Transkript

1

2 Aktuelle Positionen der Datenschutz-Aufsichtsbehörden: ADV Vereinbarungen nach 11 BDSG Dr. Stefan Brink Leiter Privater Datenschutz beim LfDI RLP 27. März 2015 DGRI

3 ADV ADV: - 3 Abs. 7 BDSG (verantwortliche Stelle) => Problematik: Kein Konzernprivileg - 3 Abs. 8 BDSG (Dritte in EU/EWR) => diskriminierendes Privileg (gefühlt und real / stumm 4 Abs. 3 / keine Nutzung) Formen der ADV (Erheben/Verändern/Übermitteln/Löschen) - 11 Vertrag - 11 Abs. 2 BDSG Vor-Ort-Kontrolle Scheitern pragmatischer Lösungsansätze: Safe Harbor (Beschluss Düsseldorfer Kreis 29. April 2010) Ausblick: Art. 26 EU-DS-GrundVO-E (= 11 Abs. 2 BDSG) => + Verantwortlichkeit AN für TOM ( 9 BDSG)

4 Beispiele ADV Abwicklung einzelner DV-Arbeiten => Auslagern von Versandarbeiten => Anmietung eines RZ bzw. Serverraums => Vorhalten von Backup-Kapazitäten für den Notfall => Auslagerung der Bürokommunikation => Vernichtung von Datenträgern => Beschaffung, Installation und Betreuung der Software Systemadministration Benutzerbetreuung (User-Help-Desk) Wartung und Fernwartung ( 11 Abs. 5 BDSG)

5 Abgrenzung zur Funktionsübertragung I Kriterien für Auftragsdatenverarbeitung (Lit.) Der Auftragnehmer besitzt keine Entscheidungsbefugnis über die Daten und er wird lediglich unselbstständig tätig. Der Auftragnehmer ist den Weisungen des Auftraggebers unterworfen. Die Daten werden dem Auftragnehmer vom Auftraggeber lediglich zur Verfügung gestellt. Dieser darf keine eigenen Daten erheben oder verarbeiten. Der Vertrag beinhaltet nur Angaben bezüglich der Art und des Umfangs der durchzuführenden Datenverarbeitung, gewährt aber keine eigenen Nutzungsrechte. Es besteht somit ein vertragliches Nutzungsverbot. Der Auftraggeber bleibt für die Zulässigkeit der Datenverarbeitung verantwortlich und gewährleistet die Rechte des Betroffenen. Es fehlt eine eigenständige rechtliche Beziehung des Auftragnehmers zum Betroffenen. Es wird nicht die Aufgabe übertragen, sondern die Durchführung (BT-Drs 1990) Auftragsdatenverarbeitung aus Sicht des Datenschutzes 5

6 Abgrenzung zur Funktionsübertragung II Kriterien für Funktionsübertragung Die Daten empfangende Stelle erhält das Recht auf Nutzung der personenbezogenen Daten zu eigenen Zwecken. Der Auftraggeber besitzt keinen Einfluss auf die Datenerhebung, - verarbeitung und -nutzung durch die beauftragte Stelle. Der Auftragnehmer entscheidet allein darüber, wann oder welche Daten erhoben oder verarbeitet werden. Es wird eine Dienstleistung erbracht, die über die weisungsabhängige technische Datenverarbeitung hinausgeht. Der Auftragnehmer übernimmt die volle Verantwortung für die Zulässigkeit der Datenverarbeitung. Auftragsdatenverarbeitung aus Sicht des Datenschutzes 6

7 Zum Stand des Datenschutzes in rheinland-pfälzischen Unternehmen Pressekonferenz zur Umfrageaktion des LfD zu betrieblichen Datenschutzbeauftragten Ergebnisse und Schlussfolgerungen 26. Oktober 2011

8 Aufgaben: Was tun betriebliche Datenschutzbeauftragte? - Beratung der Geschäftsführung zum DS - Prüfungen im Unternehmen - Durchführung von Vorabkontrollen - Kontrolle der Auftragsdatenverarbeitung - Kontrollen zur Datensicherheit - Regelmäßige Berichte - Schulung und Beratung von Mitarbeitern - Beratung des Betriebsrats

