1. DFN Workshop Datenschutz 27./28. November 2012

Transkript

1 Auftragsdatenverarbeitung Abgründe der Praxis Prof. Dr. Datenschutz- und IT-Sicherheit Max-Planck-Gesellschaft M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 1 Max-Planck-Gesellschaft unabhängige gemeinnützige Forschungsorganisation Grundlagenforschung in den Natur-, Bio-, Geistes- und Sozial-wissenschaften im Dienste der Allgemeinheit 80 Institute und Einrichtungen (fünf im Ausland) Beschäftigte (plus Nachwuchs- und Gastwissenschaftler) Datenschutzrelevante Forschungsgebiete Kriminologie Medizin Sozialwissenschaften Stand: M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 2 Max-Planck-Gesellschaft 1

2 AGENDA 1 2 Personal Outsourcing und ADV Wissenschaftliche Kooperationen 3 ADV mit Markt- und Meinungsforschern 4 Rahmenvertrag zur ADV 5 ADV mit dem DFN-Verein M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 3 Grundzüge der Auftragsdatenverarbeitung Die Verantwortliche Stelle (Auftraggeber) kann bestimmte Verarbeitungen personenbezogener Daten durch eine andere Stelle (Auftragnehmer) vornehmen lassen Voraussetzungen: Auftragnehmer hat im Verhältnis zum Auftraggeber nur eine Hilfsfunktion inne: verlängerter Arm, ausgelagerte Abteilung Auftragnehmer ist weisungsgebunden und hat keinen eigenen bzw. nur einen vom Auftraggeber vorgegebenen Entscheidungsspielraum. Es liegt eine schriftliche Vereinbarung vor. Konsequenzen: Auftraggeber bleibt datenschutzrechtlich voll verantwortlich Auftraggeber behält die volle Verfügungsgewalt über die betroffenen Daten Auftragnehmer hat nur eine eingeschränkte Verantwortlichkeit weitergehende vertragliche Vereinbarungen bleiben unbenommen Es findet keine Datenübermittlung statt! M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 4 Max-Planck-Gesellschaft 2

3 schriftliche Vereinbarung Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. Umfang, Art und Zweck der Datenverarbeitung und Kreis der Betroffenen, 3. die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die Pflichten des Auftragnehmers, insb. die vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers 9. der Umfang der Weisungsbefugnisse des Auftraggebers 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 5 AGENDA 1 2 Personal Outsourcing und ADV Wissenschaftliche Kooperationen 3 ADV mit Markt- und Meinungsforschern 4 Rahmenvertrag zur ADV 5 ADV mit dem DFN-Verein M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 6 Max-Planck-Gesellschaft 3

4 Was es so alles gibt M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 7 Personal Outsourcing Mitarbeiter neigen heute dazu, an der EDV vorbei, IT-Dienstleistungen out zu sourcen. Vorteile keine langwierigen Genehmigungsverfahren der Dienst ist aus der privaten Nutzung bekannt Hochschulübergreifende Dienste sind leicht zu realisieren Nachteile kein Vertrag zur Auftragsdatenverarbeitung unkontrollierte und unbekannte Datenflüsse Verletzung der arbeitsvertraglichen Schweigepflicht Verletzung des Datengeheimnisses Verletzung von Persönlichkeitsrechten interne Sicherheitsvorgaben, Dienstvereinbarungen und Nutzerordnungen werden umgangen technische Sicherheitsmaßnahmen werden unterlaufen M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 8 Max-Planck-Gesellschaft 4

5 Fre er bei Fre er mit forward in der Hochschule Die Mitarbeiter setzen in der Hochschule nur noch ein forward nach Googl /GMX/Web.de Vacation-Nachricht von web.de bei an Dienstadresse in der Hochschule Ist das akzeptabel? Hochschul-Daten bei Dritten (z.b. bei Google auch gleich im Ausland) Keine Forwards ohne Genehmigung zulassen? Realistisch? M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 9 Google Analytics Ein Dienst zur Analyse des Nutzerverhaltens auf einer Web-Seite weltweit mehr als 5 Mill. Accounts es wird ca. 21 KBytes Javascript Code in die Seite eingefügt Überträgt Nutzungsdaten (incl. IP- Adresse) der Besucher einer Web- Seite an Google Datenschutz rechtlich in Deutschland nur mit spezieller Konfiguration und einem vorgegebenen Vertrag zur Auftragsdatenverarbeitung möglich. Quelle: M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 10 Max-Planck-Gesellschaft 5

6 Rechnen Die Beantragung von Rechenzeit ist aufwendig Man braucht sofort schnelle Ergebnisse CPU-Zeit kaufen, mit der Kreditkarte bezahlen und zur Erstattung einreichen Ausprobieren mit kostenloser Rechenzeit Bei einem Physiker kein Problem Auswertungen eines Sozialwissenschaftlers oder Bildverarbeitung Die Anbieter lehnen ADV-Verträge mit dem Hinweis auf das Massengeschäft ab M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 11 Die rechtliche Beurteilung Einrichtung nimmt Dienstleister in Anspruch Einrichtung Mitarbeiter nimmt eigenmächtig Dienstleister in Anspruch Einrichtung Übermittlung Datenverarbeitung Im Auftrag privat Übermittlung Datenverarbeitung Im Auftrag Dienstleister Dienstleister M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 12 Max-Planck-Gesellschaft 6

