AUFTRAGS(DATEN)VERARBEITUNG NACH DER DSGVO

Transkript

1 COMPUTAS DATENSCHUTZTAG AUFTRAGS(DATEN)VERARBEITUNG NACH DER DSGVO RA FAITR FAArbR Prof. K. Gennen Telefon: LLR Legerlotz Laschet und Partner Rechtsanwälte Partnerschaft mbb Mevissenstraße Köln

2 2 Auftragsdatenverarbeitung - 11 BDSG Ablösung durch Art. 28, 29, EG 81 ff; Katalog in 11 Abs. 2 Satz 2 BDSG ersetzt durch Art. 28 Abs. 3 (1) Art. 4 Nrn. 7 und 8 - Definition der Begriffe des Auftraggebers (Verantwortlicher) und des Auftragnehmers (Auftragsverarbeiter) Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. [Kein Hinweis auf Weisungsrecht bzw. -abhängigkeit, vgl. Art. 29] (1) Artikel ohne weitere Kennzeichnung sind solche der DSGVO.

3 3 Weisungsgebundenheit nach Art. 29 (bisher 11 Abs. 3 Satz 1 BDSG): Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu pbd hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind. Folgen bei Verstoß gegen Weisungen? Art. 28 Abs. 10 Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.

4 4 Räumlicher Geltungsbereich bei? 3 Abs. 8 Satz 2/3 BDSG Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum Art. 3 (Abs. 1) Diese Verordnung findet Anwendung auf die Verarbeitung pbd, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet. in Drittländern ist erfasst hat weitere Folgen, z.b. Vertreterbestellung (s. u.)

5 5 (Kein) Konzernprivileg? BDSG kein Konzernprivileg EG 48 Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind, können ein berechtigtes Interesse haben, pbd innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung pbd von Kunden und Beschäftigten, zu übermitteln. Die Grundprinzipien für die Übermittlung pbd innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland bleiben unberührt. Bestellung eines DSB für den gesamten Konzern grundsätzlich möglich, Art. 37 Abs. 2 Wie bei Auswertung von Personaldaten durch eine in einem Drittland ansässige Konzernobergesellschaft?

6 6 Erfordernis eines Auftrags (Vertrags) ein anderes Rechtsinstrument nach dem Unionsrecht oder dem Recht der Mitgliedstaaten das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet wohl jede einseitig bindende Verpflichtung des Auftragnehmers Erfordernis der Schriftlichkeit 11 Abs. 2 Satz 2, 1. HS BDSG - Schriftlichkeit Art. 28 Abs. 9: Der Vertrag ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.

7 7 sorgfältige Auswahl des Auftragnehmers Eignung/TOM 11 Abs. 2 Satz 1 BDSG: Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Art. 28 Abs. 1 : Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

8 8 TOM nach Art. 32 dem Risiko (Eintrittswahrscheinlichkeit/Schwere) angemessenes Schutzniveau gewährleisten Schutzziele: Vertraulichkt., Integrität, Verfügbarkt., Belastbarkt. ggü. 9 BDSG/Anlage eher allgemeine Regelungen Rücksicht auf SdT, Wirtschaftlichkeit/Implementierungskosten a) Pseudonymisierung und Verschlüsselung von pbd; b) Fähigkeit, die Vertraulichkt, Integrität, Verfügbarkt und Belastbarkt der Systeme und Dienste im Zusammenhang auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkt der pbd und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelm. Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM zur Gewährleistung der Sicherheit der Verarbeitung.

9 9 Verantwortlichkeit des AG Herr der Daten 11 Abs. 1 Satz 1, Abs. 4 BDSG Verantwortlichkeit des AG, nur wenigen Normen auf den AN anwendbar Art. 5 Abs. 2, 24 im Gdstz. auch hier der AG verantwortlich 11 Abs. 2 Satz 4/5 BDSG Erstkontrolle und lfd. Kontrolle durch den Auftraggeber, Dokumentation nicht übernommen - Art. 28 Abs. 2 Satz 1 lit. h: Kontrollrechte, keine Pflichten Entfallen aller Kontrollpflichten? 11 Abs. 3 BDSG/Art. 29 Weisungsgebundenheit (s.o.)

10 10 Verantwortlichkeit des AN Verpflichtungen Art. 27 Abs. 1 Bestellung eines Vertreters in der EU Art. 30 Abs. 2 Verfahrensverzeichnis Art. 31 Zusammenarbeit mit Aufsichtsbehörden Art. 32 Abs. 1 Pflicht zu TOM Art. 37 Pflicht zur Bestellung eines betriebl. DSB Art. 44 Beschränkg. für Datentransfer in Drittländer Sanktion: Bußgeld, Art. 83 Abs. 3, Abs. 4 lit. a, Art. 83 Abs. 5

11 11 Inhaltl. Anforderungen an den Vertrag, Art. 28 Abs. 3 Art. 28 Abs. 3 Satz 1 und 2 ersetzt 11 Abs. 2 Satz 2 BDSG Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder der den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der pbd, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind.

