Auftragsverarbeitung gemäß DSGVO DSGVO Art 4, 12-22, 28-31, 37, 44, 82, 83
Auftragsverarbeitung gemäß DSGVO - Weit gefasster Auftragsverarbeiterbegriff - Prüfpflicht des Verantwortlichen - Pflichten des Auftragsverarbeiters - Auftragsverarbeiter müssen bei Pflichtverletzungen mit Sanktionen rechnen - Das Vorliegen eines Vertrages zur Auftragsverarbeitung ist zu beachten - Beispiel Fernwartung als datenschutzrechtliche Auftragsverarbeitung - Geldstrafe und Schadenersatzklage
Auftragsverarbeitung gemäß DSGVO
Die Datenschutz-Grundverordnung (DSGVO) hat für eine bestimmte Gruppe von Datenverarbeitern mit 'Auftragsverarbeiter' einen eigenen Begriff definiert.
Nach der Definition der DSGVO gemäß Art 4 Zif 8 sind Auftragsverarbeiter im Wesentlichen alle natürlichen oder juristischen Personen, Behörden, Einrichtungen oder andere Stellen, die Daten verarbeiten, die ihnen vom verantwortlichen Auftraggeber einer Datenanwendung zur Erfüllung einer konkreten Aufgabe übermittelt werden.
Weit gefasster Auftragsverarbeiterbegriff
Auf Grund der sehr weit gefassten Bestimmungen fällt eine Fülle von Berufsgruppen und Tätigkeiten unter diesen Begriff. In erster Linie sind dies Organisationen oder Personen, denen im Rahmen eines größeren Projekts/einer Tätigkeit einzelne Datenverarbeitungsschritte übertragen wurden.
Es ist zu beachten, dass auch andere Personen oder Organisationen unter den Auftragsverarbeiterbegriff fallen. So ist beispielsweise bei der Durchführung von Reparaturen an EDV-Anlagen davon auszugehen, dass ein Zugriff auf Daten möglich ist und eine Auftragsverarbeitung vorliegt.
Zur Erfüllung der Auftragsverarbeitereigenschaft reicht allein die Möglichkeit, Zugang zu den personenbezogenen Daten haben zu können oder sie zur Kenntnis nehmen zu können, auch wenn dies nicht das eigentliche Ziel der Auftragsverarbeitung ist.
Soft- und Hardwarewartung:
Wird das installierte System durch ein Fremdunternehmen betreut, wie es bei komplexen Softwarelösungen üblich ist, dann fallen diese Unternehmen im Regelfall darunter, da sie im Zuge ihrer Wartungstätigkeit Zugang zu den verarbeiteten Personendaten haben können.
Operating:
Viele Unternehmen gehen dazu über den Nachtbetrieb einem externen Operating-Center zu übertragen (NOC). Auch hier liegt Auftragsverarbeitung gemäß DSGVO vor.
Call-Center:
Werden Anfragen ausgelagert, durch ein Callcenter bearbeitet und besteht Zugriff auf die personenbezogenen Datenbestände, dann liegt ebenfalls Auftragsverarbeitung vor. Dies auch dann, wenn zwar das Call-Center im eigenen Haus, aber durch externe Kräfte (Werkverträge) betrieben wird.
Internet-Provider (Access & Content):
Viele Organisationen wickeln auch den internen Datenverkehr (Intranet/Extranet) zwischen mehreren Standorten über Internetprovider ab oder sie delegieren bestimmte Leistungen an den Provider, bei denen Zugriff auf personenbezogene Daten bestehen kann (Mailservice, Spam- und Wurmfilterdienste, LDAP-Service, ...). Hier liegt ebenfalls Auftragsverarbeitung vor. Eine Ausnahme besteht dann, wenn der Datenverkehr verschlüsselt in Form eines Virtual Private Networks (VPN) erfolgt und der Provider Zugang dazu hat. Allein aus diesem Grund werden Verschlüsselungslösungen empfohlen.
Statistik/Studien:
Viele Unternehmen lassen ihre Datenbestände nach statistischen Kriterien zum Zwecke der Marketinganalyse oder des Controllings auswerten. Diese Tätigkeit wird bei kleineren Unternehmen meist ausgelagert, da sie spezifisches Knowhow erfordert und nicht regelmäßig anfällt. Hier liegt ebenfalls Auftragsverarbeitung vor.
Steuerberatung/Unternehmensberater:
Auch die Heranziehung eines Steuerberaters fällt unter Auftragsverarbeitung.
Gutachter:
Viele Einrichtungen ziehen zur Beurteilung von Ansprüchen externe Experten zur Erstellung psychologischer oder gesundheitlicher Gutachten heran. Im Besonderen sind dies Krankenversicherungen (Privat- und Sozialversicherungen), aber auch das Arbeitsmarktservice oder Gesundheitseinrichtungen. Auch externe Laborbefundung würde darunterfallen. Soweit diese Gutachten automationsunterstützt erfolgen liegt Auftragsverarbeitung vor.
