Archive for Mai 2018

Auftragsverarbeitung und technische Wartungen – Abgrenzungshilfen

Freitag, 18. Mai 2018

Einleitung

Dienstleistern, die Gerätewartungen vornehmen, stellt sich, ausgelöst durch die DS-GVO häufig die Frage: Ist die Wartung von Geräten Auftragsverarbeitung nach Artikel 28 DS-GVO und muss ein entsprechender Vertrag zur Auftragsverarbeitung geschlossen werden – oder reicht der „normale“ Wartungsvertrag aus.

Mögliche Konstellationen in der Wartungspraxis

Zur Beurteilung muss man sich die konkrete Dienstleistung ansehen. Einige Beispiele:

  1. Besteht bei der seitens des Auftraggebers die Absicht, dass der Auftragnehmer personenbezogene Daten des Auftraggebers zur Kenntnis nimmt? Beispielsweise, weil ein konkrete Problem nur so demonstriert werden kann? Oder weil die Arbeit mit den Daten inhaltlich Teil des Auftrages ist? In diesem Fall liegt sicherlich eine Auftragsverarbeitung vor und ein entsprechender Vertrag ist zu schließen.

  2. Findet die rein technische Wartung und Prüfung an einem System mit personenbezogenen Daten statt, aber es ist, durch den Auftraggeber, durch technische und organisatorische Maßnahmen ausgeschlossen, dass der Auftragnehmer Kenntnis von personenbezogenen Daten erhält? In diesem Fall liegt keine Auftragsverarbeitung von Daten vor. Aber der Auftraggeber muss sicherstellen, dass der Auftragnehmer keinen Zugriff auf personenbezogene Daten erhält.

  3. Doch zwischen diesen beiden Extremen liegt häufig die Realität: Vielfach ist für die Wartung oder Prüfung eines Systems der Zugriff auf die realen personenbezogenen Daten nicht vom Auftragnehmer beabsichtigt, aber sie kann durch einen unglücklichen Zufall passieren.

  4. Oder es sind sogar Schutzmaßnahmen durch den Auftraggeber ergriffen worden – aber der Auftragnehmer als technischer Experte für das Gerät kann diese Schutzmaßnahmen einfach umgehen.

  5. Und dann gibt es noch den Fall, dass die Wartung nicht die eigentlichen Systeme betrifft, die personenbezogene Daten halten, sondern „Hilfssysteme“ wie Klimatisierung, Stromversorgung etc. – aber durch das Arbeitsumfeld ist nicht 100%ig auszuschließen, dass der Techniker personenbezogene Daten zur Kenntnis nehmen kann.

Die Beispiele zu Ende gedacht

Um diese Fälle näher zu beleuchten, muss man sich Situationen – etwas extrem dargestellt – einmal vor Augen führen.

Das erste und das zweite Beispiel sind eindeutig. Doch wie sieht es im dritten Beispiel aus: Der Mitarbeiter des Dienstleisters, also der Auftragnehmer, sei in unserem Beispiel fachlich hochkompetent, von Datenschutz habe er jedoch keine Ahnung. Er sieht durch Zufall im Rahmen seiner Arbeit brisante Daten und berichtet davon beim Stammtisch … sicherlich nicht vom Auftraggeber gewollt.

Der Mitarbeiter hat zwar fraglos dumm gehandelt, er hat vielleicht eine vertragliche Nebenpflicht seines Arbeitsvertrages verletzt. Aber im Arbeitsvertrag war er in unserem konkreten Fall nicht zur Verschwiegenheit oder Vertraulichkeit verpflichtet worden. Warum auch, schließlich hatte der Auftraggeber ja sicherzustellen, dass der Dienstleister keine personenbezogenen Daten sehen kann.

Aus dem gleichen Grunde kann man dem Auftragnehmer vielleicht vorwerfen, dass es zum guten Ton gehört, die Mitarbeiter aufzuklären und auf den Datenschutz zu verpflichten etc., aber warum: Eigentlich hätte sein Mitarbeiter ja gar keine personenbezogenen Daten des Auftraggebers zu sehen bekommen dürfen.