7 Bring your own device BDSG Übermittlung an Dritte (Beschäftigter als Privatperson)? Eigentum Wem gehören die Daten auf dem privaten Gerät? Daten auf dem Gerät müssen im Herrschaftsbereich der Einrichtung bleiben. Möglichst wenig (keine?) Daten auf den privaten Endgeräten Durch organisatorische Regeln mit technischer Unterstützung das private Gerät ins Einrichtung einbinden. Die Einrichtung bleibt Herr der Daten (verantwortliche Stelle) Die Einrichtung gibt die Regeln vor Der Beschäftigte akzeptiert die Regeln verbindlich Auf keinen Fall Auftragsdatenverarbeitung mit den eigenen Beschäftigten M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 13 AGENDA 1 2 Personal Outsourcing und ADV Wissenschaftliche Kooperationen 3 ADV mit Markt- und Meinungsforschern 4 Rahmenvertrag zur ADV 5 ADV mit dem DFN-Verein M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 14 Max-Planck-Gesellschaft 7

8 Wissenschaftler forschen nicht alleine Kollaborationen, Projektverträge, Kooperationen, etc. außeruniversitäre Forschungseinrichtungen Inland / Ausland Hochschulen Inland / Ausland Behörden Inland / Ausland Wirtschaftsunternehmen Inland / Ausland M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 15 Kollaborationen 1. Alternative SmartSenior Intelligente Dienste und Dienstleistungen für Senioren BMBF und 28 Firmen und Forschungseinrichtungen Feldtestvertrag zwischen der Charité als durchführender Stelle und den Feldtestpartnern Festlegung, welcher Partner als Auftraggeber welchen Auftragnehmer nach 11 BDSG beauftragt M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 16 Max-Planck-Gesellschaft 8

9 Kollaborationen 2. Alternative Nationale Kohorte verantwortliche Stelle für die Datenerhebung ist der Nationale Kohorte e.v. M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 17 AGENDA 1 2 Personal Outsourcing und ADV Wissenschaftliche Kooperationen 3 ADV mit Markt- und Meinungsforschern 4 Rahmenvertrag zur ADV 5 ADV mit dem DFN-Verein M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 18 Max-Planck-Gesellschaft 9

10 Markt- und Meinungs forscher häufig wird zu Erhebung von Probandendaten, insb. bei umfangreichen Studien in den Lebens- und Sozialwissenschaften ein Dienstleister aus dem Markt- und Meinungsforschungsbereich eingesetzt TNS Infratest, TNS Emnid, infas, forsa, Institut für Demoskopie Allensbach die Marktforscher streben einen Kooperationsvertrag an gemeinsames Auftreten gegenüber den Probanden (Logo, Name) gemeinsame Nutzung der Daten 2 verantwortliche Stellen M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 19 Markt- und Meinungs forscher Nachteile nur für die Forschungseinrichtung, denn sie bezahlt ist nicht alleiniger Herr der Daten ist auf den good will des Marktforschers angewiesen äußere Wahrnehmung: Markt forschung = wissenschaftliche Forschung? aber selbst wenn man es schafft, einen Vertrag zur Auftragsdatenverarbeitung abzuschließen M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 20 Max-Planck-Gesellschaft 10

11 Markt- und Meinungs forscher die Standesregeln und kein Ende Richtlinie zum Umgang mit Adressen in der Markt und Sozialforschung herausgegeben von den diversen Berufsverbänden?? M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 21 Dienstleister in der Cloud Dienstleister in Deutschland 11 Vertrag Dienstleister innerhalb der EU und des Europäischen Wirtschaftsraums (Island, Liechtenstein, Norwegen) 11 Vertrag mit Ergänzungen Dienstleister aus Ländern, die auf einer Whitelist der EU stehen (Andorra, Argentinien, Australien, Kanada, Schweiz, Färöer Inseln, Guernsey, Israel, Isle of Man, Jersey) 11 Vertrag mit Ergänzungen Dienstleister in den USA, die Safe Harbor zertifiziert sind 11 Vertrag mit Ergänzungen Dienstleister in den USA, die nicht Safe Harbor zertifiziert sind EU-Standardvertragsklauseln, keine Änderungsmöglichkeiten der Rest der Welt EU-Standardvertragsklauseln, keine Änderungsmöglichkeiten M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 22 Max-Planck-Gesellschaft 11

