DS-GVO (3): Schwerpunkt Auftragsdaten-Verarbeitung (ADV)

Noch knapp sechs Monate und die Datenschutz-Grundverordnung (DS-GVO) ist wirksam und muss in den Unternehmen umgesetzt sein. In manchen Artikeln wird derzeit nur über enorme Strafen und von den künftig sehr hohen Bußgeldern geredet oder von der Gefahr die durch die Aufsichtsbehörden, Wettbewerber oder Abmahnungen ausgehen kann.


Die Umsetzung der Datenschutzgrundverordnung ist sicher nicht ohne Aufwand zu bewältigen. Dennoch bietet sie eine enorme Chance für die Unternehmen. Sie wird auch eine neue Dynamik in die Beziehung zwischen Unternehmen und Datenverarbeitern, also Auftraggeber und Auftragnehmern bringen. Ganz besonders natürlich für Anbieter von IT-Services.

Unternehmen, die sich in der Vergangenheit schon im Datenschutz gut aufgestellt haben, über gelebte Leit- und Richtlinien im Datenschutz verfügen, haben einen erheblichen Vorteil. Aber die Hausaufgaben, im Bereich der Auftragsdatenverarbeitung, Einwilligungen und Dokumentation ihrer Verfahren, sollten ja längst unter den Vorgaben des BDSG umgesetzt sein. Wie die aktuelle Befragung der bitcom zeigt gilt das offensichtlich nicht für alle Unternehmen. Viele haben demnach noch steilen Weg vor sich den Sie in knapp einem halben Jahr zurücklegen müssen.

Es gilt also schnellstens einen Fahrplan für die wichtigsten Anforderungen der DS-GVO zu erarbeiten. Bringen Sie schnell Licht ins Dunkel und verschaffen sich einen Überblick wo im Unternehmen personenbezogene Daten gespeichert und verarbeitet werden. Nur so kann auch sichergestellt werden, dass der Datenschutzbeauftragte im Unternehmen sinnvoll tätig werden und beraten kann.
Es empfiehlt sich die DS-GVO als Projekt anzugehen und zunächst eine schnelle Erhebung der vorhandenen Situation zu machen. Aber wo anfangen? 99 Artikel, 173 Erwägungsgründe und ein neues BDSG das ebenfalls zum 25.04 2018 wirksam wird.

Im Hinblick auf die künftigen Rechenschaftspflichten (Accountability) nach Art. 5 DS-GVO müssen Unternehmen die Einhaltung der Datenschutzbestimmungen jederzeit nachweisen können. Verantwortliche Stellen haben demnach geeignete technische und organisatorische Maßnahmen zu ergreifen um sicherzustellen, dass sie diese Nachweise jederzeit erbringen können. Bestehende Maßnahmen sind z.B. nach einem PDCA-Zyklus regelmäßig zu überprüfen, zu aktualisieren und gegebenenfalls an neuen Risiken anzupassen.

Meine Empfehlung, wenn noch wenig im Datenschutz erfolgt ist

Beginnen Sie mit der Information der Verantwortlichen im Unternehmen über die DS-GVO. Machen Sie das Projekt bekannt und stellen Sie sicher, dass Datenschutz die Aufmerksamkeit und den Stellenwert im Unternehmen erhält den es jetzt benötigt. Zeigen Sie die Risiken auf, die fehlender oder schlechter Datenschutz künftig nach sich ziehen kann. Dazu gehören nicht nur die möglichen Bußgelder sondern auch Image- und Vertrauensverlust bei Kunden, Partnern und Mitarbeitern. Gerade Auftraggeber werden Ihrem Datenschutz künftig erhebliche Aufmerksamkeit widmen. Schließlich sind Auftraggeber und Verarbeiter unter der DS-GVO beide in der Pflicht und Haftung. Auch für mögliche Schadenersatzforderungen.

  • Erfassung aller Dienstleister, die für das Unternehmen personenbezogene Daten verarbeiten
  • Erfassen aller Auftraggeber, für die das Unternehmen personenbezogene Daten im Auftrag verarbeitet
  • Prüfen Sie, ob für alle Aufträge eine angemessene Dokumentation der vereinbarten Leistungen und Aufgaben und der Vertrag zur Auftragsdatenverarbeitung (noch nach § 11 BDSG i.V.m. § 9 Anlage BDSG künftig Art 28 i.V.m. Art 24 DS-GVO) vorhanden ist.

Haben Sie diese Daten vollständig erfasst sollten Sie zeitgleich einen Prozess, als Teil des künftig erforderlichen Datenschutzmanagement-Systems, etablieren, um zu gewährleisten, dass diese Informationen aktuell gehalten und insbesondere dem Datenschutzbeauftragten jederzeit zur Verfügung stehen.

Bewerten Sie, ob ihre bestehenden ADV Vereinbarungen alle Anforderungen nach der DS-GVO enthalten. Ist das nicht der Fall müssen Sie mit Ergänzungen oder neuen Vereinbarungen sicherstellen, dass die Vorgaben der DS-GVO umgesetzt werden. Spätestens jetzt sollten Auftragnehmer, künftig Verarbeiter, nicht mehr darauf warten, dass die Auftraggeber den ADV Vertrag vorlegen. Vielmehr müssen Sie selbst proaktiv sicherstellen, dass vor Beginn der Verarbeitung die entsprechenden Verträge abgeschlossen sind. Haftung trifft künftig alle Beteiligten an einer Auftragsverarbeitung. Die DS-GVO bietet auch eine neue Möglichkeit der Auftragsverarbeitung. Jetzt können zwei oder mehr Verantwortliche dieselben personenbezogenen Daten arbeitsteilig oder gemeinsam für jeweils eigene Zwecke ("joint control“ Art. 26 Abs. 1 und 2 DS-GVO) verarbeiten. Die gemeinsam Verantwortlichen müssen dann in einer Vereinbarung mindestens die folgenden Regelungen treffen:

  • Firmenname und Rechtsform der Verantwortlichen
  • Vertreter der Verantwortlichen
  • Anschrift und Kontaktdaten der Verantwortlichen
  • Übersicht der tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen
  • Zwecke und Mittel der Datenverarbeitung
  • Aufteilung der Pflichten aus der DSGVO zwischen den Verantwortlichen
  • Wahrnehmung der Informationspflichten gemäß Art. 13 und Art. 14 DSGVO
  • Wahrnehmung der Rechte der betroffenen Personen aus den Art. 15 bis Art. 22 DSGVO
  • Wahrnehmung der Pflichten aus Art. 12 Abs. 3 und 4 DSGVO
  • Einrichtung einer Anlaufstelle für betroffene Personen

Erste Muster für Vereinbarungen zur Auftragsverarbeitung nach DS-GVO finden sie hier:

https://www.bvdnet.de/bvd-arbeitskreise/arbeitskreis-medizin/
https://www.gdd.de/aktuelles/startseite/vertragsmuster-zur-auftragsverarbeitung
https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/EU-DSG/170515-Auftragsverarbeitung-Anlage-Mustervertrag-online.pdf
https://www.lda.bayern.de/media/baylda_ds-gvo_10_processor.pdf

Unter dem zweiten Link finden Sie Muster und Deutsch und Englisch.

Auch wenn die Verpflichtung zur Dokumentation des „Verzeichnisses von Verarbeitungstätigkeiten“ für KMU eine Ausnahmeregelung (Art. 30 Abs. 5 DS-GVO) enthält, empfiehlt es sich diese Dokumentation nach Art 30und 32 der DS-GVO durchzuführen. Diese ist zumeist auch die Grundlage für den Datenschutzbeauftragten zu erkennen welche Verarbeitungen im Unternehmen überhaupt stattfinden.

Die Verzeichnisse der Verarbeitungstätigkeiten müssen der Aufsichtsbehörde auf Anfrage unverzüglich zur Verfügung gestellt werden, Art. 30 Abs. 4 DS-GVO und EG 82. Anhand der Dokumentationen soll die Aufsichtsbehörde im ersten Schritt die Verarbeitungsvorgänge kontrollieren können. Allerdings entfallen die bisherigen Meldepflichten an die Aufsichtsbehörde nach § 4d und § 4e BDSG und die Verpflichtung ein allgemeines öffentliches Verfahrensverzeichnis mit einem Einsichtsrecht für jedermann bereitzustellen.

Die Aufsichtsbehörden können verlangen, dass die Verzeichnisse in deutscher Sprache geführt werden (§ 23 Abs. 1 und 2 Verwaltungsverfahrensgesetz, VwVfG). Werden Verzeichnisse elektronisch geführt können Aufsichtsbehörden Ausdrucke verlangen. Um den Grundsatz der Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) erfüllen zu können, sollten in den Verzeichnissen auch Änderungen der Verfahrungen nachvollziehbar dokumentiert werden. Auch sollte aus den Aufzeichnungen hervorgehen wer, wann, Verantwortlicher des Verfahrens war und z.B. Datenschutzbeauftragter, etc. gewesen ist.

Beinhalten die Verfahren besondere Risiken für Rechte und Freiheiten von Betroffenen oder werden besondere Kategorien von Daten verarbeitet (bisher §3 Abs. 9 BDSG, künftig auch biometrische Daten) besteht regelmäßig die Verpflichtung zur Führung des Verzeichnisses. Für jede Verarbeitung ist zu ermitteln welches Risiko für die Rechte Betroffener damit verbunden ist (Risikoanalyse). Stellt sich bei der Prüfung der geplanten Datenverarbeitung ein hohes Risiko für die Betroffenen heraus, ist eine so genannte Datenschutz-Folgenabschätzung (Art35 Abs. 1 DS-GVO) durchzuführen. Die Ergebnisse der Risikoanalyse sollten zu dem entsprechenden Verfahren mitgeführt werden. Derzeit erarbeiten die Datenschutzaufsichtsbehörden eine so genannte Blacklist, die den Unternehmen aufzeigen soll bei welchen Verfahren die Datenschutz-Folgenabschätzung zwingend vorgeschrieben ist. Kann das Unternehmen durch entsprechende technische und organisatorische Maßnahmen die Risiken nicht vollständig ausschließen, ist es verpflichtet die Aufsichtsbehörde nach Art. 26 DS-GVO einzuschalten.

Neben der Auftrags(daten)verarbeitung, die ggfs. bei erforderlicher Abstimmung mit Auftraggebern oder Verarbeitern einige Zeit in Anspruch nehmen kann, sollten jetzt unbedingt die Verfahren und Datenflüsse im Unternehmen analysiert und dokumentiert werden. Erste Muster für eine mögliche Verfahrensdokumentation finden Sie hier:

https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/

Inzwischen haben die Anbieter von Datenschutz-Software ihre Programme schon zum größten Teil an die DS-GVO angepasst und die Vorgaben zur Verfahrensdokumentation lassen sich elektronisch umsetzen.

Wir setzen auf unserer Website Cookies ein. Einige von ihnen sind essenziell (z.B. für das Funktionieren dieser Website), während andere uns helfen unser Onlineangebot zu verbessern und wirtschaftlich zu betreiben. Sie können dies akzeptieren oder auf die Schaltfläche "Alles ablehnen" klicken, in diesem Fall stehen Ihnen möglicherweise nicht mehr alle Funktionen dieser Homepage zur Verfügung. Diese Seite verwendet Google Fonts, mit der Nutzung dieser Seite stimmen Sie diesem Dienst zu. Nähere Hinweise erhalten Sie in unserer Datenschutzerklärung.