 37 Absatz 1 Buch­sta­be b und c der Ver­ord­nung (EU) 2016/​679 benen­nen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter eine Daten­schutz­be­auf­trag­te oder einen Daten­schutz­be­auf­trag­ten, soweit sie in der Regel min­des­tens zehn Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäf­ti­gen. Neh­men der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter Ver­ar­bei­tun­gen vor, die einer Daten­schutz-Fol­gen­ab­schät­zung nach Arti­kel 35 der Ver­ord­nung (EU) 2016/​679 unter­lie­gen, oder ver­ar­bei­ten sie per­so­nen­be­zo­ge­ne Daten geschäfts­mä­ßig zum Zweck der Über­mitt­lung, der anony­mi­sier­ten Über­mitt­lung oder für Zwe­cke der Markt- oder Mei­nungs­for­schung, haben sie unab­hän­gig von der Anzahl der mit der Ver­ar­bei­tung beschäf­tig­ten Per­so­nen eine Daten­schutz­be­auf­trag­te oder einen Daten­schutz­be­auf­trag­ten zu benennen.

Die­se Gren­ze von min­des­tens 10 Per­so­nen für die Bestell­pflicht eines inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten soll nun mit den aktu­el­len Anpas­sun­gen, denen der Bun­des­rat noch zustim­men muss (was sehr wahr­schein­lich ist), auf 20 Per­so­nen ange­ho­ben wer­den. Weder in den bis­he­ri­gen Begrün­dun­gen und Erläu­te­run­gen zu die­sem Geset­zes­ent­wurf noch in den zahl­rei­chen Pres­se­ar­ti­keln der Uni­ons­par­tei­en, den Befür­wor­tern die­ser Ände­rung oder Wirt­schafts­ver­bän­den ist jedoch eine nach­voll­zieh­ba­re Erklä­rung vor­han­den, wie­so dies nun weni­ger Büro­kra­tie für die betrof­fe­nen Unter­neh­men und Ver­ei­ne bedeutet.

Es wird auch sehr schwer sein, eine sol­che Erklä­rung zu fin­den. Denn der Daten­schutz­be­auf­trag­te sorgt nicht für die Büro­kra­tie im Daten­schutz. Das über­neh­men die Geset­ze und teil­wei­se auch die nicht immer kla­ren bzw. gele­gent­lich pra­xis­fer­nen Aus­le­gun­gen der Landesdatenschutzbehörden.

“Ja, aber jetzt müs­sen klei­ne Unter­neh­men und Ver­ei­ne für den Daten­schutz nichts mehr tun!”

Auch hier wie­der eine kla­re Aus­sa­ge: DOCH! Ohne jetzt mal eine Unter­schei­dung zwi­schen Behör­den, Unter­neh­men oder Ver­ei­nen vor­zu­neh­men: Ein Para­graph von 85 ins­ge­samt im BDSG n.F. wur­de ange­passt, die sons­ti­gen Anfor­de­run­gen aus dem BDSG und der DSGVO (99 wei­te­re Arti­kel) blei­ben von der Gren­ze zur Bestell­pflicht eines Daten­schutz­be­auf­trag­ten unbe­rührt. Rech­nen wir doch ein­fach mal:

85 BDSG + 99 DSGVO = 184 DATENSCHUTZ
1 von 184 = 0,54% Änderung

Da kann schon mathe­ma­tisch kei­ne all­zu­gro­ße Ent­las­tung bei her­aus­kom­men. Denn um es mit aller Deut­lich­keit zu sagen, ALLE Anfor­de­run­gen, die von Unter­neh­men und Ver­ei­nen als büro­kra­ti­sche “Belas­tung” emp­fun­den wer­den, blei­ben wei­ter­hin bestehen und müs­sen ent­spre­chend erfüllt wer­den (eini­ge Beispiele):

  • Pflicht zum Erstel­len und Pfle­gen eines Ver­zeich­nis­ses von Ver­ar­bei­tungs­tä­tig­kei­ten nach Art. 30 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Iden­ti­fi­ka­ti­on, Bewer­tung und Mel­dung von Daten­pan­nen an Auf­sichts­be­hör­de und Betrof­fe­ne nach Art. 33, 34 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Prü­fen aus­rei­chen­der tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men von exter­nen Dienst­leis­tern und Ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung gemäß Art. 28, 32 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Bear­bei­ten und Sicher­stel­len von Betrof­fe­nen­rech­ten nach Art. 12–23 DSGVO inkl. Zusam­men­stel­len und Zur­ver­fü­gung­stel­len der Anga­ben zu den Infor­ma­ti­ons­pflich­ten? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Sicher­heit der eige­nen Ver­ar­bei­tung regel­mä­ßig prü­fen und not­wen­di­ge Anpas­sun­gen sicher­stel­len nach Art. 32 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Risi­ko­ab­schät­zung von Ver­ar­bei­tungs­tä­tig­kei­ten bis hin zur Daten­schutz-Fol­gen­ab­schät­zung nach Art. 32+35 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Regel­mä­ßi­ge Schu­lung und Sen­si­bi­li­sie­rung von Mit­ar­bei­tern, nicht nur am Tag der Ein­stel­lung, nach Art. 39 Abs. 1 lit b DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Und die­se Lis­te lie­ße sich noch um vie­le wei­te­re (durch­aus auch mal) “büro­kra­tie­be­haf­te­te” Tätig­kei­ten fort­füh­ren .… CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden

Die von der beschlos­se­nen Anpas­sung aus­ge­sen­de­te Bot­schaft ist durch­aus als toxisch zu bezeich­nen. Der Fehl­glau­be, mit Weg­fall der Bestell­pflicht ent­fie­len auch alle ande­ren daten­schutz­recht­li­chen Anfor­de­run­gen war auch im alten BDSG vor 2018 weit ver­brei­tet. Aus unse­rer Erfah­rung quä­len sich seit der DSGVO gera­de die Betrie­be und Ver­ei­ne mit dem Daten­schutz am meis­ten, wel­che es in den Jah­ren davor unter dem alten Daten­schutz­recht etwas läs­sig haben ange­hen las­sen. Für die­se Ver­säum­nis­se und auch die gene­rel­len recht­li­chen For­ma­li­tä­ten im Daten­schutz­recht kann der Daten­schutz­be­auf­trag­te jedoch nichts. Im Gegen­teil: Der Daten­schutz­be­auf­trag­te wäre der idea­le Ansprech­part­ner mit aus­rei­chend Wis­sen und Sach­ver­stand, um die­se büro­kra­ti­schen Anfor­de­run­gen pro­blem­los zu meis­tern und für eine Daten­schutz-Kul­tur in der Orga­ni­sa­ti­on zu sorgen.

Daten­schutz­ver­stö­ße und Buß­gel­der wer­den zunehmen

Man muss kein Wahr­sa­ger sein, dass sowohl die Zahl der Daten­schutz­ver­stö­ße und die der Buß­gel­der nun zuneh­men wird. Die Lan­des­da­ten­schutz­be­hör­den haben bereits in 2018, in der Pla­nungs­pha­se für die­ses Anpas­sungs­ge­setz signa­li­siert, mit der vor­han­de­nen Per­so­nal­aus­stat­tung kei­ne bera­ten­den, son­dern nur noch kon­trol­lie­ren­de Tätig­kei­ten aus­üben zu kön­nen. Eine Auf­sto­ckung ist nach unse­rem Kennt­nis­stand in kei­nem Bun­des­land geplant. Sorg­te bis­her der Daten­schutz­be­auf­trag­te für das not­wen­di­ge Wis­sen in klei­nen Unter­neh­men und Ver­ei­nen, so geht die­ses Wis­sen nun im Rah­men der ver­meint­li­chen “Ent­bü­ro­kra­ti­sie­rung” von Bord. Damit ste­hen übli­cher­wei­se Inha­ber, Geschäfts­füh­rer und Ver­eins­vor­stän­de in der Pflicht, für die kor­rek­te Umset­zung und den Betrieb des Daten­schut­zes Sor­ge zu tra­gen. Und da reden wir bis­her nur von den For­ma­li­tä­ten, sie­he Abschnitt zuvor. Ein akti­ver Daten­schutz­be­auf­trag­ter ist Bera­ter, Coach, Moti­va­tor und Kon­trol­leur zugleich. Ein akti­ver Daten­schutz­be­auf­trag­ter sorgt bei guter Auf­ga­ben­er­fül­lung für einen geleb­ten Daten­schutz in der Orga­ni­sa­ti­on. Auch die­se Auf­ga­be obliegt nun ande­ren Ver­ant­wort­li­chen. Woher kommt der not­wen­di­ge Zeit­an­teil dafür, wo doch alle Unter­neh­men per­so­nell auf spit­zer Kan­te fah­ren? Woher kommt das not­wen­di­ge Wis­sen für die kor­rek­te Umset­zung des Daten­schut­zes? Wird es jetzt 4‑stündige Crash-Kur­se der ein­schlä­gi­gen Anbie­ter geben “DSGVO ohne Büro­kra­tie und Auf­wand für Geschäfts­füh­rer und Ver­eins­vor­stän­de”, selbst­ver­ständ­lich mit bun­tem Zer­ti­fi­kat auf Hoch­glanz? Gute Kur­se zum Ein­stieg für einen DSB dau­ern 5 Tage. Und danach hat der DSB immer noch einen lan­gen Weg vor sich, bis er weiß, was und wie es kon­kret zu tun ist!

Und wenn etwas pas­siert oder im Fal­le einer Über­prü­fung als Man­gel fest­ge­stellt wird, die Haf­tung bleibt. Die bis­he­ri­ge Art von “Ver­si­che­rung” oder zumin­dest die Mög­lich­keit zur Ver­rin­ge­rung von Ein­tritts­wahr­schein­lich­kei­ten von Risi­ken und Män­geln, die wird jetzt per Gesetz von Bord geschickt, wenn der Bun­des­rat nicht noch zur Ver­nunft kommt.

