Auftragsverarbeitungsverträge

Transkript

1 Auftragsverarbeitungsverträge Rechtliche Grundlage (vor AV erforderlich) Beurteilung ob eine Auftragsverarbeitung vorliegt Auftragsverarbeitung Vertrag zur Auftragsverarbeitung Pflichten und Haftung Sanktionen Mustervorlagen für AV-Verträge Althammer & Kill GmbH & Co. KG, 2018

2 Kurz vorgestellt: Andreas Hellmann > Zur Person IT-Systemelektroniker Zertifizierter Datenschutzbeauftragter (DESAG) Zertifizierter Datenschutz Auditor (TÜV) > Berufserfahrung IT-Erfahrung seit 1996 Projektmanager und Berater Externer Datenschutzbeauftragter seit 2010 Beratung mehrerer Industrieunternehmen, Kirchenkreise, Altenheime, ambulanter und stationärer Pflegestationen 2

3 Althammer & Kill: Unser Fokus unser Angebot Analyse, Beratung, Konzepte, Begleitung 3

4 Rechtliche Grundlagen (vor AV erforderlich)

5 Rechtsgrundlagen > Bevor personenbezogene Daten durch einen Auftragsverarbeiter verarbeiten werden dürfen, benötigt der Verantwortliche erst selbst die Rechtsgrundlage die personenbezogenen Daten zu verarbeiten. > Die sogenannten Erlaubnistatbestände ergeben sich unter anderem aus Art. 6 DSGVO. > Hinweis: Gibt es weder eine gesetzliche Grundlage (z.b. Aufbewahrungspflichten), noch eine Einwilligung die personenbezogenen Daten zu verarbeiten, ist man verpflichtet diese zu löschen (Art. 17 DSGVO). Art. 6 DSGVO 5

6 Rechtsgrundlagen Beispiele > Vertrag oder vorvertragliche Maßnahmen z.b. das Schreiben von Angeboten, eine Registrierung in einem Onlineshop, eine Mitgliedschaft in einem Verein, Pflege- oder Betreuungsverträge, etc. (Art. 6 Abs. 1 lit. b DSGVO). > Berechtigtes Interesse des Verantwortlichen z.b. Direktwerbung (Erwägungsgrund 47) (Art. 6 Abs. 1 lit. f DSGVO) Hinweis: Die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person dürfen nicht überwiegen. Die Interessenabwägung ist zu dokumentieren. > Einwilligung Gibt es keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist es erforderlich eine Einwilligung des Betroffenen einzuholen (Art. 6 Abs. 1 lit. a DSGVO). Hinweis: Sind die Voraussetzungen aus Art. 7 DSGVO nicht erfüllt, gilt eine Einwilligung als nicht erteilt und die entsprechende Datenverarbeitung ist unzulässig! Art. 6 DSGVO 6

7 Beurteilung ob eine Auftragsverarbeitung vorliegt

8 Auftragsverarbeitung - Grundlagen > Die erste Aufgabe - eines Datenschutzbeauftragten - bei diesem Thema ist zugleich die schwierigste. Es muss festgestellt werden, ob es sich im vorliegenden Fall überhaupt um eine Auftragsverarbeitung handelt, oder ob nur eine Übermittlung oder eine Funktionsübertragung vorliegt. > Einfache Definition für die drei Möglichkeiten: Übermittlung: Die Daten werden meistens in nur eine Richtung an einen anderen Verantwortlichen übermittelt, damit dieser die Daten für seine häufig gesetzlich vorgeschriebenen - Zwecke verarbeiten kann. Beispiel: Finanzamt Funktionsübertragung (selten): Die Daten werden zwar im Auftrag aber von der anderen Verantwortlichen Stelle komplett selbstständig erhoben und verarbeitet. Beispiel: Hausverwaltung Auftragsverarbeitung: Die Daten werden zur weiteren Verarbeitung und - ggf. Rücklieferung eines überarbeiteten Ergebnis an einen Auftragsverarbeiter geschickt oder dieser kann auf die Daten zugreifen (z.b. Fernwartung). Beispiel: IT-Dienstleister Tipp: Versuchen Sie so viele Informationen wie möglich zu sammeln, nehmen Sie sich genügend Zeit für die Beurteilung und fragen Sie im Zweifel einen erfahrenen Datenschutzbeauftragten (ggf. Jurist) 8

