Pflichten des Auftragsverarbeiters nach DSGVO

Die Verarbeitung von Daten im Auftrag bringt für den Auftragsverarbeiter einige Pflichten mit sich. Nach der Datenschutz-Grundverordnung (DSGVO) ist der Auftragsverarbeiter für die Verarbeitung personenbezogener Daten mitverantwortlich. Auf einige Punkte sollten Dienstleister bei der Auftragsverarbeitung besonders achten – sonst drohen neben der Inanspruchnahme auf Schadensersatz ebenfalls empfindliche Strafen!

Vertragliche Pflichten des Auftragsverarbeiters

Wichtig ist zunächst der Abschluss eines Vertrages zur Auftragsverarbeitung oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten gem. Art. 28 DSGVO. Ohne einen solchen schriftlichen Vertrag besteht keine Rechtsgrundlage für die Verarbeitung durch den Auftragsverarbeiter. Ein fehlender Vertrag führt somit dazu, dass der Auftragsverarbeiter nicht die Vorteile der Privilegierung genießen kann.

Neben gewissen Mindestangaben rund um die datenschutzrechtlichen Rahmenbedingungen des Auftrages, muss dieser Auftragsverarbeitungsvertrag (AV-Vertrag) die in Art. 28 Abs. 3 DSGVO festgelegten Mindestinhalte aufgewiesen. Ohne diese Mindestangaben ist die gesamte Auftragsverarbeitung mangels Rechtsgrundlage unwirksam.

Gesetzliche Pflichten des Auftragsverarbeiter

Neben den Pflichten des Auftragsverarbeiters, welche zwingend im AV-Vertrag geregelt sein müssen, bestehen weitere gesetzliche Pflichten:

Führung eines Verzeichnisses von Verarbeitungstätigkeiten

Jeder Auftragsverarbeiter muss ein schriftliches oder elektronisches Verzeichnis über alle Verarbeitungstätigten der Auftragsverarbeitung führen. Hierzu sieht Art. 30 Abs. 2 DSGVO den erforderlichen Inhalt vor. Es handelt sich im Gegensatz zum Verzeichnis der Verarbeitungstätigkeiten von Verantwortlichen (Art. 30 Abs. 1 DSGVO) um eine deutlich verkürzte Version (in unserem Datenschutzportal finden Sie beide Varianten zum kostenlosen Download). Dieses Verzeichnis ist der Aufsichtsbehörde auf Anfrage gem. Art. 30 Abs. 4 DSGVO zur Verfügung zu stellen.

Zusammenarbeit mit der Aufsichtsbehörde

Art. 31 DSGVO verpflichtet den Auftragsverarbeiter auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgabe zusammen zu arbeiten. Diese Pflicht gilt jedoch nur hinsichtlich Sachverhaltsaufklärungen, die sich ausschließlich mithilfe des Auftragsverarbeiters erreichen lassen. Eine bloße Arbeitserleichterung der Aufsichtsbehörde ist hiermit nicht gemeint.

Vertreter für Auftragsverarbeiter in Drittländern

Auftragsverarbeiter, die keine Niederlassung in der EU haben und personenbezogene Daten von EU-Bürgern verarbeiten, müssen ggfs. gem. Art. 27 Abs. 1 DSGVO schriftlich einen Vertreter in der Union bestellen. Dies ist etwa erforderlich, wenn der Auftragsverarbeiter dem Betroffenen in der Union Waren oder Dienstleistungen anbietet oder wenn der Auftragsverarbeiter das Verhalten Menschen innerhalb der EU beobachtet.

Übermittlungen von Daten an Drittländer und internationale Organisationen

Der Auftragsverarbeiter hat ebenfalls die Beschränkungen für Datenübermittlungen an Unternehmen in Drittländern und internationale Organisationen gem. Art. 44 ff. DSGVO zu beachten. Personenbezogene Daten dürfen nur dann übermittelt werden, wenn die Verarbeitung insgesamt den Anforderungen der DSGVO genügt und im Empfängerland vergleichbare datenschutzrelevante Schutzmechanismen für Betroffene vorgesehen sind.

Als Schutzmechanismen kommen mehrere Möglichkeiten in Betracht.

  • Angemessenheitsbeschluss: Einige Länder außerhalb der Europäischen Union wurden aufgrund ihrer datenschutzrechtlichen Gesetzgebung durch die Europäische Kommission als vergleichsweise sicher anerkannt. Hierzu gehören: Andorra, Argentinien, Färöer, Guernsey, Isle of Man, Israel, Jersey, Kanada, Neuseeland, Schweiz, Uruguay und Vereinigte Staaten (sofern das Unternehmen unter dem EU-U.S. Privacy Shield zertifiziert ist).
  • Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules): Verbindliche interne Datenschutzvorschriften sind derzeit noch sehr selten. Hierbei handelt es sich um interne Regelungen, die sich ein Unternehmen selbst auferlegt. Diese müssen im Wege eines Kohärenzverfahrens von der zuständigen Aufsichtsbehörde genehmigt werden.
  • Standardvertragsklauseln (Standard Contractual Clauses): Bei den Standardvertragsklauseln handelt es sich um die üblichste eingesetzte Datenschutzgarantie. Hierbei werden neben dem AV-Vertrag diese von der Europäischen Kommission vorgegebene Vertragsregelung unterzeichnet. Diese dürfen nicht inhaltlich abgeändert werden, da sie ansonsten nicht mehr als Datenschutzgarantie anerkannt werden.

Risiken des Auftragsverarbeiters

Haftung des Auftragsverarbeiters

Nach Art. 82 DSGVO haften Verantwortliche und Auftragsverarbeiter bei Verletzung der in der DSGVO aufgeführten Pflichten für die beim Betroffenen eingetretenen immateriellen und materiellen Schäden gesamtschuldnerisch. Gesamtschuldnerische Haftung bedeutet, dass der Geschädigte den Schaden nach seiner Wahl entweder beim Verantwortlichen oder beim Auftragsverarbeiter im vollen Umfang herausverlangen kann, unabhängig von der Verantwortlichkeit des Schadenseintritts. Erst nachträglich kann der Auftragsverarbeiter im Innenverhältnis vom Verantwortlichen den Anteil des Schadens zurückfordern.

Der Auftragsverarbeiter kann sich von der Haftung nur dann befreien, wenn er nachweisen kann, dass er sämtliche Verpflichtungen bei der Datenverarbeitung erfüllt hat und „in keinerlei Hinsicht […] verantwortlich ist“.

Drohende Geldbußen für Auftragsverarbeiter

Verarbeiter bzw. Dienstleister sollten die Pflichten im Rahmen der Auftragsverarbeitung nicht auf die leichte Schulter nehmen. Werden die Vorgaben nicht erfüllt, drohen zusätzlich zur oben genannten Haftung je nach Art und Schwere der Ordnungswidrigkeit und unabhängig davon, ob ein Schaden eintritt, Geldbußen von bis zu 20.000.000 Euro oder bis zu 4 % des gesamten weltweit erzielten Umsatzes des vorangegangenen Jahres – je nachdem, welcher Betrag höher ist.

Fazit: Solide schriftliche Vereinbarungen helfen

Unter der DSGVO müssen Auftragsverarbeiter zahlreiche Pflichten erfüllen. Das ist nur konsequent, denn ein hohes Datenschutzniveau muss an jeder Stelle der Verarbeitung gewährleistet werden. Wer jedoch als Dienstleister gegenüber dem Auftraggeber bzw. Verantwortlichen auf einen korrekten Auftragsverarbeitungsvertrag besteht und selbst ein Verzeichnis über Verarbeitungstätigkeiten führt, ist einen großen Schritt weiter.

Dieser aktualisierte Artikel wurde zuerst am 8. September 2017 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Privilegierung des Auftragsverarbeiters unter der DSGVO

Die Datenschutz-Grundverordnung (DSGVO) macht bzgl. der Verarbeitung von Daten im Auftrag keine expliziten Aussagen dazu, ob Auftragsverarbeiter privilegiert sind. Nach langer Diskussion sind die deutschen Datenschutz-Aufsichtsbehörden jedoch zu einer gemeinsamen Sichtweise gekommen.

Was bedeutet Privilegierung bei der Auftragsverarbeitung?

Grundsätzlich dürfen Unternehmen personenbezogene Daten nur dann verarbeiten, wenn dies gesetzlich erlaubt ist oder der Betroffene dies durch eine Einwilligung genehmigt. Dies gilt ebenfalls für den Fall, dass ein Unternehmen personenbezogene Daten zwecks Verarbeitung oder Speicherung an ein anderes Unternehmen übermitteln möchte.

Eine Privilegierung bedeutet, dass der Verantwortliche personenbezogene Daten im Rahmen der Auftragsverarbeitung ohne eine gesonderte gesetzliche Erlaubnis oder Einwilligung des Betroffenen an einen Auftragsverarbeiter weitergeben darf. Der Auftragsverarbeiter wird unter der DSGVO somit als Teil der verantwortlichen Stelle behandelt.

Die Privilegierung des Auftragsverarbeiters

Die Deutschen Aufsichtsbehörden sind sich laut einer Stellungnahme des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) über die Privilegierung der Auftragsverarbeiter einig. Dies ist aus Sicht der Praxis sehr zu begrüßen und hat unter anderem folgende Konsequenzen:

  1. Es ist keine zusätzliche Rechtsgrundlage notwendig, um einen Dienstleister mit der Verarbeitung von personenbezogenen Daten zu beauftragen. Es genügt, dass der Auftraggeber die geplante Verarbeitung selbst rechtmäßig vornehmen kann.
  2. Die Auftragsverarbeitung ist unter der DSGVO auch bei Dienstleistern außerhalb der EU beziehungsweise des EWR möglich. Soweit die zusätzlichen Anforderungen einer Drittlandsübermittlung (Datenschutzgarantie gem. Art. 44 ff. DSGVO) erfüllt sind, bedarf es keiner zusätzlichen Rechtsgrundlage zur Übermittlung von Daten an Auftragsverarbeitern in Drittländern.
  3. Die Änderung des § 203 Abs. 3 StGB erlaubt Berufsgeheimnisträgern den Einsatz von Auftragsverarbeitern.