Der Bun­des­da­ten­schutz­be­auf­trag­te Ulrich Kel­ber twit­ter­te nicht zu Unrecht:

Mit der Ver­wäs­se­rung der Anfor­de­rung zur Ernen­nung eines betrieb­li­chen Daten­schutz­be­auf­trag­ten wird den Unter­neh­men nur Ent­las­tung sug­ge­riert. Daten­schutz­pflich­ten blei­ben, Kom­pe­tenz fehlt ohne bDSB. Fol­ge wer­den mehr Daten­schutz­ver­stös­se und Buß­gel­der sein ☹️

Im Ergeb­nis haben klei­ne Unter­neh­men und Ver­ei­ne nur weni­ge Möglichkeiten:

  1. Igno­ranz des The­mas Daten­schutz: Sie­he Haf­tung und Bußgelder
  2. Eigen­re­gie und Prin­zip Hoff­nung: Inha­ber, Geschäfts­füh­rer oder Ver­eins­vor­stand eig­nen sich in ihrer eh schon knap­pen Zeit das not­wen­di­ge Know How an, hal­ten die­ses aktu­ell und küm­mern sich um die kor­rek­te Umset­zung in der eige­nen Orga­ni­sa­ti­on. Wie rea­lis­tisch wird das sein?
  3. Exter­nes Know How zukau­fen: Da das not­wen­di­ge Wis­sen und die Mög­lich­keit zur Wei­ter­bil­dung nicht gege­ben sind, wird das Know How extern zugekauft
  4. Inter­nen Mit­ar­bei­ter für das The­ma Daten­schutz aus­bil­den und Auf­ga­ben über­tra­gen: Kos­ten für die Aus- und Wei­ter­bil­dung, not­wen­di­ge Zeit­an­tei­le müs­sen ein­ge­plant werden

Übri­gens sind die Vari­an­ten 3 und 4 ganz nah am exter­nen und inter­nen Daten­schutz­be­auf­trag­ten. Und ob Vari­an­ten 1 und 2 so geschickt sind, die Erfah­rung muss jetzt jeder Ver­ant­wort­li­che für sich selbst machen. Sofern die­ser in Betracht zieht, die Auf­wei­chung zur Gren­ze der Bestell­pflicht nach oben für die eige­nen Orga­ni­sa­ti­on zu nutzen.

Was hät­te der Gesetz­ge­ber bes­ser machen können?

Die Sinn­haf­tig­keit der Anhe­bung der Gren­ze für die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten kann man durch­aus in Zwei­fel zie­hen. Dabei hät­te der Gesetz­ge­ber — zumin­dest in Tei­len — durch­aus die Mög­lich­keit gehabt, für Klar­heit zu sor­gen. Die­se wur­de jedoch ver­säumt. So hät­te der immer noch schwe­len­de Kon­flikt mit dem Recht auf freie Mei­nungs­äu­ße­rung und dem Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung auch oder gera­de im Rah­men jour­na­lis­ti­scher Tätig­kei­ten gelöst wer­den kön­nen. Ein paar klä­ren­de Para­gra­phen zu der noch immer herr­schen­den Unsi­cher­heit beim Anfer­ti­gen und Nut­zen von Foto­gra­fien im Kon­flikt mit dem KUG hät­ten durch­aus auch Charme gehabt. Ob es zweck­dien­lich für das The­ma Daten­schutz ist, das BSI von Tei­len der Betrof­fe­nen­rech­te zukünf­tig aus­zu­neh­men und die Rechen­schafts­pflicht hier ein­zu­schrän­ken, darf durch­aus auch in Zwei­fel gezo­gen wer­den. Man hät­te sich aber auch um den vom Bun­des­ver­fas­sungs­ge­richt vor kur­zem für ungül­tig erklär­ten § 4 Abs. 1 BDSG zur Video­über­wa­chung küm­mern kön­nen oder zumin­dest klar­stel­len kön­nen, dass euro­päi­sches Recht hier gilt. Da kann man es auch nur noch mit einem leich­ten Schmun­zeln zur Kennt­nis neh­men, dass jetzt auch der Digi­tal­funk der Poli­zei einer 75-tägi­gen Vor­rats­da­ten­spei­che­rung unter­wor­fen wer­den soll. Und das, wo die aktu­el­le Frist von 70 Tagen zur Zeit aus­ge­setzt ist und vor dem Bun­des­ver­fas­sungs­ge­richt geklärt wird.

Es gibt viel Ver­bes­se­rungs­po­ten­ti­al im Bereich Daten­schutz, gar kei­ne Fra­ge. Ein­heit­li­che und pra­xis­na­he Aus­le­gun­gen sei­tens der Lan­des­da­ten­schutz­be­hör­den hät­ten enor­mes Poten­ti­al, auch die Akzep­tanz des The­mas Daten­schutz gene­rell zu erhö­hen. Hier kann der Gesetz­ge­ber jedoch nicht regelnd ein­grei­fen, außer man wür­de die Lan­des­da­ten­schutz­be­hör­den auf­lö­sen und in einer zen­tra­len Orga­ni­sa­ti­on des Bun­des zusam­men­fas­sen. Statt­des­sen wird nun in klei­nen Schif­fen und Boo­ten der Lot­se von Bord geschickt. Die Zukunft wird zei­gen, ob die gewünsch­te Ent­bü­ro­kra­ti­sie­rung damit Ein­zug hält. Es steht nicht zu vermuten.

Übri­gens ein Schelm, wer Böses dabei denkt: Der Pas­sus zur Anhe­bung der Gren­ze von 10 auf 20 Mit­ar­bei­ter wur­de erst Mon­tag, den 24.06.2019 — also sehr kurz­fris­tig vor der Ver­ab­schie­dung am Frei­tag im Bun­des­tag — (wie­der) eingefügt.

Ihr Unter­neh­men benö­tigt einen exter­nen Datenschutzbeauftragten?

Kom­pe­ten­te Bera­tung, prag­ma­ti­sche Ein­füh­rung eines DSMS und anschlie­ßen­de Betreu­ung als exter­ner Daten­schutz­be­auf­trag­ter erhal­ten Sie selbst­ver­ständ­lich vom Team von a.s.k. Daten­schutz. For­dern Sie Ihr unver­bind­li­ches Ange­bot über unser For­mu­lar an. Wir mel­den uns bei Ihnen zeitnah.

Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten (VVT) sinn­voll und prak­tisch erstel­len und einsetzen

Das Ver­zeich­nis von Verarbeitungstätigkeiten

Wer sich mit dem The­ma Daten­schutz beschäf­tigt, stößt ziem­lich schnell auf Art. 30 DSGVO “Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten” (exter­ner Link). In Abs. 1 heißt es:

“Jeder Ver­ant­wort­li­che und gege­be­nen­falls sein Ver­tre­ter füh­ren ein Ver­zeich­nis aller Ver­ar­bei­tungs­tä­tig­kei­ten, die ihrer Zustän­dig­keit unterliegen.”

Die­se For­mu­lie­rung lässt wenig Spiel­raum dafür, ob die eige­ne Orga­ni­sa­ti­on von die­ser Ver­pflich­tung betrof­fen ist oder nicht. Ger­ne schielt der eine oder ande­re auf Art. 30 Abs. 5 DSGVO, steht doch da etwas von Aus­nah­men ab 250 Mit­ar­bei­tern. Doch mit der Freu­de ist’s schnell vor­bei. Denn sowohl § 70 BDSG (exter­ner Link) als auch die diver­sen Lan­des­ge­set­ze set­zen die­se Aus­nah­me umge­hend wie­der aus. Wobei schon die wei­te­re For­mu­lie­rung des Art. 30 Abs. 5 DSGVO schnell klar macht, das Schlupf­loch ist gar keins.

“Alles kein Pro­blem, das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten erstellt schließ­lich der Datenschutzbeauftragte”

Lei­der knapp dane­ben, denn genau das zählt NICHT zu den Auf­ga­ben des oder der Daten­schutz­be­auf­trag­ten. Die Auf­ga­ben sind in Art. 39 DSGVO (exter­ner Link) recht kon­kret beschrie­ben und das Füh­ren der Ver­zeich­nis­ses der Ver­ar­bei­tungs­tä­tig­kei­ten ist nicht ent­hal­ten. Durch­aus sinn­voll ist jedoch, die Pfle­ge des Ver­zeich­nis­ses der Ver­ar­bei­tungs­tä­tig­kei­ten dem Daten­schutz­be­auf­trag­ten zu über­tra­gen. Als zen­tra­ler Ansprech­part­ner und als Kon­troll­in­stanz benö­tigt er die­se Über­sicht für die täg­li­che Arbeit. Das setzt jedoch vor­aus, dass die Ver­ant­wort­li­chen in den Fach­be­rei­chen den Daten­schutz­be­auf­trag­ten früh­zei­tig in neue Ver­ar­bei­tungs­tä­tig­kei­ten ein­bin­den, über Ände­run­gen an bestehen­den Ver­ar­bei­tun­gen infor­mie­ren oder auch mal Signal geben, wenn eine Ver­ar­bei­tungs­tä­tig­keit ent­fällt. Damit sind wir schnell im Pro­zess- und Ände­rungs­ma­nage­ment für Ihre Orga­ni­sa­ti­on. Doch das ist eine ande­re Aufgabe.

Für was ist das Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten denn über­haupt gut?

Gute Fra­ge 🙂 Art. 30 DSGVO lässt sich dazu nicht wei­ter aus. Auch die natio­na­len Daten­schutz­ge­set­ze brin­gen kein Licht ins Dun­kel. In Art. 30 steht zumin­dest noch der Hin­weis, dass die­ses Ver­zeich­nis der jewei­li­gen Auf­sichts­be­hör­de (und auch nur der) auf Ver­lan­gen vor­zu­le­gen ist. Las­sen Sie sich nicht beir­ren, soll­te mal jemand ande­res das Ver­zeich­nis sehen wol­len (Auf­trag­ge­ber bei­spiels­wei­se). Für die­se ist die­ses Ver­zeich­nis nicht gedacht und dort auch nicht vor­zu­le­gen. Wirk­lich nicht. Für den Fall gibt es das sog. Ver­zeich­nis von Ver­ar­bei­tun­gen für Auf­trags­ver­ar­bei­ter. Weni­ger umfang­reich und ziem­lich easy in Erstel­lung und Pflege.