9 Bestandsaufnahme der betrieblichen Datenschutzbeauftragten 9% 8% kein bdsb erforderlich bdsb erforderlich, aber nicht bestellt bdsb vorhanden 83% 92% der Unternehmen handeln formal datenschutzkonform

10 Lückenhafte Wahrnehmung von Aufgaben durch den betrieblichen Datenschutzbeauftragten Keine Durchführung von Vorabkontrollen Keine Kontrolle der Auftrags-DV Keine Beratung des Betriebsrats Keine Mitarbeiterschulungen 35% 32,5% 52,5% 55%

11 Qualifikationsmängel der betrieblichen Datenschutzbeauftragten ohne Ausbildung 11% ohne regelmäßige Fortbildung 17% Hinweis auf fachliche Mängel 21% ohne arbeitsrechtl. Kenntnisse 40% Hinweise auf akute fachliche Mängel bei ca. 20 % der bdsb

12 Vertragsgestaltung Beschreibung des Vertragsgegenstandes Festlegung der Art und des Umfangs der Datenerhebung, -verarbeitung oder nutzung - Verbot der zweckentfremdenden Nutzung und der unerlaubten Weitergabe Festlegung der Örtlichkeit der Datenverarbeitung Auftrags- und Realisierungszeitraum Modalitäten einer (vorzeitigen) Kündigung Regelung von Zurückbehaltungsrechten des AN Eigentumsrechte an Hard- und Software: Sicherungsübereignung von Datenträgern System- und Benutzerdokumentation Aufbewahrungspflichten Gewährleistungsansprüche/Haftung Kontrollrechte des AG Beschreibung der technischen und organisatorischen Maßnahmen ( 9 BDSG) Zulässigkeit der Heranziehung von Subunternehmern Regelungen zu Betroffenenrechten (Auskunft/Berichtigung/Löschung) [Rollen] Auftragsdatenverarbeitung aus Sicht des Datenschutzes 12

13 ADV Kontrollziele der Aufsichtsbehörden: - 11 Vertragstext - 11 Abs. 2 Satz 4 BDSG Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren Abs. 3 BDSG => Kommunikation AG AN (Weisungen/Hinweise/ 42a BDSG)

14 Vergabe einer Auftrags-DV ins Ausland Auftragnehmer hat Firmensitz in EU/EWR-Staat Anwendung des BDSG Auftragnehmer hat Firmensitz in Drittland Auftragnehmer wird zum Dritten im Sinne des BDSG Weitergabe von personenbezogenen Daten = Übermittlung angemessenes Datenschutzniveau erforderlich Staat ist auf EU-Positivliste (Safe Harbor Prinzipien) Standardvertragsklauseln (EU-Kommission oder Intern. Code Council) Ausnahmen vom Verbot der Datenübermittlung gemäß 4c BDSG übermittelnde Stelle trägt die Verantwortung für die Zulässigkeit der Datenübermittlung und die Einhaltung des Datenschutzes Auftragsdatenverarbeitung aus Sicht des Datenschutzes 14

15 Datenschutz und Cloud Externe DV (Speicherung/Verarbeitung): Transaktionskosten/Skaleneffekte Probleme: - Informationssicherheit => technisches race to the bottom (*/Trennung) => Abschöpfung - Grenzüberschreitung => Rechtsgeltung / Fremdregime => DS-Kontrolle - Unteraufträge => organisierte Unverantwortlichkeit - Verlust der Unabhängigkeit => Datenportabilität /Lock-in-Effekt

16 Datenschutz und Cloud ADV: - 11 Vertrag - 11 Abs. 2 BDSG Vor-Ort-Kontrolle Örtliche Radizierung des Datenschutzrechts - 3 Abs. 8 Satz 2 BDSG: EU-Privileg Sanktionierung internationaler Datentransfers - 4b,c BDSG Scheitern pragmatischer Lösungsansätze: Safe Harbor (Beschluss Düsseldorfer Kreis 29. April 2010)

