Auftragsdatenverarbeitung

Transkript

1 LEITFADEN Valerie Potapova, Fotolia Auftragsdatenverarbeitung Was müssen KMU bei der Beauftragung von Auftragsdatenverarbeitern beachten?

2 Das ekompetenz-netzwerk für Unternehmen Das ekompetenz-netzwerk für Unterneh-men ist eine Förderinitiative des Bundesministeriums für Wirtschaft und Energie (BMWi). 38 regionale ebusiness-lotsen haben die Aufgabe, insbesondere mittelständischen Unternehmen deutschlandweit anbieterneutrale und praxisnahe Infor-mationen für die Nutzung moderner Informations- und Kommunikationstechnologien (IKT) und möglichst effiziente ebusiness-prozesse zur Verfügung zu stellen. Die Förderinitiative ist Teil des Förderschwerpunkts Mittelstand-Digital IKT-Anwendungen in der Wirtschaft. Zu Mittelstand-Digital gehören ferner die Förderinitiativen estandards: Geschäftsprozesse standardisieren, Erfolg sichern und Einfach intuitiv Usability für den Mittelstand. Unter können Unternehmen sich über die Aktivitäten der ebusiness-lotsen informieren, auf die Kontaktadressen der regionalen Ansprechpartner sowie aktuelle Veranstaltungstermine zugreifen oder auch Publikationen einsehen und für sich herunterladen. Der Autor Ralf Meschke begann mit der Informatik 1986 und beschäftigt sich seit 2001 mit dem Datenschutz. Im Jahr 2005 entwickelte er für die IHK Aachen ein Seminar zur Grundqualifizierung von Datenschutzbeauftragten, mit dem bis heute bei verschiedenen IHK gearbeitet wird. Neben dem Datenschutz ist er als Auditor und Berater im Bereich der ISO für einen großen deutschen Zertifizierer aktiv. Impressum Redaktion: Ralf Meschke Stand: September 2015 Verleger: Forschungsinstitut für Rationalisierung e. V. an der RWTH Aachen Campus-Boulevard Aachen Telefon: Telefax: Geschäftsführer: Prof. Dr.-Ing. Volker Stich Vertretungsberechtigter Vorstand: Dipl.-Kfm. Michael Prym (Vorsitzender) Umsatzsteuer-Identifikationsnummer gem. 27a UStG: DE Vereinsregister: Amtsgericht Aachen, Register-Nr.: VR1191 Soweit keine redaktionelle Kennzeichnung für den Inhalt Verantwortliche gem. 55 II RStV: Ralf Meschke Campus-Boulevard Aachen Druckerei: Druckservice Zillekens Am Bachpütz Stolberg Bildnachweis: Fotolia, Urheber an den Bildern angegeben 2

3 Diese Broschüre vermittelt Basisinformationen zum Thema Datenschutz in kleinen und mittleren Unternehmen (KMU) und gibt Ihnen anhand von Beispielen Handlungsempfehlungen, wie Sie den Datenschutz in Ihrem Unternehmen effektiv steigern können. Kapitel 1: Was ist eine Auftragsdatenverarbeitung?... 4 Kapitel 2: Gesetzestext und Erläuterungen... 6 Kapitel 3: Der Vertrag zur Auftragsdatenverarbeitung... 8 Kapitel 4: Wann besteht die Notwendigkeit eines Audits?... 9 Kapitel 5: Audit beim Auftragsdatenverarbeiter Kapitel 6: Quellenverzeichnis Ergänzende Informationen