Erwä­gungs­grund 82 DSGVO (exter­ner Link) hat etwas mehr Input zum Zweck des Ver­zeich­nis­ses von Verarbeitungstätigkeiten:

Zum Nach­weis der Ein­hal­tung die­ser Ver­ord­nung soll­te der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter ein Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten, die sei­ner Zustän­dig­keit unter­lie­gen, führen.

Sei­en wir mal ehr­lich: Wir erstel­len also so ein Ver­zeich­nis und dann haben wir den Nach­weis, die DSGVO ein­zu­hal­ten? Nicht wirk­lich. “Doch”, mag der eine oder ande­re jetzt ein­wer­fen, der schon mal Kon­takt zu ver­schie­de­nen Daten­schutz­auf­sich­ten hat­te. Zumin­dest stellt sich das gele­gent­lich schon mal in Stel­lung­nah­men und Aus­sa­gen der Auf­sichts­be­hör­den so dar. Ohne die­ses Ver­zeich­nis gibt es kei­nen Daten­schutz in der Orga­ni­sa­ti­on 😉 Doch kann For­ma­lis­mus Daten­schutz, viel­leicht noch im wei­te­ren Sin­ne einer “Sicher­heits­kul­tur” erzeu­gen? Indi­rekt sicher­lich, als Mit­tel zum Zweck. Aber ein rei­nes Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten im Sin­ne des Art. 30 DSGVO ist kein Daten­schutz und erzeugt kei­nen Daten­schutz. Das wird auch schnell klar, wenn man sich die sei­tens des Gesetz­ge­bers gefor­der­ten Inhal­te anschaut.

Wel­che Anga­ben sind in einem Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten aufzuführen?

Art. 30 Abs. 1 DSGVO führt dazu wei­ter aus:

Die­ses Ver­zeich­nis ent­hält sämt­li­che fol­gen­den Anga­ben:
a) den Namen und die Kon­takt­da­ten des Ver­ant­wort­li­chen und gege­be­nen­falls des gemein­sam mit ihm Ver­ant­wort­li­chen, des Ver­tre­ters des Ver­ant­wort­li­chen sowie eines etwa­igen Daten­schutz­be­auf­trag­ten;
b) die Zwe­cke der Ver­ar­bei­tung;
c) eine Beschrei­bung der Kate­go­rien betrof­fe­ner Per­so­nen und der Kate­go­rien per­so­nen­be­zo­ge­ner Daten;
d) die Kate­go­rien von Emp­fän­gern, gegen­über denen die per­so­nen­be­zo­ge­nen Daten offen­ge­legt wor­den sind oder noch offen­ge­legt wer­den, ein­schließ­lich Emp­fän­ger in Dritt­län­dern oder inter­na­tio­na­len Orga­ni­sa­tio­nen;
e) gege­be­nen­falls Über­mitt­lun­gen von per­so­nen­be­zo­ge­nen Daten an ein Dritt­land oder an eine inter­na­tio­na­le Orga­ni­sa­ti­on, ein­schließ­lich der Anga­be des betref­fen­den Dritt­lands oder der betref­fen­den inter­na­tio­na­len Orga­ni­sa­ti­on, sowie bei den in Arti­kel 49 Absatz 1 Unter­ab­satz 2 genann­ten Daten­über­mitt­lun­gen die Doku­men­tie­rung geeig­ne­ter Garan­tien;
f) wenn mög­lich, die vor­ge­se­he­nen Fris­ten für die Löschung der ver­schie­de­nen Daten­ka­te­go­rien;
g) wenn mög­lich, eine all­ge­mei­ne Beschrei­bung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men gemäß Arti­kel 32 Absatz 1.

Viel Con­tent, jedoch kein geleb­ter Daten­schutz. Für einen ers­ten Über­blick, wo und wie wel­che per­so­nen­be­zo­ge­nen Daten in einer Orga­ni­sa­ti­on ver­ar­bei­tet wer­den, recht hilf­reich. Doch dann ist die Luft schnell raus. Das mer­ken auch die ver­ant­wort­li­chen Fach­be­reichs­lei­ter, wenn man die­se mit den Stan­dard­mus­tern aus dem Fun­dus der ver­schie­de­nen Auf­sichts­be­hör­den kon­fron­tiert. Die­se Mus­ter fra­gen näm­lich genau die­se Punk­te ab. Nur die­se Punk­te. Und jetzt? Für was?

Also wie kann man aus dem Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten einen prak­ti­schen Nut­zen ziehen?

Ein guter DSB oder auch Daten­schutz­be­ra­ter wird Sie auf die Zusam­men­hän­ge inner­halb der DSGVO hin­wei­sen. Und hier fin­den sich wei­ter vor­ne in der DSGVO zwei Arti­kel, die direkt mit dem Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten ver­zahnt wer­den kön­nen und die sich wun­der­bar ergän­zen. Die Rede ist von Art. 13, 14 DSGVO Infor­ma­ti­ons­pflich­ten (exter­ner Link). Dar­in sind Anga­ben benö­tigt, die dem Betrof­fe­nen gegen­über dar­ge­stellt wer­den müs­sen. So z.B. in Art. 13 Absatz 1 DSGVO

a) den Namen und die Kon­takt­da­ten des Ver­ant­wort­li­chen sowie gege­be­nen­falls sei­nes Ver­tre­ters;
b) gege­be­nen­falls die Kon­takt­da­ten des Daten­schutz­be­auf­trag­ten;
c) die Zwe­cke, für die die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den sol­len, sowie die Rechts­grund­la­ge für die Ver­ar­bei­tung;
d) wenn die Ver­ar­bei­tung auf Arti­kel 6 Absatz 1 Buch­sta­be f beruht, die berech­tig­ten Inter­es­sen, die von dem Ver­ant­wort­li­chen oder einem Drit­ten ver­folgt wer­den;
e) gege­be­nen­falls die Emp­fän­ger oder Kate­go­rien von Emp­fän­gern der per­so­nen­be­zo­ge­nen Daten und
f) gege­be­nen­falls die Absicht des Ver­ant­wort­li­chen, die per­so­nen­be­zo­ge­nen Daten an ein Dritt­land oder eine inter­na­tio­na­le Orga­ni­sa­ti­on zu über­mit­teln, sowie das Vor­han­den­sein oder das Feh­len eines Ange­mes­sen­heits­be­schlus­ses der Kom­mis­si­on oder im Fal­le von Über­mitt­lun­gen gemäß Arti­kel 46 oder Arti­kel 47 oder Arti­kel 49 Absatz 1 Unter­ab­satz 2 einen Ver­weis auf die geeig­ne­ten oder ange­mes­se­nen Garan­tien und die Mög­lich­keit, wie eine Kopie von ihnen zu erhal­ten ist, oder wo sie ver­füg­bar sind.

und ergän­zend in Art. 13 Abs. 2 DSGVO noch fol­gen­de Angaben:

a) die Dau­er, für die die per­so­nen­be­zo­ge­nen Daten gespei­chert wer­den oder, falls dies nicht mög­lich ist, die Kri­te­ri­en für die Fest­le­gung die­ser Dau­er;
b) das Bestehen eines Rechts auf Aus­kunft sei­tens des Ver­ant­wort­li­chen über die betref­fen­den per­so­nen­be­zo­ge­nen Daten sowie auf Berich­ti­gung oder Löschung oder auf Ein­schrän­kung der Ver­ar­bei­tung oder eines Wider­spruchs­rechts gegen die Ver­ar­bei­tung sowie des Rechts auf Daten­über­trag­bar­keit;
c) wenn die Ver­ar­bei­tung auf Arti­kel 6 Absatz 1 Buch­sta­be a oder Arti­kel 9 Absatz 2 Buch­sta­be a beruht, das Bestehen eines Rechts, die Ein­wil­li­gung jeder­zeit zu wider­ru­fen, ohne dass die Recht­mä­ßig­keit der auf­grund der Ein­wil­li­gung bis zum Wider­ruf erfolg­ten Ver­ar­bei­tung berührt wird;
d) das Bestehen eines Beschwer­de­rechts bei einer Auf­sichts­be­hör­de;
e) ob die Bereit­stel­lung der per­so­nen­be­zo­ge­nen Daten gesetz­lich oder ver­trag­lich vor­ge­schrie­ben oder für einen Ver­trags­ab­schluss erfor­der­lich ist, ob die betrof­fe­ne Per­son ver­pflich­tet ist, die per­so­nen­be­zo­ge­nen Daten bereit­zu­stel­len, und wel­che mög­li­che Fol­gen die Nicht­be­reit­stel­lung hät­te und
f) das Bestehen einer auto­ma­ti­sier­ten Ent­schei­dungs­fin­dung ein­schließ­lich Pro­fil­ing gemäß Arti­kel 22 Absät­ze 1 und 4 und – zumin­dest in die­sen Fäl­len – aus­sa­ge­kräf­ti­ge Infor­ma­tio­nen über die invol­vier­te Logik sowie die Trag­wei­te und die ange­streb­ten Aus­wir­kun­gen einer der­ar­ti­gen Ver­ar­bei­tung für die betrof­fe­ne Person.

