Pflichten des Auftragsverarbeiters nach DSGVO

Die Verarbeitung von Daten im Auftrag bringt für den Auftragsverarbeiter einige Pflichten mit sich. Nach der Datenschutz-Grundverordnung (DSGVO) ist der Auftragsverarbeiter für die Verarbeitung personenbezogener Daten mitverantwortlich. Auf einige Punkte sollten Dienstleister bei der Auftragsverarbeitung besonders achten – sonst drohen neben der Inanspruchnahme auf Schadensersatz ebenfalls empfindliche Strafen!

Vertragliche Pflichten des Auftragsverarbeiters

Wichtig ist zunächst der Abschluss eines Vertrages zur Auftragsverarbeitung oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten gem. Art. 28 DSGVO. Ohne einen solchen schriftlichen Vertrag besteht keine Rechtsgrundlage für die Verarbeitung durch den Auftragsverarbeiter. Ein fehlender Vertrag führt somit dazu, dass der Auftragsverarbeiter nicht die Vorteile der Privilegierung genießen kann.

Neben gewissen Mindestangaben rund um die datenschutzrechtlichen Rahmenbedingungen des Auftrages, muss dieser Auftragsverarbeitungsvertrag (AV-Vertrag) die in Art. 28 Abs. 3 DSGVO festgelegten Mindestinhalte aufgewiesen. Ohne diese Mindestangaben ist die gesamte Auftragsverarbeitung mangels Rechtsgrundlage unwirksam.

Gesetzliche Pflichten des Auftragsverarbeiter

Neben den Pflichten des Auftragsverarbeiters, welche zwingend im AV-Vertrag geregelt sein müssen, bestehen weitere gesetzliche Pflichten:

Führung eines Verzeichnisses von Verarbeitungstätigkeiten

Jeder Auftragsverarbeiter muss ein schriftliches oder elektronisches Verzeichnis über alle Verarbeitungstätigten der Auftragsverarbeitung führen. Hierzu sieht Art. 30 Abs. 2 DSGVO den erforderlichen Inhalt vor. Es handelt sich im Gegensatz zum Verzeichnis der Verarbeitungstätigkeiten von Verantwortlichen (Art. 30 Abs. 1 DSGVO) um eine deutlich verkürzte Version (in unserem Datenschutzportal finden Sie beide Varianten zum kostenlosen Download). Dieses Verzeichnis ist der Aufsichtsbehörde auf Anfrage gem. Art. 30 Abs. 4 DSGVO zur Verfügung zu stellen.

Zusammenarbeit mit der Aufsichtsbehörde

Art. 31 DSGVO verpflichtet den Auftragsverarbeiter auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgabe zusammen zu arbeiten. Diese Pflicht gilt jedoch nur hinsichtlich Sachverhaltsaufklärungen, die sich ausschließlich mithilfe des Auftragsverarbeiters erreichen lassen. Eine bloße Arbeitserleichterung der Aufsichtsbehörde ist hiermit nicht gemeint.

Vertreter für Auftragsverarbeiter in Drittländern

Auftragsverarbeiter, die keine Niederlassung in der EU haben und personenbezogene Daten von EU-Bürgern verarbeiten, müssen ggfs. gem. Art. 27 Abs. 1 DSGVO schriftlich einen Vertreter in der Union bestellen. Dies ist etwa erforderlich, wenn der Auftragsverarbeiter dem Betroffenen in der Union Waren oder Dienstleistungen anbietet oder wenn der Auftragsverarbeiter das Verhalten Menschen innerhalb der EU beobachtet.

Übermittlungen von Daten an Drittländer und internationale Organisationen

Der Auftragsverarbeiter hat ebenfalls die Beschränkungen für Datenübermittlungen an Unternehmen in Drittländern und internationale Organisationen gem. Art. 44 ff. DSGVO zu beachten. Personenbezogene Daten dürfen nur dann übermittelt werden, wenn die Verarbeitung insgesamt den Anforderungen der DSGVO genügt und im Empfängerland vergleichbare datenschutzrelevante Schutzmechanismen für Betroffene vorgesehen sind.

Als Schutzmechanismen kommen mehrere Möglichkeiten in Betracht.

  • Angemessenheitsbeschluss: Einige Länder außerhalb der Europäischen Union wurden aufgrund ihrer datenschutzrechtlichen Gesetzgebung durch die Europäische Kommission als vergleichsweise sicher anerkannt. Hierzu gehören: Andorra, Argentinien, Färöer, Guernsey, Isle of Man, Israel, Jersey, Kanada, Neuseeland, Schweiz, Uruguay und Vereinigte Staaten (sofern das Unternehmen unter dem EU-U.S. Privacy Shield zertifiziert ist).
  • Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules): Verbindliche interne Datenschutzvorschriften sind derzeit noch sehr selten. Hierbei handelt es sich um interne Regelungen, die sich ein Unternehmen selbst auferlegt. Diese müssen im Wege eines Kohärenzverfahrens von der zuständigen Aufsichtsbehörde genehmigt werden.
  • Standardvertragsklauseln (Standard Contractual Clauses): Bei den Standardvertragsklauseln handelt es sich um die üblichste eingesetzte Datenschutzgarantie. Hierbei werden neben dem AV-Vertrag diese von der Europäischen Kommission vorgegebene Vertragsregelung unterzeichnet. Diese dürfen nicht inhaltlich abgeändert werden, da sie ansonsten nicht mehr als Datenschutzgarantie anerkannt werden.

Risiken des Auftragsverarbeiters

Haftung des Auftragsverarbeiters

Nach Art. 82 DSGVO haften Verantwortliche und Auftragsverarbeiter bei Verletzung der in der DSGVO aufgeführten Pflichten für die beim Betroffenen eingetretenen immateriellen und materiellen Schäden gesamtschuldnerisch. Gesamtschuldnerische Haftung bedeutet, dass der Geschädigte den Schaden nach seiner Wahl entweder beim Verantwortlichen oder beim Auftragsverarbeiter im vollen Umfang herausverlangen kann, unabhängig von der Verantwortlichkeit des Schadenseintritts. Erst nachträglich kann der Auftragsverarbeiter im Innenverhältnis vom Verantwortlichen den Anteil des Schadens zurückfordern.

Der Auftragsverarbeiter kann sich von der Haftung nur dann befreien, wenn er nachweisen kann, dass er sämtliche Verpflichtungen bei der Datenverarbeitung erfüllt hat und „in keinerlei Hinsicht […] verantwortlich ist“.

Drohende Geldbußen für Auftragsverarbeiter

Verarbeiter bzw. Dienstleister sollten die Pflichten im Rahmen der Auftragsverarbeitung nicht auf die leichte Schulter nehmen. Werden die Vorgaben nicht erfüllt, drohen zusätzlich zur oben genannten Haftung je nach Art und Schwere der Ordnungswidrigkeit und unabhängig davon, ob ein Schaden eintritt, Geldbußen von bis zu 20.000.000 Euro oder bis zu 4 % des gesamten weltweit erzielten Umsatzes des vorangegangenen Jahres – je nachdem, welcher Betrag höher ist.

Fazit: Solide schriftliche Vereinbarungen helfen

Unter der DSGVO müssen Auftragsverarbeiter zahlreiche Pflichten erfüllen. Das ist nur konsequent, denn ein hohes Datenschutzniveau muss an jeder Stelle der Verarbeitung gewährleistet werden. Wer jedoch als Dienstleister gegenüber dem Auftraggeber bzw. Verantwortlichen auf einen korrekten Auftragsverarbeitungsvertrag besteht und selbst ein Verzeichnis über Verarbeitungstätigkeiten führt, ist einen großen Schritt weiter.

Dieser aktualisierte Artikel wurde zuerst am 8. September 2017 veröffentlicht.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Privilegierung des Auftragsverarbeiters unter der DSGVO

Die Datenschutz-Grundverordnung (DSGVO) macht bzgl. der Verarbeitung von Daten im Auftrag keine expliziten Aussagen dazu, ob Auftragsverarbeiter privilegiert sind. Nach langer Diskussion sind die deutschen Datenschutz-Aufsichtsbehörden jedoch zu einer gemeinsamen Sichtweise gekommen.

Was bedeutet Privilegierung bei der Auftragsverarbeitung?

Grundsätzlich dürfen Unternehmen personenbezogene Daten nur dann verarbeiten, wenn dies gesetzlich erlaubt ist oder der Betroffene dies durch eine Einwilligung genehmigt. Dies gilt ebenfalls für den Fall, dass ein Unternehmen personenbezogene Daten zwecks Verarbeitung oder Speicherung an ein anderes Unternehmen übermitteln möchte.

Eine Privilegierung bedeutet, dass der Verantwortliche personenbezogene Daten im Rahmen der Auftragsverarbeitung ohne eine gesonderte gesetzliche Erlaubnis oder Einwilligung des Betroffenen an einen Auftragsverarbeiter weitergeben darf. Der Auftragsverarbeiter wird unter der DSGVO somit als Teil der verantwortlichen Stelle behandelt.