9 Auftragsverarbeitung - Grundlagen > Gleichzeitig mit der Feststellung ob eine Auftragsverarbeitung vorliegt muss geklärt werden, wer mit wem in welchem Auftragsverhältnis steht. Also wer Auftraggeber, wer Auftragnehmer und wer Unterauftragnehmer ist. > Damit verbunden muss festgestellt werden, wer Verantwortlicher und wer Auftragsverarbeiter ist. Liegt eine Funktionsübertragung vor, können beide Parteien Verantwortlicher sein. Tipp: Ein gutes Hilfsmittel für die Ermittlung von Auftragsverarbeitungen sind die Listen Debitoren/Kreditoren (an wen bzw. von wem werden personenbezogene Daten übermittelt). 9

10 Auftragsverarbeitung - Grundlagen > Gemeinsam für die Verarbeitung Verantwortliche : > Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden. Art. 26 DSGVO 10

11 Auftragsverarbeitung - Grundlagen > In folgenden Fällen liegt keine Auftragsverarbeitung vor: wenn der Dienstleister einer Berufsgeheimnispflicht nach 203 StGB unterliegt z.b. Anwälte, Ärzte, Steuerberater (Ausnahme Lohnbuchhaltung), Versicherungen wenn die Übermittlung der personenbezogenen Daten gesetzlich verpflichtend ist z.b. Finanzamt, Krankenkassen wenn der Dienstleister eine weisungsfreie Leistung anbietet (bei denen die Verarbeitung personenbezogener Daten normalerweise durch die entsprechenden Gesetze geregelt bzw. vorgeschrieben ist) z.b. Ticketkauf bei der Bahn, Buchung im Hotel, Buchung im Reisebüro, Firmenkonto bei der Bank, etc. Dies sind klassische Fällen einer Funktionsübertragung, da der Dienstleister nach der Übermittlung selbst für die Daten verantwortlich ist. Tipp: Visualisieren Sie die gesamte Datenverarbeitung mit allen Beteiligten, allen Daten und allen Richtungen des Datenflusses. 11

12 Auftragsverarbeitung - Grundlagen Das sogenannte kleine Konzernprivileg erlaubt es juristisch eigenständigen Unternehmen innerhalb einer Unternehmensgruppe, nach einer Interessenabwägung (dokumentieren), personenbezogene Daten von Kunden oder Mitarbeitern zentral zu verarbeiten, ohne dass hierfür AV-Verträge abgeschlossen werden müssen. 12

13 Auftragsverarbeitung - Grundlagen Auftraggeber Auftragnehmer 1 Auftragnehmer 2 KEIN AV-VERTRAG ERFORDERLICH 13

14 Auftragsverarbeitung - Grundlagen Auftraggeber KEIN AV-VERTRAG ERFORDERLICH Auftragnehmer AV-Vertrag Unterauftragnehmer 14

15 Auftragsverarbeitung - Grundlagen > Eine Auftragsverarbeitung liegt vor wenn der Auftragsverarbeiter die personenbezogenen Daten weisungsgebunden verarbeitet z.b. Service für IT, Telefonanlage, Kopierer, Webseiten, Datenträgervernichtung, Rechenzentrum. Das bedeutet, dass der Verantwortliche z.b. bestimmen kann, wie die Daten verarbeitet werden, welche Daten verarbeitet werden und was nach dem Auftragsende mit den Daten zu tun ist. Hinweis: Dies gilt, wenn bei der Dienstleistung ein Zugriff auf personenbezogene Daten (Lesen bei einer Fernwartung) nicht ausgeschlossen werden kann. Es muss also im IT-Sinn keine Verarbeitung stattfinden, aber im Datenschutz-Sinn (Art. 4 Abs. 2 DSGVO) ist dies eine Verarbeitung. > Wurde festgestellt, dass es sich um eine Auftragsverarbeitung handelt, gilt es die Folgenden Anforderungen zu beachten. Bei einer Auftragsverarbeitung bleibt der Verantwortliche für die Daten verantwortlich, auch wenn diese bei einem Unterauftragnehmer des Auftragsverarbeiters verarbeitet werden. 15