Dieser aktualisierte Beitrag wurde zuerst am 18. Oktober 2017 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Auftragsverarbeitung für Berufsgeheimnisträger

Für Ärzte, Anwälte und andere Berufsgeheimnisträger ist der Einsatz von Dienstleistern bei der Verarbeitung von personenbezogenen Daten besonders heikel. Doch die Änderung des entscheidenden Paragrafen im Strafgesetzbuch (StGB) hat Erleichterung und Rechtssicherheit bei der Auftragsverarbeitung für Berufsgeheimnisträger gebracht.

Das frühere Problem für Berufsgeheimnisträger

§ 203 StGB regelt die strafrechtliche Behandlung von Verstößen gegen das Berufsgeheimnis. Bei der Auftragsverarbeitung gab es für Berufsgeheimnisträger einen sehr gut versteckten Fallstrick: Man konnte datenschutzrechtlich als Arzt, Anwalt etc. alles richtigmachen und trotzdem eine Straftat begehen.

Notwendig war dazu nicht mehr, als einen korrekten Vertrag zur Auftragsverarbeitung zu schließen, ohne daran zu denken, dass dies nicht den Verstoß gegen das Berufsgeheimnis (§ 203 StGB) beseitigt. Hier musste zusätzlich daran gedacht werden, sich von jedem einzelnen Mandanten oder Patienten von der Schweigepflicht entbinden zu lassen.

Änderung des Strafgesetzbuches

Am 9. November 2017 trat das „Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen“ in Kraft. Der problematische § 203 StGB wurde damit geändert.

Der neue Absatz 3 stellt klar, dass bei Einbeziehung bestimmter Dienstleister keine unbefugte Offenbarung erfolgt. Notwendig ist dafür, dass die mitwirkende Person in die berufliche Tätigkeit der schweigepflichtigen Person einbezogen ist. Diese Einbeziehung muss außerdem im Einvernehmen mit der schweigepflichtigen Person erfolgen. Unter diesen Voraussetzungen liegt selbst ohne ausdrückliche Entbindung kein Verstoß gegen die Schweigepflicht vor.

Dieser aktualisierte Artikel wurde zuerst am 26. Juli 2017 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

TOM-Nachweise: 4 typische Fehler und deren Lösung

Auch ein sehr hohes Datenschutzniveau im Unternehmen wird leicht untergraben, wenn die technischen und organisatorischen Maßnahmen (TOM) von eingesetzten Dienstleistern nicht ausreichen. Die TOM-Nachweise von Auftragsverarbeitern sind jedoch oft ungeeignet. In diesem Artikel erfahren Verantwortliche, wie sie die vier wichtigsten Fehler erkennen und Auftragsverarbeiter, was sie stattdessen in die Nachweise über technische und organisatorische Maßnahmen schreiben sollten.

Hintergrund: Warum sind TOM-Nachweise so wichtig?

Unternehmen bemühen sich verstärkt um den Aufbau eines unternehmensinternen Datenschutzniveaus, das den Anforderungen der Datenschutz-Grundverordnung (DSGVO) genügt. Dieses Datenschutzniveau darf nicht dadurch verloren gehen, dass Teile der Verarbeitung auf Dienstleister ausgelagert werden.

Auftragsverarbeiter ohne nachweisbare, dokumentierte Darstellung ausreichender technischer und organisatorischer Maßnahmen dürfen nach Art. 28 Abs. 1 DSGVO nicht beauftragt werden. Derzeit kursieren solche TOM-Nachweise in unterschiedlichsten Detailgraden von einseitigen stichpunktartigen Ausführungen bis hin zu zwanzigseitigen Datenschutzkonzepten, wobei die längeren Versionen nicht zwingend aussagekräftigere und besseren Nachweise darstellen.

1. Fehler: Mangelnde Aussagekraft der TOM-Nachweise

Das am häufigsten auftretende Problem bei TOM-Nachweisen ist die mangelnde Aussagekraft der Maßnahmenbeschreibungen: Es muss klar hervorgehen, welche konkreten Maßnahmen der Dienstleister trifft, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Diese sollten derart detailliert beschrieben werden, dass der Verantwortliche sich ein realistisches Bild davon machen kann, ob das, was der Dienstleister tut, ausreichend ist oder nicht.

Dies ist nicht nur für die Auswahlpflicht nach Art. 28 Abs. 1 DSGVO relevant, sondern auch zur Durchführung von Risikoanalysen. Denn bei Verarbeitungen mit einem hohen Risiko muss der Verantwortliche nach Art. 35 DSGVO eine Datenschutz-Folgenabschätzung durchführen. Zur Ermittlung des Risikos sind die unternehmenseigenen technischen und organisatorischen Maßnahmen, aber auch die der Auftragsverarbeiter maßgeblich (Art. 35 Abs. 7 und 8 DSGVO, Art. 36 Abs. 2 und 3 DSGVO). Hierfür ist der Verantwortliche auf die durch den Auftragsverarbeiter bereitgestellten Informationen angewiesen.

Achtung: Auftragsverarbeiter sind verpflichtet, Verantwortliche dabei zu unterstützen, der Pflicht zur Meldung von Datenschutzvorfällen nachzukommen. Hierfür ist es nicht ausreichend, dies nur vertraglich zuzusichern, es sind auch die entsprechenden TOM zu treffen. Es ist z. B. erforderlich, Mitarbeiter hinreichend zu schulen sowie einen funktionierenden Eskalationsweg zu gewährleisten. Informationen dazu gehören unbedingt in entsprechende TOM-Nachweise!

Lösung: Klare vertragliche Vereinbarungen

Die Lösung für das Problem unkonkreter TOM-Nachweise liegt darin, bereits im Auftragsverarbeitungsvertrag (AV-Vertrag) klar zu regeln, welche Maßnahmen der Dienstleister überhaupt schuldet. Das vertraglich geschuldete Datenschutzniveau sollte einerseits im Interesse des Verantwortlichen einklagbar sein. Andererseits sollte der Auftragsverarbeiter darlegen können, welche Maßnahmen er nicht schuldet.

2. Fehler: Fehlende Relevanz der TOM-Nachweise

Die vom Auftragsverarbeiter getroffenen TOM müssen für die erbrachte Dienstleistung relevant sein. Erbringt der Dienstleister etwa seine Leistung in Gestalt der Fernwartung von IT-Systemen und speichert lokal keine Daten, so ist sein Back-up-Plan für dieses Auftragsverarbeitungsverhältnis irrelevant.

Dies ist jedoch nicht mit jenen Fällen zu verwechseln, in denen TOM nur mittelbar etwas mit der Dienstleistung zu tun haben, aber dennoch relevant sind. Verarbeitet ein Dienstleister etwa als Cloud-Anbieter lokal Daten, so muss er neben den unmittelbaren und offensichtlichen Sicherheitsmaßnahmen (wie einer sicheren verschlüsselten Datenübertragung) ebenfalls für die physische Sicherheit der Daten sorgen, etwa durch eine angemessene Besucherregelung im Rechenzentrum.

Lösung: Bezug von Dienstleistung und TOM klarstellen

Bei der Prüfung von TOM-Nachweisen sollten Verantwortliche zunächst eingrenzen, welche Leistung der Dienstleister überhaupt erbringt, welches Risiko mit der Verarbeitung verbunden ist und wo die Daten verarbeitet werden. Anschließend ist zu ermitteln, welche TOM des Auftragsverarbeiters relevant und entscheidungserheblich sind.

3. Fehler: Untaugliche Maßnahmen in den TOM

Problemtisch ist es auch, wenn die getroffenen TOM zur Erreichung eines Schutzziels untauglich sind. Nach Art. 32 Abs. 1 b) DSGVO sollen Unternehmen z. B. Maßnahmen treffen, um die Belastbarkeit der datenverarbeitenden Systeme sicherzustellen. Unter Belastbarkeit wird verstanden, dass Systeme die Fähigkeit besitzen, mit risikobedingten Veränderungen umzugehen und eine Toleranz und Ausgleichsfähigkeit gegenüber Störungen aufweisen.

Wenn nun in TOM-Nachweisen unter der Überschrift Belastbarkeit steht, dass ein Brandschutz bei den IT-Systemen gewährleistet wird, dann ist diese Maßnahme zwar nicht irrelevant, hat jedoch nichts mit Belastbarkeit zu tun. Es entsteht also fälschlicherweise der Eindruck, dass Maßnahmen zur Belastbarkeit getroffen werden.

Lösung: Schutzziel und Maßnahmen in Beziehung setzen

Prüfen Sie, was das eigentliche Schutzziel ist, bevor Sie sich überlegen, was die hierfür geeigneten Sicherheitsmaßnahmen sind. Hier hilft ein Blick in § 64 BDSG. Der Paragraph ist zwar selbst nicht einschlägig, weil er nur für Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung anwendbar ist. Der Inhalt ist dennoch für alle interessant. Dort sind die meisten in Art. 32 DSGVO genannten Schutzziele genannt und verständlich definiert.

Alternativ können Sie die TOM-Nachweise mit unserer kostenlosen Checkliste zur Überprüfung von technischen und organisatorischen Maßnahmen bei Auftragsverarbeitern vergleichen.