Die Privilegierung des Auftragsverarbeiters

Die Deutschen Aufsichtsbehörden sind sich laut einer Stellungnahme des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) über die Privilegierung der Auftragsverarbeiter einig. Dies ist aus Sicht der Praxis sehr zu begrüßen und hat unter anderem folgende Konsequenzen:

  1. Es ist keine zusätzliche Rechtsgrundlage notwendig, um einen Dienstleister mit der Verarbeitung von personenbezogenen Daten zu beauftragen. Es genügt, dass der Auftraggeber die geplante Verarbeitung selbst rechtmäßig vornehmen kann.
  2. Die Auftragsverarbeitung ist unter der DSGVO auch bei Dienstleistern außerhalb der EU beziehungsweise des EWR möglich. Soweit die zusätzlichen Anforderungen einer Drittlandsübermittlung (Datenschutzgarantie gem. Art. 44 ff. DSGVO) erfüllt sind, bedarf es keiner zusätzlichen Rechtsgrundlage zur Übermittlung von Daten an Auftragsverarbeitern in Drittländern.
  3. Die Änderung des § 203 Abs. 3 StGB erlaubt Berufsgeheimnisträgern den Einsatz von Auftragsverarbeitern.

Dieser aktualisierte Beitrag wurde zuerst am 18. Oktober 2017 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Auftragsverarbeitung für Berufsgeheimnisträger

Für Ärzte, Anwälte und andere Berufsgeheimnisträger ist der Einsatz von Dienstleistern bei der Verarbeitung von personenbezogenen Daten besonders heikel. Doch die Änderung des entscheidenden Paragrafen im Strafgesetzbuch (StGB) hat Erleichterung und Rechtssicherheit bei der Auftragsverarbeitung für Berufsgeheimnisträger gebracht.

Das frühere Problem für Berufsgeheimnisträger

§ 203 StGB regelt die strafrechtliche Behandlung von Verstößen gegen das Berufsgeheimnis. Bei der Auftragsverarbeitung gab es für Berufsgeheimnisträger einen sehr gut versteckten Fallstrick: Man konnte datenschutzrechtlich als Arzt, Anwalt etc. alles richtigmachen und trotzdem eine Straftat begehen.

Notwendig war dazu nicht mehr, als einen korrekten Vertrag zur Auftragsverarbeitung zu schließen, ohne daran zu denken, dass dies nicht den Verstoß gegen das Berufsgeheimnis (§ 203 StGB) beseitigt. Hier musste zusätzlich daran gedacht werden, sich von jedem einzelnen Mandanten oder Patienten von der Schweigepflicht entbinden zu lassen.

Änderung des Strafgesetzbuches

Am 9. November 2017 trat das „Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen“ in Kraft. Der problematische § 203 StGB wurde damit geändert.

Der neue Absatz 3 stellt klar, dass bei Einbeziehung bestimmter Dienstleister keine unbefugte Offenbarung erfolgt. Notwendig ist dafür, dass die mitwirkende Person in die berufliche Tätigkeit der schweigepflichtigen Person einbezogen ist. Diese Einbeziehung muss außerdem im Einvernehmen mit der schweigepflichtigen Person erfolgen. Unter diesen Voraussetzungen liegt selbst ohne ausdrückliche Entbindung kein Verstoß gegen die Schweigepflicht vor.

Dieser aktualisierte Artikel wurde zuerst am 26. Juli 2017 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

TOM-Nachweise: 4 typische Fehler und deren Lösung

Auch ein sehr hohes Datenschutzniveau im Unternehmen wird leicht untergraben, wenn die technischen und organisatorischen Maßnahmen (TOM) von eingesetzten Dienstleistern nicht ausreichen. Die TOM-Nachweise von Auftragsverarbeitern sind jedoch oft ungeeignet. In diesem Artikel erfahren Verantwortliche, wie sie die vier wichtigsten Fehler erkennen und Auftragsverarbeiter, was sie stattdessen in die Nachweise über technische und organisatorische Maßnahmen schreiben sollten.

Hintergrund: Warum sind TOM-Nachweise so wichtig?

Unternehmen bemühen sich verstärkt um den Aufbau eines unternehmensinternen Datenschutzniveaus, das den Anforderungen der Datenschutz-Grundverordnung (DSGVO) genügt. Dieses Datenschutzniveau darf nicht dadurch verloren gehen, dass Teile der Verarbeitung auf Dienstleister ausgelagert werden.

Auftragsverarbeiter ohne nachweisbare, dokumentierte Darstellung ausreichender technischer und organisatorischer Maßnahmen dürfen nach Art. 28 Abs. 1 DSGVO nicht beauftragt werden. Derzeit kursieren solche TOM-Nachweise in unterschiedlichsten Detailgraden von einseitigen stichpunktartigen Ausführungen bis hin zu zwanzigseitigen Datenschutzkonzepten, wobei die längeren Versionen nicht zwingend aussagekräftigere und besseren Nachweise darstellen.

1. Fehler: Mangelnde Aussagekraft der TOM-Nachweise

Das am häufigsten auftretende Problem bei TOM-Nachweisen ist die mangelnde Aussagekraft der Maßnahmenbeschreibungen: Es muss klar hervorgehen, welche konkreten Maßnahmen der Dienstleister trifft, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Diese sollten derart detailliert beschrieben werden, dass der Verantwortliche sich ein realistisches Bild davon machen kann, ob das, was der Dienstleister tut, ausreichend ist oder nicht.

Dies ist nicht nur für die Auswahlpflicht nach Art. 28 Abs. 1 DSGVO relevant, sondern auch zur Durchführung von Risikoanalysen. Denn bei Verarbeitungen mit einem hohen Risiko muss der Verantwortliche nach Art. 35 DSGVO eine Datenschutz-Folgenabschätzung durchführen. Zur Ermittlung des Risikos sind die unternehmenseigenen technischen und organisatorischen Maßnahmen, aber auch die der Auftragsverarbeiter maßgeblich (Art. 35 Abs. 7 und 8 DSGVO, Art. 36 Abs. 2 und 3 DSGVO). Hierfür ist der Verantwortliche auf die durch den Auftragsverarbeiter bereitgestellten Informationen angewiesen.

Achtung: Auftragsverarbeiter sind verpflichtet, Verantwortliche dabei zu unterstützen, der Pflicht zur Meldung von Datenschutzvorfällen nachzukommen. Hierfür ist es nicht ausreichend, dies nur vertraglich zuzusichern, es sind auch die entsprechenden TOM zu treffen. Es ist z. B. erforderlich, Mitarbeiter hinreichend zu schulen sowie einen funktionierenden Eskalationsweg zu gewährleisten. Informationen dazu gehören unbedingt in entsprechende TOM-Nachweise!

Lösung: Klare vertragliche Vereinbarungen

Die Lösung für das Problem unkonkreter TOM-Nachweise liegt darin, bereits im Auftragsverarbeitungsvertrag (AV-Vertrag) klar zu regeln, welche Maßnahmen der Dienstleister überhaupt schuldet. Das vertraglich geschuldete Datenschutzniveau sollte einerseits im Interesse des Verantwortlichen einklagbar sein. Andererseits sollte der Auftragsverarbeiter darlegen können, welche Maßnahmen er nicht schuldet.

2. Fehler: Fehlende Relevanz der TOM-Nachweise

Die vom Auftragsverarbeiter getroffenen TOM müssen für die erbrachte Dienstleistung relevant sein. Erbringt der Dienstleister etwa seine Leistung in Gestalt der Fernwartung von IT-Systemen und speichert lokal keine Daten, so ist sein Back-up-Plan für dieses Auftragsverarbeitungsverhältnis irrelevant.

Dies ist jedoch nicht mit jenen Fällen zu verwechseln, in denen TOM nur mittelbar etwas mit der Dienstleistung zu tun haben, aber dennoch relevant sind. Verarbeitet ein Dienstleister etwa als Cloud-Anbieter lokal Daten, so muss er neben den unmittelbaren und offensichtlichen Sicherheitsmaßnahmen (wie einer sicheren verschlüsselten Datenübertragung) ebenfalls für die physische Sicherheit der Daten sorgen, etwa durch eine angemessene Besucherregelung im Rechenzentrum.

Lösung: Bezug von Dienstleistung und TOM klarstellen

Bei der Prüfung von TOM-Nachweisen sollten Verantwortliche zunächst eingrenzen, welche Leistung der Dienstleister überhaupt erbringt, welches Risiko mit der Verarbeitung verbunden ist und wo die Daten verarbeitet werden. Anschließend ist zu ermitteln, welche TOM des Auftragsverarbeiters relevant und entscheidungserheblich sind.

