Eintrag markiert ‘Auftragsverarbeitung’

TOMs alleine machen nicht glücklich

Dienstag, 12. Februar 2019

Vorhin wurde ich von einem befreundeten Unternehmer angesprochen, dem von seinem Auftraggeber ein Auftragsverarbeitungsvertrag und ein Fragebogen vorgelegt worden war. Der befreundete Unternehmer soll als Auftragsverarbeiter seine TOMs, seine „technischen und organisatorischen Maßnahmen zur Sicherstellung des Datenschutzes“ aufführen.

TOMs-Checklisten

Wie leider üblich, führte der Fragebogen, im konkreten Fall geordnet nach der Sortierung der Anlage zu §9 des alten BDSG (1990), eine Reihe technischer und organisatorischer Maßnahmen auf, die der Auftragsverarbeiter ankreuzen solle, ob er diese erfülle. Der Vertrags zur Auftragsverarbeitung war – auch hier war offensichtlich ein Muster aus dem Internet genommen worden – zwar hinsichtlich der zu Regelnden Punkte nach Artikel 28 DSGVO korrekt: alle zu regelnden Punkte waren angesprochen. Er war jedoch im Hinblick auf die Leistungsbeschreibung bemerkenswert unkonkret. Offensichtlich hatten sich Auftraggeber und Auftragnehmer im Groben geeinigt, dass man zusammen arbeiten wolle und festgestellt, dass dann wohl personenbezogene Daten von Auftraggeber zum Auftraggeber flössen. Vermutlich war dem Auftraggeber gesagt worden, dann bräuchte er einen AVV, Muster gäbe es im Internet.

Doch bevor man sich Gedanken über TOMs macht, muss man sich über die Daten und die Datenverarbeitung Gedanken machen. Man muss zuerst wissen was man tut bzw. tun möchte. Dann kann man die Risiken ermitteln und bewerten und dann die adäquaten TOMs festlegen und umsetzen.

Es ist nicht sinnvoll, allgemein – ohne Wissen der Verarbeitung – über TOMs zu schreiben. TOMs müssen zur Verarbeitung passen. Wird ein Auftragsverarbeiter gefragt, ob er ein Schließsystem einsetzt, wird er, wenn er ein solches einsetzt, sicherlich mit „Ja“ antworten – leider ist das wenig hilfreich, wenn genau der Bereich, in dem die Daten des Auftraggebers verarbeitet werden, davon nicht erfasst werden. Und seien wir ehrlich: Die Mitarbeiter, die den Fragebogen dann ausfüllen, handeln im besten Wissen und Gewissen. Haben Sie, wie in meinem Beispielfall, nur den Fragebogen, so sind sie chancenlos, diesen sinnvoll auszufüllen.

Die Seite des Auftraggebers

Daher, liebe Auftraggeber: Beschreiben Sie die Leistungen genau, beschreiben Sie genau, welche Daten wie verarbeitet werden sollen. Definieren Sie, gemeinsam mit dem Auftragnehmer, die TOMs. Aber überlassen Sie Ihren Auftragnehmern nicht irgendwelche „Checklisten“, die diese dann ohne Hintergrundwissen ausfüllen müssen.

Die Seite des Auftragnehmers

Und liebe Auftragnehmer: Wenn Sie Ihre TOM-Listen an die Auftraggeber geben, so geben Sie die TOM-Listen immer gemeinsam mit den jeweiligen Leistungsbeschreibungen ab. Damit klar ist: Für Datenverarbeitung in Verbindung mit Leistung „A“ werden die TOMs „TA“ eingehalten.

Und noch einmal an die Auftragnehmer: Wenn Sie Checklisten von einem Auftraggeber bekommen, die Sie „abhaken“ sollen: Prüfen Sie, ob die Leistung konkret im Vertrag beschrieben ist und beziehen Ihre Antworten nur auf die Datenverarbeitung in Verbindung mit dieser Leistung. Konkretisieren Sie ggf. mit dem Auftraggeber die Leistungsbeschreibung.

Fazit

Auftragsverarbeitung und TOMs bedeuten nicht das lästige Schließen von Verträgen und das Abhaken von Checklisten. Auftragsverarbeitung bedeutet, sich gemeinsam, Auftraggeber mit Auftragnehmer, Gedanken über die Datenverarbeitung und den Datenschutz zu machen, gemeinsam mögliche Risiken aufzudecken und zu bewerten und gemeinsam für die konkrete Datenverarbeitung sinnvolle TOMs zu entwickeln.

Auftragsverarbeitung und technische Wartungen – Abgrenzungshilfen

Freitag, 18. Mai 2018

Einleitung

Dienstleistern, die Gerätewartungen vornehmen, stellt sich, ausgelöst durch die DS-GVO häufig die Frage: Ist die Wartung von Geräten Auftragsverarbeitung nach Artikel 28 DS-GVO und muss ein entsprechender Vertrag zur Auftragsverarbeitung geschlossen werden – oder reicht der „normale“ Wartungsvertrag aus.