4. Fehler: Untaugliche oder ungenügende Zertifikate

Getroffene TOM können ebenfalls durch Zertifikate nachgewiesen werden. Leider werden hierfür oftmals untaugliche oder zumindest ungenügende Zertifikate vorgelegt.

Zertifikate können eine Erleichterung bei der Auswahl oder Prüfung von Dienstleistern bieten. Allerdings ist zu beachten, dass Zertifikate lediglich als Faktor berücksichtigt werden dürfen. Mit anderen Worten: Zertifikate stellen lediglich ein Indiz, jedoch keinen Beweis für das Vorliegen hinreichender TOM dar. Es ist weiterhin eine Gesamtbeurteilung durch hinreichende Informationen und Nachweise notwendig.

Auch für die Indizwirkung ist es erforderlich, dass der Prüfungsumfang und -maßstab des Zertifikats bekannt ist. Dies ist etwa bei einer Zertifizierung nach ISO 27001 der Fall, weil es sich um eine Norm handelt. Derzeit kursieren jedoch einige Datenschutz-Zertifikate ohne eine solche Aussagekraft. Hierbei handelt es sich meist um Datenschutz-Zertifikate, die auf von Unternehmen eigens entwickelten und nicht veröffentlichen Standards beruhen. Was genau geprüft wird oder auf welchen Maßstäben das Ergebnis beruht, kann nicht ohne Weiteres nachvollzogen werden.

Lösung: Zertifikate hinterfragen, prüfen und in den Kontext einordnen

Liegen Datenschutz-Zertifikate vor, sollten Verantwortliche vom Auftragsverarbeiter entweder den Prüfungsumfang samt -maßstab oder gleich den ausführlichen Prüfbericht erfragen. Erst dadurch ist sicherzustellen, ob das Datenschutz-Zertifikat relevant und aussagekräftig ist.

Aber auch bei ISO-27001-Zertifikaten ist zu beachten, dass diese keine DSGVO-Besonderheiten enthalten, so dass weiterhin Nachweise zu DSGVO-spezifischen Maßnahmen notwendig sind, etwa zum Datenschutz-Management, Incident-Response-Management oder zu Privacy by Design bzw. Default.

Fazit: Gute TOM-Nachweise schaffen Rechtssicherheit

Geeignete TOM-Nachweise müssen hinreichend konkret sein und aussagekräftig darstellen welche für die zu erbringende Dienstleistung relevanten Maßnahmen getroffen werden. Als Indiz dürfen hierfür auch Zertifikate herangezogen werden, sind jedoch als alleiniges Beweismittel nicht geeignet.

Die ausführliche Regelung der TOM sind nicht nur reine Formalie zur Erfüllung der Auswahlpflicht durch den Verantwortlichen. Es liegt auch im Interesse des Auftragsverarbeiters, genau zu definieren, welche Maßnahmen geschuldet sind und welche nicht. Ferner ermöglichen es hinreichend konkrete TOM-Nachweise Auftragsverarbeitern, weiterhin als auswahlfähiger Dienstleister wettbewerbsfähig zu bleiben.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

So dokumentieren Datenschutzbeauftragte ihre Tätigkeit

Der betriebliche oder externe Datenschutzbeauftragte sollte seine Tätigkeiten regelmäßig dokumentieren. Einerseits kann er so jederzeit gegenüber der Geschäftsführung und Aufsichtsbehörden nachweisen, dass er seiner Überwachungspflicht nachgekommen ist. Andererseits gibt er dem Verantwortlichen ein gutes Bild von der aktuellen Umsetzung des Datenschutzes im Unternehmen.

Dokumentation des datenschutzrechtlichen Ist-Zustandes

Die moderne Führung in Unternehmen gebietet es der Geschäftsführung Aufgaben aller Art an die Belegschaft zu delegieren. Darunter fallen auch Tätigkeiten, die auf die Umsetzung von Datenschutzmaßnahmen zielen. Die Erstellung der unternehmensweiten Verzeichnisse der Verarbeitungstätigkeiten, die Formulierung und Aktualisierung der Datenschutzhinweise auf der Website und die Prüfung von Auftragsverarbeitern sind typische Beispiele der Delegierung. Die Fülle an datenschutzrechtlichen Pflichten, die sich aus der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) ergeben, führt jedoch schnell dazu, dass die Geschäftsführung den Überblick verliert und nicht zu jeder Zeit über den aktuellen Datenschutzstatus des Unternehmens informiert ist.

Ein Datenschutzbericht bzw. Tätigkeitsbericht des Datenschutzbeauftragten bringt in diesem Fall Abhilfe. Er fasst die unternommenen Bemühungen innerhalb eines bestimmten Zeitraums in verständlicher Form zusammen und verschafft der Geschäftsführung klaren Überblick bezüglich der offenen Aufgaben bei der Umsetzung datenschutzrechtlicher Vorgaben. Typischerweise fertigt der betriebliche oder externe Datenschutzbeauftragte den Tätigkeitsbericht und stellt ihn der Geschäftsführung und anderen beteiligten Abteilungen bzw. Personen im Unternehmen zur Verfügung. Unter den weiteren Empfängerkreis fällt zum Beispiel die Rechtsabteilung der Organisation oder das Datenschutzteam, das kontinuierlich an der Einhaltung der gesetzlichen Vorgaben arbeitet.

Diese Dokumentation der Datenschutztätigkeiten muss nicht allen Mitarbeitern des Unternehmens zugänglich gemacht werden, sondern nur den organisatorisch für diese Aufgabe vorgesehenen. Um die Geschäftsführung und alle Beteiligten informiert zu halten, ist es ratsam, innerhalb regelmäßig stattfindender Gespräche über den aktuellen Status aufzuklären.

Dokumentation zur Erfüllung der Rechenschaftspflicht

Neben dem Nutzen einen allgemeinen Überblick zu schaffen, erfüllt der Tätigkeitsbericht auch eine rechtliche Anforderung, die sich aus Art. 5 Abs. 2 DSGVO und Art. 58 Abs. 1 lit. a DSGVO ergibt. Die sogenannte Rechenschaftspflicht bindet das Unternehmen daran, Nachweise über die Einhaltung datenschutzrechtlicher Vorgaben erbringen zu können. Wenn also die Datenschutzbehörde Auskunft zu einer speziellen Frage oder der allgemeinen Compliance-Situation einholt, kann ein Tätigkeitsbericht entweder direkt Aufschluss über die ergriffenen Maßnahmen geben oder als Wegweiser zur internen Dokumentation dienen.

Beispiel: Der Tätigkeitsbericht wird nicht konkret beschreiben, wie das Prüfungsergebnis zu jedem Auftragsverarbeiter des Berichtszeitraums lautet und wie man dazu gekommen ist. Dennoch lässt sich je nach Detailgrad des Berichts daraus ableiten, dass die Prüfung erfolgte, wann sie erfolgte und wo sie zu finden ist.

Aufbau und Inhalt des Tätigkeitsberichts

Zur konkreten Ausgestaltung des Berichts bestehen keine gesetzlichen Vorgaben. Wir empfehlen Ihnen jedoch, mindestens die folgenden Inhaltspunkte zu thematisieren:

  1. Allgemeines zum Datenschutz (aktuelle Neuigkeiten zu z.B. Rechtsprechung, Beschlüssen und Technologie)
  2. Aktueller Ist-Status im Datenschutz und getroffene Maßnahmen im Berichtszeitraum (insbesondere Verzeichnis der Verarbeitungstätigkeiten; Auftragsverarbeitung mit Liste der Auftraggeber und Auftragnehmer; Schulungsmaßnahmen; technische und organisatorische Maßnahmen; Online-Datenschutz z.B. bezüglich Website, Facebook-Fanpage und Newsletter)
  3. Durchführung von internen Kontrollen
  4. Finanzieller, zeitlicher und personeller Ressourcenbedarf
  5. Sonstiges
  6. Ausblick (geplante Vorhaben)

Tipp: Nutzen Sie einfach unsere kostenlose Vorlage für einen Datenschutzbericht und passen Sie diese an die speziellen Anforderungen Ihrer Organisation an.

Wie oft sollte ein Datenschutzbericht erstellt werden?

Abschließend stellt sich die Frage, wie oft ein Tätigkeitsbericht angefertigt werden sollte. Bezüglich des Turnus für den Berichtszeitraum ist es schwierig, allgemeine Aussagen zu treffen, die auf jede Art von Organisation passen. In datengetriebenen Unternehmen ist es durchaus sinnvoll, einen quartalsmäßigen oder halbjährlichen Turnus einzuführen. Im produzierenden Gewerbe kann dagegen ein Zeitraum von einem Jahr angemessen sein.

Der zeitliche Abstand der Berichte bemisst sich nicht zuletzt auch daran, wie viele datenschutzrechtliche Maßnahmen insgesamt getroffen werden und wie übersichtlich sich diese Maßnahmen in einem einzigen Tätigkeitsbericht dokumentieren lassen. Findet eine Vielzahl an Maßnahmen durch verschiedene Mitarbeiter bzw. Abteilungen statt, kann es für die Beteiligten nach Ablauf eines ganzen Jahres schwierig sein, die Maßnahmen übersichtlich, vollständig und präzise genug darzustellen.

Fazit: Dokumentation ist elementar

Der Tätigkeitsbericht hilft in einer arbeitsteiligen Organisation den Überblick über die Umsetzung von datenschutzrechtlichen Vorgaben zu bewahren und dient gleichzeitig als Nachweis gegenüber Aufsichtsbehörden. Inhaltliche Vorgaben an den Tätigkeitsbericht gibt es keine. Inhalt und Turnus sollten aber an der Natur der Organisation ausgerichtet werden, so dass die Übersichtlichkeit und der Sinngehalt des Berichts gewahrt wird.