16 Auftragsverarbeitung

17 Beispiel einer Auftragsverarbeitung innerhalb der EU Deutschland EU/EWR Auftraggeber Rechtsgrundlage oder Einwilligung Dienstleister (Dritter) Übermittlung Auftraggeber Dienstleister (kein Dritter) Auftragsverarbeitung 17

18 Beispiel einer Auftragsverarbeitung in einem Drittland Deutschland EU/EWR Drittland Auftraggeber Dienstleister Auftragsverarbeitung Auftraggeber /EU-Standardvertragsklauseln Dienstleister Übermittlung 18

19 Auftragsverarbeitung - Anforderungen > Der Verantwortliche arbeitet nur mit Auftragsverarbeitern, welche Garantien bieten, dass geeignete technische und organisatorische Maßnahmen entsprechend den Anforderungen des Gesetzes durchgeführt werden Hinweis: Dies bedeutet, dass der Verantwortliche vor Beginn der Verarbeitung z.b. die Dokumentation der TOMs vom Auftragsverarbeiter anfordern und kontrollieren muss. Hierbei sollte darauf geachtet werden, dass die TOMs den Anforderungen von Art. 32 DSGVO entsprechen. Art. 28 Abs. 1 DSGVO 19

20 Auftragsverarbeitung - Anforderungen > Unterauftragnehmer müssen vom Verantwortlichen schriftlich genehmigt werden Hinweis: Dies bedeutet, dass der Auftragsverarbeiter alle Unterauftragnehmer genehmigen lassen muss, welche direkt mit der Verarbeitung der Daten zu tun haben oder bei welchen ein Zugriff auf die Daten nicht ausgeschlossen werden kann. z.b. IT-Dienstleister oder Rechenzentrum Art. 28 Abs. 2 DSGVO 20

21 Vertrag zur Auftragsverarbeitung

22 Auftragsverarbeitung - Anforderungen > Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags (oder z.b. EU-Standardvertragsklauseln). > Der Vertrag ist schriftlich abzufassen, was auch im elektronischen Format erfolgen kann (Art. 28 Abs. 9 DSGVO). Hinweis: Dies bedeutet, dass ein Vertrag der folgendes festlegt abgeschlossen werden muss. Eine Auftragsverarbeitung ohne Vertrag ist eine Ordnungswidrigkeit! Art. 28 Abs. 3 DSGVO 22

23 Auftragsverarbeitung - Anforderungen > Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter a) die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet; b) gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen; c) alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift (TOMs); d) die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält; Art. 28 Abs. 3 DSGVO 23

24 Auftragsverarbeitung - Anforderungen > Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter e) angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen; f) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt; g) nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht, h) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen einschließlich Inspektionen, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt. Art. 28 Abs. 3 DSGVO 24

25 Auftragsverarbeitung - Anforderungen > Weitere Anforderungen Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt. Art. 28 Abs. 3 DSGVO 25

26 Auftragsverarbeitung - Anforderungen > Weitere Anforderungen Auferlegung aller Verpflichtungen aus Gesetz und Vertrag für weitere Auftragsverarbeiter (Unterauftragnehmer) (Art. 28 Abs. 4 DSGVO) Genehmigte Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens nach Artikel 42 kann als Faktor herangezogen werden um hinreichende Garantien aus Abs. 1 und 4 nachzuweisen (Art. 28 Abs. 5 DSGVO) Verstößt ein Auftragsverarbeiter gegen die DSGVO und bestimmt Zwecke und Mittel der Verarbeitung gilt er in Bezug auf diese Verarbeitung als Verantwortlicher (Art. 28 Abs. 10 DSGVO) Art. 28 DSGVO 26

27 Auftragsverarbeitung - Anforderungen > Spezielle Anforderung im Datenschutzgesetz der Evangelischen Kirche in Deutschland (DSG-EKD): Der Auftragsverarbeiter unterwirft sich der kirchlichen Datenschutzaufsicht. 30 Abs. 5 Satz 3 DSG-EKD 27

