Und prüfe wer sich (ewig) bindet: Die DSGVO und die „Verarbeiter“ (Art. 28)

In diesem Artikel möchte ich darstellen, welche Auswirkungen die DSGVO auf Anbieter in der IT-Branche hat. Die DSGVO weitet die Pflichten von Auftraggebern und Datenverarbeitern bei der Bearbeitung von Personendaten, im Vergleich mit den heute geltenden Datenschutzgesetzen, aus.

Die DSGVO fasst den Begriff des „Auftragsverarbeiters“ sehr weit. Generell gilt für die Bearbeitung im Auftrag (= Verarbeitung) zunächst der Grundsatz, dass jegliche Form der Bearbeitung auch Verarbeitung sein kann.

Vorbemerkung: Wir haben es hier immer mit Personendaten zu tun! Das geht in der praktischen Diskussion manchmal vergessen. Zusätzlich gilt es zwischen B2B und B2C Verhältnissen zu unterscheiden. Das ist deshalb wichtig, weil in einem normalen B2B Verhältnis der Anbieter gleichzeitig auch der Verantwortliche ist: Als Verantwortlicher wird derjenige bezeichnet, der Personendaten von Personen direkt erfasst und verarbeitet.

Auf diese Konstellation gehe ich hier nicht näher ein. Es interessieren v.a. B2B Verhältnisse, in welchen Verantwortliche Personendaten an (Vertrags)partner weitergeben, damit diese eine Verarbeitung durchführen. Hier ein paar mögliche Beispiele für die Verarbeitung von Personendaten durch Dritte (Vertragspartner):

  • RZ und Plattform Outsourcing  (PaaS)
  • Infrastruktur Outsourcing (IaaS)
  • Cloud Computing wie AWS, Azure, Google Cloud
  • Bezug von Diensten und Applikationen (SaaS) jeglicher Couleur
  • Auslagerung von Akten
  • Vernichtung von Datenträgern
  • Web Auftritte mit der Einbindung von Marketing Tools, Trackern, Cookies, Analytic Tools, Web-Browser-Fingerprinting
  • Social Media Widgets
  • Fernwartung
  • Kommunikationsdienstleistungen
  • Big Data Services und Datenoptimierungen / Data Clean up Services

Der Fantasie sind keine Grenzen gesetzt! Leider auch nicht der Kreativität der Behörden, wenn es um die Auslegung geht. Besteht bereits eine Auftragsverarbeitung, wenn Daten über ein Kommunikationsnetzwerk verschickt werden? Ist eine Fernwartung, bei welcher man ev. auf Personendaten zugreifen könnte, eine Verarbeitung? Können vollverschlüsselte Daten, bei denen der Schlüssel nur beim Auftraggeber liegt, verarbeitet werden?  Die Puristen unter den Datenschützern würden all dies bejahen, weil die DSGVO den Begriff der Verarbeitung sehr weit auslegt. Da das Löschen auch eine Bearbeitung ist, könnte man immer argumentieren, dies würde auch einen Eingriff in die Persönlichkeitsrechte der betroffenen Person darstellen. Die Beispiele zeigen, dass noch lange nicht klar sein wird, was wirklich unter die Auftragsverarbeitung fallen wird. Die Praxis muss hier einen gangbaren Weg finden., Es wird Jahre dauern, bis solche Fragen umfassend geklärt sein werden.

Fasst man die Anforderungen von Art. 28 DSGVO für den Praktiker zusammen, dann kann man eine Liste von essentiellen Fähigkeiten auflisten, welche für Auftraggeber/Verarbeiter gelten:

Grundpfeiler 1 – Risikoanalyse: Führen Sie vor jeder Vergabe oder Übernahme eine Risikoanalyse IM EIGENEN INTERESSE durch. Dabei sind nicht die Risiken ihrer Organisation relevant, sondern diejenigen, die für die betroffene Person entstehen könnten!

Grundpfeiler 2 – Privacy by Design und Informationssicherheit: Selbst bei der Informationssicherheit (auf welche wir hier nicht näher eingehen wollen) ist noch immer nicht Usus, dass im Rahmen von Projekten eine Risikoanalyse und eine Sicherheitskonzeption erfolgt. Das bezieht sich schon auf die Auswahl möglicher Verarbeiter. Als Anbieter sind sie aber nun gezwungen „Privacy by Design“ zu etablieren. Sollten Sie zusätzlich eine Datenschutz-Folgeabschätzung durchführen müssen, ist das auch schon fast erledigt.

Grundpfeiler 3 – Transparenz: Die grösste Herausforderung für den Verarbeiter ist die Transparenz gegenüber den Verantwortlichen und damit den Betroffenen. Der Verarbeiter muss im Prinzip alles transparent machen, was dem Schutz der Personendaten dient. Zugleich muss er festhalten, wie er die prozessualen Anforderungen erfüllen kann (z.B. Auskunftspflichten, Löschpflichten). Auf der anderen Seite ist der Auftraggeber verpflichtet,  diese Massnahmen zu prüfen. Auch hier sind wir wieder in einem Feld spekulativer Interpretationen: welche Offenlegungspflicht besteht gegenüber einem Vertragspartner? Muss ich Geschäftsgeheimnisse offenlegen? Was genügt zur Schaffung der Transparenz?

Grundpfeiler 4 – Dokumentation: Die vorne erwähnten Transparenzpflichten kann man nur erfüllen, wenn die notwendigen Dokumentationen vorhanden sind. Wer weiss, wie „gut“ es normalerweise um die Qualität von IT Dokumentationen steht, ahnt Böses. Aus unserer Sicht ist das die zweitgrösste Herausforderung für Verantwortliche wie Auftragsverarbeiter. Womit wir bei der grössten Herausforderung wären:

Grundpfeiler 5 – Information Governance: Das Beherrschen der Information Life Cycles von Personendaten ist die wichtigste Schlüsseldisziplin für die Erbringung aller Pflichten des Verantwortlichen wie auch des Verarbeiters. Diesem Aspekt wird in der öffentlichen Diskussion viel zu wenig Wert beigemessen, weil er für die meisten Unternehmen schlicht nicht bekannt erscheint! Dies darum, weil insbesondere die Löschpflichten noch nie Teil eines Datenhaltungskonzepts waren (mit Ausnahmen, natürlich). Mit anderen Worten: Zu langes Speichern von Daten wird zum grösseren Risiko als die unbegrenzte Speicherung! Die Auftragsverarbeitung hat hier ein paar Knackpunkte zu lösen. Denn es gelten die bekannten Anforderungen an die Transparenz und die Auskunftspflicht, neu aber auch an den „Digitalen Tod“ und die Datenportabilität, d.h. das Recht eines Betroffenen, seine Daten jederzeit übertragen zu lassen.

Grundpfeiler 6 – Verträge: Wenn man die Diskussion in den Fachmedien folgt, hat man den Eindruck, es ginge nur um Verträge. Habe man die richtigen Verträge, dann seien die grössten DSGVO Herausforderungen gelöst. Das ist schlicht Augenwischerei! Verträge sind wichtig und zwischen den Parteien müssen klare Vereinbarungen stehen, sie können aber die zentralen Datenschutz-Fähigkeiten nicht kompensieren. Oder anders formuliert: Das fehlende Life Cycle Management kann ich auf keinen Fall mit Verträgen kompensieren!

Grundpfeiler 7 – Und prüfe wer sich (ewig) bindet: Jeder Verarbeiter muss geprüft werden, auch wenn er noch so tolle AGBs und Verträge aufgesetzt hat! Insbesondere die amerikanischen Anbieter haben Heerscharen von Anwälten eingesetzt, um ihre Vertragswerke möglichst geschliffen zu gestalten. Die Europäer hinken hier gewaltig hinterher. Ab und zu sieht man E-Mails, mit der Aufforderung, sich neu zu registrieren oder anderes zu tun. Auch der Umgang mit Cookies scheint eine existenzielle Bedeutung zu haben (ja, es gibt eine Cookie Richtlinie, die hat aber mit der DSGVO mal grundsätzlich nichts zu tun). Das ist alles Blendwerk und beruhigt vielleicht die Rechtsabteilung, wirklich erreicht ist aber damit kaum etwas.

Grundpfeiler 8 – Kurze Verarbeitungsketten:  Die DSGVO kennt keine Grenze der Verarbeitungskette. Alle Verarbeiter in der Kette unterliegen gemäss Buchstabe des Gesetzes denselben Anforderungen. Das ist natürlich mehr als unangenehm, aber gleichzeitig auch eine Chance. Heute werden gedankenlos Daten weitergeben oder Schnittstellen geöffnet, bei denen völlig unklar ist, welche Daten weitergegeben werden. Vielfach ist auch komplett offen, was mit diesen Daten geschieht (Facebook .. sic!). Diesem Treiben muss Einhalt geboten werden! Aus unserer Sicht ist das die wichtiges Botschaft der DSGVO: Prüfen Sie Ihre Vertragspartner. Haben diese eine Unzahl von Unterakkordanten im Boot, die teilweise weder in der EU noch in der Schweiz sitzen?  Finger weg! Auch wenn der Grossanbieter zusichert, dass Ihre Daten entsprechend abgesichert sind, was in einem Drittland mit staatlicher Überwachung (z.B. Indien, China) geschieht, entzieht sich auch dessen Kontrolle, auch wenn er Microsoft, Google, Amazon und Co. heisst.

 

Damit sind wir wieder beim ersten Grundsatz: RISIKO – RISIKO  – RISIKO. Als Verantwortlicher obliegt es Ihnen, die Risiken für den Betroffenen zu kennen und offen zu legen. Müssten Sie im Rahmen einer behördlichen Untersuchung diesen Nachweis erbringen, wird das einfach, wenn sie wenige Verarbeiter haben. Die DSGVO erlaubt es Ihnen nicht, sich gedankenlos auf Zertifikate von Dritten zu verlassen, haben Sie Zweifel, müssen sie selbst aktiv werden. Bei verketteten Systemen (=komplexen Systemen) ist die erforderliche Transparenz und damit die Risikobewertung nicht möglich. In Zukunft ist damit zu rechnen, dass Lösungen durch die Datenschutz-Behörden geprüft und zertifiziert werden. Das wird die Verunsicherung etwas mindern, kann aber auch nicht als Freibrief verstanden werden, denn Art und Weise des Einsatzes muss zwingenderweise mit der Zertifizierungs-Konfiguration übereinstimmen.

 

Das KRM führt am 20. Juni eine DSGVO Veranstaltung für Auftragsverarbeiter durch. Weitere Informationen finden Sie im Veranstaltungsteil auf unserer Website: www.informationgovernance.ch

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Ähnliche Beiträge