Eini­ge wich­ti­ge Bestand­tei­le die­ser Anga­ben soll­ten sich im Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten fin­den las­sen. Doch was ist mit den ande­ren Anga­ben. Die­se jetzt sepa­rat bei den Fach­be­rei­chen — mög­li­cher­wei­se noch in einem zeit­lich ver­setz­ten Pro­jekt — anfor­dern? Na, die wer­den sich freuen 🙂

Sinn­vol­ler­wei­se soll­te man die Anga­ben für Art. 30 DSGVO sowie die Art. 13, 14 DSGVO in einem Rutsch bei den Fach­be­rei­chen erhe­ben und zusam­men­tra­gen. Dafür wäre eine Erwei­te­rung der aktu­el­len Mus­ter­vor­la­gen der Auf­sichts­be­hör­den not­wen­dig. Übri­gens dür­fen Sie an die­se ruhig Hand anle­gen (also an die Vor­la­gen, nicht an die Ver­tre­ter der Auf­sichts­be­hör­den 😉 ), denn was Sie dort als Vor­la­gen fin­den, sind Emp­feh­lun­gen und nicht in Stein gemeißelt.

Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten als Arbeits­do­ku­ment und nicht als rei­ne Daten­samm­lung verstehen

Noch wäre eine sol­che aus­ge­füll­te Vor­la­ge jedoch nicht mehr als eine erwei­ter­te Daten­samm­lung. Um sich einen Über­blick über die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu ver­schaf­fen, sicher­lich bes­ser geeig­net als die rei­ne Anfor­de­rung aus Art. 30 DSGVO. Doch da geht noch was, oder? Genau. Ergän­zen Sie doch die­se Über­sicht gleich um wei­te­re Anga­ben wie Rechts­grund­la­ge bzw. Erlaub­nis­tat­be­stand (Art. 6 DSGVO), invol­vier­te exter­ne Dienst­leis­ter (Art. 28 DSGVO Auf­trags­ver­ar­bei­tung), Anga­ben zur Durch­füh­rung und den Ergeb­nis­sen einer DSFA (Art. 35 DSGVO) sowie für die Audit- und Kon­troll­auf­ga­ben des DSB mit Über­prü­fun­gen z.B. der Berech­ti­gungs- bzw. Löschkonzepte.

War­um das Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten um die­se Punk­te ergänzen?

Sie erset­zen den rei­nen Über­sichts­cha­rak­ter (der ja allei­ne kei­nen Daten­schutz in Ihrer Orga­ni­sa­ti­on schafft) durch einen Arbeits­cha­rak­ter des Doku­ments. Oder salopp gesagt, das Ver­zeich­nis lebt und unter­stützt Ihre Orga­ni­sa­ti­on bei der Umset­zung des Daten­schut­zes in der Orga­ni­sa­ti­on aktiv. Wei­ter­hin haben Sie an zen­tra­ler Stel­le nun defi­ni­tiv einen Nach­weis, dass Ihre Orga­ni­sa­ti­on das The­ma Daten­schutz ernst nimmt und lebt. Gleich­zei­tig kön­nen Sie anhand eines so auf­ge­pp­ten Doku­ments nun auch Akti­vi­tä­ten und Wie­der­vor­la­gen sicherstellen.

Rechts­grund­la­ge: Stützt sich die Ver­ar­bei­tung auf die kor­rek­te Rechts­grund­la­ge? Besteht ein Ver­trags­ver­hält­nis, ist womög­lich die genutz­te Ein­ver­ständ­nis­er­klä­rung obso­let und könn­te ent­fal­len. Sind Rechts­vor­schrif­ten der Aus­lö­ser, erge­ben sich mög­li­cher­wei­se aus deren Kon­text auch gleich die Anga­ben zu Auf­be­wah­rungs- bzw. Löschfristen.

Exter­ne Dienst­leis­ter bzw. Auf­trags­ver­ar­bei­tung: Liegt die not­wen­di­ge Ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung vor? Sind die TOM des Dienst­leis­ters (inter­ner Link) geprüft? Wur­den die­se bei län­ge­rer Zusam­men­ar­beit schon mal auf Aktua­li­tät geprüft?

Daten­schutz­fol­gen­ab­schät­zung: Wur­de die DSFA durch­ge­führt? Wann und durch wen? Wie war das Ergeb­nis? Bei nega­ti­vem Ergeb­nis, wur­de die Ver­ar­bei­tung den­noch in Betrieb genom­men? Wer hat das ent­schie­den? Wur­de die DSFA regel­mä­ßig aktua­li­siert und nach­ge­prüft im Hin­blick auf Ver­än­de­run­gen bei Risi­ken und Schutzmaßnahmen?

Wel­che Kon­trol­len und Über­prü­fun­gen hat der DSB zu den ein­zel­nen Ver­ar­bei­tun­gen durch­ge­führt? Wann wäre wel­che Über­prü­fung als nächs­tes geplant?

Sie sehen, damit kann man jetzt arbei­ten und etwas sinn­vol­les anfan­gen, oder?

Wo bekom­me ich ein erwei­ter­tes Mus­ter für ein sol­ches Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten her?

Eine schon mal um eini­ge Punk­te ange­pass­te Vor­la­ge für ein “akti­ves” Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten kön­nen Sie am Ende des Bei­trags her­un­ter­la­den. Kon­struk­ti­ves Feed­back, Ideen und Anre­gun­gen  sowie Ergän­zun­gen ger­ne willkommen.

Ihr Unter­neh­men benö­tigt einen exter­nen Datenschutzbeauftragten?

Kom­pe­ten­te Bera­tung, prag­ma­ti­sche Ein­füh­rung eines DSMS und anschlie­ßen­de Betreu­ung als exter­ner Daten­schutz­be­auf­trag­ter erhal­ten Sie selbst­ver­ständ­lich vom Team von a.s.k. Daten­schutz. For­dern Sie Ihr unver­bind­li­ches Ange­bot über unser For­mu­lar an. Wir mel­den uns bei Ihnen zeitnah.

1057 Downloads

Inter­es­sens­kon­flik­te bei Daten­schutz­be­auf­trag­ten vermeiden

Rechts­la­ge: Ver­mei­dung von Inter­es­sens­kon­flik­ten bei einem Daten­schutz­be­auf­trag­ten vorgeschrieben

Bereits im Anwen­dungs­rah­men des alten BDSG (vor Mai 2018) galt es, Inter­es­sens­kon­flik­te eines Daten­schutz­be­auf­trag­ten bei der Aus­übung sei­ner Tätig­keit zu ver­mei­den. Art. 38 Abs. 6 DSGVO (exter­ner Link) regelt das seit Mai 2018 nicht anders:

“Der Daten­schutz­be­auf­trag­te kann ande­re Auf­ga­ben und Pflich­ten wahr­neh­men. Der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter stellt sicher, dass der­ar­ti­ge Auf­ga­ben und Pflich­ten nicht zu einem Inter­es­sen­kon­flikt führen.”

Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit von Baden-Würt­tem­berg, Dr. Ste­fan Brink hat dies in sei­nem 38. Tätig­keits­be­richt 2018 (exter­ner Link) aus­führ­li­cher beleuch­tet. “Der Ver­ant­wort­li­che bzw. Auf­trags­ver­ar­bei­ter hat aller­dings dafür Sor­ge zu tra­gen, dass […] kei­ne Unver­ein­bar­kei­ten bzw. Befan­gen­heit vorliegen.”

Wer darf bzw. darf die Funk­ti­on des Daten­schutz­be­auf­trag­ten in einem Unter­neh­men oder einer Behör­de ausüben?

In Anbe­tracht der wei­ten Prüf- und Kon­troll­pflich­ten eines Daten­schutz­be­auf­trag­ten, zieht Brink hier eine deut­li­che Grenze:

“Für eine kor­rek­te Erfül­lung der Auf­ga­ben des DSB ist viel­mehr eine wei­test­ge­hen­de Distanz gegen­über der zu kon­trol­lie­ren­den Stel­le uner­läss­lich, denn eine effek­ti­ve Kon­trol­le ist dann zu bezwei­feln, wenn der Kon­trol­leur sich selbst kon­trol­lie­ren muss.”

Das mit der zu kon­trol­lie­ren­den Stel­le die Orga­ni­sa­ti­on (Unter­neh­men, Behör­de, Ver­ein) gemeint ist, wel­che den Daten­schutz­be­auf­trag­ten zu bestel­len hat, liegt auf der Hand. Gene­rell soll der DSB kei­ne ande­re Funk­ti­on aus­üben, in der er oder sie über die Zwe­cke oder Mit­tel der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten selbst zu ent­schei­den hat. Doch was bedeu­tet das nun kon­kret (Sei­ten 28–30 des TB), wer schei­det für die Aus­übung des Daten­schutz­be­auf­trag­ten gene­rell aus:

  1. Leitungs‑, Chef- und Inha­ber­ebe­ne: Inha­ber, Lei­ter, Part­ner, Vor­stand, Geschäfts­füh­rer, Mit­glied der Geschäfts­lei­tung, Mana­ger, Bür­ger­meis­ter, Land­rat oder ander­wei­tig beru­fe­ne Lei­tung der Organisation
  2. Nach­ge­ord­ne­te Posi­tio­nen mit Füh­rungs­auf­ga­ben und Ent­schei­dungs­kom­pe­tenz über die Fest­le­gung von Zwe­cken und Mit­teln der Daten­ver­ar­bei­tung (IT): IT-Lei­ter, Lei­ter des ope­ra­ti­ven Geschäfts­be­reichs, Lei­ter Mar­ke­ting, Lei­ter Per­so­nal, Betriebs­lei­ter, Amts- bzw- Geschäfts­lei­ter, aber durch­aus auch nach­ge­la­ger­te Funk­tio­nen, wenn die­se ähn­li­che Inter­es­sens­kon­flik­te mit sich bringen
  3. Berei­che mit hohem Ver­ar­bei­tungs­um­fang: Mit­ar­bei­ter aus dem Personal‑, Ver­triebs- oder Marketingbereich
  4. Beauf­trag­te: Geheim­schutz­be­auf­trag­te, Geldwäschebeauftragte

Bei der Prü­fung auf mög­li­che Inter­es­sens­kon­flik­te sind auch fami­liä­re Ver­hält­nis­se zu berück­sich­ti­gen. So kann bei zu engen fami­liä­ren Bezie­hun­gen zwi­schen Orga­ni­sa­ti­ons­lei­tung bzw. Inha­ber und dem zu bestel­len­den Daten­schutz­be­auf­trag­ten die not­wen­di­ge Unab­hän­gig­keit nach Art. 38 Abs. 3 DSGVO nicht mehr gewähr­leis­tet sein. Das gilt übri­gens unab­hän­gig davon, ob der oder die Ver­wand­te bei der bestel­len­den Orga­ni­sa­ti­on beschäf­tigt ist oder nicht.