17 Problembereich: Datenverarbeitung im Auftrag Untersuchung zur Verlässlichkeit von Safe Harbor Vereinbarungen Safe Harbor Prinzipien: Informationspflicht Wahlmöglichkeit Weitergabe Zugangsrecht Sicherheit Datenintegrität Durchsetzung safe_harbor_fact_or_fiction.pdf

18 1. Problembereich: Datenverarbeitung im Auftrag Untersuchung zur Verlässlichkeit von Safe Harbour Vereinbarungen Eine Selbsterklärung der Unternehmen ist ausreichend In aller Regel erfolgt keine Überprüfung (z.b. durch die FTC) Lediglich 348 Unternehmen hatten die Mindestvoraussetzungen des Abkommens erfüllt. 206 Unternehmen behaupteten, Mitglied von Safe Harbor zu sein, waren es aber in Wirklichkeit nicht Verstöße werden selten geahndet

19 Problembereich: Datenverarbeitung im Auftrag Entschließung der deutschen Datenschutzaufsichtsbehörden (2010) * Solange eine flächendeckende Kontrolle der Selbstzertifizierungen US-amerikanischer Unternehmen [ ] nicht gewährleistet ist, trifft auch die Unternehmen in Deutschland eine Verpflichtung, gewisse Mindestkriterien zu prüfen, bevor sie personenbezogene Daten an ein auf der Safe Harbor-Liste geführtes US-Unternehmen übermitteln. Gültigkeit und Nachweis der Selbst-Zertifizierung Einhaltung der Safe Harbor Grundsätze Einhaltung der Informationspflichten an die Betroffenen Dokumentation der Prüfungen *

20 Reding: Ich habe mir Safe Harbour angesehen und musste feststellen, das ist u berhaupt kein sicherer Hafen. US- Beho rden wie die NSA greifen vertragswidrig in großem Stil auf die Daten zu. (DER SPIEGEL, )

21 Problembereich: Cloud Computing Patriot Act Foreign Intelligence Surveillance Act (FISA) 1881a

22 Problembereich: Cloud Computing Einfluss des Auftraggebers auf die Vertragsgestaltung Überprüfung der Eignung des Auftragnehmers Kenntnis des Auftraggebers über die Art der Datenverarbeitung Kontrollpflichten des Auftraggebers (z.b. technisch-organisatorische Maßnahmen) Kontrollmöglichkeiten der Datenschutzaufsichtsbehörde Zugriffsmöglichkeiten durch Dritte

23 Datenschutz und Cloud Ratschläge der Datenschützer International Working Group on Data Protection in Telecommunications Sopot Memorandum April 2012 => PIA für CC => Trusted Clouds / Zertifizierung => German Cloud /European Cloud => Analyse der Sensibilität von Informationen

24 Der lange Weg zum zertifizierten Datenschutz Das Bedürfnis nach Rechtssicherheit => Novellierung 11 BDSG => uneinheitliche Rechtsprechung => Situation der Aufsichtsbehörden

25 Der lange Weg zum zertifizierten Datenschutz Das Bedürfnis nach Rechtssicherheit Das Bedürfnis nach reduzierter Komplexität Das Bedürfnis nach öffentlicher Absicherung

26 Umgang der Aufsichtsbehörden mit Audits ( 38 BDSG) keine rechtliche Bindung faktische Bindung an Äußerungen anderer LfD faktische Bedeutung bei Auswahl anlassloser Prüfungen 38 Abs. 3, 4 BDSG Stärkung der Selbstkontrolle Beitrag zur Anhebung des DS-Niveaus

27 Audits und EU-Datenschutz-Grundverordnung Zur Zukunft der EU-DS-GrundVO Art. 39 EU-DS-GrundVO - Förderung von Zertifikaten / Siegeln - Kriterien von Vf. und Anerkennung per del. Act - Vorgabe technischer Standards durch EU-KOM

28 Vielen Dank für Ihre Aufmerksamkeit!

29