12 AGENDA 1 Personal Outsourcing und ADV 2 Wissenschaftliche Kooperationen 3 ADV mit Markt- und Meinungsforschern 4 Rahmenvertrag zur ADV 5 ADV mit dem DFN-Verein M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 23 Rahmenvertrag Alle Passagen, die sich nicht ändern Rahmenvereinbarung über Auftragsdatenverarbeitung personenbezogener Daten zwischen Auftraggeber und Auftragnehmer. Die durchzuführenden Arbeiten ergeben sich aus den konkreten Aufträgen der Einrichtungen des Auftraggebers. Die Regelungen dieser Rahmenvereinbarung finden auf alle Aufträge des Auftraggebers und seiner Einrichtungen Anwendung, soweit in dem Auftrag die Anwendung dieser Rahmenvereinbarung nicht ausdrücklich ausgeschlossen ist. Alle Passagen, die sich ändern Unter Bezugnahme auf die Rahmenvereinbarung über Auftragsdatenverarbeitung zwischen dem Auftraggeber und dem Auftragnehmer wird folgender Auftrag vereinbart: Gegenstand des Auftrags Aufzählung der Datensätze TOM Gegebenenfalls eine Fernwartungsklausel M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 24 Max-Planck-Gesellschaft 12

13 TOM Zutrittskontrolle Die Sicherheitsmaßnahmen nur einmal beschreiben Der Rechnerraum ist typisch immer derselbe Das Schließsystem ist immer dasselbe Zugangskontrolle Hängt u.u. vom konkreten Projekt ab Trennungsgebot Im Rahmenvertrag festschreiben Insbesondere ist der Zugriff auf die Systeme des Auftraggebers zu Zwecken der Fernwartung nur über eine dem Stand der Technik entsprechende verschlüsselte Verbindung zulässig. Ausnahmen bedürfen der schriftlichen Zustimmung des Auftraggebers. M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 25 AGENDA 1 2 Personal Outsourcing und ADV Wissenschaftliche Kooperationen 3 ADV mit Markt- und Meinungsforschern 4 Rahmenvertrag zur ADV 5 ADV mit dem DFN-Verein M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 26 Max-Planck-Gesellschaft 13

14 Terminvereinbarungen Doodle: einfach abmachen Termine abstimmen Umfragen erstellen Aussage der User: Unverzichtbar Versuchen Sie mal mit Beschäftigten aus mehreren Einrichtungen einen Termin abzustimmen. Treffen der Betriebsräte Treffen der Datenschutzbeauftragten Treffen der IT-Leiter M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 27 Doodle Transportmedium Fortgeschrittene Möglichkeiten Ja-Nein-Wennsseinmuss Versteckte Umfrage nur eine Option wählbar Anmeldeformular Schutz ist der Random-String in der URL Schweizer Unternehmen (außerhalb des EWR, White List EU) M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 28 Max-Planck-Gesellschaft 14

15 z.b. DFN Terminplaner M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 29 Auftragsdatenvereinbarung Nutzung mit ADV-Vertrag zwischen DFN-Verein und Einrichtung Freigabe durch die Einrichtung nach Unterschrift des Vertrages DFN-Verein (genauer Forschungsstelle Recht) sieht keine Auftragsdatenverarbeitung Nutzung durch den Beschäftigten nach den Geschäftsbedingungen Rechtliche Verantwortung allein beim Beschäftigten Organisatorische Regelungen durch die Einrichtung zur Beachtung bei der Nutzung Eingabe von personenbezogenen Daten mit Einwilligung (Teilnehmer) Eingabe von vertraulichen Daten (Tagesordnung, Sitzungsunterlagen) Kaum eine formale Besserstellung gegenüber der Nutzung von doodle DFN-Verein für die Mitglieder aber vertrauenswürdig M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 30 Max-Planck-Gesellschaft 15

16 DFN MailSupport absender.de DFN-Verein Annahmeentscheidung Blacklist Bewerter Signaturen Regeln empfaenger.de SPAM Inbox Absender schickt Mail über smtp zum eigenen Mailserver Blacklisting Entscheidung auf Grund der IP- Adresse des Versende-Servers Greylisting Annahme erst beim zweiten Zustellversuch untersucht Inhalt der Mail einschließlich Attachments markiert Mails durch Hinzufügen von Zeilen im Header Sortiert die Mails in die entsprechenden Verzeichnisse des Empfängers M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 31 Auftragsdatenverarbeitung DFN MailSupport kann nur per Auftragsdatenverarbeitung genutzt werden DFN Verein wird einen Standardvertrag dafür aufsetzen Aber: Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. Die Universitäten und Forschungseinrichtungen stehen Schlange Datenschutztourismus zu den Rechnern des DFN (mehrere Standorte) Lösung: ISO Zertifizierung Erste Zertifizierung: vor Beginn der Verarbeitung Rezertifizierung: sodann regelmäßig M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 32 Max-Planck-Gesellschaft 16

17 Vielen Dank für Ihre Aufmerksamkeit! M A X - P L A N C K - G E S E L L S C H A F T 1. DFN Workshop Datenschutz SEITE 33 Max-Planck-Gesellschaft 17