Mit anderen Worten: Wie Sie den Datenschutz in Ihrem Unternehmen am besten dokumentieren, können Sie nur selbst herausfinden. Wichtig ist nur, dass Sie es in jedem Fall tun!

Die Dokumentation des Datenschutzes ist Ihnen einfach zu aufwändig? Dann bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen – und konzentrieren sich lieber auf Ihren Geschäftserfolg!

Geschrieben am:

Umsetzung der informierten Einwilligung nach DSGVO

Die informierte Einwilligung ist für die Legitimation der Datenverarbeitung sehr wichtig. In der Praxis stellen sich jedoch meist Problem, die umfassende Information der Nutzer rechtskonform zu gestalten. Wie kann also die informierte Einwilligung im Rahmen der modernen Technik in der Praxis umgesetzt und sichergestellt werden? Welche Möglichkeiten gibt es, den Nutzer möglichst übersichtlich und transparent zu informieren?

Die Herausforderung der informierten Einwilligung

Die Einwilligung ist eine der möglichen Rechtsgrundlagen, welche es dem Verantwortlichen erlauben, personenbezogene Daten zu verarbeiten. Eine rechtskonforme Einwilligung setzt jedoch voraus, dass der Betroffene ausreichend von Umfang und Reichweite der Verarbeitung informiert wird. Ziel ist es somit, dass die Betroffene sich darüber im Klaren sind, worin genau sie einwilligen.

In der Praxis stellt es sich jedoch immer wieder als problematisch heraus, wie die Informiertheit des Betroffenen sichergestellt werden kann, damit die Wirksamkeit der Einwilligung gewährleistet ist. Viele Betroffene sind angesichts der Informationsflut, die mit der Nutzung von Online-Diensten einhergeht und in die sie vor der Benutzung einwilligen müssen, schlichtweg überfordert.

Dies ist nicht weiter verwunderlich, wenn man bedenkt, dass z. B. die Datenschutzbestimmung von Facebook knapp zehn DIN-A4-Seiten lang ist. Solche nahezu endlosen Datenschutzbestimmungen sind leider keine Seltenheit, obwohl Erwägungsgrund 42 DSGVO ausdrücklich vorgibt, dass die Einwilligungserklärung „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden“ muss. Dies entspricht auch den Vorgaben des § 13 TMG.

Gesetzliche Theorie vs. Praxistauglichkeit

Die gesetzlichen Normen sollen das Recht der Verbraucher auf informationelle Selbstbestimmung schützen. So müssen die Datenschutzbestimmungen alle beabsichtigten Verarbeitungsvarianten personenbezogener Daten nennen. Doch durch den technischen Fortschritt werden die Methoden der Datenverarbeitung und mit ihr einhergehend auch die datenschutzrechtlichen Bestimmungen immer komplexer. Praktisch stellt sich das Problem, dass durch die immer ausschweifenderen Regelungen dem Erfordernis der informierten Einwilligung kaum noch entsprochen werden kann. Faktisch existiert die Entscheidungsfreiheit des Einzelnen in Form des informationellen Selbstbestimmungsrechts also nur noch als gesetzliche Regelung auf dem Papier.

Derzeit erscheint es tatsächlich äußerst schwierig, eine vollständige Informiertheit beim Betroffenen zu erreichen. Es ist schlichtweg unverhältnismäßig, dass der Internetnutzer zeitlich einen viel größeren Aufwand für das Lesen der Datenschutzbestimmungen aufwenden muss, als für den gesamten Vertragsabschluss oder etwa den Registrierungsprozess.

Daher besteht dringender Bedarf an neuen Instrumentarien, die im Rahmen der heutigen und zukünftigen Bedingungen der digitalen Vernetzung eine informierte Einwilligung sicherstellen können. Mit anderen Worten: Das theoretische Konzept der informierten Einwilligung muss auch in der Praxis umsetzbar sein und bleiben. Hierfür bieten sich verschiedene Methoden an, die im Folgenden näher erläutert werden.

1. Lösung: Datenschutzbestimmungen auf einem Blick mit einem „One-Pager“

Die vom Bundesministerium für Justiz und für Verbraucherschutz betriebene Plattform „Verbraucherschutz in der digitalen Welt“ stellt Unternehmen eine Vorlage zur Verfügung, mit der sie die wichtigsten Datenverwendungsrichtlinien auf einem Blick auf nur einer Seite präsentieren können. Dafür werden mit Hilfe von Links und Mouseover-Funktion die Bestimmungen auf mehreren Ebenen angeordnet. Ohne eine faktische Verkürzung der Bestimmungen in Kauf nehmen zu müssen, kann der Umfang der Datenschutzbestimmung zumindest optisch stark verkürzt dargestellt werden. Damit kann dem Grundsatz der informierten Einwilligung weiterhin entsprochen werden.

Praktische Probleme in Bezug auf die Übersichtlichkeit könnten sich bei der Darstellung auf mobilen Endgeräten ergeben. Eine zusätzliche Gefahr besteht darin, dass die Rechtsprechung die Mouseover-Funktion in Bezug auf Unterrichtungspflichten mehrfach als unzureichend erachtet hat, weil nicht sichergestellt werden kann, dass jeder Nutzer die Informationen, die erst nach einem kurzen Verweilen mit dem Cursor auf einem bestimmten Wort erscheinen, tatsächlich zur Kenntnis nimmt.

2. Lösung: Mehr Übersichtlichkeit durch die Verwendung von Symbolen

Alternativ können die Datenschutzbestimmungen anhand von farblichen Piktogrammen visualisiert werden. Dies könnte z. B. so aussehen, dass eine Einteilung in drei verschiedene Spalten erfolgt:

  • In der ersten Spalte werden verschiedene Verwendungsarten mithilfe von Bildsymbolen illustriert, wie bspw. Umfang, Art und Weise der Datennutzung oder auch die verschlüsselte Aufbewahrung personenbezogener Daten.
  • In der zweiten Spalte fänden sich Beschreibungen zu den Verwendungsarten.
  • In der dritten Spalte würde mit Hilfe von Symbolen (grünes Hakensymbol = Bestätigung, rotes Kreuzsymbol = Verneinung des Vorhandenseins der Verwendungsart) Angaben darüber gemacht, ob das Unternehmen von der jeweiligen Verwendungsart Gebrauch macht.

Der wohl größte Vorteil liegt darin, dass die Datenschutzbestimmungen durch die Visualisierung transparent und leicht zugänglich dargestellt werden. In Datenschutz-Grundverordnung ist der Einsatz von Bildsymbolen immerhin als freiwillige Option vorgesehen (Art. 12 Abs. 7 DSGVO).

3. Lösung: Höherer Aussagegehalt durch farbliches „Ampel-System“

Trotz möglicher Darstellung mittels Bildsymbolik dürfte es dem Betroffenen in Bezug auf eine informierte Einwilligung schwerfallen, eine Einschätzung darüber zu treffen, wie stark er durch die jeweilige Verwendungsart in seinem informationellen Selbstbestimmungsrecht berührt wird. Aus diesem Grund wäre ergänzend zur bildlichen Darstellung eine Bewertung der einzelnen Kategorien empfehlenswert.

Dafür bietet sich das in verschiedenen Bereichen der Konsumenteninformation bereits verbreitete farbliche „Ampel-System“ an:

  • Rot bedeutet eine hohe Beeinträchtigung;
  • gelb eine mittlere Beeinträchtigung und
  • grün eine Beeinträchtigung mit geringer Intensität.

Auf diese Weise könnten Betroffene schnell erkennen, inwiefern sie durch die Datenverwendungsarten des jeweiligen Unternehmens in ihrem Recht auf informationelle Selbstbestimmung betroffen wären. Die Bewertung könnte sich anhand der erhobenen Datenmenge, ihrer Art und dem Zweck ihrer Verwendung kategorisieren lassen.

Negative Bewertungskriterien könnten z. B. sein, dass das Unternehmen sensible Daten erhebt oder Daten auch nach der Erreichung ihres Verarbeitungszweckes weiterverarbeitet. Positive Bewertungskriterien wären z. B., dass das Unternehmen erleichterte Bedingungen für die Betroffenen zur Wahrnehmung ihrer Rechte (auf Auskunft, Berichtigung, Sperre, Löschung und Widerspruch) schafft.

Ein besonders wichtiges Bewertungskriterium wäre zudem, wie die technischen und organisatorischen Maßnahmen des Unternehmens ausgestaltet sind, um die Daten der Nutzer vor unberechtigtem Zugriff zu schützen. Denn je besser die Informationssicherheit eines Unternehmens ist, desto höher ist sein Datenschutzstandard zu bewerten.

Fazit: Die informierte Einwilligung bleibt eine Herausforderung

Durch den technologischen Wandel und stetig neue Medienformen (vor allem im Bereich der sozialen Netzwerke und Apps) bleibt es eine Herausforderung, die umfassende Informiertheit des Nutzers bei der Einwilligung zu gewährleisten. Vor allem mittels grafischer Darstellung lassen sich jedoch gut verständliche Datenschutzerklärungen entwickeln. Neben dem zuständigen Datenschutzbeauftragten sollten Unternehmen hierbei auch auf die Erfahrung von Usability-Experten setzen.

Weitere Tipps finden Sie in unserem Ratgeberartikel zu den Grundlagen für eine rechtskonforme Einwilligung nach DSGVO.

Dieser aktualisierte Artikel erschienzuerst am 24. Februar 2017. 

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Wann dürfen Arbeitgeber von Mitarbeitern ein Führungszeugnis verlangen?