Notfallsrechenzentren/Archivierung:
Eine weitere Gruppe bilden die sogenannten Notfalls-, Ausweich-, und Backuplösungen, die gerade bei Organisationen mit 'personenbezogenen Daten besonderer Kategorien‘ zur Sicherung ihres IT-Betriebes herangezogen werden. Soweit dies durch externe Stellen geschieht liegt wieder Auftragsverarbeitung vor.
Die Liste ist unvollständig und deckt nur die wichtigsten Auftragsverarbeitungsaspekte ab. Denn auch externe Datenerfassung fällt beispielsweise unter diese Bestimmungen.
Prüfpflicht des Verantwortlichen
Für die Inanspruchnahme von Auftragsverarbeitern sind in der DSGVO besondere Regelungen vorgesehen. Grundsätzlich verarbeitet der Auftragsverarbeiter die personenbezogenen Daten im Auftrag und nach Weisung des Verantwortlichen. Dabei ist der Auftragsverarbeiter für die personenbezogenen Daten, die er verarbeitet, verantwortlich. Gemäß Art 28 Abs 1 DSGVO verpflichtet sich der Verantwortliche/Auftraggeber nur mit jenen Auftragsverarbeiter zu kooperieren, die hinreichende Garantien zur Durchführung geeigneter technischer und organisatorischer Maßnahmen bieten können, um die Verarbeitung im Einklang mit den Anforderungen der DSGVO und den Schutz der Betroffenen zu gewährleisten.
Pflichten des Auftragsverarbeiters
Auch den Auftragsverarbeiter treffen eine Reihe von Verpflichtungen, vor allem im Bereich der Datensicherheit.
- Führung von Verfahrensverzeichnissen (Art 30 Abs 2 DSGVO)
- Zusammenarbeit mit der Datenschutzaufsicht (Art 31 DSGVO)
- Bestellung eines Datenschutzbeauftragten bei Bedarf (Art 37 Abs 1 DSGVO)
- Übermittelte Daten dürfen nicht für andere, als die vom Verantwortlichen vorgesehenen, Zwecke genutzt werden
- Heranziehung von Subverarbeitern erfordert Meldepflicht beim Verantwortliche
- Einhaltung der Betroffenenrechte (Art 12 bis 22 DSGVO)
- Meldepflicht jeder Datenschutzpanne beim Verantwortlichen
- Volle Verantwortung über personenbezogene Daten gegenüber dem Verantwortlichen auch im Falle von Sub-Auftragsverarbeitung
- Beachtung von Beschränkungen für die Datenübermittlung in Drittländer (Art 44 DSGVO)
Sanktionen bei Pflichtverletzungen durch den Auftragsvearbeiter
Bei Verstößen gegen die Verpflichtungen im Sinne des Art 28 DSGVO drohen dem Auftragsverarbeiter gemäß Art 83 Abs 4 DSGVO Geldstrafen in Höhe von bis zu 10 Mio. Euro oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes. Weiters haftet der Auftragsverarbeiter gegenüber dem Betroffen für verursachte Schäden gemäß Art 82 Abs 2 DSGVO, wenn er seinen speziell auferlegten Pflichten nicht nachkommt oder bei Zuwiderhandlung/Nichtbeachtung der rechtmäßig erteilten Anweisungen des Verantwortlichen.
Vereinbarung zur Auftragsverarbeitung
Vereinbarungen zwischen Verantwortlichen und Auftragsverarbeiter, die die obengenannten Pflichten betreffen, sind schriftlich festzuhalten. Vereinbarungen zur Auftragsverarbeitung dürfen auch in elektronischer Form abgeschlossen werden. Die ARGE DATEN stellt ihren Mitgliedern dazu kostenlos ein Vereinbarungsmuster zur Verfügung (http://www.argedaten.at/muster).
Entsprechen abgeschlossene Vereinbarungen zur Auftragsverarbeitung nicht den Anforderungen der DSGVO, so drohen gemäß Art 83 Abs 4 DSGVO Geldstrafen.
Fernwartung als datenschutzrechtliche Auftragsverarbeitung
Anhand eines Beispiels aus der Praxis, werden die wesentlichen Punkte einer Auftragsverarbeitung verdeutlicht.
Im modernen IT-Alltag kommt es regelmäßig vor, dass Computersysteme nicht mehr lokal, sondern per Internet aus der Ferne bedient werden („Fernwartung“).
Das Aktualisieren des Virus-Scanners oder des Betriebssystems, die Behebung kleiner Fehler per „Remote-Desktop“, das Konfigurieren und Warten von Servern oder die Steuerung ganzer Industrie-Anlagen sind nur Beispiele dafür, was heute per Internet möglich ist.
Erfolgt die Fernwartung von Systemen durch Fremdfirmen (Wartungsfirmen), müssen einige Punkte beachtet werden.
Unabhängig von sonstigen vertraglichen Vereinbarungen, liegt ein datenschutzrechtliches Auftragsverarbeitungsverhältnis gemäß Art 28 DSGVO vor, sobald für eine Wartungsfirma als Auftragsverarbeiter eine Zugriffsmöglichkeit auf personenbezogene Daten besteht. Beispielsweise bei Übernahme des Betriebs, der Wartung oder Sicherung von IT-Systemen, auf denen sich personenbezogene Daten befinden.
