Datenschutzbeauftragter DSB TÜV Autor: RA Markus Säugling, MAGELLAN Rechtsanwälte
Inhaltsverzeichnis Titel Register Transferblatt: Meine persönlichen Ziele Grundlagen des Datenschutzrechts... 1 Grundstruktur des Datenschutzrechts... 2 Der Datenschutzbeauftragte... 3 Die datenschutzrechtlichen Aufsichtsbehörden... 4 Basisdokumente im Datenschutz... 5 Der Personaldatenschutz... 6 Die Auftragsdatenverarbeitung und andere Übermittlungsgrundlagen... 7 Die technischen und organisatorischen Maßnahmen (TOM)... 8 Das Datenschutzaudit... 9 Das Datenschutzmanagementsystem... 10 Die Betroffenenrechte... 11 Datenschutz im Marketing... 12 Die datenschutzkonforme Website... 13 Fallstudie "Autoteile AG"... 14 Bundesdatenschutzgesetz (BDSG)... 15 Telemediengesetz (TMG)... 16 Rev. 04 / Stand: November 2015 1117001 Datenschutzbeauftragter DSB TÜV 3
Grundlagen des Datenschutzrechts 1117001 / Grundlagen des Datenschutzrechts 1
Inhaltsverzeichnis Lernziele... 4 1 Grundlagen des Verfassungsrecht... 5 2 Grundlagen im Europarecht... 6 3 Allgemein gültige Grundsätze im Datenschutzrecht... 8 3.1 Das Verbot mit Erlaubnisvorbehalt... 8 3.2 Der Direkterhebungsgrundsatz... 10 3.3 Der Zweckbindungsgrundsatz... 13 3.4 Der Grundsatz der Datensparsamkeit... 14 4 Das Zusammenwirken deutscher Gesetze... 17 4.1 Das Bundesdatenschutzgesetz (BDSG) als Mastergesetz... 18 4.2 Der bereichsspezifische Datenschutz im Telekommunikationsgesetz (TKG).. 18 4.3 Der bereichsspezifische Datenschutz im Telemediengesetz (TMG)... 19 4.4 Die Landesdatenschutzgesetze und sonstige bereichsspezifische Regelungen... 20 5 Überleitung: Von den Grundlagen zur Grundstruktur... 21 Wiederholungsfragen... 22 Weiterführende Hinweise / Literatur... 23 1117001 / Grundlagen des Datenschutzrechts 3
Lernziele Seit dem Inkrafttreten des Bundesdatenschutzgesetzes (BDSG) im Jahre 1978 hat das Thema Datenschutz längst in alle Wirtschaftsbereiche Einzug gehalten und derart an Bedeutung gewonnen, dass die damit einhergehenden Regelungsinhalte das Wirtschaftsleben weitreichend mitbestimmen. Entscheidend für diese Entwicklung und die Entwicklung des Datenschutzrechtes war das Volkszählungsurteil des Bundesverfassungsgerichtes, in dem das höchste deutsche Gericht erstmals das Recht auf informationelle Selbstbestimmung als Teil des allgemeinen Persönlichkeitsrechtes aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG ableitete. Das Grundrecht auf Schutz der eigenen personenbezogenen Daten war geschaffen. Dieses Recht auf informationelle Selbstbestimmung ist Teil des Spannungsfeldes, das von den Interessen des Individuums an der Verfügungsgewalt über seine personenbezogenen Daten sowie den Interessen seiner sozialen Umwelt an der Nutzung dieser Daten geprägt wird. Das Spannungsfeld, in dem jeder Datenschutzbeauftragte eines Unternehmens arbeitet. Jeder Datenschutzbeauftragte muss daher verstanden haben, dass er dem Wesen nach Rechte der deutschen Verfassung (dem Grundgesetz) schützt, wenn er sich mit Datenschutz beschäftigt. Daher geht es beim Thema Datenschutz auch nicht vornehmlich um den Schutz von Daten. Der Datenschutzbeauftragte schützt Daten nur zu dem Zweck, um die Rechte der Betroffenen zu schützen. Damit ist der Schutz von Daten Mittel zum Zweck für die Erreichung eines viel größeren, viel