Mit diesem Beitrag beschäftigen wir uns mit der Prüfung von Datenweitergaben.
Datenweitergaben / Auftragsverarbeitung (AVV) und andere…
Häufig ist den Verfahrensverantwortlichen gar nicht bewusst, dass Datenweitergaben datenschutzrechtlich relevant sind. Der/Die Datenschutzbeauftragte erfährt dies oftmals nur per Zufall.
Wir als externe Datenschutzbeauftragte haben dieses Problem noch häufiger, da wir nicht so nah in alle Unternehmensprozesse und Verfahren eingebunden sind.
Daher haben wir eine Methode, mit welcher wir diese Informationen bei den jeweiligen Verfahrensverantwortlichen leicht abfragen, erfassen und aktualisieren können.
Eine Methode welche sicherlich auch für interne Datenschutzbeauftragte hilfreich ist.
Wie komme ich an die erforderlichen Informationen bezüglich der Datenweitergaben?
Basis ist auch hier wieder das Verzeichnis von Verarbeitungstätigkeiten.
Wir fragen in den dazugehörigen Erfassungsbögen sehr niederschwellig nach den Datenweitergaben, ohne dass der/die Verantwortliche hierzu schon die Art der Datenweitergabe oder die Rechtsgrundlage nennen muss.
Dadurch erhalten wir eine Auflistung aller internen sowie externen Datenweitergaben und können prüfen, ob es Dienstleister gibt, die personenbezogene Daten verarbeiten oder ob es sich um eine Datenweitergabe (Controller to Controller), gemeinsame Verantwortung (Joint-Controllership, Binding Corporate Rules) oder eine Auftragsverarbeitung handelt.
Nach der abgeschlossenen Erfassung folgt die Prüfung ob ausreichende Verträge vorliegen, Garantien (bspw. durch TOM (https://www.werning.com/artikel/frage-der-woche-was-sind-technische-und-organisatorische-massnahmen-tom/ ) durch den Auftragsverarbeiter zugesichert wurden und sich dieser generell an die Vorgaben der DSGVO hält.
Durch die strukturierte Abfrage erhalten wir eine gute Übersicht. Diese dient zur Entscheidungsvorlage bei der Geschäftsführung und zur Ermittlung von Risiken und weiteren Maßnahmen.
Vorgehensweise in Kurzform:
- Abfrage der Datenweitergaben über Erfassungsbögen und das Verzeichnis von Verarbeitungstätigkeiten
- Prüfung der Art der Datenweitergabe und der Rechtsgrundlagen
- Prüfung der Datenschutzanforderungen in den Verträgen
- Ist der Zweck und die Verantwortlichkeiten eindeutig geregelt?
- Sind alle Regelungen der DSGVO im Vertrag enthalten?
- Wurden zusätzliche Regelungen getroffen?
- Sind ausreichende TOM des Dienstleisters vorhanden, die in Bezug auf die Art der verarbeiteten Datenkategorien erforderlich sind?
- Sind die Subauftragnehmer geregelt?
- regelmäßige Kontrolle des Auftragnehmers/Prüfung etwaiger Garantien (TOM)
- (aktualisierte) Handlungsempfehlungen
Welche Rechtsgrundlagen gibt es für Datenweitergaben?
Datenweitergabe aufgrund Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) - Datenweitergabe im Rahmen Controller-2-Controller
Für eine Datenweitergabe ist die Einwilligung, die sonst eher eine schlechte Wahl als Rechtsgrundlage ist, eine sehr gute Wahl.
Der Betroffene wird informiert und stimmt der Datenweitergabe an einen dann selbst verantwortlichen Empfänger zu. Diese Einwilligung sollte für einen einmaligen und eindeutigen definierten Übermittlungsvorgang freiwillig gegeben werden.
Das kann zum Beispiel der Fall sein, wenn die Daten zur Zusendung von Werbematerialien an einen Sponsor oder Aussteller gegeben werden sollen.
Eine Einwilligung kann jederzeit, mit Wirkung für die Zukunft, widerrufen werden.
Datenweitergabe aufgrund Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Dient die Weitergabe zur Durchführung, Begründung oder Beendigung eines Vertrages, ist in der Regel keine Einwilligung des Betroffenen erforderlich. Hier ist jedoch das Prinzip der Datensparsamkeit und Zweckbindung zu beachten. Es dürfen also nur die für die Erfüllung des Vertrages notwendigen Daten weitergegeben werden.
