Skip to content

Was bedeutet die Datenschutz -Grundverordnung für IT-Dienstleister? (Teil I)

9. August 2017

Mit der neuen Datenschutz-Grundverordnung (DSGVO) wird der Datenschutz in der EU vereinheitlicht. Gleichzeitig wird der Schutz der Privatsphäre von in der EU wohnhaften Personen gestärkt, in Zukunft ist es egal, ob deren Personendaten innerhalb oder ausserhalb der EU verarbeitet werden, in beiden Fällen ist das EU – Recht anwendbar. Dies gilt selbst, wenn das bearbeitende Unternehmen keine Niederlassung in der EU hat. Sobald die Verarbeitung dazu dient, Personen in der EU gegen Entgelt oder unentgeltlich Waren oder Dienstleistungen anzubieten findet die DSGVO Anwendung.

Diese strengeren Vorschriften gelten nicht nur für die Auftraggeber (Verantwortliche / Controller) sondern ebenfalls für IT-Dienstleister (Auftragsverarbeiter / Processor), welche Personaldaten im Auftrag eines Unternehmens verarbeiten. Ein Schweizer IT-Dienstleister wird deshalb v von der neuen Gesetzgebung betroffenen sein, wenn er Kunden hat, welche im EU-Raum tätig sind.

Bis anhin lag die Verantwortung für den Datenschutz beim Auftraggeber als Verantwortlichen. Der Dienstleister konnte nur subsidiär und im Innenverhältnis bspw. aus vertraglichen Verpflichtungen haftbar gemacht werden. Neu kann der Auftragsverarbeiter bereits aus Gesetz zur Verantwortung gezogen werden, die DSGVO nimmt ihn viel stärker in die Pflicht.

Auftragsverarbeiter / Processor

Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Ziff. 8 DSGVO).“ Der Begriff ist weit gefasst, sobald für den Auftraggeber Personendaten verarbeitet werden, gilt ein Dienstleister als Auftragsverarbeiter oder in der englischen Variante als Processor. Neben dem klassischen Outsourcing, kann auch ein SaaS-Anbieter, ein Rechenzentrum oder gar ein Software-Entwickler darunterfallen.

Vertragliche Regelung

Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten (Art. 28 Abs. 3 DSGVO). Eine vertragliche Regelung ist nicht zwingend notwendig, wird aber weiterhin die einfachste und sicherste Lösung sein. Es müssen der Gegenstand und die Dauer der Verarbeitung, die Art und der Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen definiert werden. Nachfolgend werden einzelne Punkte genauer erläutert (vgl. auch Art. 28 Abs. 3 DSGVO).

Je nach Art der Dienstleistung kann die Regelung des Datenschutzes in den Hauptvertrag integriert werden, alternativ wird ein zusätzlicher Vertrag erstellt. Die Kommission aber auch die nationalen Aufsichtsbehörden können Standardvertragsklauseln erlassen, welche direkt verwendet werden können.

Handelt es sich um eine standardisierte Dienstleistung – bspw. eine SaaS – Lösung – ist es für den Auftragsverarbeiter sinnvoll die neuen Regelungen bereits in seine Standardverträge einzuarbeiten.

Des Weiteren sollten interne Datenschutzrichtlinien, Sicherheitsvorschriften, IT-Reglemente, etc. erstellt oder auf die neuen Vorschriften anpasst werden. Dadurch kann eine möglichst hohe Standardisierung der Prozesse erreicht werden, und die Dokumente können als Bestandteile in einen Datenbearbeitungsvertrag eingearbeitet werden. Ansonsten besteht die Gefahr, dass ein Auftraggeber auf seinen eigenen Regelungen besteht, individuelle Regelungen können für den Auftragsverarbeiter jedoch schnell zu Mehraufwand bei der Umsetzung und der Kontrolle führen.

Der Vertrag oder das andere Rechtsinstrument ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 9 DSGVO).

Ausreichende Sicherheitsmassnahmen

„Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen (Auftraggeber), so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Massnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet (Art. 28 Abs. 1 DSGVO).“

Insbesondere müssen die Sicherheitsanforderungen gemäss Art. 32 DSGVO erfüllt sein. Ebenfalls muss ein Auftragsverarebeiter in der Lage sein, den Auftraggeber bei der Erfüllung seiner Pflichten nach Art. 32 – 36 DSGVO zu unterstützen. Es sollte deshalb beschrieben werden, wo die Daten gespeichert werden und wie der Zugang gesichert wird. Auf der technischen Seite müssen Massnahmen wie bspw. eine Firewall oder ein ausreichender Virenschutz vorhanden sein. Es sollten auch Massnahmen gegen eine unbefugte oder zufällige Vernichtung, einen zufälligen Verlust oder 
technische Fehler getroffen werden. Eine Regelung für ein ausreichendes Backup ist sinnvoll, sofern der Auftraggeber dies nicht selbst übernimmt. Um ein unbefugtes Ändern, Kopieren oder Bearbeiten zu verhindern, sind unbedingt Zugriff, Zugangsrechte und Kontrollmittel zu treffen. Um nicht mit jedem einzelnen Auftraggeber über diese Massnahmen diskutieren zu müssen, sollten die technischen und organisatorischen Massnahmen in einer allgemeinen Richtlinie festgehalten werden. Wenn überhaupt, sind dann nur noch punktuelle Anpassungen für einzelne Auftraggeber notwendig.

