Zentralverband Logistik und Spedition

Transkript

1 A) Allgemein Zentralverband Logistik und Spedition Leitfaden und Checkliste Verantwortlicher vs. Auftragsverarbeiter Gemäß Art. 29 DSGVO ist der aufgrund eines Auftrages tätige Dienstleister weisungsgebunden, weshalb die Verarbeitung dem Verantwortlichen direkt zugerechnet wird und die Verarbeitung durch den Auftragsverarbeiter keiner eigenen Rechtsgrundlage bedarf. Dennoch sind Auftragsverarbeiter Empfänger im Sinne von Art. 4 Nr. 9 DSGVO, was zu gesonderten Informationspflichten (Art. 13 Abs. 1 lit. e) und Mitteilungspflichten (Art. 19) des Verantwortlichen sowie zu Auskunftsrechten (Art. 15) der betroffenen Person gegenüber dem Verantwortlichen führt. Auftragsverarbeiter müssen auch im Verarbeitungsverzeichnis des Verantwortlichen als Empfänger (Art. 30 Abs. 1 lit. d) geführt werden. Gemäß Art 28 muss der Verantwortliche vor Auftragsvergabe eine Prüfung der Geeignetheit des Auftragsverarbeiters durchführen und nur solche Auftragsverarbeiter hinzuziehen, die hinreichende Garantien dafür bieten, dass sie geeignete technische und organisatorische Maßnahmen für einen ausreichenden Datenschutz anwenden. Diese können auch durch Garantien wie genehmigte Verhaltensregeln des Auftragsverarbeiters nach Art. 40 oder Zertifizierungen nach Art. 42 dienen. Der Verantwortliche muss mit dem Auftragsverarbeiter einen Vertrag über die weisungsgebundene Tätigkeit schließen. Dieser Vertrag kann schriftlich oder in einem elektronischen Format abgefasst sein. Sowohl individuelle Regelungen als auch Standardvertragsklauseln sind denkbar. Zentral dabei ist eine Regelung zur Bereitstellung der Daten, die Einhaltung der besonderen Bedingungen für den Einsatz von Subunternehmern regeln sowie die Einhaltung der erforderlichen technischen und organisatorischen Maßnahmen nach Art 32. Diese sollten im ADV glaubhaft dargestellt werden, da der Verantwortliche nach wie vor für die Verarbeitung insgesamt verantwortlich ist. Will sich der Auftragsverarbeiter zur Erbringung der vereinbarten Dienstleistung weiterer Subunternehmen als Auftragsverarbeiter bedienen, so muss dies im ADV entsprechend geregelt sein. In der Regel bedarf dies der vorherigen (schriftlichen oder elektronischen) Genehmigung durch den Verantwortlichen (Art. 28 Abs. 2). Später beabsichtigte Änderungen bei den dergestalt eingesetzten Subunternehmen muss der Auftragsverarbeiter dem Verantwortlichen zuvor mitteilen. Dem Verantwortlichen bleibt es vorbehalten, gegen die geplante Einbeziehung eines Subunternehmens Einspruch zu erheben. Verstößt ein Auftragsverarbeiter gegen die Pflicht zur weisungsgebundenen Verarbeitung, indem er die Daten des Verantwortlichen entgegen den Bestimmungen des ADV für eigene Zwecke oder Zwecke Dritter verarbeitet, gilt er nach Art. 28 Abs. 10 selbst als 1