Der „schwarze Peter“ liegt primär beim Auftraggeber

Damit liegt der „schwarze Peter“ in diesem Fall beim Auftraggeber: Er hat sich falsch verhalten, er hätte vielleicht dem Mitarbeiter des Dienstleisters die ganze Zeit über auf die Finger schauen müssen und dann verhindern können, dass personenbezogenen Daten offenbart werden.

Gleiches gilt für das vierte Beispiel: Hier agiert der Mitarbeiter, der sich Zugriff verschafft, evtl. schon kriminell. Aber auch hier liegt der „schwarze Peter“ wieder beim Auftraggeber: Seine Schutzmaßnahmen waren nicht genügend, dass ein Wartungstechniker besondere Möglichkeiten mit dem betreffenden System hat, hätte der Auftraggeber wissen müssen.

Echte Auftragsverarbeitung hätte den Auftraggeber geschützt: Der Dienstleister wäre verpflichtet gewesen, seinen Mitarbeiter auch zum Thema Datenschutz zu schulen und entsprechenden sensibilisierte Mitarbeiter einzusetzen.

Auch der Auftragnehmer hat einen „schwarzen Peter“

Doch auch für den Dienstleister, den Auftragnehmer, hätte ein Vertrag zur Auftragsverarbeitung Vorteile: Die Aufgaben und Pflichten zum Datenschutz sind klar definiert, es gibt weniger Grauzonen.

Wieder ein Beispiel: Ein IT-System wird an den Dienstleister zur Reparatur übergeben, die Festplatte scheint defekt. Der Dienstleiter tauscht die Festplatte aus und vernichtet die alte Festplatte. Ohne Zweifel hat der Auftraggeber die Daten an den Dienstleister gegeben. Der Dienstleister sollte das System – technisch – reparieren. Faktisch wurde dem Dienstleister überlassen, zu entscheiden, wie repariert wird, wir die alte Platte vernichtet wird. Und Artikel 28 (10) DS-GVO schreibt:

„.. gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.“

Der Auftragnehmer wurde also zum Verantwortlichen, der Daten ohne Rechtsgrundlage und damit widerrechtlich verarbeitete hat. Keine Rolle, in die sich der Dienstleister finden möchte, denn die Auswirkungen sind immens: Information an den Betroffenen (Artikel 15 EU-DS-GVO), wg. der rechtsgrundlosen Verarbeitung eine Meldung an die Aufsichtsbehörde (Artikel 33 (1) DS-GVO) etc. In unserem Fall hätten wir also einen Auftraggeber und einen Auftragnehmer, die beide gegen den Datenschutz verstoßen haben.

Ob die beiden Beteiligten faktisch die Aufgabe unter sich aufgeteilt haben, evtl. gemeinsam Verantwortliche nach Artikel 26 DSGVO geworden sind, möchte ich hier nicht erörtern.

Das sagen die Aufsichtsbehörden

Im Jahr 2016 äußerte sich das Bayerische Landsamt für Datenschutzaufsicht ein einem Papier1 „Dies könnte bei bestimmten Tätigkeiten, wie bei einer rein technischen Wartung, unter Umständen nicht zu einer Qualifikation als Auftragsverarbeiter und zu einer Anwendung von Ar. 28 DS-GVO führen.“ Offen bleibt hier, was unter einer „rein technischen Wartung“ zu verstehen ist. Die Datenschutzkonferenz (DSK) wird in Ihrem „Kurzpapier Nr. 13 – Auftragsverarbeitung, Art. 28 DS-GVO“ vom 16.01.2018 dann exemplarischer:

„besteht in diesem Rahmen [IT-Wartung oder Fernwartung (z. B. Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers)] für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich im Hinblick auf die weite Definition einer Verarbeitung in Art. 4 Nr. 2 DS-GVO (z. B. Auslesen, Abfragen, Verwenden) ebenfalls um eine Form oder Teiltätigkeit einer Auftragsverarbeitung und die Anforderungen des Art. 28 DS-GVO – wie etwa der Abschluss eines Vertrages zur Auftragsverarbeitung – sind umzusetzen. Anders ist dies bei einer rein technischen Wartung der Infrastruktur einer IT durch Dienstleister (z. B. Arbeiten an Stromzufuhr, Kühlung, Heizung).

