Wie können sich Auftragsverarbeiter EU-DSGVO-konform absichern? In diesem Beitrag zeigen wir die gravierenden Änderungen auf, die ab Mai 2018 auf Unternehmen zukommen und welche Maßnahmen ergriffen werden sollten.
Maßnahmen zum Datenschutz und zur Datensicherheit sind längst zum integralen Bestandteil der Hosting-Dienstleistungen unseres Unternehmens geworden. Bereits in der Konzeptionsphase von Hosting-Projekten beraten unsere Datenschutzexperten intensiv, wie es gelingt, rechtlich einwandfrei zu bleiben.
Verträge mit aussagekräftigen Vereinbarungen zur Auftragsdatenverarbeitung sind inzwischen selbstverständlich. Gemeinsam mit den Kunden arbeiten wir die Rahmenbedingungen für den Umgang mit personenbezogenen Daten aus. Die so entstehenden Auftragsdatenverarbeitungsvereinbarungen (ADV) legen alle technischen und organisatorischen Maßnahmen wie zum Beispiel Zugriffshierarchien, Backup-Muster oder Dokumentationsformalien und deren korrekte Handhabung fest.
So sichern sich Auftragsverarbeiter EU-DSGVO-konform ab
1. Ein Verzeichnis aller Verarbeitungstätigkeiten mit folgenden Infos führen:
– Namen und Kontaktdaten
– Kategorien von Verarbeitungen
– der Übermittlungen von personenbezogenen Daten an ein Drittland
– allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
2. Dieses Verzeichnis schriftlich und in Form eines elektronischen Dokuments gemäß Artikel 30, Abs. 4 nach Anforderung durch die Aufsichtsbehörden übersenden oder generell zur Verfügung stellen.
3. Mit den Aufsichtsbehörden zusammenarbeiten.
4. Alle technischen und organisatorischen Maßnahmen zur Datensicherheit ergreifen.
5. Einen betrieblichen Datenschutzbeauftragten einstellen.
6. Alle Anforderungen in Bezug auf die Übertragung von personenbezogenen Daten in Drittländer erfüllen und beachten.
Die in enger Abstimmung mit den Kundenunternehmen erarbeiteten Anforderungen finden bei uns schließlich Eingang in die Betriebshandbücher. Alle verantwortlichen Personen erhalten auf diese Weise ein praktikables Leitsystem zum Datenschutz.
Zugriffsrechte, Weisungsbefugnisse oder Prozesse werden darin zweifelsfrei definiert. Darauf aufbauend können Kunden die Umsetzung und Einhaltung der vereinbarten Maßnahmen und Datenschutzstandards bei Adacor auditieren.
Dafür gewährt der Hosting-Spezialist entweder Einsicht in die von unabhängigen Wirtschaftsprüfern erstellten PS 951/ISAE 3402 Prüfberichte des eigenen dienstleistungsbezogenen internen Kontrollsystems. Oder Kundenunternehmen beauftragen Auditoren, ihre eigene Revision oder ihren Datenschutzbeauftragten, um Adacor im Rahmen eines Vor-Ort-Audits zu prüfen. So können die Kunden nachweisen, dass sie ihrer Sorgfaltspflicht im Umgang mit personenbezogenen Daten und der Auslagerung von deren Verarbeitung nachgekommen sind.
Klares Dokumentationssystem
Damit hat Adacor für die Kunden ein einwandfreies System aufgebaut, in dem alle Datenschutzmaßnahmen dokumentiert werden. Bisher war ausschließlich das Auftragsunternehmen für die Einhaltung des Datenschutzes rechtlich verantwortlich. Das und einige weitere Details ändern sich im Mai 2018 mit Inkrafttreten der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO). In Artikel 82 EU-DSGVO heißt es: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder moralischer Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den für die Verarbeitung Verantwortlichen oder gegen den Auftragsverarbeiter.“ Damit wird der Auftragsverarbeiter, in unserem Fall das Hosting-Unternehmen, stärker in die Pflicht genommen.
In der neuen EU-Datenschutz-Grundverordnung wird die Auftragsdatenverarbeitung in Artikel 28 ff. europaweit einheitlich geregelt. Die Regelungen orientieren sich zwar inhaltlich an § 11 des Bundesdatenschutzgesetzes (BDSG) und heben die Weisungen im Prinzip auf ein europäisches Level, einige weitere Unterschiede sind jedoch zu beachten.
Zwar darf wie bisher der Auftragsverarbeiter nach der EU-Datenschutz-Grundverordnung personenbezogene Daten nur auf Weisung des Auftragsunternehmens verarbeiten. Verstößt das Verarbeitungsunternehmen jedoch dagegen, indem es zum Beispiel Daten für nicht zuvor vereinbarte Zwecke weiterverarbeitet, wird es nach Artikel 28, Absatz 10 EU-DSGVO selbst zum Verantwortlichen. Das entbindet Auftragsunternehmen natürlich nicht aus der Pflicht, mit personenbezogenen Daten sensibel umzugehen. Vielmehr gewinnt eine vertrauensvolle und transparente Zusammenarbeit zwischen dem Anbieter, der im Auftrag eines Unternehmens, Daten verarbeitet und dem Auftraggeber an Bedeutung. Zum Beispiel würde sicher kein Webshop-Betreiber wollen, dass bei der Frage eines Kunden, was mit seinen Daten geschieht, die Antwort lautet: „Keine Ahnung, da müssen Sie unseren Hoster fragen.“ Um seriös und kompetent zu bleiben, sollten alle Beteiligten eines Webprojekts – ob Auftraggeber oder datenverarbeitendes Unternehmen – nach den gleichen Leitlinien agieren.