2 Verantwortliche, mit allen damit zusammenhängenden rechtlichen Folgen wie unter anderem der Pflicht zur Erfüllung der Betroffenenrechte. B) Pflichten von Verantwortlichen und Auftragsverarbeitern VERANTWORTLICHER Verarbeiter muss Informationszugang für Betroffene einfach gestalten ("allgemeine Informationspflicht" nach Art. 12) AUFTRAGSVERARBEITER Informationspflicht: Ermittlung bei Betroffenen (Art. 13) Informationspflicht: Ermittlung von Daten ohne Mitwirkung des Betroffenen (Art. 14) Auskunftspflicht an Betroffenen auf Anfrage (Art. 15) Recht des Betroffenen auf Berichtigung (Art. 16) Recht des Betroffenen auf Löschung (Art. 17) Recht des Betroffenen Beschränkung zu verlangen (Art. 18) Pflicht der Verständigung von Empfänger über Berichtigungen und Löschungen (Art. 19) Erfüllung des Rechts auf Datenübertragung gegenüber Betroffenen und Dritten (Art. 20) Beachtung einer datenschutzfreundlichen Technikgestaltung (Art. 25) Pflicht einen Auftragsverarbeitungsvertrag abzuschließen Verpflichtung ein Verzeichnis der Verarbeitungstätigkeiten zu führen (Art. 30) Verpflichtung mit der Datenschutzbehörde zusammen zu arbeiten (Art. 31) Einhaltung wirksamer Sicherheitsmaßnahmen (Art. 32) Pflicht einen Auftragsverarbeitungsvertrag abzuschließen Verpflichtung ein Verzeichnis der Verarbeitungstätigkeiten zu führen (Art. 30) Verpflichtung mit der Datenschutzbehörde zusammen zu arbeiten (Art. 31) Einhaltung wirksamer Sicherheitsmaßnahmen (Art. 32) Informationspflicht bei Datenschutzverletzung gegenüber Aufsichtsbehörde (Art. 33) und Betroffenen (Art. 34) 2

3 Verpflichtung eine Datenschutzfolgenabschätzung durchzuführen (Art. 35) Auftragsverarbeiter muss bei Datenschutzverletzung Verantwortlichen informieren (nicht Betroffenen oder Datenschutzbehörde) Verpflichtung Aufsichtsbehörde bei Verarbeitungen mit hohen Risiko zu kontaktieren (Art. 36) Verpflichtung zum Datenschutzbeauftragten (Art. 37) Sicherung des Datenschutzniveaus im internationalen Datenverkehr (Art ) Mitarbeiter zum Datengeheimnis verpflichten (Datenschutzanpassungsgesetz 6) Verpflichtung zum Datenschutzbeauftragten (Art. 37) Sicherung des Datenschutzniveaus im internationalen Datenverkehr (Art ) Mitarbeiter zum Datengeheimnis verpflichten (Datenschutzanpassungsgesetz 6) Eignung als Auftragsverarbeiter(Art. 28) Informationspflicht des Verantwortlichen bei Heranziehung von Sub-Auftragsverarbeitern (Art. 28) Einhaltung der vereinbarten Auftragsverarbeitung (Art. 28) Löschungs- oder Rückgabeverpflichtung nach Auftragsende (Art. 28) Unterstützungspflicht des Verantwortlichen bei der Einhaltung der (Art. 28) C) Vorteile/Nachteile von Verantwortlichem und Auftragsverarbeiter 1) Verantwortlicher a. Vorteile: Entscheidet über Mittel und Zwecke der Datenverarbeitung (d.h. Verantwortlicher kann im Rahmen der gesetzlichen Zulässigkeiten frei über die Daten verfügen) Kann sich seine Auftragsverarbeiter frei aussuchen (solange die Voraussetzungen der Art erfüllt sind) Kann die Bedingungen zu Sub-Auftragsverarbeitern und Haftungsfragen im ADV regeln, hat mehr Gestaltungsmöglichkeiten 3

4 b. Nachteile Haftet primär für die Einhaltung der Pflichten aus der DSGVO Haftet für Schäden aus der Datenverarbeitung Muss geeignete technische und organisatorische Maßnahmen treffen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen Muss die Informationspflichten an die Betroffenen erfüllen (gemäß Art 13 falls Daten direkt vom Betroffenen erhoben, gemäß Art 14 falls Daten von einem Dritten erhalten) Muss an die Datenschutzbehörde melden 2) Auftragsverarbeiter a. Vorteile: Muss keine Informationspflichten an die Betroffenen erfüllen Verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen Haftet in der Regel nur, wenn er Pflichten aus dem ADV sowie TOMs verletzt b. Nachteile Kann nur in begrenztem Umfang weitere Sub-Auftragsverarbeiter einsetzen Muss geeignet sein Haftet für den Einsatz weiterer Sub-Auftragsverarbeiter Kann nicht selbst über die Mittel und Zwecke der Datenverarbeitung entscheiden D) Weitergabe des Auftrags an Sub: Wird Auftragsverarbeiter zum Verantwortlichen? Frage: Es herrschte Unsicherheit, ob der Spediteur bei Weitergabe eines Auftrags an einen Sub zum Verantwortlichen wird, oder ob er nur seinen Auftragsverarbeiterstatus weitergibt und daher kein Verantwortlichenstatus entsteht. Beide Möglichkeiten sind zu bewerten. Antwort: Der Spediteur agiert in der Regel in der Rolle eines Auftragsverarbeiters. Er verarbeitet die Daten auf Grundlage eines Auftragsverarbeitungsvertrages mit dem Verantwortlichen gemäß Art 28. Dieser Auftragsverarbeitungsvertrag enthält auch Regelungen zur Einbindung von weiteren Auftragsverarbeitern (Sub-Auftragsverarbeitern). Hier ist es notwendig, den konkret 4

5 zugrundeliegenden Auftragsverarbeitungsvertrag zu prüfen. Wobei folgende Szenarien regelmäßig anzutreffen sind: a) Der Auftragsverarbeiter kann weitere Sub-Auftragsverarbeiter nur mit vorheriger schriftlicher Genehmigung beauftragen. Hier müsste der Auftragsverarbeiter vorab eine schriftliche Genehmigung zur Einbindung eines konkreten Auftragsverarbeiters vom Verantwortlichen einholen. Liegt keine schriftliche Genehmigung und beauftragt der Auftragsverarbeiter dennoch einen weiteren Sub, so liegt eine Überschreitung der im Auftragsverarbeitungsvertrag festgelegten Rechte und Pflichten vor, der Auftragsverarbeiter wird somit automatisch zum Verantwortlichen, mit ALLEN daraus resultierenden Pflichten (Rechtsgrundlage für die Datenverarbeitung, Haftung, Informationspflichten, etc.) b) Wenn der Auftragsverarbeiter weitere Sub-Auftragsverarbeiter mit der Datenverarbeitung beauftragen möchte, so hat er dies dem Verantwortlichen mindestens 2 Wochen vor dieser Beauftragung mitzuteilen. Der Verantwortliche hat das Recht, der Beauftragung des Sub-Auftragsverarbeiters zu widersprechen. Erfolgt innerhalb einer Woche ab Verständigung kein Einspruch des Verantwortlichen, gilt die Einbindung des Sub-Auftragsverarbeiters als genehmigt. Hier unterliegt der Auftragsverarbeiter also einer Informationspflicht an den Verantwortlichen, wobei das einspruchslose Verstreichen einer Frist die Beauftragung des Sub-Auftragsverarbeiters möglich macht. Erfolgt ein Einspruch des Verantwortlichen, und wird der Sub dennoch beauftragt, liegt wiederum eine Überschreitung der im Auftragsverarbeitungsvertrag festgelegten Rechte und Pflichten vor, der Auftragsverarbeiter wird somit wiederum automatisch zum Verantwortlichen, mit ALLEN daraus resultierenden Pflichten (Rechtsgrundlage für die Datenverarbeitung, Haftung, Informationspflichten, etc.) c) Der Auftragsverarbeiter kann weitere Sub-Auftragsverarbeiter nur mit vorheriger schriftlicher Genehmigung beauftragen. Jene im Annex gelisteten Auftragsverarbeiter gelten als vom Verantwortlichen genehmigt. Bei dieser Pool Lösung wird eine bestimmte Zahl von Sub-Auftragsverarbeitern im Annex explizit genannt, diese kann der Auftragsverarbeiter, unter Einhaltung der technischen und organisatorischen Sicherheitsmaßnahmen somit einsetzen. d) Der Auftragsverarbeiter kann weitere Sub-Auftragsverarbeiter beauftragen, sofern der Verantwortliche rechtzeitig darüber informiert wird. Der Verantwortliche kann der Hinzuziehung eines Sub-Auftragsverarbeiters widersprechen. 5

6 Auch hier kann der Auftragsverarbeiter weitere Sub-Auftragsverarbeiter einsetzen, wobei der Verantwortliche über die Hinzuziehung zu informieren ist und die Möglichkeit hat, dieser zu widersprechen. Zusammenfassung: Es kommt stets auf die konkrete Ausgestaltung der Sub-Verarbeiter- Klausel im ADV an. Der Verantwortliche hat naturgemäß ein großes Interesse daran, die Einbindung von Sub-Auftragsverarbeitern zu verhindern oder in deren Auswahl eingebunden zu sein. Als Auftragsverarbeiter wiederum ist es erstrebenswert, möglichst weiten Spielraum zur Einbindung weiterer Sub-Auftragsverarbeiter zu haben. Ebenso sollte die Klausel Haftung geprüft werden, damit dem Auftragsverarbeiter keine Erfolgshaftung oder Beweislastumkehr aufgebürdet wird. Der Verantwortliche hat ein Interesse daran, dass der Auftragsverarbeiter idealerweise für Alles haftet, was in seiner Sphäre passiert. Der Auftragsverarbeiter wiederum hat Interesse daran, nur für Schuldhafte Verletzungen seiner Pflichten aus dem ADV zu haften. Prüfschema ADV: Bei der Prüfung von bestehenden ADVs oder beim Abschluss von neuen ADVs ist es somit wichtig, auf folgende Punkte besonders zu achten: 1. Subunternehmerregelung: Entweder sind Subunternehmer im Annex angeführt (Poollösung) oder es bedarf einer vorherigen schriftlichen Genehmigung (Einzelfalllösung). Für den Auftragsverarbeiter ist jedoch jene Regelung am günstigsten, wo er den Verantwortlichen bloß informieren muss, dass ein weiterer Auftragsverarbeiter eingesetzt wird. Der Verantwortliche hat aber das recht, zu widersprechen. 2. Haftungsregeln: Eine Entgeltforderung des Auftragsverarbeiters für die Erfüllung von Betroffenenrechten sollte vom Auftragsverarbeiter nicht akzeptiert werden. 3. Eine Beweislastumkehr: Die Beweislast die technischen und organisatorischen Maßnahmen nicht eingehalten zu haben - trägt der Verantwortliche. Falls der Spediteur Auftragsverarbeiter ist, sollten folgende aus Sicht des Auftragsverarbeiters für diesen ungünstige Klauseln vermieden werden: verschuldensunabhängigen Erfolgshaftung des Auftragsverarbeiters eine Haftung ab leichter Fahrlässigkeit mit Beweislastumkehr zu Lasten des Verarbeiters (Auftragsverarbeiter müsste beweisen, dass er nicht leicht fahrlässig war) 6

7 Günstig ist hingegen die bloße Haftung dafür, die TOMs eingehalten zu haben. E) Zusammenfassung Gemäß der DSGVO treffen den Auftragsverarbeiter, obwohl dieser unter der DSGVO stärker in die Verantwortung genommen wird, im Vergleich zum Verantwortlichen nach wie vor geringere Pflichten. Aus Sicht des Spediteurs ist also die Rolle des Auftragsverarbeiters besser, da dieser in der Regel nur für Verletzungen seiner Pflichten aus dem ADV haftet. Wichtig ist jedoch, eine möglichst lockere Regelung zur Einbindung von weiteren Sub- Auftragsverarbeitern zu haben, um weiterhin flexibel agieren zu können. 7