Zum einen geht es nicht nur um Notwendigkeit, es reicht die reine Möglichkeit des Zugriffs auf personenbezogene Daten aus. Außerdem sind konkrete Beispiele aufgeführt. Und betrachten wir Arbeiten an Stromzufuhr, Kühlung, Heizung, so ist offensichtlich: Mit Kundendaten kommt der Heizungsmonteur evtl. durch einen zufälligen Blick auf einen Bildschirm beim Entlüften der Heizung in Kontakt. Sicherlich ein anderer Fall, als wenn direkt am datenhaltenden System gearbeitet wird.

Und damit wird auch das fünfte Beispiel von oben beantwortet: Hier liegt keine Auftragsverarbeitung vor. In diesem Fall kam es zu einem Datenverstoß beim Auftraggeber, er hätte bessere Maßnahmen zum Datenschutz umsetzen müssen.

Fazit

Auftraggeber und Auftragnehmer haben beide ein großes Interesse an der Klarheit der Auftragsverarbeitung.

Faktisch lässt sich in einem Bereich die Entscheidung für oder wider Auftragsverarbeitung durch technische und organisatorische Maßnahmen gestalten: Kann und wird die Möglichkeit des Zugriffs auf personenbezogene Daten durch den Auftragnehmer ausgeschlossen, so entfällt ein Vertrag zur Auftragsverarbeitung. Besteht jedoch dies Möglichkeit, so liegt Auftragsverarbeitung vor.

Natürlich haben beide Parteien durch einen Vertrag zur Auftragsverarbeitung mehr Aufwand: Sowohl für den Vertragsschluss als auch in der Durchführung. Insbesondere der Auftragsverarbeiter bekommt klar definierte Pflichten auferlegt. Die größere Sicherheit in der Verarbeitung der Daten wiegt diesen Mehraufwand jedoch auf.

Es ist daher sehr zu empfehlen, lieber einen Vertrag zur Auftragsverarbeitung zu viel als einen Vertrag zu wenig zu schließen.

1(EU-Datenschutz-Grundverordnung (DS-GVO) – Das BayLDA auf dem Weg zur Umsetzung der Verordnung

Leitfaden Verarbeitungstätigkeiten aktualisiert

Freitag, 11. Mai 2018

Eine wichtige Frage bei der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten nach Artikel 30 der EU-DSGVO ist die Frage der „Kleinteiligkeit“:

Was ist eine einzelne Verarbeitungstätigkeit? Wie kleinteilig sind die Prozesse zu zergliedern? Welche Einzelverarbeitungen können beziehungsweise sollen zu einer Verarbeitungstätigkeit zusammengefasst werden?

Antworten hierauf gibt meine Handreichung „Leitfaden Verarbeitungstätigkeiten“, die ich heute in der Version 1.1 veröffentlicht habe. Beschrieben werden die Kriterien, nach denen Sie als Verantwortlicher bei der Erstellung des Verfahrensverzeichnisses vorgehen sollten. Und natürlich finden Sie Beispiele aus der Praxis, die die theoretischen Überlegungen „greifbar machen“.

Wo finden Sie den Leitfaden Verarbeitungstätigkeiten:

Als Kunde finden Sie diese Handreichung in Ihrem Cloud-Bereich. (Noch)-Nicht-Kunden sprechen mich gerne an.

Lange nichts gelesen: Über neue Datenschutzberater und die Goldgräberstimmung in der Branche.

Sonntag, 6. Mai 2018

Zwei Jahre lange wurde dieser Blog von mir ziemlich stiefmütterlich behandelt. Kurz zusammengefasst: zu viel zu tun. In den letzten zwei Jahren hat sich viel zum Thema Datenschutz getan: Ich schreibe hier nur „EU-Datenschutzgrundverordnung“. Und obwohl die Arbeitsmenge aktuell – viele Organisationen wachen erst jetzt, zum Zeitpunkt des Ablaufes der zweijährigen Übergangszeit auf – nachwievor zu und nicht abnimmt, so ist es doch Zeit, dringend wieder etwas zu schreiben.