Dann bestel­len wir doch ein­fach einen exter­nen Daten­schutz­be­auf­trag­ten, der hat kei­ne Interessenskonflikte

Vom Ansatz her gut, aber auch hier gilt es, vor­han­de­ne Inter­es­sens­kon­flik­te zu ver­mei­den. So ist lt. Brink der genutz­te IT-Dienst­leis­ter eben­falls befan­gen und soll­te daher nicht als exter­ner Daten­schutz­be­auf­trag­ter bestellt wer­den. Das gilt auch für den Fall, dass der Dienst­leis­ter für die IT-Betreu­ung und den Daten­schutz zwei unter­schied­li­che Mit­ar­bei­ter ein­setzt. Soll­te der exter­ne Daten­schutz­be­auf­trag­te die Orga­ni­sa­ti­on in daten­schutz­recht­li­chen Sachen vor Gericht ver­tre­ten, ist eben­falls ein Inter­es­sens­kon­flikt anzunehmen.

Durch unse­re Fokus­sie­rung auf die bei­den The­men Daten­schutz und Infor­ma­ti­ons­si­cher­heit sind wir bei Aus­übung der Funk­ti­on des exter­nen Daten­schutz­be­auf­trag­ten frei von Inter­es­sens­kon­flik­ten. Wir sind in kei­nen ande­ren Berei­chen für Sie tätig und bestim­men wei­ter­hin nicht über Zweck und Mit­tel zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten in Ihrer Orga­ni­sa­ti­on. Spre­chen Sie uns an (inter­ner Link).

 

 

a.s.k. Daten­schutz und GKDS Mün­chen — Ihre star­ken kom­mu­na­len Part­ner für Daten­schutz und Informationssicherheit

Gera­de klei­ne­re Kom­mu­nen wün­schen ger­ne die The­men Infor­ma­ti­ons­si­cher­heit und Daten­schutz aus einer Hand. Dabei wird ger­ne über­se­hen, dass hier­bei ein klas­si­scher Inter­es­sens­kon­flikt ent­steht. Die­ser ist nicht nur auf­grund recht­li­cher Vor­schrif­ten zu vermeiden.

Durch unse­re Zusam­men­ar­beit mit der GKDS in Mün­chen haben wir für Kom­mu­nen die opti­ma­le Lösung im Angebot.

a.s.k. Daten­schutz und GKDS Mün­chen — Ihre star­ken kom­mu­na­len Part­ner für Daten­schutz und Informationssicherheit

  • Daten­schutz und Informations­sicherheit aus einer Hand
  • Qua­li­fi­zier­tes Per­so­nal mit jah­re­lan­ger Kommunalerfahrung
  • Zer­ti­fi­zier­te Kom­mu­ni­ka­ti­ons­- und Dokumentationsplattform
  • Struk­tu­rier­te Doku­men­ta­ti­on im vir­tu­el­len Aktenschrank
  • Fach­li­cher Informationsaustausch
  • Per­sön­li­che Ansprechpartner
  • Infor­ma­ti­ons­si­cher­heits­kon­zept Arbeits­hil­fe Inno­va­ti­ons­stif­tung Baye­ri­sche Kommune
  • ISMS ISIS12 mit Zertifizierung
  • BSI IT­-Grund­schutz 200x

Die GKDS unter­stützt Sie mit

  • Datenschutz­analyse
  • Umset­zung der DSGVO
  • Exter­ne Daten­ schutzbeauf­tragte
  • Datenschutz­beratung

a.s.k. Daten­schutz steht Ihnen zur Sei­te mit

  • Schwach­stellenanalyse Informationssicherheit
  • Informations­sicherheits­konzept
  • Kom­mu­na­le Informationssicherheitsbeauftragte

Und das alles auf einer Platt­form und mit direk­tem Aus­tausch der Betei­lig­ten unter­ein­an­der. Kei­ne Inter­es­sens­kon­flik­te, kei­ne lee­ren Ver­spre­chun­gen, son­dern genau die benö­tig­te Unter­stüt­zung im kom­mu­na­len Bereich — gera­de für klei­ne­re Kommunen.

Unser gemein­sa­mer Fly­er zum Download

[wpfi­le­ba­se tag=file path=‘flyer/1902ask-GKDS_Flyer_DIN-A4_DD.pdf’ tpl=simple /​]

Die DSGVO Schon­frist ist vor­bei — Auf­sichts­be­hör­den machen ernst

Seit Mai 2018 ist die EU Daten­schutz-Grund­ver­ord­nung (DSGVO) wirk­sam, nach­dem sie bereits Mai 2016 in Kraft getre­ten ist. Zeit bestand aus­rei­chend, sich auf die Neue­run­gen vor­zu­be­rei­ten. Die eine oder ande­re Orga­ni­sa­ti­on hat die Gele­gen­heit genutzt, bestehen­de Lücken in der eige­nen Daten­schutz-Orga­ni­sa­ti­on zu schlie­ßen. In den letz­ten Mona­ten haben wir öfter mal den Satz gehört „Woher soll ich wis­sen, was da im Daten­schutz zu tun ist?“. Hier gilt eine Hol­schuld durch die Orga­ni­sa­ti­ons­lei­tung getreu dem Mot­to „Unwis­sen­heit schützt vor Stra­fe nicht“. Für die Ein­hal­tung gesetz­li­cher Vor­schrif­ten ist die Lei­tung zustän­dig und ver­ant­wort­lich. Für Geschäfts­füh­rer gilt hier § 130 Gesetz über Ord­nungs­wid­rig­kei­ten (OWiG) mit der tref­fen­den Bezeich­nung “Ver­let­zung der Auf­sichts­pflicht in Betrie­ben und Unter­neh­men“. Ähn­li­che Ver­pflich­tun­gen für Behör­den trifft sogar unser Grundgesetz.

Die DSGVO-Schon­zeit ist vorbei

Die meis­ten Lan­des­da­ten­schutz­be­hör­den haben jedoch in den letz­ten Mona­ten ein Auge zuge­drückt und eine im Gesetz nicht vor­ge­se­he­ne frei­wil­li­ge Karenz­zeit ein­ge­scho­ben. In die­sem Zeit­raum soll­ten Orga­ni­sa­tio­nen die Gele­gen­heit letzt­ma­lig nut­zen, die recht­li­chen Ver­pflich­tun­gen aus der DSGVO in Ver­bin­dung mit dem neu­en Bun­des­da­ten­schutz­ge­setz (BDSG) für Unter­neh­men und den Lan­des­da­ten­schutz­ge­set­zen für Lan­des­be­hör­den und kom­mu­na­le Ein­rich­tun­gen umzu­set­zen. Die­se Schon­zeit ist nun vorbei!

Es wird ernst — aber Buß­gel­der sind nicht das eigent­li­che Problem

Ende Okto­ber wur­de ein ers­tes Buß­geld gegen ein por­tu­gie­si­sches Kran­ken­haus ver­hängt. 400.000 Euro für den laxen Umgang mit Pati­en­ten­da­ten. Das ist erst mal ein Bro­cken. Wei­te­re Buß­gel­der und ver­stärkt Sank­tio­nen in Form von Auf­la­gen haben jetzt auch die deut­schen Lan­des­da­ten­schutz­be­hör­den ange­kün­digt. In den nächs­ten Wochen wird in der Pres­se davon zu lesen und zu hören sein. Glück­li­cher­wei­se gilt es für die Auf­sichts­be­hör­den nach wie vor, bei der Bemes­sung von Buß­gel­dern Ange­mes­sen­heit und Ver­hält­nis­mä­ßig­keit zu wah­ren. Die in der Pres­se oder auch in Bera­tungs­an­ge­bo­ten ger­ne zitier­ten 10 bis 20 Mil­lio­nen Euro (bzw. 2–4% des welt­wei­te­ren Kon­zern­um­sat­zes im Vor­jahr) sind natür­lich im Gesetz so vor­ge­se­hen. In der unre­flek­tier­ten Kom­mu­ni­ka­ti­on sind die­se Zah­len jedoch rei­ne Panik­ma­che. Klei­ne und mit­tel­stän­di­sche Betrie­be wer­den sich mit sol­chen Sum­men sicher nicht kon­fron­tiert sehen. Das heißt aber nicht, sich wei­ter zurück­leh­nen und das The­ma aus­sit­zen zu können.

Denn abge­se­hen von Buß­gel­dern und Sank­tio­nen, geht schnell mit Daten­schutz­ver­stö­ßen auch ein Image­scha­den ein­her. Auch Scha­den­er­satz ist im Daten­schutz mög­lich. Grund genug, zumin­dest ein paar „Basics“ in der eige­nen Orga­ni­sa­ti­on umzusetzen.