Mögliche Konstellationen in der Wartungspraxis

Zur Beurteilung muss man sich die konkrete Dienstleistung ansehen. Einige Beispiele:

  1. Besteht bei der seitens des Auftraggebers die Absicht, dass der Auftragnehmer personenbezogene Daten des Auftraggebers zur Kenntnis nimmt? Beispielsweise, weil ein konkrete Problem nur so demonstriert werden kann? Oder weil die Arbeit mit den Daten inhaltlich Teil des Auftrages ist? In diesem Fall liegt sicherlich eine Auftragsverarbeitung vor und ein entsprechender Vertrag ist zu schließen.

  2. Findet die rein technische Wartung und Prüfung an einem System mit personenbezogenen Daten statt, aber es ist, durch den Auftraggeber, durch technische und organisatorische Maßnahmen ausgeschlossen, dass der Auftragnehmer Kenntnis von personenbezogenen Daten erhält? In diesem Fall liegt keine Auftragsverarbeitung von Daten vor. Aber der Auftraggeber muss sicherstellen, dass der Auftragnehmer keinen Zugriff auf personenbezogene Daten erhält.

  3. Doch zwischen diesen beiden Extremen liegt häufig die Realität: Vielfach ist für die Wartung oder Prüfung eines Systems der Zugriff auf die realen personenbezogenen Daten nicht vom Auftragnehmer beabsichtigt, aber sie kann durch einen unglücklichen Zufall passieren.

  4. Oder es sind sogar Schutzmaßnahmen durch den Auftraggeber ergriffen worden – aber der Auftragnehmer als technischer Experte für das Gerät kann diese Schutzmaßnahmen einfach umgehen.

  5. Und dann gibt es noch den Fall, dass die Wartung nicht die eigentlichen Systeme betrifft, die personenbezogene Daten halten, sondern „Hilfssysteme“ wie Klimatisierung, Stromversorgung etc. – aber durch das Arbeitsumfeld ist nicht 100%ig auszuschließen, dass der Techniker personenbezogene Daten zur Kenntnis nehmen kann.

Die Beispiele zu Ende gedacht

Um diese Fälle näher zu beleuchten, muss man sich Situationen – etwas extrem dargestellt – einmal vor Augen führen.

Das erste und das zweite Beispiel sind eindeutig. Doch wie sieht es im dritten Beispiel aus: Der Mitarbeiter des Dienstleisters, also der Auftragnehmer, sei in unserem Beispiel fachlich hochkompetent, von Datenschutz habe er jedoch keine Ahnung. Er sieht durch Zufall im Rahmen seiner Arbeit brisante Daten und berichtet davon beim Stammtisch … sicherlich nicht vom Auftraggeber gewollt.

Der Mitarbeiter hat zwar fraglos dumm gehandelt, er hat vielleicht eine vertragliche Nebenpflicht seines Arbeitsvertrages verletzt. Aber im Arbeitsvertrag war er in unserem konkreten Fall nicht zur Verschwiegenheit oder Vertraulichkeit verpflichtet worden. Warum auch, schließlich hatte der Auftraggeber ja sicherzustellen, dass der Dienstleister keine personenbezogenen Daten sehen kann.

Aus dem gleichen Grunde kann man dem Auftragnehmer vielleicht vorwerfen, dass es zum guten Ton gehört, die Mitarbeiter aufzuklären und auf den Datenschutz zu verpflichten etc., aber warum: Eigentlich hätte sein Mitarbeiter ja gar keine personenbezogenen Daten des Auftraggebers zu sehen bekommen dürfen.

Der „schwarze Peter“ liegt primär beim Auftraggeber

Damit liegt der „schwarze Peter“ in diesem Fall beim Auftraggeber: Er hat sich falsch verhalten, er hätte vielleicht dem Mitarbeiter des Dienstleisters die ganze Zeit über auf die Finger schauen müssen und dann verhindern können, dass personenbezogenen Daten offenbart werden.

Gleiches gilt für das vierte Beispiel: Hier agiert der Mitarbeiter, der sich Zugriff verschafft, evtl. schon kriminell. Aber auch hier liegt der „schwarze Peter“ wieder beim Auftraggeber: Seine Schutzmaßnahmen waren nicht genügend, dass ein Wartungstechniker besondere Möglichkeiten mit dem betreffenden System hat, hätte der Auftraggeber wissen müssen.

Echte Auftragsverarbeitung hätte den Auftraggeber geschützt: Der Dienstleister wäre verpflichtet gewesen, seinen Mitarbeiter auch zum Thema Datenschutz zu schulen und entsprechenden sensibilisierte Mitarbeiter einzusetzen.

Auch der Auftragnehmer hat einen „schwarzen Peter“

Doch auch für den Dienstleister, den Auftragnehmer, hätte ein Vertrag zur Auftragsverarbeitung Vorteile: Die Aufgaben und Pflichten zum Datenschutz sind klar definiert, es gibt weniger Grauzonen.