Auftragsdatenverarbeitung auch außerhalb der EU
Neu ist ebenfalls, dass die Verarbeitung von Daten im Auftrag eines Unternehmens außerhalb der EU stattfinden kann. Nach Artikel 3 EU-DSGVO findet die Verordnung auch dann Anwendung, wenn die „Verarbeitung personenbezogener Daten […] im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.“
Auftragsdatenverarbeitung versus „Joint Control“
Dabei grenzt das Gesetz die Auftragsdatenverarbeitung von einem „Joint Control“ ab. Diese Konstellation hatte bisher im deutschen Datenschutzgesetz keine Entsprechung. Bei einem „Joint Control“ legen mehrere Verantwortliche die Rahmenbedingungen zur Verarbeitung personenbezogener Daten gleichberechtigt und transparent fest. Damit begeben sich alle Beteiligten gleichermaßen ins Haftungsrisiko.
Neue Pflichten, alte Verpflichtung
Da deutsche Unternehmen, die ihre Daten von Dienstleistern weiterverarbeiten lassen, auch vor Inkrafttreten der EU-DSGVO vollständig selbst für die Einhaltung des Datenschutzes verantwortlich waren, ändert sich für sie durch die neue Verordnung wenig, es ergeben sich zumindest keine zusätzlichen Pflichten.
Auftragsverarbeiter müssen jedoch in Zukunft mehr Pflichten als bisher gesetzlich gefordert erfüllen. Wie Adacor haben viele Hosting-Unternehmen diese neuen Regelungen bereits auf freiwilliger Basis eingehalten. So muss demnächst der Auftragsverarbeiter ein Verzeichnis über alle Tätigkeiten führen, die er für denjenigen durchführt, der für die Verarbeitung verantwortlich ist. Dieses Verzeichnis ähnelt inhaltlich dem aus dem BDSG bekannten Verfahrensverzeichnis, das bislang nur von Auftraggebern geführt werden musste.
Empfindlich hohe Strafen drohen
Einen entscheidenden Unterschied gibt es noch: die Höhe der Strafen. Verstößt ein Auftragsunternehmen oder ein Auftragsverarbeiter gegen Artikel 28 ff. EU-DSGVO, drohen dem Verursacher nach Artikel 83 EU-DSGVO Geldbußen in Höhe von bis zu zwanzig Millionen Euro oder vier Prozent des gesamten weltweit erzielten Jahresumsatzes, je nachdem welcher Betrag höher ist. Unternehmen, die mit personenbezogenen Daten arbeiten, sollten also gemeinsam mit ihrem Dienstleister viel Sorgfalt auf eine aussagekräftige Auftragsdatenverarbeitung und deren rechtliche Absicherung legen.
So sind Unternehmen immer auf der sicheren Seite
Wie bereits erwähnt, umfasst die EU-DSGVO für Auftragsunternehmen im Wesentlichen dieselben Pflichten wie sie bereits das Bundesdatenschutzgesetz vorgibt. Allerdings sind die Strafen bei Verstößen weitaus härter als bisher. Die Einführung der EU-DSGVO sollte also ein zusätzlicher Anreiz für Unternehmen sein, ihren Umgang mit „personenbezogenen Daten“ auf den Prüfstand zu stellen und sich mit ihren Dienstleistern abzustimmen.
Verträge mit Lieferanten und Kooperationspartnern, die Zugriff auf personenbezogene Daten von EU-Bürgern haben, sollten vor Inkrafttreten der EU-Datenschutz-Grundverordnung im Mai 2018 überprüft und gegebenenfalls angepasst werden, um Compliance-Verstößen vorzubeugen.
Dabei hilft folgender chronologischer Ablauf zur Umsetzung der gesetzlichen Vorgaben:
- Achten Sie bei der Auswahl eines Kooperationspartners darauf oder prüfen Sie bei dem Dienstleister, mit dem Sie zusammenarbeiten, ob dieser alle notwendigen technischen und organisatorischen Maßnahmen zur gesetzeskonformen Auftragsdatenverarbeitung getroffen hat.
- Schließen Sie Verträge mit ihren Dienstleistern ab oder modifizieren Sie bestehende Verträge dahingehend, dass sie sowohl § 11 BDSG als auch den Vorgaben der EU-DSGVO entsprechen. Der Vertragsabschluss muss noch vor Beginn der Verarbeitung erfolgen.
- Dokumentieren Sie, dass Sie sich davon überzeugt haben, dass Ihr Kooperationspartner alle Vorgaben erfüllt.
- Auch in Zukunft ist eine regelmäßige Prüfung Ihres Auftragnehmers auf Einhaltung der vertraglich vereinbarten technischen und organisatorischen Maßnahmen erforderlich. Das Ergebnis dieser Prüfungen muss ebenfalls dokumentiert werden. Auch wenn sich der Pflichtenkatalog für die Auftragsverarbeiter nach der EU-DSGVO erweitert hat, entbindet dies Auftraggeber nicht aus ihrer Verantwortung!