3. Fehler: Untaugliche Maßnahmen in den TOM

Problemtisch ist es auch, wenn die getroffenen TOM zur Erreichung eines Schutzziels untauglich sind. Nach Art. 32 Abs. 1 b) DSGVO sollen Unternehmen z. B. Maßnahmen treffen, um die Belastbarkeit der datenverarbeitenden Systeme sicherzustellen. Unter Belastbarkeit wird verstanden, dass Systeme die Fähigkeit besitzen, mit risikobedingten Veränderungen umzugehen und eine Toleranz und Ausgleichsfähigkeit gegenüber Störungen aufweisen.

Wenn nun in TOM-Nachweisen unter der Überschrift Belastbarkeit steht, dass ein Brandschutz bei den IT-Systemen gewährleistet wird, dann ist diese Maßnahme zwar nicht irrelevant, hat jedoch nichts mit Belastbarkeit zu tun. Es entsteht also fälschlicherweise der Eindruck, dass Maßnahmen zur Belastbarkeit getroffen werden.

Lösung: Schutzziel und Maßnahmen in Beziehung setzen

Prüfen Sie, was das eigentliche Schutzziel ist, bevor Sie sich überlegen, was die hierfür geeigneten Sicherheitsmaßnahmen sind. Hier hilft ein Blick in § 64 BDSG. Der Paragraph ist zwar selbst nicht einschlägig, weil er nur für Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung anwendbar ist. Der Inhalt ist dennoch für alle interessant. Dort sind die meisten in Art. 32 DSGVO genannten Schutzziele genannt und verständlich definiert.

Alternativ können Sie die TOM-Nachweise mit unserer kostenlosen Checkliste zur Überprüfung von technischen und organisatorischen Maßnahmen bei Auftragsverarbeitern vergleichen.

4. Fehler: Untaugliche oder ungenügende Zertifikate

Getroffene TOM können ebenfalls durch Zertifikate nachgewiesen werden. Leider werden hierfür oftmals untaugliche oder zumindest ungenügende Zertifikate vorgelegt.

Zertifikate können eine Erleichterung bei der Auswahl oder Prüfung von Dienstleistern bieten. Allerdings ist zu beachten, dass Zertifikate lediglich als Faktor berücksichtigt werden dürfen. Mit anderen Worten: Zertifikate stellen lediglich ein Indiz, jedoch keinen Beweis für das Vorliegen hinreichender TOM dar. Es ist weiterhin eine Gesamtbeurteilung durch hinreichende Informationen und Nachweise notwendig.

Auch für die Indizwirkung ist es erforderlich, dass der Prüfungsumfang und -maßstab des Zertifikats bekannt ist. Dies ist etwa bei einer Zertifizierung nach ISO 27001 der Fall, weil es sich um eine Norm handelt. Derzeit kursieren jedoch einige Datenschutz-Zertifikate ohne eine solche Aussagekraft. Hierbei handelt es sich meist um Datenschutz-Zertifikate, die auf von Unternehmen eigens entwickelten und nicht veröffentlichen Standards beruhen. Was genau geprüft wird oder auf welchen Maßstäben das Ergebnis beruht, kann nicht ohne Weiteres nachvollzogen werden.

Lösung: Zertifikate hinterfragen, prüfen und in den Kontext einordnen

Liegen Datenschutz-Zertifikate vor, sollten Verantwortliche vom Auftragsverarbeiter entweder den Prüfungsumfang samt -maßstab oder gleich den ausführlichen Prüfbericht erfragen. Erst dadurch ist sicherzustellen, ob das Datenschutz-Zertifikat relevant und aussagekräftig ist.

Aber auch bei ISO-27001-Zertifikaten ist zu beachten, dass diese keine DSGVO-Besonderheiten enthalten, so dass weiterhin Nachweise zu DSGVO-spezifischen Maßnahmen notwendig sind, etwa zum Datenschutz-Management, Incident-Response-Management oder zu Privacy by Design bzw. Default.

Fazit: Gute TOM-Nachweise schaffen Rechtssicherheit

Geeignete TOM-Nachweise müssen hinreichend konkret sein und aussagekräftig darstellen welche für die zu erbringende Dienstleistung relevanten Maßnahmen getroffen werden. Als Indiz dürfen hierfür auch Zertifikate herangezogen werden, sind jedoch als alleiniges Beweismittel nicht geeignet.

Die ausführliche Regelung der TOM sind nicht nur reine Formalie zur Erfüllung der Auswahlpflicht durch den Verantwortlichen. Es liegt auch im Interesse des Auftragsverarbeiters, genau zu definieren, welche Maßnahmen geschuldet sind und welche nicht. Ferner ermöglichen es hinreichend konkrete TOM-Nachweise Auftragsverarbeitern, weiterhin als auswahlfähiger Dienstleister wettbewerbsfähig zu bleiben.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Umsetzung der informierten Einwilligung nach DSGVO

Die informierte Einwilligung ist für die Legitimation der Datenverarbeitung sehr wichtig. In der Praxis stellen sich jedoch meist Problem, die umfassende Information der Nutzer rechtskonform zu gestalten. Wie kann also die informierte Einwilligung im Rahmen der modernen Technik in der Praxis umgesetzt und sichergestellt werden? Welche Möglichkeiten gibt es, den Nutzer möglichst übersichtlich und transparent zu informieren?

Die Herausforderung der informierten Einwilligung

Die Einwilligung ist eine der möglichen Rechtsgrundlagen, welche es dem Verantwortlichen erlauben, personenbezogene Daten zu verarbeiten. Eine rechtskonforme Einwilligung setzt jedoch voraus, dass der Betroffene ausreichend von Umfang und Reichweite der Verarbeitung informiert wird. Ziel ist es somit, dass die Betroffene sich darüber im Klaren sind, worin genau sie einwilligen.

In der Praxis stellt es sich jedoch immer wieder als problematisch heraus, wie die Informiertheit des Betroffenen sichergestellt werden kann, damit die Wirksamkeit der Einwilligung gewährleistet ist. Viele Betroffene sind angesichts der Informationsflut, die mit der Nutzung von Online-Diensten einhergeht und in die sie vor der Benutzung einwilligen müssen, schlichtweg überfordert.

Dies ist nicht weiter verwunderlich, wenn man bedenkt, dass z. B. die Datenschutzbestimmung von Facebook knapp zehn DIN-A4-Seiten lang ist. Solche nahezu endlosen Datenschutzbestimmungen sind leider keine Seltenheit, obwohl Erwägungsgrund 42 DSGVO ausdrücklich vorgibt, dass die Einwilligungserklärung „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden“ muss. Dies entspricht auch den Vorgaben des § 13 TMG.

Gesetzliche Theorie vs. Praxistauglichkeit

Die gesetzlichen Normen sollen das Recht der Verbraucher auf informationelle Selbstbestimmung schützen. So müssen die Datenschutzbestimmungen alle beabsichtigten Verarbeitungsvarianten personenbezogener Daten nennen. Doch durch den technischen Fortschritt werden die Methoden der Datenverarbeitung und mit ihr einhergehend auch die datenschutzrechtlichen Bestimmungen immer komplexer. Praktisch stellt sich das Problem, dass durch die immer ausschweifenderen Regelungen dem Erfordernis der informierten Einwilligung kaum noch entsprochen werden kann. Faktisch existiert die Entscheidungsfreiheit des Einzelnen in Form des informationellen Selbstbestimmungsrechts also nur noch als gesetzliche Regelung auf dem Papier.

Derzeit erscheint es tatsächlich äußerst schwierig, eine vollständige Informiertheit beim Betroffenen zu erreichen. Es ist schlichtweg unverhältnismäßig, dass der Internetnutzer zeitlich einen viel größeren Aufwand für das Lesen der Datenschutzbestimmungen aufwenden muss, als für den gesamten Vertragsabschluss oder etwa den Registrierungsprozess.

Daher besteht dringender Bedarf an neuen Instrumentarien, die im Rahmen der heutigen und zukünftigen Bedingungen der digitalen Vernetzung eine informierte Einwilligung sicherstellen können. Mit anderen Worten: Das theoretische Konzept der informierten Einwilligung muss auch in der Praxis umsetzbar sein und bleiben. Hierfür bieten sich verschiedene Methoden an, die im Folgenden näher erläutert werden.

1. Lösung: Datenschutzbestimmungen auf einem Blick mit einem „One-Pager“

Die vom Bundesministerium für Justiz und für Verbraucherschutz betriebene Plattform „Verbraucherschutz in der digitalen Welt“ stellt Unternehmen eine Vorlage zur Verfügung, mit der sie die wichtigsten Datenverwendungsrichtlinien auf einem Blick auf nur einer Seite präsentieren können. Dafür werden mit Hilfe von Links und Mouseover-Funktion die Bestimmungen auf mehreren Ebenen angeordnet. Ohne eine faktische Verkürzung der Bestimmungen in Kauf nehmen zu müssen, kann der Umfang der Datenschutzbestimmung zumindest optisch stark verkürzt dargestellt werden. Damit kann dem Grundsatz der informierten Einwilligung weiterhin entsprochen werden.

