DSGVO-Konformität des Auftragsverarbeiters: 8 Pflichten, die erfüllt werden müssen

Unabhängig davon, ob ein Unternehmen Anbieter von SaaS-Software, Herausgeber einer Webanwendung, Integrator, Digital- und IT-Dienstleister ist oder solche Dienstleistungen in Anspruch nimmt, ist es sehr wahrscheinlich, dass es der künftigen Allgemeinen Datenschutzverordnung unterliegt, die am 25. Mai 2018 in Kraft treten wird (sog . DSGVO oder GDPR in ihrer englischen Abkürzung), und dass es mit Problemen bei der Weitervergabe von personenbezogenen Daten konfrontiert sein wird.

Für den Auftragsverarbeiter wird es also darum gehen, seine Tätigkeit mit den neuen Verpflichtungen der DSGVO, die bald auf ihn zukommen werden, in Einklang zu bringen, um nicht das Risiko einzugehen, von den Aufsichtsbehörden bestraft zu werden. Um dies zu tun, muss man jedoch noch wissen, welche dies sind.

INHALT:

Alle Datenschutz-Grundverordnung Software ansehen

Voroperation: Identifizieren Sie die Unterauftragsverhältnisse!

Die Einhaltung der DSGVO erfordert, dass Sie die Beziehungen zur Vergabe von Unteraufträgen für personenbezogene Daten genau identifizieren und die Akteure entsprechend ihrer jeweiligen Rolle als für die Verarbeitung Verantwortlicher oder als Auftragsverarbeiter qualifizieren müssen.

Dies ist von entscheidender Bedeutung, da es die Verpflichtungen bestimmt, die ein Unternehmen erfüllen muss.

Ein Auftragsverarbeiter ist jede Person, die personenbezogene Daten im Auftrag einer anderen Stelle, dem für die Verarbeitung Verantwortlichen, verarbeitet.

Der Auftragsverarbeiter unterscheidet sich von letzterem dadurch, dass er weder den Zweck der Verarbeitung (wozu die Daten verarbeitet werden) noch die wesentlichen Mittel der Verarbeitung (die Verfahren, mit denen die Daten hauptsächlich verarbeitet werden) festlegt.

Da diese Unterscheidung von Datenverarbeitung zu Datenverarbeitung erfolgt, ist es denkbar, dass ein und dieselbe Einheit in ihrer Beziehung zu einem Geschäftspartner und bei mehreren Verarbeitungen für eine Verarbeitung verantwortlich, für eine andere jedoch Auftragsverarbeiter sein kann.

Bei einer solchen Definition ist zu beachten, dass der Begriff des Auftragsverarbeiters im Sinne des Rechts der personenbezogenen Daten ein falscher Freund des Begriffs des Auftragsverarbeiters im üblichen oder kommerziellen Sinne ist .

So kann ein Auftragsverarbeiter im kommerziellen Sinne sehr wohl ein für die Verarbeitung Verantwortlicher im Sinne des Datenrechts sein und umgekehrt.

Es ist daher notwendig, in diesem Bereich besonders wachsam zu sein und diese Phase der Einhaltung der Vorschriften mit einem unvoreingenommenen Blick anzugehen.

Sobald eine Einrichtung klar identifiziert hat, für welche Verarbeitung sie Auftragsverarbeiter von personenbezogenen Daten ist, muss sie hauptsächlich und insbesondere acht Pflichten erfüllen.

Pflicht Nr. 1: Einhaltung der Form von Verträgen mit Unterauftragnehmern

Die DSGVO schreibt vor, dass die Beziehungen zwischen dem für die Verarbeitung Verantwortlichen und dem Datenverarbeiter streng geregelt und in einem schriftlichen Vertrag formalisiert werden müssen.