Wer als Unternehmen neue Mitarbeiter sucht, will den Bewerbern natürlich ordentlich „auf den Zahn zu fühlen“. Schließlich gehen mit jedem Mitarbeiter nicht unerhebliche Kosten einher. Neben Ausbildung, Berufserfahrung und Soft Skills könnten dabei auch die Gesetzestreue eines Bewerbers bzw. im Umkehrschluss etwaige Straftaten interessieren. Die Anforderung eines Führungszeugnisses liegt da nahe. Doch in welchen Fällen erlaubt der (Mitarbeiter-)Datenschutz dem Arbeitgeber überhaupt ein solches Führungszeugnis zu verlangen? Wann ist das Zeugnis sogar vorgeschrieben? Welche Version eines Bundeszentralregisterauszuges ist die richtige? Und wie darf mit den darin enthaltenen Daten des Bewerbers umgegangen werden?

Was ist ein Führungszeugnis?

Das Führungszeugnis, umgangssprachlich auch „polizeiliches Führungszeugnis“ genannt, ist ein Auszug aus dem Bundeszentralregister beim Bundesamt für Justiz. Dort werden strafrechtliche Verurteilungen durch deutsche Gerichte, Vermerke über Schuldunfähigkeit, bestimmte Verwaltungsentscheidungen und weitere besondere gerichtliche Feststellungen (Strafdaten) eingetragen. Auch ausländische Verurteilungen gegen deutsche Staatsbürger sowie gegen in Deutschland geborene oder wohnhafte Personen werden dort eingetragen.

An der Zulässigkeit dieses Registers hat sich durch die Einführung der Datenschutz-Grundverordnung (DSGVO) für den Betrieb des Bundeszentralregisters nicht viel geändert. Art. 10 S. 1 DSGVO erklärt nunmehr ausdrücklich, dass Strafdaten einerseits durch Behörden gespeichert werden dürfen. Andererseits ist die Sammlung der Daten danach auch erlaubt, soweit ein nationales Gesetz existiert, dass für den Schutz dieser Daten hinreichende datenschutzrechtliche Garantien enthält. Und das Bundeszentralregistergesetz (BZRG) enthält gleich mehrere Garantien, die diesen Schutz sicherstellen.

Welche Arten und Zwecke von Führungszeugnissen gibt es?

Das Führungszeugnis kann entweder für private Zwecke oder zur Vorlage bei einer Behörde beantragt werden. Man unterscheidet dabei folgende Arten:

  • Führungszeugnis für private Zwecke: enthält nur Verurteilungen, bei denen die Geldstrafe über 90 Tagessätze liegt bzw. eine Bewährungsstrafe von mehr als drei Monaten verhängt wurde (sofern keine weiteren Vorstrafen bestehen);
  • Führungszeugnis für eine Behörde: erhalten ausschließlich Behörden (auf Verlangen), enthält deutlich mehr Informationen vermerkt als das Führungszeugnis für private Zwecke, z. B. auch die gerichtlich angeordnete Unterbringung in einer psychiatrischen Anstalt;
  • Europäisches Führungszeugnis: ist vor allem dann wichtig, wenn der Bewerber Staatsangehöriger eines anderen EU-Mitgliedsstaates ist und enthält Nachweise über Verurteilungen, die im Herkunftsland stattgefunden haben;
  • Erweitertes Führungszeugnis: muss mit zusätzlichem Aufforderungsschreiben nachgewiesen werden und wird zur Prüfung der persönlichen Eignung von Menschen benötigt, die in ihrer beruflichen oder ehrenamtlichen Tätigkeit mit Minderjährigen in Kontakt kommen.

Wie kann der Arbeitgeber an das Führungszeugnis gelangen?

Als Arbeitgeber haben Sie nicht die Möglichkeit, das Führungszeugnis beim Bundesamt für Justiz selbst anzufordern. Beantragen kann das Führungszeugnis nur der Betroffene selbst. Es sollte daher vor der Jobzusage in aller Regel eine Klausel in den Arbeitsvertrag aufgenommen werden, wonach der Bewerber bzw. (zukünftige) Arbeitnehmer die Vorlage eines Führungszeugnisses bis zu einem bestimmten Zeitpunkt schuldet.

In welchen Fällen darf der Arbeitgeber ein Führungszeugnis einsehen bzw. kopieren?

§ 26  Abs. 1 S. 1 Bundesdatenschutzgesetz (BDSG) stellt klar, dass vom Arbeitgeber nur solche personenbezogenen Daten erhoben, verarbeitet und genutzt werden dürfen, die notwendig sind, um zu entscheiden, ob jemand eingestellt wird bzw. die für die Durchführung und später die Beendigung des Arbeitsverhältnisses gebraucht werden.

Sofern

  • der Arbeitgeber als freier Träger der Jugendhilfe anerkannt oder ein gemeinnütziger Verein ist oder
  • der Arbeitnehmer durch seine Tätigkeit in Kontakt mit Minderjährigen kommen kann bzw. die Tätigkeit in vergleichbarer Weise geeignet ist, Kontakt mit zu Minderjährigen aufzunehmen,

ist die Vorlage eines erweiterten Führungszeugnisses durch das Gesetz vorgeschrieben bzw. erlaubt (§ 72a SGB VIII, § 30a BZRG). Also müssen die Träger der Jugendhilfe bzw. dürfen die übrigen Arbeitgeber aus diesem Bereich das erweiterte Führungszeugnis verlangen. Um dieser gesetzlichen Pflicht nachzukommen, dürfen Arbeitgeber das Führungszeugnis in diesem Fall auch kopieren, um den Nachweis ihrer gesetzlichen Prüfpflicht dokumentieren zu können.

Was alle übrigen Fälle angeht, in denen der Bewerber nicht verpflichtet ist, ein Führungszeugnis vorzulegen, so gibt es bisher keine klare gerichtliche Entscheidung, ob Sie als Arbeitgeber ein solches verlangen dürfen. Allerdings geht wohl eine Mehrzahl der Juristen davon aus, dass dies nicht erlaubt ist, weil der Arbeitgeber dann auch Straftaten einsehen könnte, die keinen Arbeitsbezug haben. Das heißt aber nicht, dass der Arbeitgeber den Bewerber nicht nach Vorstrafen befragen darf. Die Anfertigung einer Kopie wird in diesen Fällen allein schon mit Blick auf den Grundsatz der Datenminimierung unzulässig sein.

Eine Ausnahme besteht nur dann, wenn für die zu besetzende Stelle jegliches strafrechtliche Vorverhalten relevant ist. Das wird zum Beispiel bei Datenschutzbeauftragten, Compliance-Verantwortlichen oder bei Kundenberatern bei einer Bank angenommen.

Was darf der Arbeitgeber mit Blick auf Vorstrafen fragen?

Ein Fragerecht des Arbeitgebers gegenüber dem Bewerber besteht nicht grenzenlos. Es gilt die Grundregel, dass die Fragen erlaubt sind, die in einem sachlichen Zusammenhang mit den (zukünftigen) Arbeitspflichten des Bewerbers stehen. Fragt der Personalleiter den Bewerber für den Job als Kranführer etwa danach, ob dieser schon mal für die Verunglimpfung des Bundespräsidenten (§ 90 Abs. 1 StGB) strafgerichtlich verurteilt wurde, so kann man davon ausgehen, dass kein sachlicher Zusammenhang zur zukünftigen Aufgabe besteht.

Soweit es für die konkrete Arbeitsstelle relevant ist, darf der Arbeitgeber Nachfragen mit Bezug zu folgenden Bereichen stellen:

  • fachliche Qualifikation für die (potenzielle) Tätigkeit
  • körperliche und gesundheitliche Verfassung
  • sonstige persönliche Eigenschaften (Vorstrafen, Vermögensverhältnisse, etc.)

Bestimmte Tatsachen unterliegen gesetzlichen (Diskriminierungs-)Verboten, z. B. nach § 1 Allgemeines Gleichbehandlungsgesetz (AGG). Macht der Arbeitgeber seine Auswahlentscheidung für eine Tätigkeit z. B. davon abhängig, ob die Bewerberin schwanger ist, so verstößt dies gegen das gesetzliche Diskriminierungsverbot aus § 1 AGG. Ein Bewerber bzw. eine Bewerberin muss eine solche Frage nicht beantworten. Und nicht nur das. Bei der Frage nach einer bestehenden Schwangerschaft darf die Bewerberin sogar lügen.

Welche Angaben aus dem Führungszeugnis darf der Arbeitgeber verarbeiten?

Da der (potenzielle) Arbeitgeber von etwaigen Einträgen im Führungszeugnis im Fall der Einsichtnahme Kenntnis erlangt, ist es erforderlich, den Kreis der Personen, die Zugriff auf das Führungszeugnis haben, auf das Notwendigste zu begrenzen. Gleichzeitig muss sichergestellt werden, dass auch „Zufallsfunde“ keine Auswirkungen auf das Arbeitsverhältnis haben.

Erhält der Steuerberater nach Beginn des Arbeitsverhältnisses durch Einblick in das Führungszeugnis Kenntnis davon, dass seine Office-Managerin wegen Herbeiführung einer nuklearen Explosion (§ 328 Abs. 2 Nr. 3 StGB) verurteilt wurde, kann er sie auf Basis dieses Eintrags nicht abmahnen bzw. kündigen, solange und soweit sich die Office-Managerin während ihrer Arbeit im Büro nichts zu Schulden hat kommen lassen.

Praxistipp: Prinzipien von Datensparsamkeit und Datenschutz anwenden

In denjenigen Fällen, in denen ein Arbeitgeber zu Recht ein Führungszeugnis oder erweitertes Führungszeugnis anfordert, sollte dafür Sorge getragen werden, dass nur diejenigen Informationen beim Arbeitgeber verbleiben, auf die der Arbeitgeber einen Anspruch hat. Dazu kann zunächst für die im Unternehmen vorkommenden Berufsbilder definiert werden, über welche möglichen Verurteilungen der Arbeitgeber Bescheid wissen sollte.