Praktische Probleme in Bezug auf die Übersichtlichkeit könnten sich bei der Darstellung auf mobilen Endgeräten ergeben. Eine zusätzliche Gefahr besteht darin, dass die Rechtsprechung die Mouseover-Funktion in Bezug auf Unterrichtungspflichten mehrfach als unzureichend erachtet hat, weil nicht sichergestellt werden kann, dass jeder Nutzer die Informationen, die erst nach einem kurzen Verweilen mit dem Cursor auf einem bestimmten Wort erscheinen, tatsächlich zur Kenntnis nimmt.

2. Lösung: Mehr Übersichtlichkeit durch die Verwendung von Symbolen

Alternativ können die Datenschutzbestimmungen anhand von farblichen Piktogrammen visualisiert werden. Dies könnte z. B. so aussehen, dass eine Einteilung in drei verschiedene Spalten erfolgt:

  • In der ersten Spalte werden verschiedene Verwendungsarten mithilfe von Bildsymbolen illustriert, wie bspw. Umfang, Art und Weise der Datennutzung oder auch die verschlüsselte Aufbewahrung personenbezogener Daten.
  • In der zweiten Spalte fänden sich Beschreibungen zu den Verwendungsarten.
  • In der dritten Spalte würde mit Hilfe von Symbolen (grünes Hakensymbol = Bestätigung, rotes Kreuzsymbol = Verneinung des Vorhandenseins der Verwendungsart) Angaben darüber gemacht, ob das Unternehmen von der jeweiligen Verwendungsart Gebrauch macht.

Der wohl größte Vorteil liegt darin, dass die Datenschutzbestimmungen durch die Visualisierung transparent und leicht zugänglich dargestellt werden. In Datenschutz-Grundverordnung ist der Einsatz von Bildsymbolen immerhin als freiwillige Option vorgesehen (Art. 12 Abs. 7 DSGVO).

3. Lösung: Höherer Aussagegehalt durch farbliches „Ampel-System“

Trotz möglicher Darstellung mittels Bildsymbolik dürfte es dem Betroffenen in Bezug auf eine informierte Einwilligung schwerfallen, eine Einschätzung darüber zu treffen, wie stark er durch die jeweilige Verwendungsart in seinem informationellen Selbstbestimmungsrecht berührt wird. Aus diesem Grund wäre ergänzend zur bildlichen Darstellung eine Bewertung der einzelnen Kategorien empfehlenswert.

Dafür bietet sich das in verschiedenen Bereichen der Konsumenteninformation bereits verbreitete farbliche „Ampel-System“ an:

  • Rot bedeutet eine hohe Beeinträchtigung;
  • gelb eine mittlere Beeinträchtigung und
  • grün eine Beeinträchtigung mit geringer Intensität.

Auf diese Weise könnten Betroffene schnell erkennen, inwiefern sie durch die Datenverwendungsarten des jeweiligen Unternehmens in ihrem Recht auf informationelle Selbstbestimmung betroffen wären. Die Bewertung könnte sich anhand der erhobenen Datenmenge, ihrer Art und dem Zweck ihrer Verwendung kategorisieren lassen.

Negative Bewertungskriterien könnten z. B. sein, dass das Unternehmen sensible Daten erhebt oder Daten auch nach der Erreichung ihres Verarbeitungszweckes weiterverarbeitet. Positive Bewertungskriterien wären z. B., dass das Unternehmen erleichterte Bedingungen für die Betroffenen zur Wahrnehmung ihrer Rechte (auf Auskunft, Berichtigung, Sperre, Löschung und Widerspruch) schafft.

Ein besonders wichtiges Bewertungskriterium wäre zudem, wie die technischen und organisatorischen Maßnahmen des Unternehmens ausgestaltet sind, um die Daten der Nutzer vor unberechtigtem Zugriff zu schützen. Denn je besser die Informationssicherheit eines Unternehmens ist, desto höher ist sein Datenschutzstandard zu bewerten.

Fazit: Die informierte Einwilligung bleibt eine Herausforderung

Durch den technologischen Wandel und stetig neue Medienformen (vor allem im Bereich der sozialen Netzwerke und Apps) bleibt es eine Herausforderung, die umfassende Informiertheit des Nutzers bei der Einwilligung zu gewährleisten. Vor allem mittels grafischer Darstellung lassen sich jedoch gut verständliche Datenschutzerklärungen entwickeln. Neben dem zuständigen Datenschutzbeauftragten sollten Unternehmen hierbei auch auf die Erfahrung von Usability-Experten setzen.

Dieser aktualisierte Artikel erschienzuerst am 24. Februar 2017. 

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Richtigkeit der Datenverarbeitung

Daten dürfen ausschließlich richtig verarbeitet werden – so fordert es die europäische Datenschutz-Grundverordnung (DSGVO) in Art. 5. Doch was bedeutet der Grundsatz der Richtigkeit der Verarbeitung für die Datenschutzpraxis im Unternehmen? Wann sind Daten korrekt? Wer ist dafür verantwortlich? Wie lange und mit welchem Aufwand ist die Richtigkeit zu gewährleisten? Ein praktischer Überblick!

Verarbeitung richtiger Daten

Die Verarbeitung korrekter und aktueller Daten ist aus Sicht des Betroffenen von großer Bedeutung. Dies gilt insbesondere dann, wenn diese Daten als Grundlagen für Entscheidungen dienen sollen, welche sogar Rechtswirkungen gegenüber den Betroffenen entfalten können.

Die Gewährleistung der Richtigkeit der Daten ist in allen Schritten des Verarbeitungszyklus relevant. Der Verantwortliche hat bereits bei Erhebung für die Richtigkeit der Daten zu sorgen. Wurden Daten bereits erhoben und gegebenenfalls gespeichert, müssen die Daten in allen Verarbeitungsprozessen weiterhin richtig bleiben und erforderlichenfalls aktualisiert werden. Werden unrichtige Daten verarbeitet, so sind diese zu berichtigen oder unverzüglich zu löschen.

Was sind richtige Daten?

Daten müssen nach Art. 5 Abs. 1 lit. d) DSGVO „sachlich richtig sein“. Sachlich richtig können nur solche Daten sein, welche einem objektiven Maßstab zugänglich sein. Dies sind also nicht Werturteile oder Meinungen, sondern ausschließlich Tatsachen. Diese müssen der Wahrheit entsprechen. Achtung bei Meinungsäußerungen: Tatsachen, welche die Grundlage von Werturteilen bilden, müssen ebenfalls sachlich richtig sein.

Wie ist die Richtigkeit der Verarbeitung sicherzustellen?

Der Verantwortliche hat nach dem Grundsatz der Richtigkeit gemäß Art. 5 DSGVO selbst dafür zu sorgen, dass die personenbezogenen Daten, die er verarbeitet, richtig sind. Hierbei sollte der Verantwortliche proaktiv tätig werden und nicht darauf warten, dass Betroffene ihr Recht auf Berichtigung gem. Art. 16 DSGVO geltend machen. Ist das mildere Mittel der Berichtigung nicht möglich, so müssen unrichtige Daten unverzüglich gelöscht werden.

Es gilt zu bestimmen welche Maßnahmen angemessen sind, um die Richtigkeit der Daten zu gewährleisten und insbesondere wann diese Maßnahmen notwendig sind.

Je mehr Zwischenschritte mit einer Datenverarbeitung verbunden sind, desto höher ist das Risiko der Unrichtigkeit von Daten. Ansonsten gilt der Maßstab: Je höher das Risiko für die Betroffenen ist bzw. je größer die Auswirkungen für die Betroffenen sind, desto mehr muss der Verantwortliche unternehmen, um die Richtigkeit der Daten zu garantieren. Dies gilt umso mehr, wenn die verarbeiteten Daten nachträglich nicht korrigiert werden können. Dies ist etwa der Fall bei Auskunfteien, welche Bewertungen über Personen an Dritte weiterleiten. Die Verwendung unrichtiger Daten kann unter diesen Umständen zu großen Nachteilen für den Betroffenen führen.

Auch Profiling und automatische Datenverarbeitungen können zu weitreichenden Konsequenzen für die Betroffenen führen. Aufgrund dessen sieht Erwägungsgrund 71 DSGVO vor, dass technische und organisatorische Maßnahmen zu treffen sind, welche sicherstellen, dass Faktoren, die zu unrichtigen personenbezogenen Daten führen, korrigiert werden und dass das Risiko von Fehlern minimiert wird. Die Pflicht zur Berichtigung besteht somit nicht nur auf Datenebene, sondern auch auf Ebene der Verarbeitungsprozesse.

Setzt der Verantwortliche bei der Datenverarbeitung Dritte oder Auftragsverarbeiter ein, so muss der Verantwortliche auch dafür sorgen, dass die Daten an jenen Stellen ebenfalls aktualisiert und berichtigt werden.

Wie ist die Richtigkeit von Daten aktuell zu halten?

Es kann durchaus sein, dass sich die Richtigkeit von Daten auf einen konkreten Zeitpunkt bezieht und eine nachträgliche Änderung nicht notwendig ist. Konnte z. B. ein Mitarbeiter krankheitsbedingt nicht am Arbeitsplatz erscheinen, so muss nachträglich der Gesundheitszustand nicht geändert werden, wenn der Mitarbeiter wieder gesund ist.

Aktuell und sachlich richtig müssen aber insbesondere Zutritts- und Zugangsberechtigungen von Personen sein. Werden diese nicht regelmäßig überprüft und entsprechend korrigiert, kann dies erhebliche Nachteile für die Sicherheit der Verarbeitung mit sich bringen.

Einmal richtige Daten können jedoch durchaus unrichtig werden. Es ist zu bedenken, dass mit fortgeschrittener Zeit das Vertrauen auf die Richtigkeit von Daten sinkt. Dies gilt insbesondere für veränderbare Daten wie etwa Anschrift oder persönliche Vorlieben. Deshalb ist es nicht nur wichtig richtige Daten zu erheben, sondern im Verlaufe der Datenverarbeitung auch zu aktualisieren und so auf dem neusten Stand zu halten.

Verstöße gegen Grundsätze sind keine Kavaliersdelikte

Da es sich bei der Richtigkeit der Verarbeitung um einen der Grundsätze des Art. 5 DSGVO handelt, gehören Verstöße hiergegen zur Kategorie, die mit höheren Bußgeldern geahndet werden können. Art. 83 Abs. 5 lit. a DSGVO sieht vor, dass die Aufsichtsbehörden Bußgelder bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen dürfen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

DSGVO-konforme Verarbeitung im Auftrag (Einführung)

Eine Verarbeitung von Daten im Auftrag liegt in der Regel immer dann vor, wenn Sie personenbezogene Daten von einem Dienstleister weisungsgebunden bearbeiten lassen, ja selbst, wenn dieser nur Zugriff auf die Daten erhalten könnte. Typische Beispiele sind Newsletter-Systeme, Cloud-Computing oder eine externe Buchhaltung. Doch wann genau liegt eine Auftragsverarbeitung vor? Wie verhält es sich bei Dienstleistern außerhalb der EU? Welche Pflichten treffen den Verantwortlichen und den Auftragsverarbeiter nach Datenschutz-Grundverordnung (DSGVO)? Unsere kompakte Einführung verschafft Ihnen den Überblick!

Gesetzliche Grundlagen für die Auftragsverarbeitung

Eines der datenschutzrechtlichen Grundprinzipien ist das sogenannte Verbot mit Erlaubnisvorbehalt. Danach ist jeglicher Umgang mit personenbezogenen Daten ohne Rechtsgrundlage verboten. Eine solche Rechtsgrundlage kann im jeweiligen Fall insbesondere sein

  1. eine gesetzliche Erlaubnis oder
  2. eine Einwilligung des Betroffenen.

Wenn eine solche Rechtsgrundlage vorliegt, kann das Prinzip der Verarbeitung von Daten im Auftrag greifen. Diese Auftragsverarbeitung ermöglicht es, die Berechtigung zur Verarbeitung der personenbezogenen Daten auf einen Dienstleister (Auftragnehmer) zu übertragen.

Das dahinterliegende juristische Prinzip ist die sogenannte Privilegierung des Datenaustauschs zwischen Unternehmen und seinen Dienstleistern. Die Privilegierung ergibt sich aus Art. 4 Nr. 10 DSGVO, wonach Auftragsverarbeiter keine Dritten sind. Der Auftragsverarbeiter wird vielmehr rechtlich so behandelt, als wäre er Teil des Unternehmens und partizipiert an dessen rechtlichen Datenverarbeitungsgrundlagen. Die Privilegierungswirkung gilt unter der DSGVO nunmehr auch für Auftragsverarbeitungen in Drittländern.

Sonderregelungen bei Datenverarbeitungen innerhalb von Konzernen

Zu betonen ist, dass es im Datenschutzrecht kein allgemeines Konzernprivileg gibt. Mit der DSGVO kommen jedoch gewisse Erleichterungen beim Datentransfer zwischen selbstständigen Unternehmen einer zusammengehörenden Unternehmensgruppe. Eine gesetzliche Erlaubnis zur Datenverarbeitung liegt nach Art. 6 Abs. 1 lit. f DSGVO vor, wenn die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist.

Nach Erwägungsgrund 48 S. 1 DSGVO kann der konzerninterne Datenaustausch für „interne Verwaltungszwecke“ ein derartiges berechtigtes Interesse darstellen. Wichtig ist, dass eine Abwägung mit den entgegenstehenden schutzwürdigen Interessen der Betroffenen stattfinden muss. Besteht im Einzelfall kein solches berechtigte Interesse, weil die schutzwürdigen Interessen der Betroffenen überwiegen, kann ein konzerninterner Datentransfer nur mittels Einwilligung des Betroffenen oder im Wege der Grundsätze der Datenverarbeitung gerechtfertigt werden.

Regelungen für die Auftragsverarbeitung in einem Drittland

Eine bedeutsame Neuerung der DSGVO betrifft die Auftragsverarbeitung in Drittländern, also Staaten außerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR). Bisher waren nach BDSG a.F. nur Auftragsverarbeitungen innerhalb der EU von den privilegierenden Regelungen gedeckt. Sobald im Rahmen einer Auftragsverarbeitung die EU/EWR-Grenzen überschritten wurden, weil der Dienstleister sich in einem Drittland befand, galt dieser nicht mehr als Auftragsverarbeiter, sondern als Dritter. Dritter ist jede Person oder Stelle, die nicht in den Kreis des verantwortlichen Auftraggebers fällt. Gegenüber einem Dritten war und ist auch nach der DSGVO die Datenverarbeitung unter den vereinfachten Bedingungen der Auftragsverarbeitung nicht möglich.

Eine Übermittlung personenbezogener Daten in ein Drittland ist allerdings nicht uneingeschränkt möglich. Sie ist nach Art. 44 DSGVO nur zulässig, wenn die weitere Verarbeitung nach den Regeln der DSGVO erfolgt und vergleichbare Schutzmechanismen dafür sorgen, dass die vorgesehenen Rechte der Betroffenen nicht ausgehebelt werden.

Eine Datenübermittlung in ein Drittland kann beispielsweise durch Angemessenheitsbeschlüsse der EU-Kommission gemäß Art. 45 DSGVO zulässig sein. Hiernach beschließt die Kommission, dass ein bestimmtes Drittland ein angemessenes Datenschutzniveau bietet. Ein weiterer Schutzmechanismus besteht nach Art. 46 DSGVO, wenn der Verantwortliche oder Auftragsverarbeiter geeignete Garantien vorsieht und den betroffenen Personen tatsächlich durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stellt. Weiterhin kann der Schutz betroffener Personen dadurch gewährleistet werden, dass die zuständige Aufsichtsbehörde gem. Art. 47 DSGVO verbindliche interne Datenschutzvorschriften genehmigt, sofern diese eine vergleichbare Schutzwirkung sicherstellen können.

Im Übrigen müssen Verantwortliche oder Auftragsverarbeiter, die keine Niederlassung in der EU haben, aber Daten von Unionsbürgern verarbeiten, nach Art. 27 DSGVO schriftlich einen Vertreter in der Union benennen. Dieser muss auch in der Union niedergelassen sein und dient als Ansprechpartner für Aufsichtsbehörden und betroffene Personen bezüglich der Datenverarbeitung.

Wann liegt eine Auftragsverarbeitung vor?

Bei einer Auftragsverarbeitung verarbeitet ein Dienstleister (Auftragsverarbeiter bzw. Auftragnehmer) personenbezogene Daten weisungsabhängig im Auftrag der verantwortlichen Stelle (Verantwortlicher bzw. Auftraggeber).

Typische Fälle einer Auftragsverarbeitung sind externe Lohn- oder Gehaltsabrechnung, Datenträgerentsorgung, Versand eines Newsletters durch eine Agentur oder Nutzung von Cloud-Diensten.