Dieser Vertrag muss eine Reihe von obligatorischen Angaben und Klauseln enthalten, darunter eine Klausel, die den für die Verarbeitung Verantwortlichen ermächtigt, die Art und Weise zu prüfen, in der der Unterauftragsverarbeiter die Daten in seinem Auftrag verarbeitet, oder auch eine Klausel, die den Zugang des Personals des Unterauftragsverarbeiters zu den Daten regelt.

Um diese neuen Regeln einzuhalten, sollte der Auftragsverarbeiter daher jetzt sowohl seine bestehenden Verträge als auch seine Musterverträge für die Zukunft aktualisieren.

Pflicht Nr. 2: Auswahl der Subunternehmer

Der Auftragsverarbeiter ist nach der DSGVO verpflichtet, selbst nur mit vorheriger schriftlicher Genehmigung des für die Verarbeitung Verantwortlichen einen anderen Auftragsverarbeiter einzustellen.

Diese Genehmigung kann spezifisch für einen bestimmten zweitrangigen Auftragsverarbeiter oder allgemein für jeden zweitrangigen Auftragsverarbeiter sein, den der Auftragsverarbeiter bereits hat oder in Zukunft einstellen könnte.

In diesen Fällen muss der Vertrag zwischen dem Auftragsverarbeiter und dem Unterauftragsverarbeiter mindestens das gleiche Niveau an Datenschutzgarantien vorsehen wie der Vertrag zwischen dem für die Verarbeitung Verantwortlichen und dem Unterauftragsverarbeiter.

Auch hier wird die Einhaltung der Vorschriften durch eine Stelle, die personenbezogene Daten weiterverarbeitet, durch eine Überprüfung der bestehenden Verträge mit ihren Partnern und die Aktualisierung der Vertragsmodelle für die Zukunft erreicht werden müssen.

Pflicht Nr. 3: Befolgen Sie die Anweisungen des für die Verarbeitung Verantwortlichen.

Die DSGVO lässt einer Stelle, die personenbezogene Daten im Auftrag eines für die Verarbeitung Verantwortlichen verarbeitet, nur sehr wenig Spielraum.

So darf der Auftragsverarbeiter nur dann eine Verarbeitung durchführen, wenn er die Anweisungen befolgt, die ihm von dem für die Verarbeitung Verantwortlichen erteilt wurden.

Diese Anweisungen können in dem ursprünglich zwischen dem Auftragsverarbeiter und dem für die Verarbeitung Verantwortlichen geschlossenen Vertrag angegeben sein oder später von dem für die Verarbeitung Verantwortlichen erteilt werden.

Diese Verpflichtung bedeutet jedoch nicht, dass der Auftragsverarbeiter in seiner Beziehung zu dem für die Verarbeitung Verantwortlichen passiv bleiben muss.

Er ist nämlich verpflichtet, den für die Verarbeitung Verantwortlichen unverzüglich zu informieren, wenn er der Ansicht ist, dass eine ihm erteilte Weisung gegen die DSGVO oder allgemeiner gegen das Recht der Europäischen Union oder gegen sein nationales Recht verstößt.

Pflicht Nr. 4: Führen Sie ein Verzeichnis der Verarbeitung.

Auftragsverarbeiter, die mehr als 250 Personen beschäftigen, regelmäßig besonders riskante Verarbeitungen durchführen oder sensible Daten verarbeiten (Gesundheitsdaten, Daten im Zusammenhang mit strafrechtlichen Verurteilungen usw.), müssen laut DSGVO ein Verzeichnis ihrer Verarbeitungstätigkeiten führen.

Dieses Register soll es den Aufsichtsbehörden - in Frankreich der CNIL - ermöglichen, ihre Prüfungen zu erleichtern. Es muss daher alle wesentlichen Informationen enthalten, um sich einen Überblick darüber zu verschaffen, wie die Daten bei einem Auftragsverarbeiter verarbeitet werden: in wessen Auftrag die Daten verarbeitet werden, welche Sicherheitsmaßnahmen ergriffen werden, welche Arten von Verarbeitungen durchgeführt werden usw.

