Joint Control, Cloud, Privacy-by-Design oder -Default: Neue Anforderungen an die Auftragsdatenverarbeitung

PrintMailRate-it
von Dr. Christiane Bierekoven  Datenschutz in der Cloud

  

Mit zunehmender Cloud-Nutzung und Digi­talisierung erhält auch das Thema Daten­schutz in der Cloud und in Rechen­zentren immer größere Bedeutung. Entsprechendes gilt bei Daten­ver­arbeitungen in Unternehmens­gruppen oder Konzernen durch mehrere Gesell­schaften einer Gruppe. Die Datenschutz-Grundver­ordnung (DSGVO) nimmt Auftrags­verarbeiter stärker in die Verantwortung als bisher und fordert für die Absicherung der Daten­verarbeitung verstärkt technologische Lösungen, genannt Privacy-by-Design und Privacy-by-Default. Wir zeigen Ihnen deren Bedeutung für die Praxis auf.
 

 

Was ändert sich allgemein bei der Auftragsdatenverarbeitung?

Wie bislang muss bei der Beauftragung eines Auftrags­verarbeiters sichergestellt werden, dass er hinreichende Garantien dafür bietet, geeignete technische und organisatorische Maßnahmen so durchzuführen, dass die Daten­ver­arbeitung den Anforderungen der DSGVO entspricht und der Schutz der Rechte der betroffenen Personen gewährleistet ist. Gemäß Art. 28 Abs. 5 DSGVO können nun genehmigte Verhaltens­regelungen und Zertifizierungen (Art. 40, 41 DSGVO) als Faktor für das Vorliegen solcher Garantien herangezogen werden. Die Beauftragung eines Auftrags­verarbeiters muss vergleichbar dem bisherigen Recht auf der Grundlage eines Vertrages oder neu, eines Rechts­instruments nach EU-Recht oder dem jeweiligen nationalen Recht erfolgen. Dabei genügt zum Abschluss anders als bislang auch die elektronische neben der klassischen Schriftform, Art. 28 Abs. 4 DSGVO, was für die Praxis eine erhebliche Erleichterung darstellt.

    

Der Inhalt eines solchen Vertrages oder Rechtsinstrumentes ist im Katalog des Art. 28 Abs. 3 DSGVO festgelegt. Wesentliche Regelungen sind:
  • Dokumentierte Weisungsrechte des Verantwortlichen
  • Regelung zur Vertraulichkeit oder gesetzlichen Verschwiegenheit
  • Datensicherheit, technische und organisatorische Maßnahmen
  • Einschaltung von Subunternehmen
  • Unterstützung des Verantwortlichen bei

       - Datensicherheitsmaßnahmen / technisch-organisatorischen Maßnahmen

       - Meldungen an die Aufsichtsbehörde oder betroffene Personen bei Datenschutzverletzungen

       - Datenschutzfolgenabschätzung, einschließlich etwaiger Konsultation mit der Aufsichtsbehörde

  • Rückgabe personenbezogener Daten
  • Unterstützung bei Prüfungen durch den Verantwortlichen oder dessen Beauftragten

 

Neben dem auch bislang üblichen individuellen Vertrag zwischen Unternehmen und Auftrags­verarbeiter können künftig zur Festlegung dieser Pflichten Standardvertragsklauseln verwendet werden, die entweder von der EU-Kommission oder nach dem neu eingeführten Kohärenzverfahren festgelegt werden (Art. 28 Abs. 7, 8 DSGVO). Hierbei handelt es sich nicht um die bekannten Standardvertragsklauseln, die bei Datenübermittlung in Drittstaaten anzuwenden sind, sondern um neue, speziell für die Auftragsverarbeitung, einzuführende Regelungen.

 

Welche Änderungen gibt es bei der Einschaltung von Subunternehmern?

Wie bislang schon von den nationalen und europäischen Daten­schutz­aufsichts­behörden gefordert, bedarf künftig die Einschaltung von Subunter­nehmern der schriftlichen Genehmigung des Verantwortlichen (Art. 28 Abs. 2 DSGVO). Anders als bisher ist jedoch direkt vorgesehen, dass der Verantwortliche eine allgemeine schriftliche Genehmigung zur Einschaltung von Subunternehmern erteilen kann, sodass es nicht bei jeder Einschaltung eines neuen Subunter­nehmers oder bei der Auswechslung von Subunternehmern einer neuen schriftlichen Genehmigung bedarf. Der Auftragsverarbeiter bleibt jedoch verpflichtet, den Verantwortlichen von jeder beabsichtigten Änderung zu informieren, damit er die Möglichkeit zum Einspruch erhält. Entsprechendes sah bislang bereits die Orientierungshilfe Cloud-Computing vom 9. Oktober 2014 und das Working-Paper 196 vom 1. Juli 2012 der Art. 29 Gruppe zum Cloud-Computing vor. Anders als der Vertrag bzw. das Rechtsinstrument muss die Genehmigung jedoch schriftlich erteilt werden, eine Ersetzung durch die elektronische Form sieht Art. 28 Abs. 9 DSGVO nicht vor.

 

Neben der Genehmigung muss der Auftragsverarbeiter seinerseits mit dem Subunternehmer einen Vertrag oder anderes Rechts­instrument abschließen, aufgrund dessen ihm die Pflichten aus dem Vertrag mit dem Verantwortlichen auferlegt werden. Der Vertrag oder das Rechts­instrument können ebenfalls individuell oder künftig aufgrund von Standard­ver­trags­klauseln schriftlich oder elektronisch abgeschlossen werden. Die Einhaltung der daten­schutz­rechtlichen Garantien kann über genehmigte Verhaltensregeln oder Zertifizierungen nachgewiesen werden (Art. 28 Abs. 5 DSGVO).

 

Was ändert sich bei der Verantwortung des Auftragsverarbeiters?

Der Auftragsverarbeiter haftet dem Verantwortlichen ggü. aufgrund der gesetzlichen Regelung des Art. 28 Abs. 4 S. 2 DSGVO für die Einhaltung der Pflichten des Subunternehmers.

 

Neu eingeführt wurde zudem die Verantwortlichkeit des Auftragsverarbeiters nach Art. 28 Abs. 10 DSGVO. Danach wird er selbst als Verantwortlicher angesehen, wenn er entgegen den Vorgaben der DSGVO die Zwecke und Mittel der Verarbeitung bestimmt. Daneben haftet er betroffenen Personen ggü.  anders als bislang direkt auf Schadensersatz und zwar entweder alleine oder gemeinsam mit dem Verantwortlichen und kann zudem Adressat von Bußgeldern nach Art. 83 DSGVO werden.

 

Was bedeuten die Änderungen für Cloud und Rechenzentrum Services?

Die Möglichkeit der allgemeinen Genehmigungserteilung zur Einschaltung von Subunternehmern stellt im Zusammenhang mit Cloud und Rechenzentrums Services eine erhebliche Erleichterung zur Aufrechterhaltung der Flexibilität und Skalierbarkeit der Services dar, da nicht jede Änderung auf Seiten eines Subunternehmers einer neuen schriftlichen Genehmigung des Verantwortlichen bedarf. Hinzu kommt die Erleichterung des Abschlusses der erforderlichen Verträge oder Rechts­instrumente durch die elektronische Form, die jedoch durch das Schriftform-Erfordernis zur Genehmigungserteilung zur Einschaltung von Subunternehmern etwas konterkariert wird. Die künftigen Standard­vertragsklauseln dürften zumindest bei einfach gelagerten Daten­ver­ar­beitungen ebenfalls für eine weitere Erleichterung sorgen. Dabei ist jedoch zu beachten, dass die Standard­vertragsklauseln noch nicht erlassen sind, sondern deren Erlass im Ermessen der EU-Kommission bzw. der Kohärenzverfahrens steht. Unabhängig davon muss der Verantwortliche jedoch in jedem Einzelfall überprüfen, ob sie für die auszulagernden Datenverarbeitungsvorgänge die geeigneten Mittel darstellen. Er bleibt für die Einhaltung der Anforderungen der DSGVO verantwortlich. Ebenfalls können künftig die genehmigten Verhaltensregeln oder Zertifizierungen eine Erleichterung bei der Einhaltung der erforderlichen datenschutzrechtlichen Garantien darstellen.

 

Was ist ein Joint Control in Abgrenzung zur Auftrags­verarbeitung?

Das Instrument des Joint Control gab es auch bereits unter der bisherigen Datenschutzrichtlinie vom 24. Oktober 1995, war jedoch im Bundesdatenschutzgesetz (BDSG) nicht umgesetzt. Anders als bei der Auftragsdatenverarbeitung, im Rahmen derer der Verantwortliche die Mittel und Zwecke der Daten­verarbeitung festlegt und lediglich den Auftragsverarbeiter mit der Durchführung der Datenverarbeitung beauftragt, gibt es beim Joint Control zwei Ver­ant­wort­liche, die gemeinsam die Zwecke und Mittel der Datenverarbeitung festlegen (Art. 26 DSGVO). Diese Möglichkeit kann künftig bei der Datenüber­mittlung innerhalb eines Konzerns oder einer Unternehmens­gruppe zur Regelung der Datenverarbeitung durch mehrere Gesellschaften eine wichtige Rolle spielen.

 

Welche Bedeutung haben Privacy-by-Design und Privacy-by-Default in diesem Kontext?

Der Verantwortliche hat gem. Art. 25 DSGVO sicherzustellen, dass sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch bei der späteren Verarbeitung durch geeignete technische und organisatorische Maßnahmen gewährleistet ist, dass sowohl die Grundsätze des Daten­schutzes durch Technik (Privacy-by-Design) als auch durch daten­schutz­freundliche Voreinstellungen (Privacy-by-Default) eingehalten werden. Danach müssen die zur Datenverarbeitung eingesetzten Mittel so ausgestaltet sein, dass die Verarbeitung personen­bezogener Daten minimiert wird, wie bspw. durch den Einsatz von Pseudonymisierung. Zudem müssen die Standardein­stellungen so ausgerichtet sein, dass sie nur die personen­bezogenen Daten verarbeiten, die für den konkreten Zweck erforderlich sind. Dies betrifft den Umfang der erhobenen Daten, den Umfang der Verarbeitung, die Speicherfrist und die Zugäng­lichkeit. Deshalb muss der Verantwortliche zunächst die Datenverarbeitungsprozesse einschließlich der Zwecke und der verarbeiteten Datenarten analysiert haben, um sodann solche daten­schutz­freundlichen technischen Mittel zur Verarbeitung auswählen zu können. Bei einer Auftrags­daten­verarbeitung muss das Unternehmen sicherstellen, dass der Auftragsverarbeiter diese Anforderungen umsetzt, also Daten vermeidende Mittel zur Verarbeitung einsetzt.

 

Dabei trifft diese Verpflichtung mittelbar auch die Hersteller und Anbieter solcher Verfahren, die sie so zu konzipieren haben, dass solche technischen Mittel eingesetzt werden können.

 

Fazit

Die Anforderungen an die Auftragsverarbeitung haben sich in der Ausgestaltung insofern geändert, als zum einen ein Auftragsverarbeiter stärker in die Verantwortung für die Einhaltung der Datenschutzanforderungen genommen wird als bislang. Zum anderen können betroffene Personen direkt bei Verletzung von Datenschutz­anforderungen Schadens­ersatzansprüche gegen ihn stellen. Die vertragliche Ausgestaltung ist geblieben, die inhaltliche Ausgestaltung hat sich indessen geändert. Erleichterungen können künftig Standard­vertragsklauseln und die elektronische Form bringen, wenngleich es bei der Beauftragung von Subunternehmern bei der schriftlichen Genehmigung bleibt. Dabei muss der Verantwortliche unter Berücksichtigung der konkreten Datenverarbeitung und der betroffenen Daten sehr genau prüfen, ob Standard­vertragsklauseln ausreichen. Eine Prüfung sämtlicher Vereinbarungen zur Auftrags­daten­ver­arbeitung zur Feststellung etwaigen Änderungsbedarfes, insbesondere vor dem Hintergrund des Erfordernisses der technikfreundlichen Gestaltung und der daten­schutz­freundlichen Voreinstellungen, empfiehlt sich, um rechtzeitig zum 25. Mai 2018 umgestellt zu haben.

    

zuletzt aktualisiert am 16.11.2016

Kontakt

Contact Person Picture

Jens Hinkelmann

Leiter Geschäftsfeld Unternehmens- und IT-Beratung

Partner

+49 911 1807 8710

Anfrage senden

 Wir beraten Sie gern!

Deutschland Weltweit Search Menu