Nach Art. 29 DSGVO arbeitet der Auftragsverarbeiter grundsätzlich weisungsabhängig, es sei denn, dass der Auftragsverarbeiter nach Unionsrecht oder dem Recht des Mitgliedstaates, dem er unterliegt, zur Verarbeitung verpflichtet ist. Bei letzterem handelt es sich um eine sog. Öffnungsklausel. Diese gesetzlichen Ausnahmeklauseln erlauben Mitgliedsstaaten abweichende oder ergänzende Regelungen zur Datenschutz-Grundverordnung vorzunehmen. Im Falle des Art. 29 DSGVO handelt es sich jedoch nur um eine „unechte Öffnungsklausel“: Mitgliedstaaten können nicht grenzenlose Verarbeitungspflichten bestimmen. Stattdessen dürfen Mitgliedstaaten nur dann Verarbeitungspflichten auferlegen, wenn es bereits eine in der DSGVO normierte Verarbeitungsgrundlage gibt. Die Mitgliedstaaten dürfen dann nur regeln, dass für diese bereits in der Verordnung gesetzlich legitimierten Verarbeitungsgrundlagen keine Weisung erforderlich ist. Es bleibt daher abzuwarten, ob die Mitgliedstaaten von dieser Öffnungsklausel überhaupt Gebrauch machen werden. Im neuen deutschen Datenschutzrecht (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) ist noch keine solche Ausnahmeregelung vorgesehen.

Der Auftragsverarbeiter ist gem. Art. 4 Nr. Nr. 8 DSGVO im Gegensatz zum Verantwortlichen derjenige, der nicht „allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung entscheidet“. Ausschlaggebend ist also, wer faktisch und tatsächlich über die Zwecke und Mittel der Verarbeitung entscheidet. Ob vertraglich lediglich eine Verarbeitung im Auftrag vereinbart wurde, ist unerheblich. Verletzt der Auftragsverarbeiter die Voraussetzungen für die Auftragsverarbeitung, indem er selbst wie ein Verantwortlicher auftritt und über Zweck und Mittel der Datenverarbeitung entscheidet, ist dieser gleich einem Verantwortlichen zu behandeln.

Jemand, der im Rahmen eines Auftragsverarbeitungsvertrages personenbezogene Daten verarbeitet, ist somit nach der DSGVO entweder Verantwortlicher oder Auftragsverarbeiter. Aufgrund dessen entfällt der im Rahmen des alten BDSG verwendete Begriff der „Funktionsübertragung“. Bei der Funktionsübertragung handelte es sich um einen Dienstleister, der im Auftrag Daten verarbeitete, jedoch über einen eigenen Entscheidungsspielraum verfügte. Zum Zwecke der Rechtssicherheit sollte von dem Begriff nicht länger Gebrauch gemacht werden.

Praxistipp zur Erfassung von Auftragnehmern

Um festzustellen, mit welchen Dienstleistern ein Auftragsverarbeitungsverhältnis vorliegt, hat es sich als praktikabel erwiesen, aus der Buchhaltung eine Abrechnungsliste anzufordern. Prüfen Sie anhand dieser Liste, wer personenbezogene Daten verarbeitet. Mit diesen Dienstleistern ist ggf. ein Vertrag zur Auftragsverarbeitung zu schließen.

Wann liegt keine Auftragsverarbeitung vor?

Keine Auftragsverarbeitung liegt vor, wenn der Dienstleister eigenverantwortlich mit den ihm anvertrauten Daten umgeht. Der Auftraggeber überlässt dem Dienstleister die inhaltliche Ausgestaltung, also Entscheidung über Mittel und Zweck der Datenverarbeitung. Über Weisungs- und Kontrollrechte gegenüber dem Dienstleister verfügt der Auftraggeber weder rechtlich noch tatsächlich. Klassische Fälle sind die Finanz-, Steuer- oder Unternehmensberatung.

Umstritten ist, ob eine Auftragsverarbeitung auch dann vorliegt, wenn der Zugriff auf Daten nur in beiläufiger Weise erfolgen kann, wie dies zum Beispiel bei Reinigungskräften oder Kurierdiensten der Fall ist. Hier sollte eine Einzelfallprüfung erfolgen.

Wer ist bei der Auftragsverarbeitung verantwortlich?

In erster Linie ist, wie es der Name schon sagt, der Verantwortliche gem. Art. 24 DSGVO für die Datenverarbeitung verantwortlich. Er hat dafür Sorge zu tragen, dass die Verarbeitung rechtmäßig erfolgt. Dabei hat er Art, Umfang, Umstände und Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen und hierfür geeignete technische und organisatorische Maßnahmen umzusetzen.

Dem Verantwortlichen obliegt zudem eine Auswahlverantwortung. Der Verantwortliche darf nur mit Auftragsverarbeitern arbeiten, die gem. Art. 28 Abs. 1 DSGVO hinreichend garantieren können, dass „geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen“ der DSGVO erfolgt und die Rechte der betroffenen Personen geschützt werden.

Eine solche hinreichende Garantie bietet die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DSGVO oder ein genehmigtes Zertifizierungsverfahren gem. Art. 42 DSGVO (z. B. ISO/IEC 27002). Ein Verstoß gegen die Auswahlverantwortung kann mit einer Geldbuße bis zu 10.000.000 Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem welcher der Beträge höher ist) sanktioniert werden.

Wie funktioniert die Auftragsverarbeitung?

Um eine Verarbeitung von Daten im Auftrag datenschutzkonform umzusetzen, sind mehrere Schritte notwendig. Mit dem Dienstleister ist zunächst ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) zu schließen. Dies kann als Einzelvertrag oder als Anlage zum Hauptvertrag erfolgen. Die einzelnen Rechte und Pflichten beider Parteien regelt Art. 28 DSGVO. Die dort aufgeführten Mindestanforderungen müssen im AV-Vertrag enthalten sein, sie können und sollten einzelfallbezogen vertraglich ausgestaltet werden.

Die DSGVO sieht – anders als das BDSG – keine ausdrückliche fortwährende Prüfungspflicht vor. Art. 28 DSGVO bestimmt jedoch, dass eine Auftragsverarbeitung nur mit einem geeigneten Auftragsverarbeiter erfolgen darf, der hinreichend Garantien bietet. Dies ist so zu verstehen, dass die Auswahlpflicht nicht nur für den Beginn des Auftrags, sondern über die Dauer des Vertrags besteht. Der Verantwortliche muss sich also dauerhaft vergewissern, dass der Auftragsverarbeiter zur Verarbeitung geeignet ist.

Fallen die hinreichenden Garantien nachträglich weg oder erweist sich, dass die erforderlichen Garantien tatsächlich nicht eingehalten werden, ist die Auftragsverarbeitung nicht mehr von der datenschutzrechtlichen Privilegierung gedeckt.

In unserem Special zum Thema Auftragsverarbeitung finden Sie kostenlose Vorlagen, Checklisten und andere Hilfsmittel für Ihre DSGVO-Compliance!

Integrität und Vertraulichkeit bei der Datenverarbeitung

Integrität und Vertraulichkeit gehören zu den komplexesten Grundsätzen der Datenschutz-Grundverordnung (DSGVO). Bei der Umsetzung müssen Unternehmen einerseits die Risiken bei der Datenverarbeitung richtig einschätzen und andererseits technologische Aspekte der Informationssicherheit beachten. Wir zeigen Ihnen, wie das am besten funktioniert.

Integrität und Vertraulichkeit in der DSGVO

Der Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 f) DSGVO sieht vor, dass personenbezogene Daten in einer Art und Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten gewährleistet. Insbesondere ist dafür zu sorgen, dass die personenbezogenen Daten

  1. vor unbefugter und unrechtmäßiger Verarbeitung (Vertraulichkeit) und
  2. vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung (Integrität) bewahrt werden.

Um dies zu erreichen, muss der Verantwortliche oder Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen (TOM) treffen.

Der Grundsatz der Integrität und Vertraulichkeit wird insbesondere in Art. 32 DSGVO (Sicherheit der Verarbeitung) konkretisiert. Dort werden über die Schutzziele der Integrität und Vertraulichkeit hinaus noch weitere Schutzziele genannt, welche jedoch nach dem Gesetzeswortlaut („schließen gegebenenfalls unter anderem Folgendes ein“) nicht abschließend sind:

  • Pseudonymisierung
  • Verschlüsselung
  • Verfügbarkeit
  • Belastbarkeit der Systeme
  • Rasche Wederherstellbarkeit der Verfügbarkeit
  • Verfahren zur regelmäßigen Überprüfung

Risikoangemessenes Schutzniveau

Doch welche konkreten Maßnahmen eignen sich, um Vertraulichkeit und Integrität zu gewährleisten? Im Gegensatz zum alten Bundesdatenschutzgesetz (BDSG a.F.) mit seinen „Acht Datenschutzgeboten“ lässt die DSGVO dies offen. Nach Art. 5 Abs. 1 f) DSGVO und Art. 32 Abs. 1 DSGVO müssen individuell „angemessene“ technische und organisatorische Maßnahmen getroffen werden. Welche Maßnahmen angemessen sind, bestimmt sich laut Art. 32 Abs. 1 DSGVO nach dem Risiko. Wichtig ist, dass es stets auf Risiken für Betroffene ankommt, nicht auf Risiken für den Verantwortlichen bzw. das Unternehmen.