Hier ein paar Tipps und Hin­wei­se zur Umset­zung der DSGVO Anforderungen:

1. Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten (VVT)

Ihre Orga­ni­sa­ti­on wird im Zwei­fel mit einer Viel­falt und Viel­zahl an per­so­nen­be­zo­ge­nen Daten von Mit­ar­bei­tern, Kun­den, Bür­gern, Inter­es­sen­ten, Geschäfts­part­nern etc. umge­hen. Aus die­sem Grund trifft eigent­lich (fast) jede Orga­ni­sa­ti­on die Pflicht, ein sog. Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten zu füh­ren. Dabei han­delt es sich um detail­lier­te Über­sich­ten, wo und wie und in wel­chen sog. „Ver­fah­ren“ (nicht immer iden­tisch mit Pro­gram­men) Ihre Orga­ni­sa­ti­on per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet. Das VVT ist Grund­la­ge für wei­te­re Daten­schutz-Tätig­kei­ten und ele­men­ta­rer Bestand­teil Ihrer Rechen­schafts­pflicht, die recht­li­chen Daten­schutz-Anfor­de­run­gen in Ihrer Orga­ni­sa­ti­on umge­setzt zu haben

2. Rech­te der Kund­schaft sicherstellen

Im Rah­men der DSGVO haben sich die Rech­te der sog. Betrof­fe­nen wei­ter ver­bes­sert. So kann jede Per­son von Unter­neh­men und Behör­den sehr umfäng­lich Aus­kunft über die gespei­cher­ten und ver­ar­bei­te­ten Daten ver­lan­gen. Neben der rei­nen Aus­kunft ist eine sog. „Daten­ko­pie“, sowohl von vor­han­de­nen ana­lo­gen als auch digi­ta­len Daten in geeig­ne­ter Form mit­zu­lie­fern. Wenn Sie kei­ne Über­sicht haben, wo und wie wel­che per­so­nen­be­zo­ge­nen Daten in Ihrer Orga­ni­sa­ti­on gespei­chert sind, wird es schwer­fal­len, die­sem aus­führ­li­chen Anspruch ohne Feh­ler und /​ oder Bean­stan­dung gerecht zu werden.
Wei­ter­hin sind per­so­nen­be­zo­ge­ne Daten nach Ablauf der gesetz­li­chen Auf­be­wah­rungs­frist umge­hend zu löschen. Pein­lich, wenn Sie im Rah­men der Aus­kunft Infor­ma­tio­nen her­aus­ge­ben, die schon längt hät­ten gelöscht sein müssen.

3. Infor­ma­ti­ons­pflich­ten

Jede Orga­ni­sa­ti­on muss Betrof­fe­ne bei direk­ter und indi­rek­ter Erhe­bung über die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten auf­klä­ren (Art. 13+14 DSGVO). Die­se Pflicht­an­ga­ben sind recht umfang­reich und müs­sen leicht zugäng­lich sein. Hier gilt es, die­se Pflicht­an­ga­ben für die Ver­ar­bei­tun­gen in der Orga­ni­sa­ti­on zusam­men­zu­stel­len und dann z.B. über Web­sei­te, Aus­hän­ge, Hin­wei­se auf die Anga­ben auf der Web­sei­te an die Betrof­fe­nen zu kom­mu­ni­zie­ren. Bit­te ver­wech­seln Sie das nicht mit der Daten­schutz­er­klä­rung auf Ihrer Web­sei­te. Das ist ein ganz ande­res Thema.
Da das Vor­han­den­sein und Durch­füh­ren der Infor­ma­ti­ons­pflich­ten mit einem Blick auf die Web­sei­te oder einem ein­fa­chen Anruf bei Ihnen sofort fest­ge­stellt wer­den kann, sind feh­len­de Umset­zun­gen schnell festzustellen.

4. Ein­wil­li­gun­gen

Wenn Sie per­so­nen­be­zo­ge­ne Daten zur Durch­füh­rung eines Ver­tra­ges oder auf­grund einer Rechts­vor­schrift erhe­ben, benö­ti­gen Sie kei­ne Ein­wil­li­gung (das wird auch nicht wah­rer, wenn vie­le Medi­en das Gegen­teil behaup­ten). In vie­len ande­ren Fäl­len (Email-Wer­bung, Tele­fon-Wer­bung etc.) ist eine Ein­wil­li­gung uner­läß­lich. Ein­wil­li­gun­gen müs­sen aktiv, frei­wil­lig, trans­pa­rent und aus­führ­lich sowie mit Hin­weis auf die Wider­rufs­mög­lich­keit erteilt wer­den. Prü­fen Sie Ihre Ein­wil­li­gun­gen, ob die­se den Anfor­de­run­gen entsprechen.

5. Wer­bung

Brief­wer­bung (also wirk­lich klas­si­sche Post) ist nach der DSGVO im Ein­klang mit dem UWG (Gesetz gegen den unlau­te­ren Wett­be­werb) ohne Ein­wil­li­gung mög­lich. Für Email-Wer­bung gilt dies nur für Bestands­kun­den. Dabei darf aber der vor­ge­schrie­be­ne Hin­weis auf die jeder­zei­ti­ge Wider­rufs­mög­lich­keit nicht ver­ges­sen wer­den. Alle ande­ren Daten dür­fen nur mit gül­ti­ger Ein­wil­li­gung (sie­he 4) für Wer­be­zwe­cke genutzt werden.

6. Sicher­heit der Datenverarbeitung

Unge­schütz­te Daten­spei­che­rung, unver­schlüs­sel­te Daten­über­tra­gung, End­ge­rä­te (PC, Lap­tops, Tablet und Smart­phone) ohne Pass­wort­schutz, unzu­rei­chen­de oder nicht dem Stand der Tech­nik ent­spre­chen­de Daten­si­che­run­gen sind Geschich­te. Die DSGVO schiebt dem laxen Umgang mit der IT-Sicher­heit einen hef­ti­gen Rie­gel vor. Zukünf­tig muss nicht der Betrof­fe­ne im Scha­den­fall nach­wei­sen, dass Ihre Orga­ni­sa­ti­on kei­ne aus­rei­chen­den Schutz­maß­nah­men für des­sen per­so­nen­be­zo­ge­ne Daten ergrif­fen hat. Statt­des­sen ist Ihre Orga­ni­sa­ti­on beweis­pflich­tig, das alles Mach- und Zumut­ba­re an Sicher­heits­maß­nah­men ein­ge­führt und regel­mä­ßig auf Funk­ti­ons­fä­hig­keit geprüft wurde.

7. Mel­de­pflicht von Datenpannen

Ver­bum­mel­te Papier­un­ter­la­gen, ver­lo­re­ne tech­ni­schen Gerä­te, feh­ler­haf­ter Ver­sand (Post /​ Email), mit Schad­code befal­le­ne IT-Sys­te­me und vie­le Anläs­se mehr füh­ren schnell zu einer mel­de­pflich­ti­gen Daten­pan­ne, wenn per­so­nen­be­zo­ge­ne Daten im Spiel sind. Die­se Daten­pan­nen sind alle­samt intern zu doku­men­tie­ren und auf Risi­ko für den Betrof­fe­nen zu bewer­ten. Liegt ein Risi­ko für Betrof­fe­ne vor, gilt es die Daten­pan­ne inner­halb von 72h an die zustän­di­ge Auf­sichts­be­hör­de online zu mel­den. Bei beson­ders hohem Risi­ko müs­sen zusätz­lich die Betrof­fe­nen durch Sie infor­miert wer­den. Schau­en Sie auf die Web­sei­te Ihrer Lan­des­da­ten­schutz­be­hör­de mit dem dazu­ge­hö­ri­gen Mel­de­for­mu­lar. Sie wer­den stau­nen, wie schnell und umfang­reich eine sol­che Mel­dung getä­tigt wer­den muss. Ohne inter­ne Pro­zes­se zur Erken­nung, Bewer­tung und Mel­dung sind die Anfor­de­run­gen nicht zu erfül­len. Damit ist nicht zu spa­ßen. Und nach der Daten­pan­ne nicht die Nach­be­ar­bei­tung ver­ges­sen: Was ist zu tun, damit sich die­se Art der Daten­pan­ne mög­lichst nicht wiederholt.

8. Daten­schutz­be­auf­trag­ter /​ DSB

Sobald mehr als 9 Mit­ar­bei­ter regel­mä­ßig per­so­nen­be­zo­ge­ne Daten von Kun­den und /​ oder Mit­ar­bei­tern ver­ar­bei­ten, muss Ihre Orga­ni­sa­ti­on einen Daten­schutz­be­auf­trag­ten bestel­len. Öffent­li­che Stel­len unter­lie­gen einer gene­rel­len Bestell­pflicht, ganz unab­hän­gig von der Mit­ar­bei­ter­an­zahl. Die Aus­füh­rung die­ser Bestell­pflicht kann die Auf­sichts­be­hör­de seit Mai 2018 ganz ein­fach über­prü­fen. Denn Ihre Orga­ni­sa­ti­on muss den Daten­schutz­be­auf­trag­ten offi­zi­ell bei der Auf­sichts­be­hör­de mit Name und Kon­takt­da­ten mel­den. Ein Abgleich bringt schnell zuta­ge, wel­che Ein­rich­tung wohl der Bestell­pflicht unter­liegt, aber kei­ne Mel­dung vor­ge­nom­men hat. Zusätz­lich müs­sen Sie Ihren Daten­schutz­be­auf­trag­ten offi­zi­ell im Rah­men der Daten­schutz­er­klä­rung auf Ihrer Web­sei­te mit Kon­takt­da­ten benen­nen. Sie haben noch kei­nen Daten­schutz­be­auf­trag­ten? Dann wird es Zeit. Die­ser hilft Ihnen übri­gens auch sofort bei der Umset­zung der 7 ande­ren Punk­te aus die­ser Lis­te — und bei vie­len wei­te­ren Daten­schutz-The­men, die Ihre Orga­ni­sa­ti­on umge­setzt haben muss.

Viel Erfolg!

PS: Die Punk­te 1–8 sind einer Infor­ma­ti­ons­bro­schü­re des Baye­ri­schen Lan­des­amts für Daten­schutz­auf­sicht ent­nom­men. Unser Arti­kel stellt kei­ne Rechts­be­ra­tung dar.

Die Auf­trags­ver­ar­bei­tung — Beson­der­hei­ten des Daten­schutz­rechts beim Outsourcing

Um was geht es bei Auf­trags­ver­ar­bei­tung (frü­her Auftragsdatenverarbeitung)?

Ein sper­ri­ger Begriff für einen ein­fa­chen Sach­ver­halt. Auf­trags­ver­ar­bei­tung meint das klas­si­sche Out­sour­cing an einen exter­nen Dienst­leis­ter. Nur sind in die­sem spe­zi­el­len Fall per­so­nen­be­zo­ge­ne Daten betrof­fen. Für die­sen Fall hat die DSGVO den Arti­kel 28 BDSG “Auf­trags­ver­ar­bei­ter” vorgesehen.