Dies kann bspw. bei der Hotelbuchung im Rahmen einer Veranstaltung der Fall sein.
Datenweitergabe aufgrund berechtigtem Interesse (Art. 6 Abs. 1 lit. f DSGVO)
Ob sich die Weitergabe der Daten auf Art. 6 Abs. 1 lit. f DSGVO stützen kann, hängt von der Interessenabwägung ab. Hier muss explizit geprüft werden um welche Art von Daten es sich handelt, zu welchem Zweck die Weitergabe erfolgt und welche Risiken für die betroffenen Personen entstehen könnten.
Wichtig ist hier die schriftliche Abwägung der Grundrechte der Betroffenen und der Interessen des Verantwortlichen.
Datenweitergabe im Rahmen der Auftragsverarbeitung (Art. 28 DSGVO)
Auftragsverarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch Dritte im Auftrag des Verantwortlichen.
Hier ist zu beachten, dass die reine Möglichkeit der Einsichtnahmen durch den Auftragnehmer schon eine Verarbeitung darstellt.
Charakteristisch für die Auftragsverarbeitung ist, dass der Auftraggeber einen externen Dienstleister (Auftragnehmer) damit beauftragt, weisungsgebunden personenbezogene Daten zu verarbeiten.
Die Dienstleistung wird „ausgelagert“; die Verantwortlichkeit für die Datenverarbeitung wird aber „reingeholt“. Der Auftragsverarbeiter wird quasi zu einer „internen Abteilung“.
Auftragsverarbeitungsverträge sind gemäß Art. 28 Abs. 9 DSGVO schriftlich abzufassen; dies kann elektronisch geschehen.
Beispiele einer Auftragsverarbeitung:
- Marketing-Agentur verarbeitet Kundendaten (z.B. für Statistiken oder zur Erstellung eines Newsletters)
- Unternehmen beauftragt externen Dienstleister mit Aktenvernichtung
- Hosting, Cloud- und SaaS-Dienste.
Der beauftragte Dienstleister wird nur „unterstützend“ tätig. Die Verantwortung für die ordnungsgemäße Datenverarbeitung verbleibt bei dem auftraggebenden Unternehmen.
Der Auftraggeber muss bei der Auswahl des Dienstleisters sicherstellen, dass dieser ausreichende technische und organisatorische Maßnahmen (TOM) implementiert hat, welche dem Risiko für die Betroffenen genügend Rechnung tragen.
Es muss vor Auslagerung der Verarbeitung sichergestellt sein, dass die übermittelten Daten „in guten Händen“ sind.
Selbst wenn alle technischen und organisatorischen Maßnahmen ausreichend gegeben zu sein scheinen, kann es immer wieder zu großen Datenpannen kommen.
Aktuelles Beispiel ist der Brand des größten europäischen Rechenzentrums, bei dem 12.000 Server niedergebrannt sind. Einige Daten, hierbei die kompletten Daten einiger Unternehmen, konnten nicht wieder hergestellt werden.
Meldungen war zu entnehmen, dass das Rechenzentrum wohl über keine Brandlöschsysteme verfügte und Holzböden besaß.
Wichtig ist auch zu beachten:
Die Einhaltung der vertraglich vereinbarten Maßnahmen muss in regelmäßigen Abständen geprüft werden.
Dies ist möglich, je nach Art der Daten und des Risikos für die Betroffenen, durch:
- Vor-Ort-Kontrollen
- Testate
- Einholung einer schriftlichen Auskunft des Auftragnehmers (Selbstauskunft).
Diese Kontrollen sind zu protokollieren.
Datenweitergabe im Rahmen der gemeinsamen Verantwortung (Joint-Controllership gemäß Art. 26 DSGVO)
Wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel zur Verarbeitung festlegen und dadurch gemeinsam verantwortlich sind, werden sie „Joint Controller“ genannt.
Eine solche gemeinsame Verantwortlichkeit ermöglicht die gemeinsame Datennutzung.
Es wird eine transparente Vereinbarung zwischen den Verantwortlichen geschlossen (eine Orientierung an den Vereinbarungen zur Auftragsverarbeitung ist möglich; es existiert keine gesetzliche Formvorgabe für diese Vereinbarung).