12 12 Dokumentierte Weisung Verpflichtung zur Vertraulichkeit Erarbeitung und Einhaltung des Datensicherheitskonzepts Regelungen zur Einschaltung von Subunternehmern [ ] Dieser Vertrag sieht insbesondere vor, dass der Auftragsverarbeiter a) die pbd nur auf dokumentierte Weisung des Verantwortlichen auch in Bezug auf die Übermittlung von pbd an ein Drittland oder eine internationale Organisation verarbeitet, sofern er nicht [ ]; b) gewährleistet, dass sich die zur Verarbeitung der pbd befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen; c) alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift; d) die in den Absätzen 2 und 4 genannten Bedingungen für die Inan-spruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;

13 13 Unterstützung des Verantwortlichen durch TOM bei dessen Verpfl. nach Kap. III. Unterstützung des Verantwortlichen bei verschiedenen Verpfl. nach DSGVO e) angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten TOM dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen; f) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt; [s. folgende Folie]

14 14 Mithilfe des Auftragsverarbeiters bei Art Sicherheit der Verarbeitung TOM bzw. Datensicherheitskonzept Art. 33 Datenschutzvorfälle, Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde Art Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person Art Datenschutz-Folgenabschätzung Art Vorherige Konsultation der Aufsichtsbehörde

15 15 Löschung/Rückgabe von pbd Duldung von/beitrag zu Überprüfungen/Inspektionen Hinweis darauf, falls nach Ansicht des Auftragsverarbeiters eine Weisung gegen DS-Bestimmungen verstößt g) nach Abschluss der Erbringung der Verarbeitungsleistungen alle pbd nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der pbd besteht; h) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen einschließlich Inspektionen, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt. Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutz-bestimmungen der Union oder der Mitgliedstaaten verstößt.

16 Auftragsverarbeiter 16 Subunternehmer? 11 Abs. 2 Satz 2 Nr. 6 BDSG - ( die etwaige Berechtigg. zur Begründung von Unterauftragsverhältnissen ) Art 28 Abs. 2 und Abs. 4 Zustimmung im Einzelfall oder generell, im letztgenannten Fall mit Veto-Recht, insbes. bei Austausch, Verpflichtungen bei Weiterverlagerung bzw. Einschaltung von Subs weiterer Stufen - Anpassungsbedarf in Verträgen oft Einschaltung von Subunternehmern weitgehend erlaubt, gestuft bei Cloud-Services?

17 17 Art. 28 Abs. 5 bis 8 Einhaltung genehmigter Verhaltensregeln, Art. 40, und Einhaltung eines genehmigten Zertifizierungsverfahrens, Art. 42 können als Faktor herangezogen werden, um hinreichende Garantien im Sinne der Absätze 1 und 4 nachzuweisen. Standardverträge sind denkbar, festzulegen durch Kommission (Prüfverfahren gem. Art. 87 Abs. 2) oder Aufsichtsbehörde (Kohärenzverfahren gem. Art. 63) Was ist mit bestehenden Zertifizierungen wie z.b. ISO 27001?

18 18 Art. 79, 82 Art. 79 Abs. 2 : Gerichtsstand = Niederlassung oder wahlweise Aufenthaltsort betroffene Person Auftraggeber/Auftragsverarbeiter: gemeinsame Haftung auf Schadensersatz für Datenschutzverstöße? Art. 82 Abs. 2 ff s. auch Art. 82 Abs. 2 Satz 2 : Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser VO nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

19 19 Art. 79, 82 immaterielle Schäden eingeschlossen, s.a. EG 146 Satz 3 Beweislast aufseiten Verantwortlichem/Auftragsverarbeiter, aber Möglichkeit der Enthaftung bei Nachweis nicht vorhandener Verantwortlichkeit (Art. 82 Abs. 3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Notwendigkeit zur vertraglichen Haftungsfreistellung im Innenverhältnis? Art. 82 Abs. 5

20 Auftragsverarbeiter 20 Art. 83 Kriterien für Bußgeld beim Auftragsverarbeiter a) Art, Schwere und Dauer des Verstoßes b) Verschuldensgrad c) vom Verantwortl. oder Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens d) Grad der Verantwortung des Verantwortl. oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß Art. 25 und 32 getroffenen TOM e) etwaige einschlägige frühere Verstöße des Verantwortl. oder des Auftragsverarbeiters f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern g) Kategorien betroffener pbd h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbes. ob und ggf. in welchem Umfang der Verantwortl. oder der Auftragsverarbeiter den Verstoß mitgeteilt hat; i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortl. oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden; j) Einhaltung von genehmigten Verhaltensregeln nach Art. 40 oder genehmigten Zertifizierungsverfahren nach Art. 42 und k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall [ ].

21 Rechenschaftspflicht 21 Rechenschaftspflicht/Accountability - Nachweisverpflichtung bisher (BDSG): Nachweis der Verletzung von Datenschutznormen durch Aufsichtsbehörde nunmehr: Nachweis der Einhaltung der Grundsätze des Art. 5 Abs. 1 durch den Verantwortlichen - Beweislast für die Einhaltung der Grundsätze liegt beim Verantwortlichen Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ( Rechenschaftspflicht ). Dokumentationsaufwand dürfte erheblich steigen Prozesse etablieren, dokumentieren und deren Einhaltung sicherstellen?

22 RA Prof. Klaus Gennen Rechtsanwalt seit 1993 Tätigkeitsgebiete IT/Datenschutz/techn. Schutzrechte Fachanwalt für IT-Recht Fachanwalt für Arbeitsrecht Datenschutzbeauftragter (GDDcert.) Professur für Wirtschaftsrecht, insbes. IT-Recht und Recht des elektronischen Geschäftsverkehrs, TH Köln, Kölner Forschungsstelle für Medienrecht Partner bei LLR Legerlotz Laschet und Partner Rechtsanwälte Partnerschaft mbb, Sitz Köln ( Beratungsgesellschaft für Datenschutzfragen (