Dann wird eine zur Verschwiegenheit verpflichtete Person beauftragt, die eingehenden Führungszeugnisse dahingehend zu überprüfen, ob in diesen eine der vorher festgelegten Verurteilungen aufgeführt ist. Diese Person erstellt dann für die Personalakte eine Bestätigung, dass das Führungszeugnis vorgelegt wurde und dass es entweder keine relevanten Eintragungen enthält oder dass es solche enthält. Denkbar ist z. B., dass der Datenschutzbeauftragte diese Rolle übernimmt.

Enthält es keine relevanten Einträge, verbleibt das Führungszeugnis beim Arbeitnehmer und die Bestätigung wird in die Personalakte aufgenommen. Damit ist sichergestellt, dass niemand von etwaigen nicht-einschlägigen Verurteilungen Kenntnis erlangt.

Sollten dagegen im Führungszeugnis tatsächlich relevante Einträge enthalten sein, so geht diese Information an diejenigen Personen, die über die Einstellung entscheiden. Denn in diesem Fall gibt es ganz sicher Gesprächsbedarf mit dem Arbeitnehmer.

Dieser aktualisierte Artikel wurde zuerst am 23. Januar 2017 veröffentlicht.

Datenschutz von Bewerbern und Mitarbeitern kann eine ganz schön persönliche Sache werden. Mit einem unserer Experten als externen Datenschutzbeauftragten bleiben Sie auf der sicheren Seite!

Geschrieben am:

Kopplungsverbot vs. Kopplungsprüfungsgebot

Das datenschutzrechtliche Kopplungsverbot wird immer dann angesprochen, wenn z. B. für den Download eines Whitepapers eine Einwilligung für den Empfang eines Newsletters oder werblicher E-Mails verlangt wird. Doch ist diese Kopplung von Angebot und Einwilligung wirklich rechtswidrig? Oder fordert die europäische Datenschutz-Grundverordnung (DSGVO) nicht eher eine gründliche Abwägung – besteht also ein Kopplungsprüfungsgebot?

Was besagt das Kopplungsverbot?

Auch das jüngste europäische Datenschutzrecht verbietet jede Art von Verarbeitung personenbezogener Daten, sofern keine Rechtsgrundlage für diese Verarbeitung besteht. Das Prinzip nennt sich „Verbot mit Erlaubnisvorbehalt“. Eine der möglichen Rechtsgrundlagen für die Verarbeitung von Daten, die eine Person identifizieren oder identifizierbar machen, ist die Einwilligung.

Das Kopplungsverbot soll die Verarbeitung personenbezogener Daten bei Einwilligungen verbieten, wenn die Verarbeitung dieser Daten zur Erfüllung eines Vertrags oder der Bereitstellung einer Dienstleistung nicht erforderlich ist. Die in diesem Artikel beschriebenen Rechtsgrundlagen werden durch das Kopplungsverbot direkt oder indirekt beeinflusst.

Die Rechtgrundlagen Erfüllung eines Vertrags und Einwilligung

Im Kontext des Kopplungsverbots muss zwischen den Rechtsgrundlagen Erfüllung eines Vertrags (gem. Art. 6 Abs. 1 lit. b DSGVO) und Einwilligung (gem. Art. 6 I lit. a DSGVO) unterschieden werden.

Meist kann die Rechtsgrundlage zur Erfüllung eines Vertrags von Firmen als Datenschutz-Wunderwaffe eingesetzt werden. Diese Grundlage erlaubt die Verarbeitung allerdings nur, wenn sie auch erforderlich ist, um Waren oder Services anzubieten. Zur Bereitstellung von Leistungen müssen immer personenbezogene Daten verarbeitet werden. Sei es zur Versendung von Gütern oder bei Dienstleistungen – ohne menschliche Kontaktpersonen oder Informationen zu Personen, auf die eine Leistung zugeschnitten werden soll, geht es in aller Regel nicht. Damit können sich Unternehmen meist auf diese Rechtsgrundlage stützen.

In Fällen, in denen die Verarbeitung von personenbezogenen Daten nicht erforderlich ist, um den Vertrag auszuführen, kann sich ein Verantwortlicher auf die Einwilligung als alternative Rechtsgrundlage stützen. Klassische Beispiele sind die Weitergabe von Kundendaten an Dritte für zusätzliche Zwecke oder Zusendung von Newslettern. Für diese Verarbeitungen holen sich Verantwortliche Einwilligungen ein, die vom Betroffenen freiwillig erteilt werden müssen.

Art. 7 Abs. 4 DSGVO konkretisiert die Freiwilligkeit der Einwilligung und stellt die Brücke zum Kopplungsverbot her. Er besagt, dass eine Einwilligung eventuell nicht freiwillig erteilt wurde, wenn

  • die Erfüllung eines Vertrags oder die Bereitstellung einer Dienstleistung von einer Einwilligung zur Verarbeitung von bestimmten personenbezogenen Daten abhängt und
  • diese Daten nicht erforderlich sind um den Vertrag auszuführen.

Warum sollte beispielsweise eine Banking-App nur unter der Bedingung funktionieren, dass der Nutzerstandort jederzeit ausgelesen werden kann? Mit anderen Worten: Stellt ein Anbieter sein Produkt oder seine Dienstleistung ausschließlich unter der Bedingung zur Verfügung, Daten verarbeiten zu dürfen, die er eigentlich nicht zur Leistungserbringung benötigt, könnte die Einwilligung unfreiwillig erteilt worden sein. Im Ergebnis wäre die Einwilligung unwirksam und dem Anbieter würde die Rechtsgrundlage zur Verarbeitung der Daten fehlen. Das macht eine Verarbeitung illegal.

Demnach gilt das Erforderlichkeitskriterium neben der Erfüllung eines Vertrags auch für die Einwilligung. Die Gegenüberstellung der Rechtsgrundlagen Vertragserfüllung und Einwilligung zeigt: Eine auf strikter Erforderlichkeit beruhende Einwilligung könnte die Handlungsmöglichkeiten für Unternehmen bei der Verarbeitung von Daten deutlich einschränken. Denn die Einwilligung wird allzu gerne als Rechtsgrundlage benutzt, wenn nicht erforderliche Daten doch noch irgendwie rechtmäßig verarbeitet werden sollen.

Das Kopplungsverbot ist ein Schaf im Wolfspelz

Bei genauem Lesen des Art. 7 Abs. 4 DSGVO fällt jedoch auf, dass die fehlende Erforderlichkeit der Verarbeitung nicht zwangsläufig dazu führt, dass eine Einwilligung unfreiwillig erteilt wurde. Anders ausgedrückt: Die DSGVO setzt nicht fest, dass eine Einwilligung bei fehlender Erforderlichkeit unwirksam ist. Viel mehr spricht sie davon, dass bei der Bewertung, ob eine Einwilligung freiwillig erteilt wurde, der Erforderlichkeit „Rechnung getragen“ werden soll. Es gibt demnach viele Kriterien, die die Wirksamkeit bestimmen. Erforderlichkeit ist nur eines davon, ohne spezielles Gewicht zu tragen.

Im Ergebnis handelt es sich um eine Pflicht zur Prüfung, anstelle eines klassischen Verbots. Wir sprechen also eher von einem Kopplungsprüfungsgebot. In vielen Fällen wird dem Verantwortlichen in Zukunft nicht erspart bleiben, eine Abwägung zu treffen, die die Erforderlichkeit der fragwürdigen Datenverarbeitung zumindest analysiert. Es kann aber auch davon ausgegangen werden, dass die Unwirksamkeit der Einwilligung mangels Erforderlichkeit nur in Extremfällen zum Tragen kommt.

Zur Veranschaulichung sei ein Fall genannt, in dem neben Erforderlichkeit zusätzlich die Wahlfreiheit für Betroffene fehlt. Eine Versicherung mit Monopolstellung ist ein Extremfall, wenn sie ihre Leistung nur gegen dauerhafte Überwachung der Vitalfunktionen nebst Beitragszahlung anbietet.

Der Erforderlichkeitsmaßstab für die Erfüllung eines Vertrags gem. Art. 6 Abs. 1 lit. b DSGVO

Doch was passiert mit dem Erforderlichkeitsmaßstab für die Rechtsgrundlage Erfüllung eines Vertrags? Unternehmen ist diese Rechtsgrundlage lieber, weil sie nicht widerrufen werden kann. Die Erforderlichkeit der Verarbeitung für die Erfüllung des Vertrags ist auch hier der Dreh- und Angelpunkt zur Bewertung, ob die Verarbeitung der Daten nötig ist, um die vereinbarte Vertragsleistung zu erfüllen.

Strikt gesehen könnte man davon ausgehen, dass jede Datenverarbeitung, die nicht direkt mit dem Produkt oder der Dienstleistung verwandt ist, auch nicht erforderlich ist. Zum Beispiel wäre ein Nagelstudiobesuch immer auf Bargeld gegen Nagelmodellage beschränkt. Jedem ist aber klar, dass eine Erinnerung zum nächsten Studiobesuch sehr angenehm sein kann. Würde der Erforderlichkeitsmaßstab strikt ausgelegt, dürften die Nagelstudios unseres Beispiels Kunden aber nicht mehr zur Terminerinnerung kontaktieren, da es schlichtweg nicht erforderlich ist, um Nägel aufzuhübschen. Logische Folge so einer strikten Betrachtung ist, dass sich Geschäftsmodelle und Leistungen niemals weiterentwickeln könnten.