Dies ist ein wichtiger Schritt auf dem Weg zur Einhaltung der Vorschriften, da er manchmal eine echte interne Untersuchungsarbeit erfordert.

Pflicht Nr. 5: Aufrechterhaltung eines verhältnismäßigen Sicherheitsniveaus.

Die mangelnde Sicherheit der Verarbeitung personenbezogener Daten, die von einem Auftragsverarbeiter im Auftrag eines für die Verarbeitung Verantwortlichen durchgeführt wird, ist einer der häufigen Gründe für Sanktionen durch die CNIL.

Aus diesem Grund muss man bei diesen Fragen besonders sorgfältig sein und gut darauf achten, dass die vom Auftragsverarbeiter umgesetzten Maßnahmen zur Verhinderung von Datenverletzungen angemessen sind, wie es die DSGVO vorschreibt.

Zur Bestimmung der Angemessenheit dieser Maßnahmen werden mehrere Kriterien herangezogen. Dabei wird vor allem die Höhe des durch die Verarbeitung erzeugten Risikos für die Personen, deren Daten verarbeitet werden, berücksichtigt.

Erfreulicherweise verlangt die Einhaltung der Sicherheitspflichten nach der DSGVO jedoch auch nicht, dass der Auftragsverarbeiter sein gesamtes Jahresbudget für die Sicherheit ausgeben muss.

Das Anforderungsniveau, das erwartet wird, hängt somit von den Ressourcen des Unterauftragnehmers ab, seien sie menschlich, materiell oder technisch.

Die Einhaltung der Datensicherheitsvorschriften durch den Auftragsverarbeiter erfordert daher, dass er sicherstellt, dass er angesichts dessen, was er hat, das Beste tut. Dies erfordert die Durchführung eines Sicherheitsaudits, um potenzielle Schwachstellen zu identifizieren und die notwendigen Korrekturen vorzunehmen, um diese zu beheben.

Wenn es die Ressourcen der Organisation zulassen, empfiehlt sich die Beauftragung eines auf Cybersicherheit spezialisierten Dienstleisters.

Pflicht Nr. 6: Informieren Sie den für die Verarbeitung Verantwortlichen über Verletzungen des Schutzes personenbezogener Daten.

In der Cybersicherheit ist es üblich zu sagen, dass es nicht so sehr darum geht, ob eine Einrichtung Opfer einer Datenverletzung wird, sondern vielmehr darum, ob wann sie es sein wird.

Eine Datenverletzung kann nämlich viele Formen annehmen, wie z. B. Zerstörung, Verlust, Änderung, unbefugte Offenlegung oder unbefugter Zugriff auf Daten.

Es ist daher leider sehr wahrscheinlich, dass ein Auftragsverarbeiter für personenbezogene Daten mindestens einmal in seiner Existenz eine Datenverletzung erleben wird.

Die DSGVO legt die große Mehrheit der Verpflichtungen im Zusammenhang mit Verletzungen personenbezogener Daten auf die Schultern des für die Verarbeitung Verantwortlichen.

Der Auftragsverarbeiter seinerseits hat nur zwei Pflichten: Zum einen muss er den für die Verarbeitung Verantwortlichen so schnell wie möglich benachrichtigen, wenn er Opfer einer Verletzung der Daten ist, die er in seinem Auftrag verarbeitet, und zum anderen muss er mit dem für die Verarbeitung Verantwortlichen zusammenarbeiten, sobald dieser ihn dazu auffordert.

Im Rahmen des Compliance-Projekts des Auftragsverarbeiters ist es daher sinnvoll, die Verfahren, die im Falle einer Datenverletzung zu befolgen sind, im Voraus festzulegen, um sicherzustellen, dass die Informationen schnell fließen und eine bessere Reaktionsfähigkeit angesichts der Dringlichkeit dieser Situationen gegeben ist.