Anlass ist die offensichtliche Goldgräberstimmung bei durchaus zweifelhaften Datenschutzberatern und Datenschutzbeauftragten.

Viele Kollegen – natürlich sind auch die Kolleginnen gemeint – sind seit vielen Jahren tätig, haben die Entstehung der DSGVO begleitet, ihre Stärken und Schwächen analysiert, teilen die Meinung, dass der Grundsatz der DSGVO gut ist und sehen aber auch die Schwierigkeiten in der Umsetzung, gerade für kleinere und mittelständische Organisationen. Sie erarbeiten Wege, ihre Kunden Grundverordnungskonform aufzustellen. Viele ächzen unter der Mehrbelastung und der Problematik, die Rollenverschiebung in der Tätigkeit des betrieblichen Datenschutzbeauftragten zu vermitteln.

Datenschutz ist noch anspruchsvoller geworden, als es als in den letzten Jahren schon war. Die Dokumentationspflichten, sowohl für die verantwortlichen Stellen als auch für die betrieblichen Datenschutzbeauftragten, werden durch die DSGVO erheblich umfangreicher. Zusätzlich wächst das Haftungsrisko für beide massiv. Und nur sorgfältige und sehr gut dokumentierte Arbeit kann diese Haftungsrisiken verbinden.

Gehen Sie, wenn Sie Mitarbeiter beschäftigen, in sich: Kennen Sie z. B. die genauen Rechtsgrundlagen der Datenübermittlung von Beschäftigtendaten an die Finanzbehörden? Sie müssten diese Wissen, um Ihr Verzeichnis der Verarbeitungstätigkeiten korrekt zu führen. Und wissen Sie die korrekten Löschfristen? Sagen Sie jetzt bitte nicht pauschal „10 Jahre“. Wenn Sie dieser Meinung sind, die leider an vielen Stellen zu lesen ist, würde ich mich freuen, wenn Sie mir Ihre Begründung für diese Frist mitteilten.

Was ich vermitteln will: Auf viele Fragen, warum welche personenbezogene Daten auf welche Weise verarbeitet werden, bekomme ich bei Interessenten und Neukunden die Antwort – einfach ausgedrückt „das haben wir schon immer so gemacht“. Doch diese Antwort ist sicherlich angesichts der drohenden Folgen bei Datenschutzverstößen eher suboptimal.

Neue Märkte für Datenschutzberater?

Und ich beobachte mit Schrecken, wie neue Angebote aus dem Boden sprießen: Das „Datenschutzsorglospaket“ für 500 € pro Jahr – inklusive betrieblichem Datenschutzbeauftragtem, Datenschutzhandbuch, Formularen und Zertifikat. Bedenken Sie: Für die korrekte Bestellung eines betriebliche Datenschutzbeauftragten sind Sie als verantwortliche Stelle zuständig. Ist dieser fachlich nicht geeignet oder kommen recht offensichtlich seinen Überwachungsfunktionen Ihnen gegenüber nicht nach, so begehen Sie den Datenschutzverstoß. Ich bekomme Unterlagen, die offensichtlich aus diversen Quellen im Internet zusammen kopiert wurden und nun für teuer Geld an unbedarfte Unternehmen als Weisheiten verkauft werden. Problematisch ist weniger das Geld, das hierfür ausgegeben wird. Problematisch ist, das sich Unternehmen auf diese „Informationen“ vertrauen – und dann Datenschutzverstöße begehen.

Überlegen Sie, wie hochwertig ein qualifizierter Datenschutzbeauftragter, ob Jurist oder Ingenieur oder Informatiker, für 500 € pro Jahr den Datenschutz in Ihrem Unternehmen überwachen kann, Sie beraten kann, Sie unterstützen kann. Es tut mir leid: Eine Organisation datenschutzgrundverordnungskonform aufzustellen, ist teurer.