4 Kapitel 1 Was ist eine Auftragsdatenverarbeitung? Auftragsdatenverarbeitung (ADV), im Sinne des Bundesdatenschutzgesetzes (BDSG), ist die Erhebung, Verarbeitung und/oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag einer verantwortlichen Stelle (Auftraggeber). 11 BDSG beschreibt dabei im Einzelnen, welche Rechte und Pflichten zu regeln sind und welche Maßnahmen zu treffen sind. Da die Aufsichtsbehörden für den Datenschutz in letzter Zeit verstärkt Kontrollen in diesem Bereich durchgeführt haben und das Bayerische Landesamt für Datenschutzaufsicht im Fall einer unzureichenden Auftragserteilung ein fünfstelliges Bußgeld festgesetzt hat, besteht hier für viele Unternehmen Handlungsbedarf, um sich gegen Schäden abzusichern. In der Praxis trifft man neben der Auftragsdatenverarbeitung häufig auch die Funktionsübertragung an. Bei der Funktionsübertragung werden ähnliche Tätigkeiten verrichtet, jedoch liegt die Haftung nicht beim Auftraggeber, sondern beim Auftragnehmer. Eine eindeutige Unterscheidung zwischen Auftragsdatenverarbeitung und Funktionsübertragung ist häufig schwierig. Ein Paradebeispiel ist der Steuerberater. Aufgrund der Tätigkeit handelt es sich normalerweise um eine Funktionsübertragung, die der Steuerberater eigenverantwortlich ausübt. In Ausnahmefällen kann es aber auch eine Auftragsdatenverarbeitung sein. Dies trifft z. B. dann zu, wenn keine Steuerberatung durchgeführt wird, sondern ausschließlich die Lohnbuchhaltung. Handelt es sich um eine Funktionsübertragung, dann besteht keine Notwendigkeit, einen Vertrag nach 11 BDSG zu schließen. Was ist keine Auftragsdatenverarbeitung? Beratungstätigkeiten fallen üblicherweise nicht unter die Auftragsdatenverarbeitung. Geht es dabei um Personalangelegenheiten, dann ist es trotzdem empfehlenswert, sich vor Beauftragung des Dienstleisters mit dem Datenschutzbeauftragten abzusprechen, gerade bei Personal-Screening oder Mediation. Inkassotätigkeiten mit Forderungsübertragung wie auch Sachverständigen- und Gutachter-beauftragung gehören ebenfalls nicht zur Auftragsdatenverarbeitung. Keine Auftragsdatenverarbeitung liegt per gesetzlicher Definition beim Postversand und bei Bankgeschäften vor. Werden keine personenbezogenen Daten verarbeitet, dann besteht üblicherweise keine Auftragsdaten-verarbeitung. 4

5 Übersicht Auftragsdatenverarbeitung Hier nun eine Übersicht der Tätigkeiten, die von Landesaufsichtsbehörden für den Datenschutz als Auftragsdatenverarbeitung angesehen werden, wenn sie an einen Dienstleister übertragen werden: Die technischen Datenverarbeitungsarbeiten für die Lohn- und Gehaltsabrechnung. (z. B. Lohnbüro; Steuerberater, der keine Steuerberatung macht, jedoch die Abrechnungen) Die technischen Datenverarbeitungsarbeiten für die Finanzbuchhaltung. (z. B. Kontierdienst) Das Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing. (z. B. Rechenzentrum, Cloud-Anbieter) Die Verarbeitung von Werbeadressen im Letter-Shop. (Druckerei, Copy-Shop, Werbemittelversender, Mailing-Dienstleister (auch s)) Die Kontaktdatenverarbeitung in einem Callcenter. Die Auslagerung eines Teils des eigenen Telekommunikationsbetriebs. (insofern das nicht durch das Telekommunikationsgesetz (TKG) anders geregelt ist) Die Auslagerung der -Verwaltung oder von sonstigen Datendiensten zu Webseiten. (z. B. Anbieter von -Portalen) Die Datenerfassung, die Datenkonvertierung oder das Einscannen von Dokumenten. Die Backup-Sicherheitsspeicherung und andere Archivierungen. Die Datenträgerentsorgung. (z. B. Papier, Festplatten, Flash-Speicher, Datenbänder) Deutliche Erkennungsmerkmale für Auftragsdatenverarbeitung Zugriff auf personenbezogene Daten durch den Auftragnehmer Fehlende Entscheidungsbefugnis des Auftragnehmers Weisungsgebundenheit gegenüber dem Auftraggeber Fehlende (vertragliche) Beziehung des Auftragnehmers zum Betroffenen (dessen Daten verarbeitet werden) Umgang nur mit Daten, die der Auftraggeber zur Verfügung stellt 5

6 Kapitel 2 Gesetzestext und Erläuterungen 11 Bundesdatenschutzgesetz (BDSG) Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag (1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen. (2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. Der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. 6

7 (3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. (4) Für den Auftragnehmer gelten neben den 5, 9, 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3 sowie 44 nur die Vorschriften über die Datenschutzkontrolle oder die Aufsicht, und zwar für 1. a) öffentliche Stellen, b) nicht-öffentliche Stellen, bei denen der öffentlichen Hand die Mehrheit der Anteile gehört o- der die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle ist, die 18, 24 bis 26 oder die entsprechenden Vorschriften der Datenschutzgesetze der Länder, 2. die übrigen nicht-öffentlichen Stellen, soweit sie personenbezogene Daten im Auftrag als Dienstleistungsunternehmen geschäftsmäßig erheben, verarbeiten oder nutzen, die 4f, 4g und 38. (5) Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. 7

8 Kapitel 3 Der Vertrag zur Auftragsdatenverarbeitung Bei der Auftragsdatenverarbeitung galt die Überwachungspflicht des Auftraggebers schon immer. In der Praxis kommt es aber regelmäßig vor, dass wichtige Vorgaben des 11 BDSG im Vertragswerk nicht beachtet werden. Verträge, die vor der Novellierung des BDSGs (2009) geschlossen wurden, sollten deshalb auf jeden Fall geprüft werden. Die "Zehn Gebote" des 11 BDSG Im Folgenden nun eine Darstellung mit praktischen Beispielen, was beim Vertrag für die Auftragsdatenverarbeitung beachtet werden muss: Gegenstand und Dauer des Auftrags, (was soll getan werden, wann beginnt und wann endet der Auftrag) Umfang, Art und Zweck von Erhebung, Verarbeitung oder Nutzung von Daten, Art der Daten und Kreis der Betroffenen, (genaue Beschreibung des Auftrags, wie und aus welchem Grund, welche Daten) technische und organisatorische Maßnahmen, (wie stellt der Auftragnehmer sicher, dass die Daten sicher sind, wie sollen die Daten verarbeitet werden, wer hat Zugriff) Berichtigung, Löschung und Sperrung von Daten, (wie soll mit fehlerhaften, ungültigen und/oder nicht geklärten Daten umgegangen werden) Pflichten des Auftragnehmers, insbesondere von ihm vorzunehmende Kontrollen, (Verpflichtung der Mitarbeiter auf das Datengeheimnis, Datenschutz im Unternehmen, Verhinderung von Datenverlusten und Datenabflüssen, Prüfung ob die richtigen Daten verarbeitet werden) etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, (ist der Auftragnehmer berechtigt, Unterauftragnehmer zu beschäftigen, wie sehen da die Kontrollen aus, wie verhält es sich mit der Haftung) Kontrollrechte des Auftraggebers und Duldungs- und Mitwirkungspflichten des Auftragnehmers, (unangemeldete Kontrollen, Audit vor Beginn der Auftragsdatenverarbeitung und regelmäßig während der Laufzeit) mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder im Auftrag getroffene Festlegungen, (wer ist zu informieren, wenn es einen Verstoß gibt, welche Verstöße könnten das sein, Meldekette) Umfang der Weisungsbefugnisse, die sich der Auftraggeber vorbehält, (wo möchte der Auftraggeber bei Bedarf eingreifen oder Vorgaben machen) Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. (wie wird sichergestellt, dass die Daten nach Verarbeitungsende ordnungsgemäß gelöscht werden, auf welchem Weg sollen Daten wieder zurück zum Auftraggeber übermittelt werden) 8

9 Kapitel 4 Wann besteht die Notwendigkeit eines Audits? Grundsätzlich muss ein Audit beim Auftragnehmer vor Beginn der Tätigkeit durchgeführt werden. Kann der Auftragnehmer entsprechende Zertifizierungen vorweisen, dann kann auf ein solches Audit verzichtet werden. Hierbei ist jedoch zu beachten, dass eine Zertifizierung immer nur eine Bestandsaufnahme zum jeweiligen Zeitpunkt ist. Wird die Zertifizierung nicht im Unternehmen gelebt, dann können sich natürlich im Laufe der Zeit Lücken ergeben. Außerdem haben Zertifizierungen immer eine begrenzte zeitliche Gültigkeit. Achten sie also darauf, wann das Zertifikat abläuft. ISO und andere Zertifizierungen Bei der ISO liegt der Schwerpunkt zwar auf der Informationssicherheit, aber auch der Datenschutz wird dabei beachtet. Deshalb kann diese Zertifizierung als ausreichend angesehen werden. Am Markt gibt es diverse Zertifizierungen zum Thema Auftragsdatenverarbeitung. Aufgrund der Neutralität ist es hier nicht möglich, einzeln auf diese Zertifikate einzugehen. Legt ein Auftragnehmer ein solches Zertifikat vor, dann lohnt es sich, dieses zu hinterfragen! Denn unabhängig von allen rechtlichen Möglichkeiten bleibt der Rufschaden bei einem Zwischenfall immer am Auftraggeber hängen, da helfen auch die besten Verträge nicht. 9