Pflicht Nr. 7: Ernennung eines Datenschutzbeauftragten (DPO)

Wenn ein Auftragsverarbeiter im Rahmen seiner Tätigkeit eine große Menge personenbezogener oder besonders sensibler Daten verarbeitet, muss er laut DSGVO eine Person ernennen, die sich um alle Datenschutzfragen kümmert: den Datenschutzbeauftragten (oder Data Protection Officer ), der direkt an die oberste Managementebene des Auftragsverarbeiters berichten muss.

Zu diesem Zweck lässt die DSGVO dem Auftragsverarbeiter einen gewissen Spielraum bei der Ernennung seines DSB. So kann es sich um einen Mitarbeiter des Auftragsverarbeiters handeln oder um einen Dienstleister, wenn die Funktion des DSB ausgelagert wird.

Es ist auch möglich, dass mehrere Unternehmen, ob Auftragsverarbeiter oder für die Verarbeitung Verantwortlicher, ihre Ressourcen bündeln und einen gemeinsamen DSB ernennen.

Sobald der DSB ernannt ist, muss der Auftragsverarbeiter in seiner Beziehung zu ihm sicherstellen, dass er die Mittel hat, um seine Aufgaben wahrzunehmen, d. h. dass er systematisch in Datenschutzfragen einbezogen wird, über ausreichende Ressourcen verfügt oder unabhängig arbeiten kann.

Die Ernennung des DP0 ist daher ein wichtiger Schritt für die Einhaltung der Datenschutzvorschriften, da er zunächst das Projekt zur Einhaltung der Vorschriften durch den Auftragsverarbeiter leiten und dann in einem zweiten Schritt für die Aufrechterhaltung der Einhaltung sorgen wird.

Pflicht Nr. 8: Sicherstellung der Rechtmäßigkeit von Datenübermittlungen in Drittländer

Viele Aktivitäten der digitalen Industrie erfordern, dass personenbezogene Daten von einem Land in ein anderes übertragen werden, sei es zwischen Unternehmenseinheiten, die derselben Unternehmensgruppe angehören, oder im Rahmen der Erbringung von Dienstleistungen.

In diesem Zusammenhang verlangt die DSGVO, dass die Bedingungen, unter denen diese Übermittlungen stattfinden, besonders sorgfältig beachtet werden.

Ein Auftragsverarbeiter darf nur in bestimmten begrenzten Fällen Daten ins Ausland übermitteln.

So darf ein Auftragsverarbeiter nur in bestimmten begrenzten Fällen Daten ins Ausland übermitteln: wenn sich der Empfänger der Daten in der Europäischen Union oder in einem Land befindet, das nach Ansicht der Europäischen Kommission ein ausreichendes Datenschutzniveau bietet, wenn der Empfänger der Daten persönlich eine Reihe von Garantien bietet (insbesondere durch die Annahme verbindlicher Unternehmensregeln, die Einhaltung eines von den zuständigen Behörden genehmigten Verhaltenskodexes oder eine angemessene vertragliche Organisation der Übermittlung).

Um die Einhaltung der DSGVO durch den Auftragsverarbeiter zu gewährleisten, muss dieser daher die von ihm durchgeführten Datenübermittlungen identifizieren und neu organisieren, wenn sie nicht unter die in der Verordnung vorgesehenen Fälle fallen.

Alle Datenschutz-Grundverordnung Software ansehen

Schlussfolgerung

Es ist keine leichte Aufgabe, die Aktivitäten eines Auftragsverarbeiters mit der DSGVO in Einklang zu bringen. Die einzuhaltenden Verpflichtungen sind zahlreich und können manchmal echtes Fachwissen erfordern.

Aber sobald die Geschäftspartner immer anspruchsvoller werden, was die Einhaltung der Datenschutzbestimmungen betrifft, kann man die Einhaltung der Vorschriften nicht als lästige Pflicht, sondern als Chance sehen, die es ermöglicht, einen Wettbewerbsvorteil zu erlangen.