Um ein mög­lichst hohes Schutz­ni­veau zu gewähr­leis­ten und das Risi­ko von Daten­pan­nen bei der Aus­la­ge­rung auf Sub­un­ter­neh­mer zu mini­mie­ren, sieht Arti­kel 28 DSGVO eini­ge Auf­la­gen vor. Um die Bedeu­tung und Ernst­haf­tig­keit des The­mas zu unter­strei­chen, ste­hen auf eine feh­len­de oder feh­ler­haf­te Umset­zung emp­find­li­che Bußgelder.

Was fällt alles unter den Begriff Auftragsverarbeitung?

Am ein­fachs­ten läßt sich das an kon­kre­ten Bei­spie­len erklä­ren. Von einer Auf­trags­ver­ar­bei­tung spricht man im Falle

  • der Nut­zung einer Mai­ling­agen­tur oder eines Let­ter­shops zum Erstel­len und Ver­sand von Anschrei­ben, die an natür­li­che Per­so­nen gerich­tet sind oder
  • der Durch­füh­rung der monat­li­chen Gehalts­ab­rech­nung durch eine exter­ne Lohn- und Gehalts­ab­rech­nung­s­tel­le (nicht Steu­er­be­ra­ter) oder
  • des Ein­sat­zes einer extern gehos­te­ten Soft­ware zur Ver­wal­tung und zum Ver­sand von News­let­tern oder
  • der Beauf­tra­gung eines exter­nen Call­cen­ter oder Office-Ser­vices oder
  • dem teil­wei­sen oder voll­stän­di­gen Aus­la­gern des Rechen­zen­trums oder
  • Soft­ware as a Ser­vice /​ Cloud-Lösun­gen oder
  • in vie­len ähn­li­chen ver­gleich­ba­ren Fäl­len — fra­gen Sie Ihren Daten­schutz­be­auf­trag­ten oder gleich uns.

Dar­un­ter fal­len aber auch Leis­tun­gen wie War­tung /​ Kon­fi­gu­ra­ti­on /​ Instal­la­ti­on von Hard- und Soft­ware eben­falls unter die Anwen­dung von Art. 28 DSGVO und sind ent­spre­chend zu regeln. Dabei ist es uner­heb­lich, ob Ihr Dienst­leis­ter das auch so sieht. Sie als Auf­trag­ge­ber sind ver­ant­wort­lich und zah­len am Ende auch das Bußgeld.

Was ist bei einer Auf­trags­ver­ar­bei­tung zu tun?

Schritt 1: Identifizieren

Bereits vor Beginn der Zusam­men­ar­beit muss ein Dienst­leis­ter auf sein Schutz­ni­veau hin geprüft und mit der pas­sen­den Ver­ein­ba­rung zur Auf­trags­da­ten­ver­ar­bei­tung schrift­lich ver­ein­bart sein. Soll­ten Sie mit dem Dienst­leis­ter bereits zusam­men­ar­bei­ten, dann ist schnel­les Han­deln angebracht.

Schritt 2: Prüfen

Sind alle exter­nen Dienst­leis­ter, die unter Art. 28 DGSVO fal­len, iden­ti­fi­ziert oder bereits bekannt, kommt Schritt 2. Es gilt nun das vor­han­de­ne Schutz­ni­veau des Dienst­leis­ters zu prü­fen. Die soge­nann­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men müs­sen aktu­ell und dem not­wen­di­gen Schutz­be­darf für die betrof­fe­nen Daten ent­spre­chen. Bei Lücken sind die­se durch den Dienst­leis­ter zu schlie­ßen oder bei Bedarf ein alter­na­ti­ver Dienst­leis­ter aus­zu­wäh­len. Die Prü­fung sowie des­sen Ergeb­nis sind zu doku­men­tie­ren, damit die­se spä­ter belegt wer­den können.

Schritt 3: Vereinbaren

Alle von Art. 28 DSGVO betrof­fe­nen Dienst­leis­ter soll­ten nun bekannt sein. Das Schutz­ni­veau ist geprüft und aus­rei­chend vor­han­den. Nun kommt Schritt 3 der Auf­trags­ver­ar­bei­tung: die schrift­li­che Vereinbarung.Hier kann viel falsch gemacht wer­den. Über­se­hen Sie einen Rege­lungs­punkt, den die DSGVO vor­sieht, spricht man von einer feh­ler­haf­ten Auf­trags­ver­ar­bei­tung. Die­se ist mit einem Buß­geld risi­ko­be­haf­tet. Auch die Nut­zung der zahl­rei­chen im Inter­net auf­find­ba­ren Vor­la­gen zur Auf­trags­ver­ar­bei­tung kön­nen davor nicht bewah­ren. Vie­le die­ser Vor­la­gen sind lei­der immer noch ver­al­tet, unvoll­stän­dig oder mit Vor­schrif­ten ver­se­hen, die gegen ande­re Rech­te /​ Geset­ze verstoßen.

Schritt 4: Nachprüfen

Iden­ti­fi­ka­ti­on der Dienst­leis­ter voll­stän­dig. Prü­fen des Schutz­ni­veaus erfolgt und doku­men­tiert. Not­wen­di­ge Ver­ein­ba­rung schrift­lich mit dem Dienst­leis­ter geschlossen.

Falsch liegt, wer meint, der Vor­gang sei nun abge­schlos­sen. In regel­mä­ßi­gen Abstän­den müs­sen Sie sich jetzt von dem Erhalt oder der Ver­bes­se­rung des Schutz­ni­veaus Ihres Dienst­leis­ters über­zeu­gen. Die Prü­fung muss eben­falls wie­der nach­voll­zieh­bar und beleg­bar doku­men­tiert werden.

Schritt 5: Über­le­gen, ob Sie sich das wirk­lich alles selbst antun wollen

Wenn Sie sich weder mit den Risi­ken noch dem Zeit­auf­wand für das The­ma Auf­trags­ver­ar­bei­tung aus­ein­an­der­set­zen wol­len, dann las­sen Sie uns das über­neh­men. Wie das geht? Ganz ein­fach — spre­chen Sie uns an und wir infor­mie­ren Sie unver­bind­lich über unse­re Dienst­leis­tun­gen rund um die Auftragsverarbeitung.

War­um ist Daten­schutz für Unter­neh­men und Behör­den wichtig?

Haben Sie sich auch schon die­se Fra­ge gestellt? Sascha Kuhr­au, Inha­ber des bun­des­weit täti­gen Bera­tungs­un­ter­neh­mens a.s.k. Daten­schutz gibt Antworten.

Herr Kuhr­au, ist Daten­schutz ein Modethema?

Mit­nich­ten! Schau­en Sie ein­fach auf die His­to­rie des Daten­schutz­rechts in Deutsch­land und der EU. 1977 hat­ten wir das ers­te Bun­des­da­ten­schutz­ge­setz (BDSG) in Deutsch­land, seit 1995 gibt es auf EU Ebe­ne ver­bind­li­che Regeln für alle Mitgliedsstaaten.

Wen betrifft die­ses Bundesdatenschutzgesetz?

Das ist ganz ein­fach. Jedes Unter­neh­men, jeden Gewer­be­trei­ben­den, jeden Frei­be­ruf­ler, jede Behör­de und auch jeden Ver­ein, sofern dort per­so­nen­be­zo­ge­ne Daten vor­lie­gen und ver­ar­bei­tet werden.

Man soll­te auch nicht dem Irr­tum unter­lie­gen, ein eige­nes Stan­des­recht wür­de das Daten­schutz­ge­setz erset­zen. Obwohl die Aus­sa­ge der Geset­ze hier klar ist, muss­ten mitt­ler­wei­le Gerich­te bestä­ti­gen, dass sol­ches Recht nicht pau­schal erset­zend wirkt. Die­se Fehl­ein­schät­zung kann gera­de bei Ärz­ten, Steu­er­be­ra­tern oder auch Anwäl­ten schnell zu Kon­flik­ten führen.

Wirk­lich jeden? Es gibt doch bestimmt Ausnahmen?

Da muss ich Sie ent­täu­schen. § 1 BDSG ist hier ein­deu­tig. Es wer­den kei­ne Unter­schie­de nach Bran­che, Mit­ar­bei­ter­zahl oder Umsatz gemacht. Die­sen Irr­glau­ben trifft man öfter in Gesprä­chen mit Geschäfts­füh­rern, Inha­bern oder auch Behördenleitern.

Eine Aus­nah­me gibt es jedoch bei der Bestell­pflicht des soge­nann­ten Daten­schutz­be­auf­trag­ten.

Wel­che Auf­ga­ben hat ein sol­cher Datenschutzbeauftragter?

Salopp gesagt, küm­mert sich die­ser um die rechts­kon­for­me Umset­zung des Daten­schutz­rechts in der Orga­ni­sa­ti­on vor Ort. Er ist Bera­ter , Tipp­ge­ber und Ansprech­part­ner für Lei­tung und Mitarbeiter.

Und wann muss ein sol­cher Daten­schutz­be­auf­trag­ter bestellt werden?

Die­se Vor­schrift fin­det sich in § 4f BDSG und ist bis auf ganz weni­ge Aus­nah­men eben­falls ein­deu­tig. Sobald mehr als 9 Mit­ar­bei­ter mit per­so­nen­be­zo­ge­nen Daten mit­tels IT arbei­ten, muss ein Daten­schutz­be­auf­trag­ter intern oder extern bestellt wer­den. Und bei der Zahl der Mit­ar­bei­ter ist es uner­heb­lich, ob Voll­zeit, Teil­zeit, Aus­hil­fe oder Geschäfts­füh­rung selbst.

Dann liegt die­se Bestell­pflicht recht schnell vor, ohne dass die Ver­ant­wort­li­chen dies viel­leicht wissen?