Wieder ein Beispiel: Ein IT-System wird an den Dienstleister zur Reparatur übergeben, die Festplatte scheint defekt. Der Dienstleiter tauscht die Festplatte aus und vernichtet die alte Festplatte. Ohne Zweifel hat der Auftraggeber die Daten an den Dienstleister gegeben. Der Dienstleister sollte das System – technisch – reparieren. Faktisch wurde dem Dienstleister überlassen, zu entscheiden, wie repariert wird, wir die alte Platte vernichtet wird. Und Artikel 28 (10) DS-GVO schreibt:

„.. gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.“

Der Auftragnehmer wurde also zum Verantwortlichen, der Daten ohne Rechtsgrundlage und damit widerrechtlich verarbeitete hat. Keine Rolle, in die sich der Dienstleister finden möchte, denn die Auswirkungen sind immens: Information an den Betroffenen (Artikel 15 EU-DS-GVO), wg. der rechtsgrundlosen Verarbeitung eine Meldung an die Aufsichtsbehörde (Artikel 33 (1) DS-GVO) etc. In unserem Fall hätten wir also einen Auftraggeber und einen Auftragnehmer, die beide gegen den Datenschutz verstoßen haben.

Ob die beiden Beteiligten faktisch die Aufgabe unter sich aufgeteilt haben, evtl. gemeinsam Verantwortliche nach Artikel 26 DSGVO geworden sind, möchte ich hier nicht erörtern.

Das sagen die Aufsichtsbehörden

Im Jahr 2016 äußerte sich das Bayerische Landsamt für Datenschutzaufsicht ein einem Papier1 „Dies könnte bei bestimmten Tätigkeiten, wie bei einer rein technischen Wartung, unter Umständen nicht zu einer Qualifikation als Auftragsverarbeiter und zu einer Anwendung von Ar. 28 DS-GVO führen.“ Offen bleibt hier, was unter einer „rein technischen Wartung“ zu verstehen ist. Die Datenschutzkonferenz (DSK) wird in Ihrem „Kurzpapier Nr. 13 – Auftragsverarbeitung, Art. 28 DS-GVO“ vom 16.01.2018 dann exemplarischer:

„besteht in diesem Rahmen [IT-Wartung oder Fernwartung (z. B. Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers)] für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich im Hinblick auf die weite Definition einer Verarbeitung in Art. 4 Nr. 2 DS-GVO (z. B. Auslesen, Abfragen, Verwenden) ebenfalls um eine Form oder Teiltätigkeit einer Auftragsverarbeitung und die Anforderungen des Art. 28 DS-GVO – wie etwa der Abschluss eines Vertrages zur Auftragsverarbeitung – sind umzusetzen. Anders ist dies bei einer rein technischen Wartung der Infrastruktur einer IT durch Dienstleister (z. B. Arbeiten an Stromzufuhr, Kühlung, Heizung).

Zum einen geht es nicht nur um Notwendigkeit, es reicht die reine Möglichkeit des Zugriffs auf personenbezogene Daten aus. Außerdem sind konkrete Beispiele aufgeführt. Und betrachten wir Arbeiten an Stromzufuhr, Kühlung, Heizung, so ist offensichtlich: Mit Kundendaten kommt der Heizungsmonteur evtl. durch einen zufälligen Blick auf einen Bildschirm beim Entlüften der Heizung in Kontakt. Sicherlich ein anderer Fall, als wenn direkt am datenhaltenden System gearbeitet wird.

Und damit wird auch das fünfte Beispiel von oben beantwortet: Hier liegt keine Auftragsverarbeitung vor. In diesem Fall kam es zu einem Datenverstoß beim Auftraggeber, er hätte bessere Maßnahmen zum Datenschutz umsetzen müssen.

Fazit

Auftraggeber und Auftragnehmer haben beide ein großes Interesse an der Klarheit der Auftragsverarbeitung.

Faktisch lässt sich in einem Bereich die Entscheidung für oder wider Auftragsverarbeitung durch technische und organisatorische Maßnahmen gestalten: Kann und wird die Möglichkeit des Zugriffs auf personenbezogene Daten durch den Auftragnehmer ausgeschlossen, so entfällt ein Vertrag zur Auftragsverarbeitung. Besteht jedoch dies Möglichkeit, so liegt Auftragsverarbeitung vor.

Natürlich haben beide Parteien durch einen Vertrag zur Auftragsverarbeitung mehr Aufwand: Sowohl für den Vertragsschluss als auch in der Durchführung. Insbesondere der Auftragsverarbeiter bekommt klar definierte Pflichten auferlegt. Die größere Sicherheit in der Verarbeitung der Daten wiegt diesen Mehraufwand jedoch auf.

Es ist daher sehr zu empfehlen, lieber einen Vertrag zur Auftragsverarbeitung zu viel als einen Vertrag zu wenig zu schließen.

1(EU-Datenschutz-Grundverordnung (DS-GVO) – Das BayLDA auf dem Weg zur Umsetzung der Verordnung