IT-BUSINESS Aktion:

#ITfightsCorona

Datenschutz-Grundverordnung in der Praxis

Was ist Auftragsverarbeitung nach DSGVO und was nicht?

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Die DSGVO hat sich zwar weitestgehend bewährt, es gibt aber weiterhin Probleme in der Anwendung der neuen Datenschutz-Regelungen.
Die DSGVO hat sich zwar weitestgehend bewährt, es gibt aber weiterhin Probleme in der Anwendung der neuen Datenschutz-Regelungen. (Bild: gemeinfrei / Pixabay)

Die Aufsichtsbehörden für den Datenschutz berichten, dass Unternehmen Schwierigkeiten damit haben, eine Datenverarbeitung als Auftragsverarbeitung einzustufen und entsprechend die passenden Datenschutz-Maßnahmen zu ergreifen. Wir berichten von konkreten Beispielen, beschreiben die Positionen der Aufsichtsbehörden und geben Tipps, wie man eine Auftragsverarbeitung erkennt.

Wer glaubt, dass die Aufsichtsbehörden für den Datenschutz in Deutschland völlig zufrieden wären mit der DSGVO, der irrt sich. Dabei sind es nicht nur die zusätzlichen Aufgaben und der größere Bedarf an Personal, auf die die Aufsichtsbehörden aufmerksam machen. Ihnen ist durchaus bewusst, dass nicht alle Regelungen uneingeschränkt praxistauglich sind.

Die Aufsichtsbehörden erklären zwar, dass sich die DSGVO mit ihrem Regelungskonzept und ihren Zielen im Wesentlichen bewährt hat. Die Ziele des verbesserten Grundrechtsschutzes und der Schaffung eines einheitlichen digitalen Binnenmarktes erscheinen durch die DSGVO vorangebracht und auch tatsächlich erreichbar, so die Aufsicht.

Doch es gibt weiterhin Probleme in der Anwendung, wie auch Umfragen unter Unternehmen regelmäßig belegen. So manches Problem hängt dabei mit Unklarheit und mangelnder Information zusammen. Dies gilt zum Beispiel für das Thema Auftragsverarbeitung, die in Artikel 28 der Datenschutz-Grundverordnung (DSGVO) geregelt ist. Auftragsverarbeiter ist nach DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Verantwortliche müssen vor Auftragsvergabe zunächst eine Prüfung der Geeignetheit des Auftragsverarbeiters durchführen. Der Verantwortliche darf sich danach nur solcher Auftragsverarbeiter bedienen, die hinreichende Garantien dafür bieten, dass sie geeignete technische und organisatorische Maßnahmen für einen ausreichenden Datenschutz anwenden, so dass die Verarbeitung im Einklang mit der DSGVO erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet.

Den Aufsichtsbehörden sind viele Fragestellungen rund um die Auftragsverarbeitung begegnet, darunter diese Beispiele.

Beispiel Steuerberatung

Muss man als Unternehmen mit dem Steuerberater einen Vertrag abschließen, der den Vorgaben an eine Auftragsverarbeitung entspricht? Hier muss man genau aufpassen!

Bei Steuerberatern ist es nach Auffassung einiger Aufsichtsbehörden so zu sehen, dass diese als Freiberufler selbständig, weisungsunabhängig und eigenverantwortlich tätig sind und dementsprechend auch einer strafbewehrten persönlichen Geheimhaltungspflicht unterliegen. Das widerspricht der Weisungsgebundenheit im Sinne der DSGVO.

Einige Aufsichtsbehörden argumentieren nun so: Auch wenn Steuerberater nur die Lohnbuchhaltung durchführen, müssen sie dafür aufgrund des Steuerberaterrechts die eigene Verantwortung übernehmen und können sich nicht, wie allgemeine Dienstleister zur Lohnabrechnung, auf Weisungen von Mandanten berufen. Steuerberater arbeiten deshalb regelmäßig eigenverantwortlich.

Doch Vorsicht, es kommt ganz genau auf die Tätigkeiten des Steuerberaters an, so eine andere Aufsichtsbehörde: Übernimmt ein Steuerberater neben seiner eigentlichen Steuerberatertätigkeit (Hilfe in Steuersachen) zusätzlich weitere Aufgaben, handelt es sich um Auftragsverarbeitung im Sinne des Artikels 28 DSGVO und bedarf einer entsprechenden Vereinbarung mit dem datenschutzrechtlich verantwortlichen Auftraggeber.

Beispiel Test mit Echtdaten

Kann man externen Softwaretestern und Entwicklern Echtdaten überlassen und dies als Auftragsverarbeitung regeln? Hierzu sagt eine Aufsichtsbehörde: Werden Echtdaten für Entwicklungszwecke verarbeitet, besteht die Gefahr, dass solche Daten unbefugt verbreitet werden. Sie werden dann in einer Weise verarbeitet, bei der die Wirksamkeit der Datensicherheitsmaßnahmen (noch) unklar ist. Ebenso wäre dies eine Zweckdurchbrechung, denn die Daten sind üblicherweise nicht für Entwicklungszwecke erhoben worden.

Würde man die Nutzung der Daten durch Dritte (Entwickler) als Auftragsverarbeitung abbilden, dürften die Daten durch den Entwickler nicht für eigene Zwecke verwendet werden, kein realistisches Szenario, so die Aufsicht. Daher dürfen Echtdaten nicht für Entwicklungszwecke eingesetzt werden, eine Nutzung könnte aber mit anonymisierten Daten erfolgen.

Beispiel Hosting

Wenn eine Website keine personenbezogenen Daten verarbeitet, also nur Inhalte darstellt, ohne Daten zu erheben, ist dann das Hosting eine Auftragsverarbeitung?

Hier würde man zuerst antworten, dass letztlich immer personenbezogene Daten erhoben werden, wenn man an den Personenbezug von IP-Adressen denkt. Eine Aufsichtsbehörde erklärt jedoch: Es findet in diesem speziellen Fall keine Auftragsverarbeitung statt.

Das Hosting von rein statischen Websites ist, wenn keine personenbezogenen Daten über die Seitenaufrufe an das Unternehmen fließen und auch kein Nutzer-Tracking stattfindet, keine Auftragsverarbeitung.

Die Tatsache, dass auch beim Hosting von statischen Webseiten zwangsläufig IP-Adressen, d.h. personenbezogene Daten, verarbeitet werden müssen, führt nicht zur Annahme einer Auftragsverarbeitung. Das wäre nicht sachgerecht, so die Aufsicht. Die (kurzfristige) IP-Adressenspeicherung ist vielmehr noch der TK-Zugangsvermittlung des Website-Hosters nach dem Telekommunikationsgesetz (TKG) zuzurechnen und dient in erster Linie Sicherheitszwecken des Hoster.

Beispiel Online-Tracking

Werden externe Analyse-Dienste für das Online-Tracking bei Webseiten eingesetzt, stellt sich die Frage, ob sich dies als Auftragsverarbeitung umsetzen lässt. Für den Fall Google Analytics haben die Aufsichtsbehörden dem eine klare Absage erteilt. Zentraler Punkt: Ein Auftragsverarbeiter darf die Daten nicht zu eigenen Zwecken verwenden.

Das Produkt Google Analytics wurde nach Ansicht der Aufsichtsbehörden in den vergangenen Jahren so fortentwickelt, dass es in der aktuellen Gestaltung keine Auftragsverarbeitung mehr darstellt. Vielmehr räumt sich der Anbieter das Recht ein, die Daten der die Webseiten Besuchenden zu eigenen Zwecken zu verwenden. Die Einbindung von Google Analytics erfordert daher eine Einwilligung, die den Anforderungen der Datenschutz-Grundverordnung genügt.

Wie man eine Auftragsverarbeitung erkennt

Wie aber erkennt man selbst, ob eine Auftragsverarbeitung vorliegt oder nicht. Dafür gibt es Kennzeichen, nach denen man suchen muss:

  • Der Auftragsverarbeiter ist über die bloße Beauftragung hinaus gegenüber dem Verantwortlichen weisungsabhängig, selbst wenn der Auftragsverarbeiter über ein umfassenderes Know-how als sein Auftraggeber verfügt.
  • Der Auftragsverarbeiter wird vom Verantwortlichen überwacht.

Einige Aufsichtsbehörden bieten eine Beispiel-Liste für Auftragsverarbeitungen, die zwar nicht von der eigenen Prüfung entbindet, die aber Anhaltspunkte liefert. Darunter sind diese Beispiele:

  • DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren
  • Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist
  • Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (Betreuung von Kontaktformularen oder Nutzeranfragen)
  • Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten
  • Auslagerung der Backup-Speicherung und anderer Archivierungen
  • Datenträgerentsorgung durch Dienstleister

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46405400 / Recht)