Das ist in der Pra­xis häu­fig der Fall. Wir bera­ten hier­zu jedoch kos­ten­los und unver­bind­lich, ob eine Bestell­pflicht vorliegt.

Wer küm­mert sich um das The­ma Daten­schutz, wenn kein Daten­schutz­be­auf­trag­ter vor­han­den ist?

Dann liegt die Umset­zung aller Rechts­vor­schrif­ten bei der Geschäfts­füh­rung oder Behör­den­lei­tung. Die­se haf­tet im Zwei­fel dann auch bei Nicht­er­fül­lung oder ein­tre­ten­den Daten­pan­nen. Das BDSG hat hier einen mitt­ler­wei­le sehr emp­find­li­chen Buß­geld­ka­ta­log.

Also soll­te man schon zur Ver­mei­dung von Buß­gel­dern das The­ma Daten­schutz ernst nehmen?

Das ist nach mei­ner Erfah­rung der fal­sche Ansatz. Wenn sich des The­mas nur ange­nom­men wird, weil Ängs­te vor recht­li­chen Risi­ken und Buß­gel­dern bestehen, dann wur­den die Chan­cen eines bewusst geleb­ten Daten­schut­zes nicht erkannt.

Daten­schutz ist mehr als eine Rechtsvorschrift?

Ja! Kun­den und Bür­ger wer­den immer sen­si­bler. Neh­men Sie nur die aktu­el­le Pres­se. Nicht erst seit der NSA Affä­re, aus­ge­löst durch Herrn Snow­den, stei­gen das Bewusst­sein und auch der Anspruch der soge­nann­ten “Betrof­fe­nen” (im Sin­ne des BDSG) rund um das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung.

Kom­me ich die­sem Anspruch als Orga­ni­sa­ti­on nach, dann ist geleb­ter Daten­schutz ein Ele­ment der Kun­den­ak­qui­se, aber auch der Kundenbindung.

Und da Daten­schutz auch sehr weit in Berei­che wie der IT-Sicher­heit ein­greift, kom­men Fak­to­ren wie Sen­kung des Aus­fall­ri­si­kos oder Ver­kür­zung von Wie­der­an­lauf­zei­ten von EDV-Sys­te­men ergän­zend hin­zu. Es geht hier um die Kern­zie­le: Schutz vor Zer­stö­rung, Ver­lust und Miss­brauch von per­so­nen­be­zo­ge­nen Daten. Am Ende spart die Orga­ni­sa­ti­on Zeit und Geld, wenn es zum Stör­fall kommt..

Wie unter­stützt a.s.k. Daten­schutz hierbei?

Wir prü­fen das vor­han­de­ne Daten­schutz– und Daten­si­cher­heits­ni­veau, iden­ti­fi­zie­ren Schwach­stel­len, behe­ben die­se gemein­sam mit unse­ren Auf­trag­ge­bern, betreu­en Einzelprojekte—z.B. die Ein­füh­rung einer geplan­ten Videoüberwachung—oder ste­hen als per­ma­nen­ter Ansprech­part­ner für Fra­gen zu die­sen The­men zur Verfügung.

Selbst­ver­ständ­lich über­neh­men wir auch die Auf­ga­ben des (exter­nen) Daten­schutz­be­auf­trag­ten oder unter­stüt­zen einen inter­nen Daten­schutz­be­auf­trag­ten, wenn die­ser aus Zeit­grün­den Sup­port benö­tigt. Letz­te­res kommt in der Pra­xis recht häu­fig vor. Seit eini­ger Zeit haben wir für baye­ri­sche Kom­mu­nen auch zwei Vari­an­ten des AKDB Sicher­heits­checks im Angebot.

Was steht dabei für Sie im Vordergrund?

Wich­tig sind uns der abso­lu­te Pra­xis­be­zug und die Sicher­stel­lung der recht­li­chen Anfor­de­run­gen. Daten­schutz darf kein Selbst­zweck sein oder sich zu wich­tig neh­men. Nicht umsonst lau­tet unser Mot­to „Aus der Pra­xis für die Praxis“.

Ist Daten­schutz teuer?

Ja, wenn Sie sich nicht dar­um kümmern 🙂

Nein, im Ernst. Wir arbei­ten bei lang­fris­ti­gen Betreu­un­gen und Pro­jek­ten mit Pau­scha­len, damit unser Kun­de stets weiß, mit wel­chen Kos­ten er zu rech­nen hat und vor unlieb­sa­men Über­ra­schun­gen sicher ist.

Und da unse­re Leis­tun­gen modu­lar buch­bar sind, kann der Kun­de selbst ent­schei­den, wel­chen Anteil an Zeit er selbst ein­brin­gen will und kann, und wel­chen er an uns auslagert.

Wenn jemand noch Fra­gen zum The­ma hat?

Ein­fach anru­fen oder eine kur­ze Email schreiben.

Wozu Big Brot­her Con­tai­ner? Wasch­an­la­ge reicht!

Per­so­nal, aber auch Kun­den stan­den im Fokus einer aus­ge­dehn­ten Video­übewa­chung der Esse­ner Auto­wasch­ket­te Mr. Wash. In 8 von 33 Filia­len wur­den 60 Kame­ras nicht rechts­kon­form betrie­ben. Das war dem NRW-Lan­des­be­auf­trag­ten für Daten­schutz ein Buß­geld in Höhe von 64.000 Euro wert, mel­det WAZ. Dabei kam der Ket­te zu Gute, sich bei den Ermitt­lun­gen im Ver­fah­ren “koope­ra­tiv” ver­hal­ten zu haben.

Inter­es­sant ist die Auf­tei­lung des Buß­gel­des. 54.000 Euro wur­den wegen des schwe­ren Ver­sto­ßes gegen das Bun­des­da­ten­schutz­ge­setz durch die Video­über­wa­chung ver­hängt. Die rest­li­chen 10.000 Euro wur­den dafür fäl­lig, bis­her kei­nen Daten­schutz­be­auf­trag­ten bestellt zu haben, obwohl die gesetz­li­che Bestell­pflicht vor­lag.

In unse­rem Daten­schutz Blog fin­den Sie einen Bei­trag zur umsich­ti­gen und rechts­kon­for­men Umset­zung einer Video­über­wa­chung.

Pla­nen Sie die Instal­la­ti­on einer Video­über­wa­chungs­an­la­ge? Haben Sie bereits eine sol­che Lösung im Ein­satz und sind sich über die Rechts­kon­for­mi­tät im Unkla­ren? Dann fra­gen Sie doch Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen? Spre­chen Sie uns an.

Unter­stüt­zung Ihres inter­nen Datenschutzbeauftragten

Selbst wenn Sie einen inter­nen betrieb­li­chen Daten­schutz­be­auf­trag­ten bestel­len, pro­fi­tie­ren Sie von unse­ren Leis­tun­gen. Frisch zurück aus dem Daten­schutz-Grund­se­mi­nar wird sich Ihr Mit­ar­bei­ter mög­li­cher­wei­se schwer tun, zwi­schen den umfäng­li­chen Auf­ga­ben und Anfor­de­run­gen an einen Daten­schutz­be­auf­trag­ten einen sinn­vol­len und effi­zi­en­ten Weg zu fin­den. Gleich­zei­tig soll er oder sie sich noch um die eigent­li­chen Auf­ga­ben am Arbeits­platz küm­mern, sofern Sie kei­nen Voll­zeit-Daten­schutz­be­auf­trag­ten bestellt haben. Hier set­zen wir mit den a.s.k. Unter­stüt­zungs­dienst­leis­tun­gen für inter­ne Daten­schutz­be­auf­trag­te an. Nach Wunsch hel­fen wir einen oder meh­re­re Tage in der Ein­stiegs­pha­se Ihres Daten­schutz­be­auf­trag­ten mit Rat und Tat:

[check­list]

  • Iden­ti­fi­ka­ti­on der rele­van­ten Arbeits­schrit­te für die ers­ten 12 Monate
  • Fest­le­gen einer opti­mier­ten Rei­hen­fol­ge und Vorgehensweise
  • Aus­wahl geeig­ne­ter Softwarelösungen
  • Kon­zep­ti­on not­wen­di­ger Doku­men­ta­tio­nen und Richtlinien
  • Auf Wunsch: Über­nah­me der Dokumentation
  • Ent­wick­lung  von Trai­nings­ein­hei­ten zur Mit­ar­bei­ter­sen­si­bi­li­sie­rung und Schulung
  • Auf Wunsch: Über­nah­me der Mitarbeiterschulungen
  • Coach und Spar­ring-Part­ner für Fra­gen und Problemstellungen
Doch selbst wenn Ihr inter­ner Daten­schutz­be­auf­trag­ter bereits seit län­ge­rem aktiv ist, kann eine exter­ne Unter­stüt­zung sinn­voll sein z.B. wenn die­ser auf­grund sai­so­na­ler Auf­ga­ben sei­ne Res­sour­cen ander­wei­tig ein­set­zen muss:
  • Über­nah­me von Schulungsmaßnahmen
  • Ein­füh­ren von Datenschutz-Softwarelösungen
  • Aus­la­gern der Dokumentationstätigkeiten
  • Prü­fung exter­ner Dienst­leis­ter und deren Ver­ein­ba­rung nach § 11 BDSG Auftragsdatenverarbeitung
  • Unter­stüt­zung bei der daten­schutz­recht­li­chen Bewer­tung und Ein­füh­rung kom­ple­xer Soft­ware­lö­sun­gen wie CRM, SAP, Lohn & Gehalt etc.
[/​checklist]
Sie buchen unse­re Unter­stüt­zungs­leis­tun­gen ganz bequem nach Auf­wand. Bei län­ger­fris­ti­ger Zusam­men­ar­beit sind selbst­ver­ständ­lich attrak­ti­ve Pau­scha­len /​ Tari­fe möglich.
Neu­gie­rig? Dann nut­zen Sie doch gleich unser Anfra­ge-For­mu­lar.
Die mobile Version verlassen