gewichtigeren und viel entscheidenderen Ziels: Datenschützer wirken mit bei der Sicherung des Grundgesetzes. Aus unterschiedlichsten Gesetzen, Richtlinien und Verordnungen haben sich insbesondere zentrale Grundprinzipien, wie z.b. das Verbot mit Erlaubnisvorhabhalt oder der Zweckbindungsgrundsatz entwickelt. Ein fundiertes Verständnis dieser Grundsätze sowie ihre sichere Anwendung sind für jeden Datenschutzbeauftragten unerlässliches Rüstzeug, um sich den datenschutzrechtlichen Herausforderungen in Unternehmen oder Behörden stellen zu können. Sie sind bei jeder datenschutzrechtlichen Prüfung zu beachten und stellen daher das Fundament des Datenschutzrechtes dar. Ferner wird in diesem Modul das Zusammenspiel der unterschiedlichen europäischen Richtlinien und Verordnungen, den deutschen Bundes und Landesdatenschutzgesetzen sowie den bereichsspezifischen Datenschutzgesetzen dargestellt. Für die Einordnung der jeweils für das eigene Unternehmen einschlägigen Gesetze ist ein sicheres Verständnis der Grundlagen und der bestehenden Wechselwirkungen von elementarer Bedeutung. 4 1117001 / Grundlagen des Datenschutzrechts
1 Grundlagen des Verfassungsrecht Abb. 1 Die vornehmliche Aufgabe eines Datenschutzbeauftragten in seiner täglichen Arbeit ist darauf hinzuwirken, dass die verantwortliche Stelle die für sie einschlägigen Datenschutzregelungen beachtet. Diese Regelungen finden sich in zahlreichen, Gesetzen, insbesondere im Bundesdatenschutzgesetz (BDSG), im Telekommunikationsgesetz (TKG) und im Telemediengesetz (TMG). Der Gesetzgeber hat diese Regelungen eingeführt, um jeden Einzelnen vor einem unsachgemäßen Umgang mit seinen personenbezogenen Daten zu schützen, durch den das sog. Persönlichkeitsrecht eines jeden Einzelnen beeinträchtigt werden würde. Das allgemeine Persönlichkeitsrecht ist ein Grundrecht der deutschen Verfassung. In einem berühmten Urteil (dem sog. Volkszählungsurteil) hat das Bundesverfassungsgericht aus diesem Persönlichkeitsrecht das sog. informationelle Selbstbestimmungsrecht eines jeden Einzelnen abgeleitet. Jeder Einzelne hat aufgrund dieses informationellen Selbstbestimmungsrechts ein Recht darauf, selbst zu entscheiden, welche Daten zu seiner Person Andere erhalten und was sie damit machen dürfen. Das deutsche Datenschutzrecht schützt daher nicht Daten. Es schützt das Recht des Einzelnen, über die Art und Weise der Verwendung seiner personenbezogenen Daten durch Dritte entscheiden zu können. Verstößt ein Unternehmen gegen eine Regelung des Datenschutzrechts so verletzt es das Persönlichkeitsrecht des Einzelnen. 1117001 / Grundlagen des Datenschutzrechts 5
Die Auftragsdatenverarbeitung und andere Übermittlungsgrundlagen 1
Inhaltsverzeichnis Lernziele... 5 1 Umfang und Grenzen datenschutzkonformer Übermittlungen"... 6 2 Die Zulässigkeitsvoraussetzungen der Auftragsdatenverarbeitung... 8 2.1 Die innereuropäische Auftragsdatenverarbeitung... 9 2.1.1 Auftragsverhältnis und Weisungsbefugnis... 9 2.1.2 Die Privilegierungswirkung der Auftragsdatenverarbeitung... 11 2.1.3 Die Verantwortlichkeiten des Auftraggebers... 12 2.1.4 Die Pflichten des Auftragnehmers... 15 2.1.5 Erforderlicher Regelungsinhalt einer Vereinbarung zur Auftragsdatenverarbeitung... 17 2.2 Die außereuropäische Auftragsdatenverarbeitung... 