Eine Legaldefinition des Risikos ist in der DSGVO nicht vorgesehen. Aus den Erwägungsgründen 75 und 94 DSGVO kann jedoch hergeleitet werden, dass es zur Ermittlung des Risikos einerseits auf die Schwere eines Schadens, andererseits auf dessen Eintrittswahrscheinlichkeit ankommt. Bei dem Schaden kann es sich um „physische, materielle und immaterielle“ Schäden handeln, wie beispielsweise „Diskriminierung, Identitätsdiebstahl oder-betrug, finanzieller Verlust, Rufschädigung“.

Die Schwierigkeit besteht darin, dass es weder einen konkreten Risikobegriff noch einen festgelegten Maßstab für angemessene TOM gibt. Vielmehr ist relativ viel Interpretationsspielraum gegeben. Entscheidend dürfte sein, dass es sich um vertretbare Risikobewertung und vertretbare Maßnahmen handelt. Je höher das Risiko, desto weitreichender müssen die technischen und organisatorischen Maßnahmen sein.

Besteht für Betroffene ein hohes Risiko, so muss der Verantwortliche eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO vornehmen. Im Rahmen dieser Datenschutz-Folgenabschätzung muss der Verantwortliche versuchen, das Risiko einzudämmen. Aus dem Umkehrschluss kann man schließen, dass die TOM nicht alle Risiken vollständig beseitigen, sondern es ausreichend ist, wenn das Risiko auf ein normales Niveau gesenkt wird.

Das Kurzpapier Nr. 18 der DSK (Datenschutzkonferenz, das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) bietet hilfreiche Informationen zur Risikobewertung, wenn auch ohne konkret auf die Relevanz für die technischen und organisatorischen Maßnahmen einzugehen.

Weitere Kriterien für das Schutzniveau

Bei der Implementierung angemessener technischer und organisatorischer Maßnahmen ist insbesondere auch Stand der Technik zu berücksichtigen. Die TOM müssen zudem ständig angepasst werden, wenn die technologische Entwicklung dies erfordert.

Der Stand der Technik meint allerdings nicht zwingend die besten und effektivsten Maßnahmen. Wie bereits erläutert, ist es ausreichend, die Risiken auf ein normales Risiko zu senken. Hierbei kann sich das Unternehmen an den markt- und branchenüblichen Maßnahmen orientieren. Teilweise gibt es auch Informationen und Empfehlungen wie beispielsweise die IT-Grundschutz-Kataloge des BSI (Bundesamt für Sicherheit in der Informationstechnik).

Die Implementierungskosten können bei der Bewertung der Angemessenheit ebenfalls berücksichtigt werden. Sind die Implementierungskosten zu hoch, muss ein Unternehmen dennoch alle anderen Möglichkeiten ausschöpfen und entsprechende Maßnahmen treffen um ein hohes Risiko für die Rechte und Freiheiten von Betroffenen zu verhindern.

Nachweis durch Verhaltensregeln oder Zertifizierungsverfahren

Im Rahmen der Nachweise technischer und organisatorischer Maßnahmen trifft man oft auf eine ISO/IEC 27001:2013 Zertifizierung. Hierbei handelt es sich um ein zertifiziertes Informationssicherheits-Managementsystems (ISMS) welches im Anhang A Controls beinhaltet, die sich mit den Schutzzielen des Art. 32 DSGVO decken.

Neben der ISO/IEC 27001:2013 Zertifizierung ist jedoch zu bedenken, dass der Geltungsbereich des Zertifikats nur das ISMS umfasst. Ein solches Zertifikat allein genügt nicht den Anforderungen der DSGVO; es ist zusätzlich an die Erfordernisse eines Datenschutzmanagementsystems (DSMS) zu denken. Insbesondere sind die in der ISO/IES 27001:2013 aufgeführten Controls aus der Sicht des Datenschutzes und der DSGVO zu betrachten. Im Rahmen der Lieferantenbeziehungen ist etwa an die Anforderungen der Auftragsverarbeitung zu denken, und beim Umgang mit Sicherheitsvorfällen auch an Datenschutzverletzungen nach Art. 33 bzw. 34 DSGVO.

Verstöße gegen Vertraulichkeit und Integrität können teuer werden

Der Grundsatz von Vertraulichkeit und Integrität fordert der verantwortlichen Stelle viel ab, auch, weil hier Datenschutz und Informationssicherheit kombiniert werden müssen. Unternehmen sollten die Umsetzung jedoch nicht auf die lange Bank schieben. Denn Verstöße gegen die Grundsätze des Art. 5 DSGVO können laut Art. 83 Abs. 5 lit. a DSGVO mit den höchsten in der DSGVO vorgesehenen Bußgeldern geahndet werden.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Speicherbegrenzung bei der Datenverarbeitung

Die Speicherbegrenzung ist einer der Grundsätze der Datenschutz-Grundverordnung (Art. 5 Abs. 1 e) DSGVO). Speicherbegrenzung bedeutet, dass personenbezogene Daten derart zu speichern sind, dass eine Identifizierung von Betroffenen nur so lange möglich ist, wie für die Zweckerreichung erforderlich. Bei der konkreten Umsetzung im Unternehmen kommen dafür vor allem eine Löschung oder Anonymisierung infrage.

Gesetzliche Pflichten der Speicherbegrenzung

Der Grundsatz der Speicherbegrenzung sieht vor, dass personenbezogene Daten nur so lange aufbewahrt werden dürfen, wie dies zur Erreichung des Zwecks notwendig ist. Dies konkretisiert zum einen den Grundsatz der Datenminimierung, dass immer so wenig personenbezogene Daten wie möglich verarbeitet werden sollen, zum anderen den Grundsatz der Zweckbindung, da der Maßstab der Speicherbegrenzung stets der festgelegte Zweck ist.

Die DSGVO verankert die Pflicht der Speicherbegrenzung an mehreren Stellen: Im Rahmen der Informationspflichten nach Art. 13 Abs. 2 a) DSGVO und Art. 14 Abs. 2 a) DSGVO oder des Auskunftsanspruchs Betroffener nach Art. 15 Abs. 1 d) DSGVO muss der Verantwortliche gegenüber dem Betroffenen Auskunft über die Dauer der Datenspeicherung oder zumindest die „Kriterien für die Festlegung dieser Dauer“ erteilen.

Weiterhin besteht das Recht des Betroffenen auf Löschung sowie eine allgemeine Löschpflicht unter den Voraussetzungen des Art. 17 DSGVO.

Im Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen sind gem. Art. 30 Abs.1 f) DSGVO soweit möglich vorgesehene Löschfristen aufzuführen.

Speicherfristen und Löschfristen

Sowohl im Rahmen der Informationspflichten als auch der Betroffenenrechte auf Auskunft und Löschung muss sich der Verantwortliche mit einer Speicherfrist oder zumindest mit deren Kriterien auseinandersetzen und diese festlegen. Als Alternative zu einer konkreten Löschfrist sieht Erwägungsgrund 39 DSGVO vor, dass der Verantwortliche regelmäßige Überprüfungen vornimmt. Eine kalendermäßige Festlegung ist somit nicht zwingend erforderlich. Es ist jedoch wichtig, dass die Umstände und Kriterien für die Speicherbegrenzung nach objektiven Maßstäben feststellbar sind. Hierdurch kann im Rahmen von Löschroutinen einzeln festgestellt werden ob eine Speicherung der Daten weiterhin zulässig oder eine Löschung erforderlich ist.

Eine bestimmte Löschfrist ist in den meisten Fällen feststellbar. Hierbei kann man sich insbesondere an gesetzlichen Aufbewahrungs-, Verjährungs- oder Klagefristen orientieren. Schwierigkeiten entstehen nur dann wenn es solche Fristen nicht gibt und man sich lediglich punktuell daran orientieren kann ob der Zweck bereits erreicht wurde (siehe unser Ratgeber für ein Löschkonzept).

Praktische Umsetzung der Speicherbegrenzung

Mit der Speicherbegrenzung ist nicht zwingend die Löschung personenbezogener Daten gemeint. Die Speicherbegrenzung sieht vor, dass personenbezogene Daten „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist“. Es kommt somit auf die Möglichkeit der Identifizierung von Personen an.

Die Aufhebung der Identifizierung kann in erster Linie natürlich dadurch erfolgen, dass Daten gelöscht werden. Es ist für die Speicherbegrenzung jedoch auch möglich, dass personenbezogene Daten anonymisiert werden. Die Anonymisierung ermöglicht im Gegensatz zur Pseudonymisierung keine nachträgliche Identifizierung einzelner Personen, da die Daten nicht mehr durch Hinzuziehung weiterer Informationen zuordenbar sind.

Vorsicht ist hinsichtlich des Löschrechts nach Art. 17 DSGVO geboten: Hier wird ausdrücklich die Löschung von Daten gefordert. In diesem Fall ist eine Anonymisierung nicht ausreichend. Anonymisieren ist eine Inhaltsänderung lediglich durch Aufhebung des Personenbezugs. Löschung ist die gesamte Entfernung der personenbezogenen Daten.