Die Parteien müssen die interne Aufgabenverteilung, die Zwecke und Mittel der Verarbeitung und ihre Verpflichtungen (insbesondere bezüglich der Betroffenenrechte und Informationspflichten gem. Art. 13 und 14) festlegen.
Auch die Beziehung der gemeinsam Verantwortlichen untereinander muss gegenüber der betroffenen Person dargelegt werden.
Abzugrenzen ist die gemeinsame Verantwortlichkeit von der Auftragsverarbeitung und von einer Übermittlung personenbezogener Daten an einen Dritten.
Insbesondere die deutschen Datenaufsichtsbehörden sind der Ansicht, dass eine gemeinsame Verantwortlichkeit an sich noch keine Erlaubnis zur Datenverarbeitung darstellt! Jeder Verantwortliche benötigt eine Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten.
Beispiele einer gemeinsamen Verantwortlichkeit:
- Gemeinsame Datenverwaltung in Konzernen bei gleichlaufenden Geschäftsprozessen;
- gemeinsames Betreiben einer Infrastruktur (z.B. Internetplattformen zur Reiseplanung).
Datenweitergabe im Rahmen von Binding Corporate Rules (BCR)
Auch für den Datentransfer innerhalb von Konzernen oder Unternehmensgruppen müssen Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten vorliegen bzw. die Voraussetzungen einer Auftragsverarbeitung erfüllt und ein angemessenes Datenschutzniveau gewährleistet werden. Hierfür bieten sich sogenannte Binding Corporate Rules an.
Die BCR sind „verbindliche interne Datenschutzvorschriften“ bzw. Unternehmensrichtlinien (Vorgaben innerhalb einer Gruppe von Unternehmen), die konzernweit den Umgang mit personenbezogenen Daten regeln.
Durch diese wird ein einheitlichesDatenschutzsystem und ein einheitlicher Datenschutzstandard geschaffen. Diese Regelungen sind von allen beteiligten Unternehmen und Mitarbeitenden einzuhalten.
Im Datenschutzrecht der EU werden die BCR jedoch nicht definiert; die Unternehmensrichtlinien müssen aber unter Berücksichtigung der europäischen Datenschutzrichtlinien entworfen werden.
Dadurch entsteht den Unternehmen eine gewisse Gestaltungsfreiheit; dennoch sollten wichtige Bestandteile in den BCR nicht fehlen:
- Geltungsbereich: Festlegung von Geschäftseinheiten und wo sich der Landessitz befindet;
- Entwicklung eines Sicherheitskonzepts;
- Regelungen zum Umgang mit Datenschutzbeschwerden;
- leichte Zugänglichkeit für Betroffene (Transparenz).
Die Vorteile von Binding Corporate Rules sind, dass ein Rahmen für die einheitliche Umsetzung von Prozessen festgelegt wird. Dadurch entsteht ein hohes Maß an Sicherheit, der Datenschutz wird im internationalenUmfeld festgelegt und die Prozesse erleichtert.
Binding Corporate Rules eigenen sich vor allem für Unternehmen mit konzernweiten Datenflüssen und sind eine „Datenschutzgarantie“ von Datentransfers innerhalb einer Unternehmensgruppe (auch außerhalb der EU).
Sie ersetzen allerdings keine erforderliche Rechtsgrundlage und auch keinen erforderlichen Vertrag zur Auftragsverarbeitung!
BCR werden durch mehrere Datenschutzbehörden geprüft und müssen genehmigt werden. Der Organisationsaufwand und die notwendigen Überprüfungen sorgen für eine Umsetzungsdauer in der Regel von 1–2 Jahren. Daraus ergibt sich ein hoher Kostenfaktor. Binding Corporate Rules bieten sich daher meist nur für internationale Unternehmen mit einer entsprechenden hohen Anzahl von Datenübertragungen in unsichere Drittländer an.
Haben Sie weitere Fragen oder gar Themenwünsche, die wir in unserer Reihe „Coaching für Datenschutzbeauftragte“ aufnehmen sollten?
Melden Sie sich gerne oder besuchen Sie auch unsere regelmäßige offene Datenschutzsprechstunde.
Vielleicht sehen wir uns auch bei einem 1:1 Datenschutzcoaching?