10 Kapitel 5 Audit beim Auftragsdatenverarbeiter Vor Beginn der Auftragsdatenverarbeitung ist es, wenn keine anderen Auditierungen oder Sicherheitszertifikate vorliegen, erforderlich, ein Audit durchzuführen. Bei diesem Audit werden die technischen und/oder organisatorischen Maßnahmen gemäß der Anlage zu 9 BDSG zum Datenschutz geprüft. Es empfiehlt sich, die folgenden Basisangaben in einem Protokoll zu erfassen: Name des Unternehmens Adresse, gegebenenfalls mit genauer Bezeichnung eines Gebäudes/eines Stockwerks Name des Auditors Verantwortlicher des Auftragnehmers Datum Anlass des Audits Im Rahmen des Audits ist es erforderlich, die folgenden Bereiche zu kontrollieren: Zutrittskontrolle Mit Zutrittskontrolle sind die Maßnahmen gemeint, die eine räumliche Sicherheit erzeugen, damit Unbefugte keinen Zutritt zur Datenverarbeitung erlangen können. Gebäude (z. B. Zaun, Pförtner, gesicherte Außentüren, äußere Videoüberwachung, Alarmanlage) Räume (Sicherheitsschlösser mit Schlüssel oder Code, Chipkartenleser, Sicherheitsverglasung, Fensterverriegelungen, Alarmanlage) Zugangskontrolle Die Zugangskontrolle (Authentifizierung) befasst sich mit den Sicherheitsmaßnahmen, die getroffen wurden, um die Datenverarbeitungsanlage gegen unbefugte Nutzung zu schützen. Zugang zu Computern und Systemen (Benutzername/Kennwort, Biometrische Erkennung/Identifikation, Zertifikate, Firewall) 10

11 Zugriffskontrolle Die Zugriffskontrolle gewährleistet, dass nur die zur Benutzung von DV-Anlagen berechtigten Nutzer auf Inhalte zugreifen können, für die sie eine Zugriffsberechtigung haben. Ebenfalls festgelegt wird hier, das personenbezogene Daten bei der Verarbeitung/Nutzung und nach dem Speichern nicht unbefugt kopiert, verändert oder gelöscht werden können. Berechtigungskonzept (rollen- oder personenbasiert) Benutzerkennung mit Passwort und/oder Key gesicherte Schnittstellen (z. B. USB, CD/DVD, Firewire, Netzwerk, WLAN) Datenträgerverwaltung zertifikatsbasierte Zugriffsberechtigung Weitergabe Es muss verhindert werden, dass personenbezogenen Daten bei der elektronischen Übertragung oder beim Transport oder bei der Speicherung auf Datenträgern unbefugt gelesen, kopiert, verändert oder gelöscht werden können, und dass festgestellt werden kann, an welchen Stellen eine Übermittlung solcher Daten im DV-System vorgesehen ist. Sicherung bei der elektronischen Übertragung (Verschlüsselung, VPN, Firewall, Faxprotokoll) Sicherung beim Transport (Verschlossene Behälter, Verschlüsselung) Sicherung bei der Übermittlung (Verfahrensverzeichnis, Protokollierungsmaßnahmen) Eingabekontrolle Es muss sichergestellt werden, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder gelöscht worden sind. Protokollierung Benutzeridentifikation 11