Der Unterschied macht sich insbesondere im Rahmen der Frage der Rechtmäßigkeit bemerkbar. Hinsichtlich der Löschung besteht spätestens nach Fortfall des Zwecks nach Art. 17 Abs. 1 DSGVO eine Löschpflicht. Es bedarf keiner Rechtsgrundlage für die Löschung.

Bei der Anonymisierung handelt es sich hingegen um eine weitere Datenverarbeitung im Rahmen einer Zweckänderung, welche einer Rechtsgrundlage bedarf. Für eine Anonymisierung kann ein überwiegendes berechtigtes Interesse gem. Art. 6 Abs. 1 f) DSGVO angeführt werden. Bei besonderen personenbezogenen Daten gem. Art. 9 DSGVO gibt es jedoch kein Äquivalent zu Art. 6 Abs. 1 f) DSGVO. Eine Anonymisierung besonderer personenbezogener Daten kann in den meisten Fällen nur durch Einwilligung gem. Art. 9 Abs. 2 a) DSGVO gerechtfertigt werden. Im Rahmen einer Zweckänderung ist auch an eine weitere Informationspflicht nach Art. 13 Abs. 3 DSGVO oder Art. 14 Abs. 3 DSGVO zu denken.

Ausnahmen von der Speicherbegrenzung

Von der Pflicht zur Speicherbegrenzung sind nur solche Datenverarbeitungen ausgeschlossen, welche ausschließlich im öffentlichen Interesse, für Archivzwecke oder für wissenschaftliche und historische Forschungszwecke gem. Art. 89 Abs. 1 DSGVO erfolgen.

In diesen Fällen hat der Verantwortliche dafür zu sorgen, dass entsprechende technische und organisatorische Maßnahmen vorgesehen sind, welche die steigenden Risiken, die mit der längeren Datenspeicherung und -ansammlung einhergehen, im Zaum halten können.

Verstöße gegen Grundsätze sind keine Kavaliersdelikte

Verstöße gegen die Grundsätze des Art. 5 DSGVO, hierunter auch der Grundsatz der Speicherbegrenzung, gehören zu der Kategorie von Verstößen, die mit höheren Bußgeldern geahndet werden. Gemäß Art. 83 Abs. 5 lit. a DSGVO können die Aufsichtsbehörden Bußgelder bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Datenminimierung bei der Verarbeitung

Die Datenminimierung ist ein in der europäischen Datenschutz-Grundverordnung (DSGVO) verankertes Prinzip (Art. 5 DSGVO). Demnach sind immer so wenig wie möglich Daten zu verarbeiten, wie zur Erreichung des Zwecks notwendig sind. Um dem Grundsatz der Datenminimierung gerecht zu werden, bieten sich diverse Methoden an.

Das Prinzip der Datenminimierung

Der Grundsatz der Datenminimierung des Art. 5 DSGVO entspricht teilweise dem früheren Grundsatz der Datenvermeidung des alten Bundesdatenschutzgesetzes (§ 3a BDSG a.F.). Die Datenvermeidung besagte, dass „so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen“ seien. Anonymisierung und Pseudonymisierung galten als geeignete Mittel zur Datenvermeidung. Hieran hat sich nach der Gesetzesänderung nichts geändert.

Im Rahmen der Datenminimierung ist insbesondere darauf zu achten, dass personenbezogene Daten dem „Zweck angemessen“ und unter Heranziehung des verfolgten Zweckes auf das „notwendige Maß beschränkt sein“ müssen. Das notwendige Maß ist erreicht, wenn der verfolgte Zweck nicht mit weniger Daten erreicht werden kann. Dies gilt nicht nur für die Menge der erhobenen Daten, sondern auch für den Umfang der Verarbeitung sowie die Dauer der Aufbewahrung und der Zugriffsberechtigung.

Datenminimierung sollte gem. Art. 25 DSGVO frühzeitig durch datenschutzfreundliche Voreinstellungen gewährleistet werden.

„Erforderlichkeit“ im Rahmen der Datenminimierung bedeutet, dass zunächst so wenig Daten wie möglich erhoben und verarbeitet werden sollen. Dabei muss der Zweck konkret vorab festgelegt werden. Eine Vorratsdatensammlung ist nämlich nicht erlaubt.

Stellt ein Arbeitgeber beispielsweise keine Arbeitskleidung, benötigt dieser weder Schuh- oder Kleidergröße seiner Mitarbeiter. Denselben Maßstab muss man etwa bei einem Kontaktformular anwenden: Wird ausschließlich per E-Mail geantwortet, ist es nicht erforderlich, die Telefonnummer zu erheben. Diese zusätzliche und nicht notwendige Information darf somit kein Pflichtfeld sein. Weiterhin ist zu bedenken, dass freiwillige Angaben, welche nicht zur Erfüllung des Auskunftsbegehrens erforderlich sind, eine zusätzliche Rechtsgrundlage, meist in Gestalt einer Einwilligung, erfordern.

Datenminimierung durch Pseudonymisierung und Anonymisierung

Zur Datenminimierung muss insbesondere überlegt werden, ob derselbe Zweck auch dann erreicht werden kann, wenn personenbezogene Daten ganz oder teilweise pseudonymisiert oder anonymisiert werden.

Eine Anonymisierung oder Pseudonymisierung von Daten ist etwa im Rahmen statistischer Auswertungen relevant. Denn dort werden zur Erlangung aussagekräftiger statistischer Ergebnisse oftmals keine oder nicht alle personenbezogenen Daten benötigt.

Ein Beispiel dafür ist der weitverbreitete Einsatz von Google Analytics zur Messung von Besucherzahlen auf Websites und Beobachtung des Verhaltens der Websitebesucher. Hierzu werden zunächst die vollständigen IP-Adressen erhoben. Für die Analysen ist die vollständige IP-Adresse jedoch nicht notwendig, weshalb für einen datenschutzkonformen Einsatz von Google Analytics eine IP-Anonymisierung implementiert werden muss.

Die Möglichkeit zur Pseudonymisierung und Anonymisierung sollte im Hinblick auf den Gedanken des Privacy by Design and Default gem. Art. 25 DSGVO insbesondere im Rahmen der technischen Lösungen berücksichtigt werden. Datenverarbeitungssysteme sollten also von Grund auf die Möglichkeit bieten, nicht mehr benötigte Daten zu pseudonymisieren oder anonymisieren.

Datenminimierung durch Zugriffsbeschränkung

Welche Daten verarbeiten werden dürfen, ist nicht nur auf die Gesamtheit eines Unternehmens zu beziehen. Vielmehr muss im Rahmen der Berechtigungsvergabe darauf geachtet werden, dass Mitarbeiter jeweils nur Zugriff auf diejenigen Daten erhalten, welche sie zur Erfüllung ihrer Aufgaben benötigen.

Datenminimierung durch zeitliche Beschränkung

Datenminimierung beschränkt sich jedoch nicht nur darauf, welche Daten verarbeitet werden, sondern regelt auch, wie lange die Datenverarbeitung zur Zweckerreichung notwendig ist. Die Erforderlichkeit der Daten ist für den gesamten Zeitverlauf eines Prozesses neu zu evaluieren. Was das genau bedeutet, wird nochmals konkret unter dem Grundsatz der Speicherbegrenzung verankert. Grundsätzlich gilt: Es ist für jeden Verarbeitungsvorgang eine individuelle Speicherfrist festzulegen.

Ein praktisches Beispiel: Im Rahmen eines Bestellvorganges in einem Onlineshop werden personenbezogene Daten zum Zwecke der Zahlung und zur Übersendung einer Bestellung erhoben. Nach Abwicklung der Bestellung dürfen die Daten für den Zeitraum bis zum Ablauf relevanter Verjährungsfristen in Bezug auf die Bestellung aufbewahrt werden. Hierbei könnten beispielsweise einige Daten der Regelverjährungsfrist von drei Jahren unterliegen. Verkürzte Fristen sind hinsichtlich vereinzelter Daten stets möglich. Nach Ablauf dieser Verjährungsfristen dürfen nur noch steuerrechtlich relevante Daten sechs bis zehn Jahre aufbewahrt werden. Somit wäre zu überlegen, welche Daten nicht steuerrechtlich relevant sind und deswegen gelöscht werden müssen.

Verstöße gegen DSGVO-Grundsätze können teuer werden

Verstöße gegen die Grundsätze des Art. 5 DSGVO gehören zu der Kategorie von Verstößen, die mit höheren Bußgeldern geahndet werden. Wer den Grundsatz der Datenminimierung missachtet, kann gemäß Art. 83 Abs. 5 lit. a DSGVO von den Aufsichtsbehörden mit einem Bußgeld von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres belangt werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.