24 2.2.1 Prüfschritte für die Datenübermittlung in Drittländer... 26 2.2.2 Die Kernprüfung: Herstellung des angemessenen Schutzniveaus.. 27 2.2.3 Ausnahmen vom Erfordernis des angemessenen Schutzniveaus... 31 2.2.4 Sonderproblem: Beauftragungsketten mit außereuropäischem Bezug... 35 3 Die Zulässigkeitsvoraussetzungen im Fall anderweitiger Übermittlungsgrundlagen... 38 3.1 Gemeinsamkeiten im Fall der inner und außereuropäischen Übermittlung... 39 3.1.1 Arbeitsteilige Datenverarbeitung in gemeinsamer Verantwortung... 39 3.1.2 Erforderliche gesetzliche Übermittlungsgrundlage... 42 3.1.3 Die Übermittlungsvereinbarung... 43 3.2 Die Herstellung des angemessenen Schutzniveaus im Fall der außereuropäischen Übermittlung... 45 4 Typische Fallkonstellationen der Praxis... 46 4.1 Der Datentransfer im Konzern... 46 4.1.1 Ausgestaltung als Auftragsdatenverarbeitung... 47 4.1.2 Ausgestaltung im Fall einer anderweitigen Übermittlungsgrundlage... 49 4.2 Cloud Computing... 50 4.3 Die Fernwartung ( 11 Abs. 5 BDSG)... 52 4.4 Telearbeiter, freie Mitarbeiter und externe Dienstleister im Unternehmen... 53 3
5 Praxisrelevante (typische) Einstufungen seitens des BayLDA... 54 Wiederholungsfragen... 55 Weiterführende Hinweise / Literatur... 56 4
Lernziele Fast jedes Unternehmen nimmt heutzutage die Hilfe externer Dienstleister bei der Erbringung eigener Aufgaben in Anspruch. Damit kommt es zu einer Herauslösung dieser Aufgaben aus der eigenen innerbetrieblichen Organisation und deren Übertragung auf externe, außerhalb der verantwortlichen Stelle tätige Dritte. Für diese vielfältigen Aufgabenübertragungen hat sich der Begriff des Outsourcing" durchgesetzt, der heute nicht mehr nur im klassischen IT Umfeld Verwendung findet. Man sourct heute häufig z.b. die Lohnbuchhaltung, die Versendung von Werbeschreiben wie auch das Mitarbeiter Recruitment aus. Dem Grunde nach geht es in allen Fällen darum, keine eigenen Mitarbeiter einstellen zu müssen und eine Effizienzsteigerung durch Spezialisierung zu erreichen. Oftmals begründet sich ein Outsourcing von Aufgaben auch einfach nur in einer mangelhaften oder fehlenden eigenen Infrastruktur. Datenschutzrechtliche Übermittlungen gehören daher zum Alltag eines Datenschutzbeauftragten und zu einem der wichtigsten Themenfelder, in dem er überaus versiert sein sollte. Der klassische Fall ist die sogenannte Auftragsdatenverarbeitung. Bei der Suche nach der Rechtsgrundlage für solch eine Auftragsdatenverarbeitung stellt man fest, dass sich das Gesetz eines Kunstgriffes" bedient. 5
Europäischen Wirtschaftsraumes befindet. Damit liegt auch in diesen Konstellationen per gesetzlicher Fiktion keine durch eine Erlaubnisnorm zu rechtfertigende Datenübermittlung vor. TÜV SÜD PRAXISHINWEIS: Die praktische Bedeutung dieser Privilegierungswirkung sollte nicht unterschätzt werden, da ein Datenschutzbeauftragter einen Großteil seiner Arbeitszeit hierauf verwenden wird. Das deutsche Datenschutzrecht enthält nur sehr wenige Rechtsgrundlagen, die eine Übermittlung eigener, beim Betroffenen erhobener Daten an andere Stellen erlauben. Gäbe es die Auftragsdatenverarbeitung nicht, würden die überwiegenden, heute üblicherweise erfolgenden Datenflüsse zwischen Unternehmen zum Erliegen kommen. IT Outsourcing oder Cloud Computing wäre so gut wie unmöglich. Dies