In diesem Fall, muss zwischen der Wartungsfirma und dem verantwortlichen Verarbeiter geregelt werden, wie mit personenbezogenen Daten umzugehen ist. Dies kann grundsätzlich im Rahmen beliebiger vertraglicher Vereinbarungen geschehen. In der Praxis hat es sich bewährt, eine gesonderte (datenschutzrechtliche) Vereinbarung zur Auftragsverarbeitung gemäß Art 28 DSGVO abzuschließen.
Wartungsfirmen müssen laut DSGVO grundlegende Sicherheitsmaßnahmen ergreifen. In der Auftragsleistungsvereinbarung sind daher konkrete technische bzw. organisatorische Maßnahmen diesbezüglich festzuhalten.
Der Zugang zu Systemen hat ausschließlich über verschlüsselte Kanäle zu erfolgen. In der Vereinbarung zur Auftragsverarbeitung sind dazu Richtlinien für die Verwendung komplexer Passwörter festzulegen. Der Zugriff auf personenbezogene Daten besonderer Kategorien oder geschäftskritische Daten ist erst nach einer Authentifizierung mittels Software-Zertifikat oder per Hardware-Crypto-Token zu gestatten.
Der verantwortliche Verarbeiter hat sicherzustellen, dass Zugriffsberechtigungen so eng wie möglich vergeben werden. Sollte dies technisch nicht möglich sein, ist der Umfang der Berechtigungen von Wartungsfirmen klar in der Vereinbarung zur Auftragsverarbeitung festzuhalten. Generell sollten Fernwartungen erst nach Genehmigung durch den Verantwortlichen durchgeführt werden dürfen.
Bei kritischen Datenverarbeitungsvorgängen (z.B. Datenbankupdate) ist zu vereinbaren, dass diese zuerst an Test-Daten erprobt werden müssen. Eine Begrenzung der Anzahl von Datensätzen, die in einer bestimmten Zeit von Wartungsfirmen bearbeitet werden dürfen, dient als weitere Schutzmaßnahme vor Datenverlust.
Auch Freiberufler die für Wartungsfirmen tätig sind, stellen im Verhältnis zu den Verantwortlichen/der Wartungsfirma Dritte dar. Bei derartigen Konstellationen ist eine eigene Vereinbarung zur Auftragsverarbeitung zwischen Verantwortlichen und Freiberufler abzuschließen.
Weiters ist in der Vereinbarung zur Auftragsverarbeitung festzulegen, dass Wartungsfirmen Daten auf ihren Systemen ausschließlich verschlüsselt abspeichern dürfen. Jedenfalls ist zu regeln, ob bzw. auf welche Art Wartungsfirmen Sicherungen der Daten des Verantwortlichen vornehmen dürfen.
Wartungsfirmen sind aufgrund der Datenschutz-Grundverordnung verpflichtet Daten des Verantwortlichen geheim zu halten. Zusätzlich sind sie dafür verantwortlich, ihre Arbeitnehmer zur Einhaltung des Datengeheimnisses zu verpflichten. Vereinbarungen zur Auftragsverarbeitung können nicht mit Geheimhaltungs- oder Verschwiegenheitserklärungen gleichgesetzt werden. Im Fall besonderer Geheimhaltungspflichten (z.B. ärztliche Schweigepflicht, Bankgeheimnis) ist es dennoch ratsam zusätzliche Geheimhaltungserklärungen einzuholen.
Verantwortliche Verarbeiter haben nicht nur vor der Heranziehung einer Wartungsfirma, sondern fortlaufend die Pflicht sich von der Einhaltung der Auftragsleistungsvereinbarung zu überzeugen. Sie müssen dafür sorgen, dass die Wartungsfirmen sämtliche Punkte der Vereinbarung zur Auftragsverarbeitung erfüllen. Werden komplexe Passwörter verwendet? Werden sämtliche Daten verschlüsselt abgespeichert? Erfolgt gar ein überschießender Zugriff auf Daten?
Zertifizierungen von Wartungsfirmen, nach ISO 27001 oder dem Datenschutzsiegel EuroPriSe können die Überprüfung beschleunigen und erleichtern. Die Grundlage jeder Kontrolle stellt aber die Vereinbarung zur Auftragsverarbeitung dar, weshalb diese die Rechte und Pflichten von Verantwortlichen und Wartungsfirma genau regeln muss.
Geldstrafe und Schadenersatzklage
Gemäß Art 83 Abs 4 DSGVO sind bei Datenschutzverstoßen des Art 28 DSGVO Geldstrafen von bis zu 10 Mio. oder im Fall eines Unternehmens von bis zu 2 % des gesamten weltweiten Jahresumsatzes vorgesehen. Weiters können Betroffene gemäß Art 82 DSGVO den materiellen und/oder immateriellen Schaden im Zuge einer Schadenersatzklage beim Zivilgericht geltend machen.
|