Der gegenteilige Ansatz ist es zu sagen, dass alles erforderlich zur Erfüllung des Vertrags ist, was die Parteien vertraglich vereinbart haben. Demnach würden Verantwortliche alle möglichen Verarbeitungen in den Vertrag integrieren und dadurch rechtfertigen. Hier entsteht das Problem, dass Verbraucher bei nicht verhandelbaren Verträgen die Kontrolle über ihre Daten verlieren.

Bisher ist noch unklar welcher der beiden Ansätze vorherrschen wird. In der Regel liegt die Wahrheit in der Mitte. Deshalb ist ein vorläufiger Handlungsvorschlag, die Vertragsgestaltung auf die geplanten Datenverarbeitungen anzupassen. Wenn die Verarbeitungen Teil der versprochenen Vertragsleistung sind, ist nämlich eher davon auszugehen, dass sie für die Erfüllung des Vertrags erforderlich sind.

Bei dem Vorgehen sind einige Dinge zu beachten:

  • Leistungen, die Sie in den Vertrag aufnehmen, müssen auch dauerhaft erbracht werden. Z. B. wären Sie zur Erinnerung an den nächsten Studiobesuch vertraglich verpflichtet, weil davon ausgegangen wird, dass der Kunde dafür bezahlt.
  • Berufen Sie sich immer nur auf eine Rechtsgrundlage. Es ist davon abzuraten, zusätzliche Einwilligungen einzuholen.
  • Erforderlichkeit in Beschäftigungsverträgen: Es gelten spezielle Regeln für die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis (Bewerber und Mitarbeiter). Diese finden sich in § 26 BDSG (Bundesdatenschutzgesetz).

Service gegen Daten im Internet

Neben den zuvor beschriebenen klassischen Vertragsverhältnissen (Produkt gegen Bezahlung), ist in den vergangenen Jahren ein alternatives Zahlungsmodell aufgekommen. Meist werden im Internet Dienstleistungen gegen personenbezogene Daten angeboten. Das kann reine Kontaktdaten betreffen oder bis zur Auslesung von Kaufverhalten oder sozialen Aktivitäten eines Betroffenen reichen. Payback und Facebook sind Beispiele für das Servicemodell gegen Daten, aber auch das Angebot eines Whitepaper-Downloads gegen zwingende Anmeldung zum Newsletter eines Unternehmens.

Das Kopplungsverbot spricht grundsätzlich nicht gegen dieses Servicemodell. Knifflig wird es, wenn Betroffene deutlich weniger aus dem Austauschverhältnis ziehen, als der Anbieter oder wenn die Wahl fehlt, einen alternativen Service zu benutzen. Die Freiwilligkeit ist aber in jedem Fall gegeben, solange vom Anbieter oder anderen Anbietern eine gleichwertige Leistung gegen Geld angeboten wird und eine Ausweichmöglichkeit ohne Nachteile für Betroffene besteht. Das Whitepaper-gegen-Newsletter-Modell bietet Betroffenen genügend Ausweichmöglichkeiten (z. B. Bezahlliteratur) und einen angemessenen Gegenwert zur Subscription (Whitepaper). Zudem hat das Bayerische Landesamt für Datenschutzaufsicht zur Thematik eindeutig Stellung bezogen (siehe S. 72 im PDF). Es sieht den Austausch von Online-Dienstleistungen gegen Newsletter-Subscription als vertragliches Verhältnis, das von Art. 6 Abs. 1 lit. b DSGVO gedeckt ist und demnach keiner Einwilligung bedarf. Voraussetzung sei aber, dass der Nutzer über die verpflichtende Preisgabe von Daten vor Vertragsschluss ausreichend informiert wird.

Ob ein Anbieter bei der Auslesung von Kaufverhalten oder sozialen Aktivitäten eine Monopolstellung innehat, also ein klares Ungleichgewicht besteht, wird zur Kopplungsbeurteilung entscheidender sein, als das Alternativangebot gegen Bezahlung. Das ist der Tatsache geschuldet, dass es in aller Regel schwierig ist, die Höhe der Geldzahlung festzusetzen, die anstatt einer Datenüberlassung fällig wäre. Der Wert der Daten hängt nämlich von der Art und Größe der Datenbank insgesamt ab. Diese Faktoren ändern sich mit der Zeit und sind nicht vorhersehbar.

Fest steht, dass der Beeinträchtigung der Freiwilligkeit der Einwilligung gem. Art. 7 Abs. 4 DSGVO Rechnung zu tragen ist, sobald der eingesetzte Preis eindeutig zu hoch ausfällt. Darüber hinaus steht fest, dass vermeintlich kostenlose Angebote nicht mehr als gratis deklariert werden können, weil transparent auf das Austauschverhältnis Daten gegen Leistung hingewiesen werden muss. Das Ende der Services gegen Daten ist mit dem Kopplungsprüfungsgebot jedenfalls nicht eingeläutet.

Update November 2018

Am 31. August 2018 fällte der Oberste Gerichtshof in Wien (Österreichs höchste Instanz in Zivil- und Strafsachen) ein Urteil in bzgl. des Kopplungsverbots. Dieses ist zwar nicht bindend für Gerichte anderer Mitgliedstaaten, könnte aber zumindest richtungsweisend sein.

Die Richter entschieden, dass eine an die Hauptdienstleistung gekoppelte Einwilligung zur Werbedatenverarbeitung inklusive Datenweitergabe an Dritte nicht mit den Voraussetzungen des Art. 7 Abs. 4 DSGVO vereinbar seien. Eine entsprechende Klausel war in den AGB eines TV-Dienstleisters enthalten, die er Kunden bei Vertragsschluss anerkennen ließ. Das Gericht stellte eine unerlaubte Kopplung der Dienstleistungserbringung mit der Einwilligung zu Werbezwecken fest, weil Werbung zur Erbringung der Dienstleistung nicht erforderlich sei. Zur Entscheidung trug zudem bei, dass Kunden nicht ausreichend transparent auf die Einwilligung in den AGB hingewiesen wurden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

iCloud im Unternehmen

Apple bietet mit iCloud einen umfassenden Dienst an, um Daten von Nutzern extern zu speichern bzw. zu sichern. Dieser Dienst ist für Kunden sicherlich praktisch, aus Compliance- und datenschutzrechtlicher Sicht für Unternehmen allerdings problematisch.

Update, Dezember 2020: Inzwischen bietet Apple mit dem Business Manager-Vertrag eine scheinbar datenschutzkonforme Lösung für Unternehmen an. Dadurch lässt sich zumindest der Kritikpunkt des rein privaten Gebrauchs entkräften. Die restlichen Probleme bleiben hingegen bestehen:

  • Der Begriff der personenbezogenen Daten wird ebenso eigenwillig definiert, wie in den iCloud Nutzungsbedingungen.
  • Apple gibt zwar an, Auftragsverarbeiter zu sein. Jedoch deuten diverse Regelungen im Vertrag nicht darauf hin, dass sich Apple an die Vorgaben des Art. 28 DSGVO halten möchte. Ein Beispiel ist die Rückgabe der Daten nach Vertragsende, in der Apple sich das Recht vorbehält, Daten ohne Herausgabe zu löschen:

„Sie erkennen an und stimmen zu, dass Sie nach Ablauf oder Kündigung dieses Vertrags nicht auf den Dienst zugreifen können und dass Apple sich das Recht vorbehält, den Zugriff auszusetzen oder Daten bzw. Informationen zu löschen, die Sie, Ihre Administratoren, berechtigten Benutzer, berechtigten juristischen Personen oder zugelassenen Benutzer im Zuge Ihrer Nutzung des Diensts gespeichert haben.“

  • Im Vertragstext finden sich noch weitere Beispiele, die im Ergebnis eine Stellung als Auftragsverarbeiter nicht zulassen.
  • Unter Punkt 10.2 findet sich eine „Einwilligung in die Erhebung, Verarbeitung und Nutzung von Daten“. Da es sich hierbei um die personenbezogenen Daten der Nutzer handelt, ist auch eine solche Einwilligung nicht wirksam, da sie nicht von der betroffenen Person selbst abgegeben wurde. Konkret lautet diese Einwilligung im Wortlaut:

„Sie erkennen an und willigen ein in die Erhebung, Verarbeitung, Nutzung und Speicherung von Diagnose-, Technik- und Nutzungsdaten und zugehörigen Informationen, insbesondere eindeutige System- oder Hardwarekennungen, Cookies oder IP-Adressen, Informationen über Ihre Nutzung des Diensts, Ihren MDM-Server, Ihre Geräteregistrierungseinstellungen, Ihre Computer, Ihre Geräte, Ihre System- und Anwendungssoftware sowie andere Software und Peripheriegeräte durch Apple und seine Partner und Vertreter, die regelmäßig erhoben werden, um die Bereitstellung von Diensten im Zusammenhang mit dem Dienst für Sie zu vereinfachen, um Geräte und Dienste von Apple bereitzustellen, zu testen und zu verbessern, für interne Zwecke wie Auditing, Datenanalyse und Recherche zur Verbesserung von Geräten, Diensten und Kundenkommunikation von Apple, um die Bereitstellung von Software und Softwareupdates, Gerätesupport und anderer Dienste für Sie (sofern vorhanden) in Verbindung mit dem Dienst oder etwaiger solcher Software zu vereinfachen, zu Sicherheits- und Accountverwaltungszwecken und um die Einhaltung der Bestimmungen dieses Vertrags zu überprüfen.“

Durch den Apple Business Manager-Vertrag lässt sich zumindest der Kritikpunkt der rein privaten Nutzung beseitigen. Alle anderen datenschutzrechtlichen Probleme bleiben bestehen, weswegen das in diesem Artikel ursprünglich getroffene Fazit Bestand hat.