liegt vor allem daran, dass die Einwilligung bereits aufgrund der Umsetzungs und Einholungsprobleme keine praktikable Alternative darstellt. Hinzu kommt, dass sie selbstverständlich jederzeit verweigert und auch widerrufen werden kann. 2.1.3 Die Verantwortlichkeiten des Auftraggebers Abb. 5 Die Pflichten des Auftraggebers sind in 11 BDSG sehr detailliert beschrieben. Zunächst einmal überträgt 11 Abs. 1 Satz 1 BDSG der verantwortlichen Stelle als Auftraggeber der Datenverarbeitung die Pflicht, die Einhaltung der datenschutzrechtlichen Vorschriften durch den Auftragnehmer sicherzustellen. Benennung und Festlegung der technischen und organisatorischen Maßnahmen Damit geht nach 11 Abs. 2 Satz 1 BDSG einher, dass der Auftraggeber den Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen hat (vgl. Modul Die technischen und organisatorischen Maßnahmen). Im Ergebnis bedeutet dies, dass der Auftragge 12
ber zum Zeitpunkt der Entscheidung für einen Dienstleister bereits eigenständig die aus seiner Sicht erforderlichen technischen und organisatorischen Maßnahmen kennen muss. Der Auftraggeber darf den Auftrag daher erst dann erteilen, also einen Vertrag mit einem Auftragnehmer abschließen, wenn er den konkreten Inhalt und Umfang der zu implementierenden technischen und organisatorischen Maßnahmen mit Blick auf die in Rede stehende Datenverarbeitung benennen kann. Es ist weder ausreichend, dass der Dienstleister erklärt, die gesetzlichen Anforderungen an die Datensicherheit einzuhalten, noch genügt die Vorlage eines allgemeinen Sicherheitskonzeptes seitens des Auftragnehmers, solange sich hieraus nicht die für die konkrete Datenverarbeitung notwendigen Sicherungsmaßnahmen detailliert ergeben. Kontrolle des Auftragnehmers und Dokumentationspflicht In 11 Abs. 2 Satz 4 und 5 BDSG ist festgelegt, dass der Auftraggeber sich bezüglich der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen erstmalig bereits vor Beginn der Datenverarbeitung überzeugen muss und das Ergebnis der Prüfung zu dokumentieren hat. Vor Beginn der Datenverarbeitung bedeutet dabei nicht vor der Erteilung des Auftrages (also des Vertragsschlusses mit dem Dienstleister), sondern vor Aufnahme der datenverarbeitenden Tätigkeit des Auftragnehmers für den Auftraggeber. Der Auftraggeber darf den Auftragnehmer daher erst anweisen mit der Durchführung der Datenverarbeitung zu beginnen, wenn er sich im Rahmen einer Erstkontrolle von der Einhaltung dieser technischen und organisatorischen Maßnahmen überzeugt und das Ergebnis seiner Kontrolle dokumentiert hat. Neben dieser Erstkontrolle verlangt 114 Abs. 2 Satz 4 und 5 BDSG zudem zu dokumentierende fortlaufende Kontrollen des Auftraggebers beim Auftragnehmer, die teilweise auch als sogenannte Regelaudits bezeichnet werden. Denn der Auftraggeber als verantwortliche Stelle ist ebenso wie im eigenen Unternehmen auch bei Auftragnehmern verpflichtet, sich fortwährend von der uneingeschränkten Einhaltung datenschutzrechtlicher Regelungen zu überzeugen. TÜV SÜD PRAXISHINWEIS:Es ist für die Praxis wichtig zu wissen, dass der Beginn einer Auftragsdatenverarbeitung vor Durchführung bzw. Abschluss der Erstkontrolle nach 43 Abs. 1 Nr. 2b BDSG einen bußgeldbewährten Verstoß darstellt. Weshalb ein Verstoß gegen die Pflicht zum Audit vor Beginn der