12 Auftragskontrolle Es muss sichergestellt werden, dass personenbezogene Daten, die im Auftrag verarbeitet werden, gemäß den Weisungen des Auftraggebers verarbeitet werden. Weisungsbefugnisse festlegen Vor-Ort-Kontrollen Datenschutzvertrag gemäß den Vorgaben nach 11 BDSG Stichprobenprüfung Kontrollrechte (vor und während der Verarbeitung) Verfügbarkeitskontrolle Personenbezogene Daten müssen gegen zufällige Zerstörung oder Verlust geschützt werden. Brandschutzmaßnahmen (z. B. Brandabschnitte, Brandschutztüren, Feuerlöscher, Sprinkleranlage, Warnanlage) Überspannungsschutz (Blitzschutz, Geräteschutz) Unterbrechungsfreie Stromversorgung (USV) (VFD, VI, VFI) Klimaanlage RAID (Festplattenspiegelung) Backupkonzept (z. B. externe Festplatte, Netzlaufwerk, Cloud) Virenschutzkonzept Schutz vor Diebstahl Trennungsgebot Wenn personenbezogene Daten zu unterschiedlichen Zwecken erhoben wurden, dann muss gewährleistet sein, dass sie getrennt verarbeitet werden können. Trennung von Produktiv- und Testsystemen getrennte Ordnerstrukturen (Auftragsdatenverarbeitung) separate Tabellen innerhalb der Datenbank(en) getrennte Datenbanken Insbesondere sind allgemein Verschlüsselungsverfahren nach aktuellem Stand der Technik zu berücksichtigen. 12

13 Checkliste zur Prüfung der Auftragsdatenverarbeitung Gegenstand und Dauer des Auftrags Gibt es eine Regelung zum Gegenstand des Vertrags? Sind Beginn und Ende des Auftrags im Vertrag geregelt? Umfang, Art und Zweck der Datenverarbeitung Gibt es konkrete Weisungen, welche Verarbeitungen vom Auftragnehmer vorzunehmen sind? Ist der Verwendungszweck im Vertrag geregelt? Sind die Datenarten vertraglich festgehalten oder bestimmt bzw. bestimmbar? Ist der Kreis der Betroffenen dem Vertrag zu entnehmen? Technisch-organisatorische Maßnahmen Gibt es Regelungen zur Zutrittskontrolle? Gibt es Regelungen zur Zugangskontrolle? Gibt es Regelungen zur Zugriffskontrolle? Gibt es Regelungen zur Weitergabekontrolle? Gibt es Regelungen zur Eingabekontrolle? 13

14 Gibt es Regelungen zur Auftragskontrolle? Gibt es Regelungen zur Verfügbarkeitskontrolle? Gibt es Regelungen zum Trennungsgebot (bzw. Zweckbindung)? Regelungen zur Berichtigung, Löschung und Sperrung von Daten im Auftrag Gibt es eine Regelung Berichtigung, Löschung und Sperrung von Daten? Regelungen zu den Pflichten des Auftragnehmers nach 11 Abs. 4 BDSG Gibt es eine Regelung zur Verpflichtung der Beschäftigten des Auftragnehmers auf das Datengeheimnis i.s.d. 5 BDSG? Gibt es eine Regelung zur Bestellung eines betrieblichen Datenschutzbeauftragten beim Auftragnehmer? Unterauftragsverhältnisse Gibt es eine Regelung zur Zulässigkeit von Unterauftragsverhältnissen ( Ob )? Falls ja, gibt es eine Regelung dazu, wie der Unterauftragnehmer zu beauftragen ist ( Wie )? Kontrollrechte des Auftraggebers Gibt es eine Regelung zu Kontrollrechten des Auftraggebers? (z. B. Kontrolle vor Ort, Herausgabe von Informationen etc.) Sind damit einhergehende Duldungspflichten des Auftragnehmers geregelt? 14

15 Informationspflichten des Auftragnehmers bei Verstößen gegen Datenschutzvorschriften oder Pflichten gegenüber dem Auftraggeber Gibt es eine Regelung, aus der sich die Pflicht des Auftragnehmers ergibt, Verstöße gegen Datenschutzvorschriften (insbesondere des BDSG) oder gegen die vom Auftraggeber erteilten Weisungen zu melden? Weisungsrecht Gibt es eine Regelung, aus der sich der Umfang des Weisungsrechts des Auftraggebers (ggf. auch hinsichtlich der Zulässigkeit ergänzender Weisungen [ Weisungsvorbehalt]) ergibt? Rückgabe bzw. Löschung von Daten nach Auftragsbeendigung Gibt es eine Regelung, aus der sich die Pflicht des Auftragnehmers ergibt, überlassene Datenträger zurückzugeben bzw. für den Auftraggeber gespeicherte Daten zu löschen? Datum Vorname Nachname, Funktion im Unternehmen 15

16 Kapitel 6 Quellenverzeichnis Quellenverzeichnis: Bundesdatenschutzgesetz (BDSG) Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Verweise: Mustervereinbarung Auftragsdatenverarbeitung Quelle: 16

17 3