Die Nutzungsbedingungen für iCloud

Wenn ein Unternehmen Daten in die Cloud verlagern möchte, bietet die iCloud von Apple einen vermeintlich günstigen und praktischen Dienst an. Allerdings lauert bereits in den Nutzungsbedingungen das erste Problem für Unternehmen. Inmitten des Dokuments findet sich folgende Aussage:

Außerdem stimmst du zu, dass der Dienst nur für den privaten Gebrauch bestimmt ist […].

Bereits an dieser Stelle hat sich die Thematik für die meisten Unternehmen erledigt. Offiziell darf iCloud aus Apples Sicht nicht in betrieblichem Kontext eingesetzt werden. Daraus ergibt sich auch, dass Apple in diesem Bereich kein Auftragsverarbeiter sein möchte. Im privaten Bereich findet die Datenschutz-Grundverordnung (DSGVO) gem. Art. 2 Abs. 2 lit. c DSGVO keine Anwendung, weswegen auch ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) gem. Art. 28 DSGVO nicht notwendig wird. Da bei der Nutzung im Unternehmen an Apple jedoch personenbezogene Daten übermittelt und dort verarbeitet werden, müsste ein solcher Vertrag abgeschlossen werden.

Apple und der Datenschutz

Das führt uns zum zweiten Problemfeld, dem Datenschutz. Da es sich offiziell lediglich um private und nicht unternehmerische Daten handelt, nimmt sich Apple gewisse Freiheiten. Und die kann kein Unternehmen akzeptieren, ohne sich nicht datenschutzrechtlich angreifbar zu machen.

Während für Unternehmen sicherlich auch Geschäftsgeheimnisse eine gewisse Relevanz aufweisen, sind aus Sicht des Datenschutzes nur personenbezogene Daten interessant. Daher stellt Apple zunächst klar, was unter personenbezogenen Daten verstanden wird. Apple hat hier bereits ein anderes Verständnis als die DSGVO: Während Art. 4 Nr. 1 DSGVO die Identifizierbarkeit einer Person genügen lässt, fallen für Apple nur Daten darunter, die eine Identifikation auch tatsächlich zulassen. Des Weiteren enthalten die Apple-Dokumente des Öfteren die Formulierung „Du willigst ein“ oder „Du stimmst zu“. Darauf wiederum stützt Apple einen Teil der Datenverarbeitung. Derartige Formulierung genügen jedoch nicht den Anforderungen der DSGVO an eine Einwilligung. Art. 7 DSGVO setzt voraus, dass eine Einwilligung informiert abgegeben wird. Das ist gerade nicht der Fall, wenn sie inmitten eines Fließtextes erfolgt. Zudem ist zumindest fraglich, ob nicht auch das Kopplungsverbot greift. Jedenfalls werden laut Datenschutzrichtlinie Daten von Apple für eigene Zwecke verarbeitet und auch an Dritte weitergegeben. Da die Einwilligung jedoch nicht wirksam ist, erfolgt (aus Sicht der DSGVO) eine widerrechtliche Datenverarbeitung. Für Unternehmen kommt erschwerend hinzu, dass sie nicht die Einwilligung für ihre Kunden, Mitarbeiter, etc. abgeben können.

Auch zu bedenken ist, dass Apple nicht alle übertragenen Daten verschlüsselt. Während Dienste wie iMessage und der Schlüsselbund Ende-zu-Ende-verschlüsselt sind, gilt dies nicht für den Kalender oder die Kontakte. Es ist also anzunehmen, dass Apple auch hier personenbezogene Daten zu eigenen Zwecken verarbeitet. Damit kommen bei der Nutzung von iCloud die gleichen Bedenken wie bei der Verwendung von WhatsApp im Unternehmen.

Fazit: Nutzen Sie Alternativen zu iCloud

Nach aktuellem Stand bietet Apple keinen Cloudservice an, der den Anforderungen eines Unternehmens entspricht. Zum einen ist eine Nutzung im Unternehmen von Apple ausdrücklich nicht gewünscht, zum anderen sind die datenschutzrechtlichen Probleme nicht wegzudiskutieren. Vielleicht ist Letzteres der Grund, weswegen Apple seinen Service nicht für Unternehmen anbieten möchte.

Nutzt ein Unternehmen dennoch iCloud, droht aufgrund diverser Datenschutzverstöße die Gefahr einer Beanstandung durch die Aufsichtsbehörde. Schließlich verarbeiten Unternehmen auch die Daten ihrer Mitarbeiter und Kunden, die gerade nicht ohne Weiteres bei einem Dritten gespeichert werden dürfen (Stichwort AV-Vertrag). Glücklicherweise gibt es ausreichend Alternativen, die sowohl aus Compliance- als auch aus Datenschutzsicht die notwendigen Voraussetzungen mitbringen.

Dieser aktualisierte Artikel erschien zuerst am 22. August 2012.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Rechtsverstoß des Cloud-Anbieters – was müssen Unternehmen tun?

Kommt es zu Verstößen eines eingesetzten Cloud-Anbieters gegen geltendes Recht, sollten Unternehmen umgehend handeln. Denn aus rechtlicher Sicht stellt die Datenverarbeitung durch einen Cloud-Anbieter eine Auftragsverarbeitung (AV) dar. Dabei bleibt der Auftraggeber für die Datenverarbeitung verantwortlich. Konsequenterweise ist der Verantwortliche gesetzlich dazu verpflichtet, den Cloud-Anbieter regelmäßig auf die Einhaltung bestimmter rechtlicher Vorgaben zu kontrollieren. Kommt es zu Abweichungen oder offensichtlichen Rechtsverstößen, hilft das folgende Vorgehen.

Was tun, wenn der Cloud-Anbieter Probleme bereitet?

Stellt der Auftraggeber einen Verstoß des Cloud-Dienstleisters gegen die im AV-Vertrag getroffenen Vereinbarungen oder geltendes Datenschutzrecht fest, so hat er zunächst den Schweregrad des festgestellten Verstoßes zu bewerten. Dafür bietet sich die Einteilung in mittelschwere, schwere und sehr schwere Verstöße an. Bei der Bewertung sind folgende Kriterien zu berücksichtigen:

Art und Schutzbedarf der Daten

Mittlerer Verstoß

Daten der Personalabrechnung (Vergütungsgruppe, KFZ-Kennzeichen, Adressdaten)

Schwerer Verstoß

Gesundheitsdaten, Religionszugehörigkeit

Sehr schwerer Verstoß

Medizinische Daten lebenserhaltender Systeme, Aufenthaltsdaten prominenter Personen

Beeinträchtigung des Rechts auf informationelle Selbstbestimmung

Mittlerer Verstoß

Beeinträchtigung für Betroffene tolerabel

Schwerer Verstoß

Erhebliche Beeinträchtigung möglich

Sehr schwerer Verstoß

Sehr massive Beeinträchtigung möglich

Entstandene oder drohende Schäden

Mittlerer Verstoß

Keine bis geringe Schäden

Schwerer Verstoß

Erhebliche Schäden

Sehr schwerer Verstoß

Existenzbedrohende Schäden

Ursachen des Verstoßes

Mittlerer Verstoß

Weder vorsätzliches noch fahrlässiges Handeln

Schwerer Verstoß

Fahrlässige Verursachung

Sehr schwerer Verstoß

Vorsätzliche Verursachung

Getroffene Sicherheitsmaßnahmen

Mittlerer Verstoß

Angemessener Schutz trotz Verstoß vorhanden

Schwerer Verstoß

Kein ausreichender Schutz

Sehr schwerer Verstoß

Gravierende Sicherheitslücken

Maßnahmen bei festgestellten Rechtsverstößen des Cloud-Anbieters

Nach erfolgter Kategorisierung der Rechtsverstöße sind entsprechend den oben aufgeführten Kategorien bestimmte Reaktionen des Auftraggebers angezeigt.

Mittlerer Verstoß des Cloud-Anbieters:

Schwerer Verstoß des Cloud-Anbieters:

  • Einschaltung des Datenschutzbeauftragten
  • Meldung des Falles an zuständige Aufsichtsbehörde
  • Information der Betroffenen
  • Aufforderung zur unverzüglichen Behebung des Verstoßes (max. eine Woche)
  • Kontrolle der Behebung
  • Einstellung der Datenverarbeitung sowie Übersendung der Daten an den Cloud-Anbieter
  • Kündigung des Auftrages

Sehr schwerer Verstoß des Cloud-Anbieters:

  • Einschaltung des Datenschutzbeauftragten
  • Meldung des Falles an zuständige Aufsichtsbehörde
  • Information der Betroffenen
  • Fristlose Kündigung des Auftrages
  • Migration der Daten zu einem anderen Cloud-Anbieter
  • Sicherstellung der Löschung der Daten beim ehemaligen Cloud-Anbieter

Vorbeugung: Sorgfältige Auswahl des Cloud-Anbieters

Da in gewissen Fällen eine Kündigung des Cloud-Hosting-Auftrages angezeigt ist, hat der Auftraggeber bereits im Vorfeld Maßnahmen zu treffen, die eine allzu große Abhängigkeit von einem bestimmten Cloud-Anbieter verhindern. Unternehmen sollten diesbezüglich schon bei der Auswahl eines Cloud-Anbieters bestimmte Kriterien beachten. Gerade in Hinblick auf das Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO ist dieser Punkt von großer Wichtigkeit. Im Übrigen existieren auch sog. Migrationsdienste, die bei der Datenübertragung zwischen Cloud-Anbietern behilflich sind und mögliche bestehende Inkompatibilitäten beseitigen können.

Dieser aktualisierte Artikel erschien zuerst am 23. Februar 2015.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am: