DSGVO: Anforderungen bei der Einschaltung von Auftragsverarbeitern , Governikus Jahrestagung 2017 RA Bernhard Kloos

Transkript

1 DSGVO: Anforderungen bei der Einschaltung von Auftragsverarbeitern , Governikus Jahrestagung 2017 RA Bernhard Kloos

2 1. Die Auftragsdatenverarbeitung (BDSG) 2. Die Auftragsverarbeitung (DSGVO) 3. Umstellungsprojekt: ADV zu AV 4. Technische und organisatorische Maßnahmen 5. Information, Dokumentation, Rechenschaft 6. Checkliste: A(D)V-Umstellung

3 bisher Auftragsdatenverarbeitung 11 BDSG 9 Satz 1 BDSG i. V. m. Anlage zum BDSG

4 Datenschutz-Grundverordnung (DSGVO) BDSG (alt) EU-DSGVO Inkrafttreten Umsetzungfrist Anwendbarkeit

5 Auftragsverarbeitung (AV) Art. 28 DSGVO Auftragsverarbeiter haftet direkt gegenüber Betroffenen (Art. 82 DSGVO) AV-Vereinbarung Textform möglich neue Mitwirkungs- und Unterstützungspflichten des Auftragsverarbeiters (z.b. DSFA) Auftragsverarbeiter hat alle nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu treffen Auftragsverarbeiter muss Verfahren dokumentieren (Art. 30 Abs. 2 DSGVO) keine Beschränkung auf Datentransfer innerhalb EU/ EWR

6 Inhalte der A(D)V Regelungskomplex 11 Abs. 2 BDSG DSGVO Neue Pflichten Gegenstand und Dauer des Auftrags Nr. 1 Art. 28 Abs. 3 a) Umfang, Art und Zweck der Verarbeitung Nr. 2 Art. 28 Abs. 3 a) Technische und organisatorische Maßnahmen Nr. 3 Art. 28 Abs. 3 c) Berichtigung Löschung und Sperrung von Daten Nr. 4 Art. 28 Abs. 3 e) Unterstützung bei Pflichten nach Art , insb. Recht auf Vergessen Datenportabilität Pflichten nach 11 Abs. 4 BDSG: Bestellung eines Datenschutzbeauftragten Nr. 5 Art. 37 Abs. 1/ 4 Wahrung des Datengeheimnisses Nr. 5 Art. 28 Abs. 3 b) Information über Kontrollen und Maßnahmen der Aufsichtsbehörde Nr. 5 Art. 28 Abs. 3 f) Unterauftragsverhältnisse Nr. 6 Art. 28 Abs. 3 d) Kontrollrechte des Auftraggebers und Duldungs- und Mitwirkungsrechte Nr. 7 Art. 28 Abs. 3 h) Mitteilungspflichten Nr. 8 Art. 28 Abs. 3 f) Unterstützung bei Einhaltung der Info-Pflichten, insb. Benachrichtigung des Betroffen Datenschutz-Folgenabschätzung Weisungsbefugnis Nr. 9 Art. 28 Abs. 3 a) Rückgabe und Löschung von Daten und Datenträgern bei Vertragsende Nr. 10 Art. 28 Abs. 3 g)

7 Öffentliche Auftraggeber Besonderheiten I Wegfall der Unterscheidung öffentlich / nicht-öffentlich (vgl. 11 Abs. 4 BDSG (alt)) Kein Recht auf Datenübertragbarkeit Art. 20 DSGVO (1) Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern a) die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht und b) die Verarbeitung mithilfe automatisierter Verfahren erfolgt. ( ) (3) Die Ausübung des Rechts nach Absatz 1 des vorliegenden Artikels lässt Artikel 17 unberührt. Dieses Recht gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Öffnungsklausel in Art. 6 Abs. 2 DSGVO

8 Muster für AV-Vereinbarungen I cio.bund, Gesundheitswesen

9 Muster für AV-Vereinbarungen II GDD, Bitkom

10 Muster für AV-Vereinbarungen III Landesaufsichtsbehörden haben häufig noch keine Muster Zitat Geplant sind u. a. auch Muster und Hinweise der DSK zur Auftragsverarbeitung nach der DS-GVO

11 Umstellungsprojekt: A(D)V-Vereinbarungen Verwendung bis Neuverträge Verantwortlicher als AN Muster-AV- Vereinbarung mit DSGVO-Automatik Verantwortlicher als AG Muster-AV- Vereinbarung mit DSGVO-Automatik

12 Umstellungsprojekt: A(D)V-Vereinbarungen Verwendung bis Neuverträge bis Änderung Bestandsverträge Verantwortlicher als AN Muster-AV- Vereinbarung mit DSGVO-Automatik Muster-AV-Vereinbarung, aufschiebend bedingt bis zum Verantwortlicher als AG Muster-AV- Vereinbarung mit DSGVO-Automatik Muster-AV-Vereinbarung, aufschiebend bedingt bis zum

13 Umstellungsprojekt: A(D)V-Vereinbarungen Verwendung bis Neuverträge bis Änderung Bestandsverträge ab Verantwortlicher als AN Muster-AV- Vereinbarung mit DSGVO-Automatik Muster-AV-Vereinbarung, aufschiebend bedingt bis zum Muster-AV- Vereinbarung (nur DSGVO) Verantwortlicher als AG Muster-AV- Vereinbarung mit DSGVO-Automatik Muster-AV-Vereinbarung, aufschiebend bedingt bis zum Muster-AV- Vereinbarung (nur DSGVO)

14 Umstellungsprojekt: A(D)V-Vereinbarungen Verwendung bis Neuverträge bis Änderung Bestandsverträge ab Unterschied Verantwortlicher als AN Muster-AV- Vereinbarung mit DSGVO-Automatik Muster-AV-Vereinbarung, aufschiebend bedingt bis zum Muster-AV- Vereinbarung (nur DSGVO) u.a. Haftungsklausel? Verantwortlicher als AG Muster-AV- Vereinbarung mit DSGVO-Automatik Muster-AV-Vereinbarung, aufschiebend bedingt bis zum Muster-AV- Vereinbarung (nur DSGVO) u.a. Haftungsklausel?

15 Auftragsverarbeitung (AV) Art. 28 DSGVO Auftragsverarbeiter haftet direkt gegenüber Betroffenen (Art. 82 DSGVO) AV-Vereinbarung Textform möglich neue Mitwirkungs- und Unterstützungspflichten des Auftragsverarbeiters Auftragsverarbeiter hat alle nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu treffen keine Beschränkung auf Datentransfer innerhalb EU/ EWR

16 Art. 32 DSGVO (1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. (2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch ob unbeabsichtigt oder unrechtmäßig Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. (3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen. (4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

17 BDSG (Anlage zu 9) 64 BDSG-Neu/ DSGVO (Art. 32, 5) Art. 29 RL 2016/680 S. 2 (fak.) Verschlüsselung und Pseudonymisierung (fak.) Zutrittskontrolle Zugangskontrolle (Nr. 1) Verschlüsselung Pseudonymisierung (obl.) Vertraulichkeit und Zugangskontrolle Zugriffskontrolle Datenträgerkontrolle (Nr. 2) Integrität Speicherkontrolle (Nr. 3) Benutzerkontrolle (Nr. 4) Zugriffskontrolle (i.e.s.) (Nr. 5) Weitergabekontrolle Übertragungskontrolle (Nr. 6) Transportkontrolle (Nr. 8) Eingabekontrolle Eingabekontrolle (Nr. 7) - Datenintegrität (Nr. 11) Auftragskontrolle Auftragskontrolle (Nr. 12) - Wiederherstellbarkeit(Nr. 9) - Zuverlässigkeit (Nr. 10) Verfügbarkeitskontrolle Verfügbarkeitskontrolle (Nr. 13) Trennungsgebot Trennbarkeit (Nr. 14) - - Wiederherstellbarkeit Belastbarkeit Verfügbarkeit Zweckbindung Verfahren zur Überprüfung

18 Sicherheit der Datenverarbeitung, 64 BDSG-neu Art. 32 DSGVO die Verhütung, Ermittlung, Verfolgung von Straftaten oder Ordnungswidrigkeiten Zugangskontrolle (Nr. 1) Benutzerkontrolle (Nr. 4) Transportkontrolle (Nr. 8) Verschlüsselung und Pseudonymisierung Datenträgerkontrolle (Nr. 2) Zugriffskontrolle (i.e.s.) (Nr. 5) Eingabekontrolle (Nr. 7) Auftragskontrolle (Nr. 12) Speicherkontrolle (Nr. 3) Übertragungskontrolle (Nr. 6) Datenintegrität (Nr. 11) Verschlüsselung und Pseudonymisierung Vertraulichkeit, Integrität Wiederherstellbarkeit (Nr. 9) Wiederherstellbarkeit Zuverlässigkeit (Nr. 10) Belastbarkeit Verfügbarkeitskontrolle (Nr. 13) Verfügbarkeit Trennbarkeit (Nr. 14) Zweckbindung

19 Muster für TOM BVD e.v.

20 Sicherheit der Verarbeitung Art. 32 DSGVO Gewährleistung eines dem Risiko angemessenen Schutzniveaus Geeignete technische und organisatorische Maßnahmen (TOM) Eintrittswahrscheinlichkeit und Schwere des Risikos einer Rechtsverletzung (Schutzbedarfsanalyse) berücksichtigen Art, Umfang, Umstände, Zweck der Verarbeitung Stand der Technik Implementierungskosten Verschlüsselung, Wiederherstellbarkeit, Wirksamkeitsprüfung, Nachweis Rechenschaftspflicht Art. 5 Abs. 2 genehm. Verhaltensregeln oder Zertifizierungsverfahren

21 Stand von Wissenschaft und Forschung Stand der Technik Allgemein anerkannte Regeln der Technik

22 Dokumentation der TOM Maßnahmen Beschreibung

23 Dokumentation der TOM Maßnahmen Beschreibung Stand der Technik objektiv-technisch subjektive Auswahl

24 Dokumentation der TOM Maßnahmen Beschreibung Stand der Technik Schutzbedarf objektiv-technisch subjektive Auswahl

25 Dokumentation der TOM Maßnahmen Beschreibung Stand der Technik Schutzbedarf Wirksam keitsprüfung Wiedervorlage objektiv-technisch subjektive Auswahl

26 Verzeichnis von Verarbeitungstätigkeiten Art. 30 Abs. 2 DSGVO Abs. 2 Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung... d) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 Abs nicht für Unternehmen..., die weniger als 250 Mitarbeiter beschäftigen, sofern die... Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien... einschließt

27 Muster für Verarbeitungsübersicht BVD e.v.

28 Folgen von Verstößen Art. 83 Abs. 4, 5 DSGVO Bußgelder bis EUR bzw. EUR oder 2 % bzw. 4 % des weltweiten Vorjahresumsatzes BDSG DSGVO Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. (Abs. 1)

29 Öffentliche Auftraggeber Besonderheiten Verhängung von Geldbußen Art. 83 DSGVO Allgemeine Bedingungen für die Verhängung von Geldbußen (7) Unbeschadet der Abhilfebefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 2 kann jeder Mitgliedstaat Vorschriften dafür festlegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können. 43 BDSG (neu) Bußgeldvorschriften (3) Gegen Behörden und sonstige öffentliche Stellen im Sinne des 2 Absatz 1 werden keine Geldbußen verhängt. Aber: Rückgriff des AV?

30 Checkliste: Umstellung A(D)V-Vereinbarungen nach DSGVO 1. Schulung der betreffenden Mitarbeiter (IT, ISB, Legal, DSB, Sales, Kundenservice). 2. Übersicht über vorhandene und zu schließende A(D)V-Vereinbarungen erstellen. 3. Clustern nach verwendeten Mustern, individuell ausgehandelten Vereinbarungen und Abschlussdaten. 4. Ansprache der Vertragspartner in Chargen. Kommunikation verproben. 5. Bereits jetzt Ressourcen für Umstellungsaufwände einplanen. 6. Verwendung von neuen Mustern in erforderlichen Varianten. 7. Dokumentationen erstellen, Datenschutzerklärungen anpassen. 8. Schutzbedarf & Technische und organisatorische Maßnahmen nach Art. 32 DSGVO überprüfen, implementieren und dokumentieren. 9. Aktiver Umgang mit neuem Haftungsregime (Vertrag, Preis, Versicherung). 10. Prüfen: Treffen mich noch weitere gesetzliche Pflichten zu IT-Sicherheit/ Datenschutz?

31 Haben Sie Fragen?