28 Pflichten und Haftung

29 Pflichten für der Verantwortlichen > Rechte der Betroffenen Beantwortung von Anfragen von Betroffenen zu Ihren Rechten nach Kapitel III DSGVO > Kontrollpflicht Vor der Verarbeitung und anschließend regelmäßige dokumentierte Prüfung des Auftragsverarbeiters durch den Verantwortlichen (Artt. 24 und 29 DSGVO) > Verzeichnis von Verarbeitungstätigkeiten Erstellen und Führen des Verfahrensverzeichnis (Art. 30 DSGVO) > Dokumentation der technischen und organisatorischen Maßnahmen Erstellen und führen der TOMs (Art. 32 DSGVO) Hiermit sind nicht die TOMs im Anhang des AV-Vertrags gemeint. Diese sind vom Auftragnehmer auszufüllen. > Meldepflicht Meldung an die Aufsichtsbehörde und die Betroffenen (Artt. 33 und 34 DSGVO) > Datenschutzfolgenabschätzung Durchführen von gesetzlich vorgeschriebenen Datenschutzfolgenabschätzungen (Art. 35 DSGVO) > Vorherige Konsultation Der Verantwortliche konsultiert die Aufsichtsbehörde wenn bei einer Datenschutzfolgenabschätzung festgestellt wird, dass die Verarbeitung ein hohes Risiko zur Folge hätte, wenn der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft (Art. 36 DSGVO) 29

30 Pflichten für der Auftragsverarbeiter > Unterstützung des Verantwortlichen bei der Beantwortung von Anfragen zu den in Kapitel III genannten Rechte der betroffenen Person (Art. 28 Abs. 3 lit. e DSGVO) Bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten (Art. 28 Abs. 3 lit. f DSGVO) > Löschung oder Rückgabe der personenbezogenen Daten Nach Abschluss der Erbringung der Verarbeitungsleistung nach Wahl des Verantwortlichen (Art. 28 Abs. 3 lit. g DSGVO) > Kontrolle zulassen Dem Verantwortlichen alle Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zukommen lassen und Überprüfungen und Inspektionen ermöglichen und dazu beitragen (Art. 28 Abs. 3 lit. h DSGVO) 30

31 Haftung > Betroffene haben Anspruch auf Schadenersatz gegen den Verantwortlichen und den Auftragsverarbeiter > Jeder Verantwortliche haftet für den Schaden, Auftragsverarbeiter nur dann, wenn sie gegen die Pflichten für Auftragsverarbeiter dieser Verordnung nicht nachgekommen sind oder Anweisungen des Verantwortlichen nicht beachtet oder gegen diese verstoßen haben > Haftungsbefreiung für Verantwortlichen oder Auftragsverarbeiter wenn derjenige nachweisen kann, dass er nicht ( in keinerlei Hinsicht ) für den Schaden verantwortlich ist > Gesamtschuldnerische Haftung für Verantwortlichen und Auftragsverarbeiter gegenüber dem Betroffenen für den gesamten Schaden > Einforderung des Anteils vom Schadenersatz (gemäß der Verantwortung an dem Schaden) von Verantwortlichem oder Auftragsverarbeiter bei allen an der Verarbeitung Beteiligten Art. 82 DSGVO 31

32 Sanktionen

33 Sanktionen > Bei Verstößen gegen die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß der Artikel 8, 11, 25 bis 39, 42 und 43 werden Geldbußen bis zu EUR oder 2% des letzten weltweiten Jahresumsatz verhängt. > Bei Verstößen gegen die Grundsätze der Verarbeitung gemäß der Artikel 5, 6, 7 und 9 werden Geldbußen bis zu EUR oder 4% des letzten weltweiten Jahresumsatz verhängt. Art. 83 DSGVO 33

34 Mustervorlagen für AV-Verträge

35 Links zu Vorlagen für AV-Verträge (Stand ) > DSGVO (GDD-Praxishilfe DS-GVO IV) > DSG-EKD (Arbeitshilfe mit Erläuterungen zur Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag gemäß 30 Datenschutzgesetz-EKD) > KDG (PH 04) (Vertrag zur Fernwartung zwischen kirchlichem Auftraggeber und nichtkirchlichem Auftragnehmer) Art. 83 DSGVO 35

36 Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine > Herausgegeben vom Bayrischen Landesamt für Datenschutzaufsicht uct=

37 Vielen Dank. Bleiben Sie mit uns in Verbindung: Andreas Hellmann Berater für Datenschutz und IT-Sicherheit Althammer & Kill GmbH & Co. KG Neuer Zollhof Düsseldorf Tel Fax. -48 ah@althammer-kill.de