Der Beweis für das Vorhandensein von ausreichenden technischen und organisatorischen Massnahmen kann über die Einhaltung genehmigter Verhaltensregeln gemäß Ar. 40 DSGVO oder eines genehmigten Zertifizierungsverfahrens gemäss Art. 42 DSGVO erbracht werden. Dies stellt zwar nur ein Faktor in der Beurteilung dar, wird aber wohl von vielen Auftraggebern als genügender Nachweis akzeptiert werden. Eine ISO – 27001 Zertifizierung kann ebenfalls ein Faktor darstellen, wobei darauf geachtet werden muss, dass auch alle wesentlichen Punkte nach der DSGVO erfüllt sind.

Weiterführende Informationen:

EDÖB: Technische und organisatorische Massnahmen des Datenschutzes

BSI: M 2.505 Festlegung von technisch-organisatorischen Maßnahmen entsprechend dem Stand der Technik bei der Verarbeitung personenbezogener Daten

Weisungsrecht des Verantwortlichen

„Der Auftragsverarbeiter und jede dem Auftraggeber oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Auftraggebers bearbeiten (Art. 29 DSGVO).“

Der Auftraggeber hat grundsätzlich ein Weisungsrecht, wobei grosse IT-Dienstleister wohl kaum für jeden Auftraggeber eine Sonderreglung schaffen werden. Bei standardisierten Diensten ist vielmehr davonauszugehen, dass die Art und Weise der Datenverarbeitung ebenfalls standardisiert ist. Dies führt dann zu einer take it or leave it Situation für den Auftraggeber. Ein Auftraggeber sollte natürlich trotzdem prüfen, ob die Verarbeitung konform verläuft und allenfalls muss er einen anderen Dienst wählen. Lässt eine standardisierte Applikation zusätzliche Bearbeitungen zu, welche nicht durch den ursprünglichen Zweck gedeckt sind, sollte geprüft werden, ob der Bearbeitungszweck im eigenen Unternehmen entsprechend angepasst werden kann bzw. eine Einwilligung eingeholt werden kann, damit die Dienstleistung ohne Verletzung des Datenschutzes genutzt werden kann.

Mitarbeiter

Der Auftragsverarbeiter muss neu gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Diese Verpflichtung reicht bis zum einzelnen Mitarbeiter hinunter. Die bestehenden Regelungen in Bezug auf die Mitarbeiter müssen überprüft werden oder neu geschaffen werden. Die Mitarbeiter sollten in Zukunft explizit zur Einhaltung des Datenschutzes verpflichtet werden und nicht nur zur Einhaltung der IT-Reglemente.

Beizug von Subunternehmen

Der Auftragsverarbeiter darf keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung in Anspruch nehmen. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Auftraggeber immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (vgl. Art. 28 Abs. 2 DSGVO).

In der Praxis wird sich wohl die allgemeine Genehmigung etablieren. Selbst diese Lösung bleibt umständlich, da der Austausch oder ein Beizug eines Subunternehmers mitgeteilt werden muss. Zu Beginn kann zumindest für die bestehenden Subunternehmer eine Genehmigung eingeholt werden bzw. können diese offengelegt werden (bspw. Rechenzentren, etc.). Es sollte zuerst jeweils geprüft werden, ob ein Subunternehmer überhaupt Zugriff auf Personendaten hat oder in Zukunft unbedingt benötigt. Freelance – Entwicklern könnte bspw. der Zugriff auf aktive Daten eingeschränkt oder verwehrt werden, um eine Meldung zu verhindern. Natürlich sollte jeder Subunternehmer weiterhin zur Geheimhaltung und Einhaltung des Datenschutzes verpflichtet werden.

Allen Subunternehmer müssen vertraglich die gleichen Datenschutzpflichten wie dem Auftragsverarbeiter auferlegt werden, sofern diese Zugriff auf Personendaten haben. Bei einem Verstoss eines Subunternehmers gegen die Datenschutzvorschriften bleibt der Auftragsverarbeiter gegenüber seinem Auftraggeber weiterhin haftbar. Eine entsprechende Kontrolle der Einhaltung ist daher empfehlenswert.

Schreibe einen Kommentar

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: