Skip to content

Was bedeutet die Datenschutz-Grundverordnung für IT-Dienstleister? (Teil II)

10. August 2017

Unterstützung des Verantwortlichen

Der Auftragsverarbeiter muss in der Lage sein den Auftraggeber zu unterstützen, wenn eine betroffene Person seine Rechte gemäss Kapitel III der DSGVO geltend macht. Es ist nicht immer eindeutig wie weit diese Rechte gehen, als Auftragsverarbeiter tut man gut daran sich vorgängig Gedanken dazu zur Unterstützung zu machen. Die Datenbank sollte so strukturiert sein, dass einem Auskunftsbegehren ohne übermässigen Aufwand nachgekommen werden kann. Ebenfalls sollten Rechte, wie das Recht auf Vergessen oder Datenportabilität berücksichtig werden. Privacy by Design ist ein guter Ansatz, um Probleme bereits im Voraus zu erkennen und zu lösen. Zusätzlich sollte vertraglich geregelt werden, inwieweit eine solche Unterstützung kostenlos erbracht wird.

Verzeichnisse

Der Auftragsverarbeiter muss in Zukunft ebenfalls ein Verzeichnis über die durchgeführten Datenverarbeitungen führen (vgl. Art. 30 DSGVO). Für Unternehmen mit weniger als 250 Mitarbeitern besteht hier eine Ausnahme. Auf die Erstellung kann verzichtet werden, wenn die Risiken der Verarbeitung nicht so hoch sind. Die Verarbeitung darf nur gelegentlich erfolgen und es dürfen keine sensitiven Daten gemäss Art. 9 Abs. 1 oder Art. 10 DSGVO (bspw. Gesundheitsdaten) verarbeitet werden. Viele Auftragsverarbeiter werden für ihre Kunden regelmässige Verarbeitungen vornehmen, weshalb sie nicht von dieser Regelung profitieren können.

Im Rahmen der Vertragsverhandlungen sollte der Auftragsumfang sowieso bereits möglichst genau definiert werden, durch kleine Ergänzungen in diesem Prozess sollten die zusätzlichen Angaben relativ einfach erfasst werden können. Das Festhalten der verantwortlichen Personen und der durchgeführten Datenverarbeitungen stärkt wiederum die Definition des Auftragumfangs und muss daher nicht nur als administrativer Mehraufwand gesehen werden.

Folgende Angaben sind zu erfassen (vgl. Art. 30 Abs. 2 DSGVO):

  • Namen und Kontaktdaten der verantwortlichen Personen, den Namen des Datenschutzbeauftragten falls vorhanden
  • Die Verarbeitungen welche im Auftrag durchgeführt werden (inkl. Kategorien)
  • Angaben dazu, ob die Personendaten an ein Drittland übermittelt werden
  • Hinweis zu den anwendbaren technischen und organisatorischen Massnahmen

Das Verzeichnis kann elektronisch geführt werden, d.h. ein einfaches Excel File reicht grundsätzlich bereits aus.

Datenschutz-Folgenabschätzung

Muss der Auftraggeber als Verantwortlicher vorgängig eine Datenschutz-Folgenabschätzung nach Massgabe von Art. 35 DSGVO durchführen, ist der Auftragsverarbeiter dazu verpflichtet diesen zu unterstützten. Oft wäre ein Auftraggeber wohl auch kaum in der Lage eine selbständige Einschätzung vorzunehmen, da die er Verarbeitung ja gerade an den Auftragsverarbeiter ausgelagert hat.

Audits

Auditklauseln in Bezug auf den Datenschutz und die Datensicherheit finden sich bereits heute in vielen Verträgen. Das Schweizer Datenschutzgesetz verlangt bspw. bereits heute, dass ein Auftraggeber sich vergewissert, dass ein Auftragsverarbeiter die Datensicherheit gewährleistet. Dies wird oft mit einer Auditklausel gelöst, ob dann effektiv einmal von diesem Recht gebraucht gemacht wird, ist eine andere Frage.

Gemäss Art. 28 lit. h DSGVO sind dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen — einschliesslich Inspektionen –, die vom Auftraggeber oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, zu ermöglichen. 
Es macht daher Sinn diese Kontrollrechte vertraglich zu regeln, um zu verhindern, dass ein Auftraggeber eine Kontrolle gestützt auf die DGSVO einseitig nach seinen Vorstellungen durchsetzt. Eine Auditklausel kann vertraglich auf verschiedene Arten ausgestaltet werden. Oft wird ein Auftraggeber eine Kontrolle – aufgrund von fehlenden Know-How – nicht selber durchführen wollen, weshalb man sich vorgängig auf eine Auditfirma einigen oder zumindest die Auswahlkriterien festlegen sollte (bspw. Audit durch eine Big4 oder ein ISO – Auditor). Um eine Flut von Audits zu verhindern, werden grössere Auftragsverarbeiter, die standardisierte Leistungen anbieten, kaum ein individuelles Auditrecht akzeptieren. Eine mögliche Kompromisslösung ist, dass der Auftragsverarbeiter in regelmässigen Abständen selbst ein Audit durchführen lässt und den Auftraggebern auf Anfrage Einsicht in den Bericht gewährt. Zusätzlich lässt sich bspw. durch eine 27001 Zertifizierung das Vertrauen in die Sicherheit erhöhen. Bei individuellen Lösungen wird ein solches Vorgehen jedoch nicht immer ausreichen.

Ebenfalls sollte die Kostenfrage geregelt werden. Bei Einzelaudit wird meist der Auftraggeber die Kosten tragen müssen. Teilweise findet sich eine Regelung, dass der Auftragsverarbeiter die Kosten übernehmen muss, sobald grössere Unstimmigkeiten entdeckt werden. Der Auftragsverarbeiter sollte sich nur bei groben Verstössen zu einer Kostentragung verpflichten, da ein Auditor immer noch Verbesserungspotential finden wird.

Zusätzlich ist der zeitliche Intervall zu regeln, bspw. einmal jährlich. Ausserdem sollte vereinbart werden, dass ein Audit ausreichend früh angekündigt werden muss, damit sich der Auftragsverarbeiter vorbereiten kann.

Data Breach

Bis anhin mussten Datenpannen in den meisten europäischen Ländern nicht gemeldet werden. Das verantwortliche Unternehmen ist neu dazu verpflichtet eine Datenpanne zu melden und allenfalls seine Kunden darüber zu informieren. Der Auftragsverarbeiter muss eine solche Datenpanne ebenfalls umgehend an den Auftraggeber melden (Art. 33 Abs. 2 DSGVO). Es müssen daher entsprechende Prozesse geschaffen, um eine Datenpanne zu erkennen und möglichst schnell mit allen relevanten Informationen an den Auftraggeber melden zu können.

Rückgabe und/oder Löschen der Daten

Nach Abschluss der Datenbearbeitung oder nach der Auflösung des Vertragsverhältnisses ist der Auftragsverarbeiter dazu verpflichtet die personenbezogenen Daten nach Wahl des Auftragsgeber entweder zu löschen oder zurückzugeben, sofern nach dem Unionsrecht oder dem Recht eines Mitgliedstaates nicht eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht (vgl. 28 Abs. 3 lit. g DSGVO)

Dies kann relativ einfach vertraglich geregelt werden. Der Auftragsverarbeiter muss die entsprechenden Prozesse schaffen, sofern diese nicht bereits formal geregelt sind. Die technische Umsetzung kann sich dagegen schwieriger gestallten, da oft ein externes Rechenzentrum genutzt wird oder die Daten auf verschiedenen Servern verteilt sind, können die Speichermedien nicht physisch zerstört werden. Es muss daher auf technische Hilfsmittel zurückgegriffen werden, bspw. die Daten durch Überschreiben unkenntlich machen. Leider kann mit keiner Lösung eine hundertprozentige Löschung garantiert werden, ein Best Effort muss hier ausreichen. Bei ganz sensitiven Daten könnte die Systeminfrastruktur so aufgebaut werden, dass bei Beendigung die Speichermedien physisch vernichtet werden können.

Weiterführende Informationen:

BSI: M 2.167 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten

BSI: M 2.433 Überblick über Methoden zur Löschung und Vernichtung von Daten

Datenübertragung in ein Drittland

Die Datenübertragung in ein Drittland ist weiterhin möglich. Die bereits bekannten Anforderungen gelten weiterhin, es muss entweder ein ausreichender Datenschutz bestehen (sicheres Drittland) oder ein solcher durch eine Vereinbarung sichergestellt werden (vgl. Art. 44 DSVGO ff.). Eine solche Regelung kann in einem individuellen Vertrag oder einem EU-Standardvertrag vereinbart werden. Eine BCR oder auch das Privacy – Shield – Abkommen stellen zudem Alternativen dar.

Datenschutzbeauftragter

Sofern der Auftragsverarbeiter Datenbearbeitungen für den Auftraggeber vornimmt, welche zur Benennung eins Datenschutzbeauftragten verpflichten (Art. 37 DSGVO), muss er in Zukunft zusätzlich einen eigenen Datenschutzbeauftragten benennen.

Weitere Informationen zum Datenschutzbeauftragten können in meinem früheren Beitrag nachgelesen werden.

Gemäss Art. 27 DSGVO muss auch der Auftragsverarbeiter einen Vertreter in der EU bestimmen, wenn er Daten er Personendaten aus der EU bearbeitet und er nicht bereits eine Niederlassung in einem Mitgliedsland hat.

Aufsichtsbehörde und Sanktionen

Nicht nur der Auftraggeber als Verantwortlicher sondern ebenso der Auftragsverarbeiter hat mit der Aufsichtsbehörde zu kooperieren und die zur Erfüllung notwendigen Auskünfte und Unterlagen bereitzustellen (vgl. Art. 31 DSGVO). Bereits heute findet sich in den meisten Verträgen oder NDA’s eine entsprechende Regelung, dass solche Auskünfte von der Geheimhaltung ausgenommen sind. In Zukunft kann eine Aufsichtsbehörde direkt Massnahmen gegen den Auftragsverarbeiter ergreifen und nicht nur gegen den Verantwortlichen.

In bestimmten Fällen kann eine Aufsichtsbehörde direkt Verwarnungen oder sogar Bussen gegen den Auftragsverarbeiter aussprechen. Eine Busse kann im Extremfall bis zu € 20 Mio. bzw. 4% des Jahresumsatzes betragen. Ein Auftragsverarbeiter sollte daher dokumentieren, dass er die Weisungen des Auftraggebers eingehalten hat und falls er Mängel festgestellt hat, diese dem Auftraggeber mitgeteilt hat. Dies kann zumindest das Risiko verringern.

Weiterführende Informationen:

Kurzpapier Nr. 2: Aufsichtsbefugnisse/Sanktionen

GDPR: 51 Ways to get into trouble with the GDPR (and it will Cost you millions)

 

From → Allgemein

Schreibe einen Kommentar

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: