Praxisleitfaden
Die Datenschutzgrundverordnung bringt für Auftragsverarbeiter spezifische Pflichten: neue Kunden-Verträge, ein Verzeichnis der Verarbeitungstätigkeiten, Weisungsmanagement, ggf. ein Datenschutzbeauftragter, Privacy by Design im Produkt. Dieser Praxisleitfaden erläutert die sechs zentralen TO-DOs anhand vieler Beispiele aus der Beratungspraxis.
Einleitung
Dann sind Sie ein sogenannter „Auftragsverarbeiter", für den ab 25. Mai 2018 mit der Datenschutzgrundverordnung (DSGVO) neue, spezielle Regeln gelten.
Es besteht Handlungsbedarf, um
Die Datenschutzgrundverordnung bringt für alle Unternehmen in der EU erhebliche Neuerungen und führt zu intensiven Anstrengungen bei Unternehmen, um sich auf die neuen Datenschutzregeln vorzubereiten. Für Auftragsverarbeiter ergeben sich ganz spezifische Änderungen: Ihre datenschutzrechtliche Verantwortung steigt, neue Kunden-Verträge werden nötig, das Haftungsrisiko erhöht sich und es gelten erweiterte Dokumentationspflichten.
Der folgende Beitrag erläutert praxisnah und anhand von Beispielen welche konkreten Schritte Sie unternehmen müssen, um als Auftragsverarbeiter der Datenschutzgrundverordnung gerecht zu werden.
Zur Umsetzung der Anforderungen der DSGVO können Sie ein Rechtspaket mit Checklisten, Mustern und Vorlagen bestellen (DSGVO-Kit). Einzelheiten dazu finden Sie am Ende des Beitrags sowie online unter www.complyvacy.com/dsgvo-kit.
Begriff
Auftragsverarbeiter im Sinne der Datenschutzgrundverordnung sind alle, die für andere „personenbezogene Daten im Auftrag" verarbeiten, Art. 4 Nr. 8 DSGVO.
Typische Fälle sind:
Anbieter web-basierter Softwarelösungen („Software as a Service"), in der Kunden personenbezogene Daten speichern.
Beispiele SaaS: CRM-Systeme, Online-Shops, Newsletter- und Online-Marketing-Software, Bewerbermanagement-Tools, HR-Software, Web-Tracking-Anbieter, Projektmanagement, Zeiterfassung, Fakturierung/Finanzbuchhaltung, web-basierte ERP-Systeme.
Unternehmen, die für ihre Kunden Backend-Dienste für mobile Apps betreiben und darin Nutzerdaten erfassen.
Speicherung der E-Mail-Adresse und Einstellungen von App-Nutzern in einem Backend.
Online-Agenturen, die auch das Hosting oder den Betrieb von Webseiten übernehmen, wenn diese personenbezogene Daten beinhalten.
Betrieb und Wartung einer Webseite mit Kontaktformular oder Newsletter-Bestellfunktion.
Sonstige IT-Dienstleister, zu deren Leistungen der Umgang mit personenbezogenen Kundendaten gehört.
z. B. Datenkonvertierungen, Import von Kundendaten in ein ERP-System, Analyse und Auswertung von Kundendaten.
Shared Service Center für IT-Dienste im Konzern.
z. B. eine IT-Tochtergesellschaft bietet IT-Dienstleistungen für alle Konzernunternehmen an und verarbeitet dabei die Daten deren Mitarbeiter.
Der Begriff der „personenbezogenen Daten" umfasst alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, so die Definition in Art. 4 Nr. 1 DSGVO. Auf die Sensibilität der Daten kommt es nicht an. Die bloße Information, dass eine Person bei einem Unternehmen angestellt ist, dort einen Newsletter bestellt oder Produkte gekauft hat, stellt also bereits ein personenbezogenes Datum dar. Personenbezogene Daten müssen zudem nicht unbedingt Namen enthalten. Es genügt, wenn die Daten einer natürlichen Person zugeordnet werden können. Wenn die Datensätze E-Mail-Adressen oder IP-Adressen enthalten, ist häufig die Personenbeziehbarkeit bereits gegeben.
Missverstanden wird oft auch der Ausdruck „verarbeiten". Eine Verarbeitung ist letztlich jeder Umgang mit personenbezogenen Daten. Die DSGVO nennt als Beispiele (Art. 4 Nr. 2 DSGVO): Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Offenlegen, Übermitteln, Verbreiten, Bereitstellen, Abgleichen, Verknüpfen, Einschränken, Löschen und Vernichten. Ein Anbieter von Cloudspeicher, bei dem Kunden personenbezogene Daten ablegen, „verarbeitet" diese also bereits.
Eine Verarbeitung „im Auftrag" liegt immer vor, wenn der Kunde das „Wieso" bzw. „Warum" und das wesentliche „Wie" der Verarbeitung festlegt. Dabei kann dem Auftragsverarbeiter durchaus ein gewisser Spielraum eingeräumt werden, etwa in Bezug auf die Datensicherheitsmaßnahmen. Grundsätzlich kann man sagen, dass nach der DSGVO der Anwendungsbereich der Auftragsverarbeitung gegenüber dem BDSG-1990 weiter gefasst ist. In den oben genannten Beispielsfällen liegt eine Auftragsverarbeitung vor. Grenzfälle entstehen dann, wenn der Auftragnehmer weitgehende Entscheidungsbefugnisse erhält.
Beispiel: Bewerbermanagement
Ein Unternehmen, das eine Bewerbermanagement-Software bereitstellt, verarbeitet die Bewerberdaten im Auftrag. Ein Unternehmen, das für andere vollständig die Recruiting-Funktion übernimmt und selbst festlegt, welche Kandidaten wie und in welcher Form angesprochen werden und welche Software dabei genutzt wird, verarbeitet die Daten dagegen nicht mehr im Auftrag, sondern wird selbst datenschutzrechtlich zum „Verantwortlichen".
Hintergrund
Seit 25. Mai 2018 gilt mit der EU-Datenschutzgrundverordnung 2016/679 (DSGVO) ein reformiertes Datenschutzrecht in Europa. Als Verordnung gilt die DSGVO unmittelbar in ganz Europa.
Bisher war das Datenschutzrecht in Europa hauptsächlich in der EU-Datenschutzrichtlinie 95/46/EG aus dem Jahr 1995 geregelt. Eine Richtlinie gilt nicht direkt für Unternehmen, sondern verpflichtet die Mitgliedstaaten, nationale Gesetze zu erlassen, um die Vorgaben verbindlich zu machen. Deutschland hat die Datenschutzrichtlinie vor allem durch das Bundesdatenschutzgesetz (BDSG-1990) umgesetzt.
Die DSGVO erlaubt den EU-Mitgliedstaaten nur noch in engen Grenzen eigene Datenschutzgesetze zu erlassen, etwa für Mitarbeiterdaten. Deutschland hat von dieser Möglichkeit Gebrauch gemacht und ein komplett neues Bundesdatenschutzgesetz (BDSG-2018) erlassen, das wie die DSGVO am 25. Mai 2018 in Kraft tritt. Ab diesem Datum müssen sich Unternehmen also an die DSGVO halten und ergänzend auch das BDSG-2018 beachten.
Das Datenschutzrecht ist daneben auf europäischer und nationaler Ebene noch in einer Vielzahl weiterer Bestimmungen geregelt, die sich etwa auf die Telekommunikation, auf Online-Dienste und den Sozialbereich beziehen. Diese Bestimmungen werden oder müssen im Rahmen der Neuerungen der DSGVO teilweise noch angepasst werden, was zu einer komplexen Gemengelage führt. Im Online-Bereich ist ebenfalls eine neue Verordnung, die ePrivacy-Verordnung, in der Entstehung.
Praxisleitfaden
DSGVO-Kit
Schieben Sie die Anforderungen der DSGVO nicht beiseite. Das Thema ist wichtig aufgrund des Haftungs- und Bußgeldrisikos und zur Sicherung der Kundenbeziehung. Die Umsetzung der DSGVO bringt einen gewissen Aufwand mit sich, doch Sie müssen nicht bei Null anfangen: Nutzen Sie das von mir entwickelte „DSGVO-Kit". Mit diesem können Sie einen Großteil der beschriebenen Anforderungen professionell und effizient umsetzen.
Alle Vorlagen sind bearbeitbar (Word-Dateien) und gut kommentiert. Das DSGVO-Kit richtet sich an Inhaber, Geschäftsführer, Projektverantwortliche, Inhouse-Juristen, Rechtsanwälte sowie interne und externe Datenschutzbeauftragte. Es sind weder Vorkenntnisse zur DSGVO noch eine juristische Ausbildung erforderlich.
Das DSGVO-Kit ist ein Verlagsprodukt und keine individuelle Rechtsberatung.
Beratung
Für komplexere Sachverhalte oder eine maßgeschneiderte Umsetzung berate ich Sie gerne persönlich. Schreiben Sie mir oder rufen Sie an — die Erstkontaktaufnahme ist unverbindlich.
Kontakt aufnehmen