Datenverarbeitung ein Bußgeld rechtfertigt, das Versäumnis der nicht minder wichtigen Regelaudits hingegen nicht, ist schlicht nicht nachvollziehbar. Es bedeutet aber, dass man als Datenschutzbeauftragter bei seiner internen Beratung immer zusätzlich berücksichtigen sollte, dass das Unterlassen einer Erstkontrolle auch einen finanziellen Schaden für das Unternehmen bedeuten kann. Sowohl bezüglich der von Seiten des Gesetzgebers erwarteten Prüfungsinhalte als auch hinsichtlich der Frequenz solcher Regelaudits trifft das Gesetz keine Aussage. Dies liegt daran, dass beides nur jeweils anhand der konkreten Datenverarbeitungen entschieden werden kann. 13
Einigkeit unter den datenschutzrechtlichen Aufsichtsbehörden besteht nur dahingehend, dass die Prüfungsinhalte umfangreicher und die Frequenz häufiger sein müssen, je sensibler die Daten sind, je größer die Anzahl der Daten ist und je höher die sich hieraus ableitenden Anforderungen an die zu treffenden technischen und organisatorischen Maßnahmen sind. Die sowohl für die Erstkontrolle als auch für die Regelaudits geltende Dokumentationspflicht betrifft eine schriftliche Fixierung der Auditmethode, des Prüfungsinhaltes wie auch der Kontrollergebnisse des Audits. Hierzu gehören insbesondere die festgestellten Mängel und die seitens des Auftraggebers angewiesenen Maßnahmen zur Mängelbeseitigung. TÜV SÜD PRAXISHINWEIS: Die erforderliche Erstkontrolle muss, ebenso wie die Regelaudits, nicht zwingend vor Ort erfolgen (also in den Räumlichkeiten des Auftragnehmers in denen die Datenverarbeitung erfolgt). Alternativ kommen unter anderem sogenannte Dokumenten Audits in Betracht, bei denen der Auftragnehmer Fragebögen des Auftraggebers zu den technischen und organisatorischen Maßnahmen ausfüllt und erforderliche Dokumente zum Nachweis einzelner Maßnahmen beilegt. Diese Audits können oftmals auch bis zu einem gewissen Grad standardisiert werden und bieten sich daher insbesondere für Unternehmen an, die vermehrt auf Auftragsdatenverarbeitungen zurückgreifen. Man kann sich ferner bestehende Zertifizierungen (Gütesiegel) zum Nachweis vorlegen lassen, sofern die Zertifizierungen aktuell sind, einen ganzheitlichen datenschutzrechtlichen Fokus aufweisen und die die Zertifizierung vorgenommene Stelle als vertrauenswürdig anzusehen ist. Im Übrigen können auch Dritte mit derartigen Auditaufgaben beauftragt werden. Teilweise macht es daher in Unternehmen mit vielen Auftragsdatenverarbeitungen Sinn, einen internen oder externen Datenschutz Auditor zu beschäftigen. Jedenfalls wird der Datenschutzbeauftragte naturgemäß ab einer gewissen Dienstleisteranzahl an Auftragsdatenverarbeitern der bestehenden Kontrollpflicht nicht mehr selbst entsprechen können. Um einen Überblick über die erforderlichen Regelaudits zu behalten, ist es ratsam, alle Auftragsdatenverarbeiter zu erfassen. Mittels solch einer Übersicht kann der Datenschutzbeauftragte nicht nur seine Kontrolltätigkeiten organisieren, sondern insbesondere die interne Verarbeitungsübersicht wertvoll ergänzen. Die Kombination beider Informationsquellen versetzt einen Datenschutzbeauftragten in die Lage, einen ganzheitlichen Blick auf die Datenverarbeitung einer verantwortlichen Stelle zu erlangen. Siehe MUSTER ÜBERSICHT VERTRÄGE ADV (TÜV SÜD USB Stick) 14