Ohne Outsourcing und externe Dienstleister geht fast nirgends mehr was. Auch bei der Verarbeitung personenbezogener Daten gibt es vielfältige Einsatzszenarien für Dienstleister. Die Gretchenfrage ist stets, wie sich die Datenverarbeitung durch Dienstleister datenschutzrechtlich rechtfertigen und absichern lässt. Ein Werkzeug aus dem Datenschutz-Baukasten ist dabei die Auftrags(daten)verarbeitung. Neben Klassikern wie Letter-Shops und Call Centern stoßen Unternehmen hin und wieder über „neue“ Einsatzfelder der Auftragsverarbeitung.
Was ist Auftragsverarbeitung?
Die Auftragsverarbeitung ist in § 11 Bundesdatenschutzgesetz (BDSG) geregelt und ist zukünftig in Art. 28 Datenschutz-Grundverordnung (DSGVO) zu finden.
Die Regelungen der Auftragsverarbeitung ermöglichen es dem Unternehmen als verantwortliche Stelle Dienstleister mit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten zu betrauen, ohne dass es dazu einer gesetzlichen Erlaubnis oder einer Einwilligung der von der Datenverarbeitung Betroffenen bedarf.
Klassische Anwendungsfälle sind Letter-Shops, Call Center, Akten- und Dokumentenentsorgung und zunehmend Angebote aus den Bereichen Software-as-a-Service und Cloud-IT. Zudem werden Prüfung und Wartung von IT-Systemen wie eine Auftragsverarbeitung behandelt, wenn dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann (vgl. § 11 Abs. 5 BDSG). Also auch der schnelle IT-Support via Teamviewer kann eine Auftragsverarbeitung darstellen.
Hidden Champions – Das Bayerische Landesamt für Datenschutzaufsicht klärt auf
Neben den alten Bekannten der Auftragsverarbeitung gibt es vielfältige Services und Dienste, die ebenfalls als Auftragsverarbeitung behandelt werden können. Im aktuellen Tätigkeitsbericht für die Jahre 2015/2016 hat das Bayerische Landesamt für Datenschutzaufsicht drei Verarbeitungen hervorgehoben, die einen Blick wert sind.
Website-Hosting
Die meisten Unternehmens-Websites werden auf Web-Servern externer Anbieter (Website-Hoster) gehostet. Zu den Service-Leistungen eines Website-Hosters kann das Entgegennehmen und Archivieren von E-Mails der Kunden oder Interessenten oder von Kontaktformulareintragungen auf der Website, das Tracking des Verhaltens der Website-Nutzer usw. gehören. Betreffen die Leistungen des Website-Hosters (auch) den Umgang mit personenbezogenen Daten des Unternehmens, so ist dies als Datenverarbeitung im Auftrag nach § 11 BDSG einzuordnen.
Nicht erfasst sind hingegen sog. Access-Provider, d.h. Anbieter, die bloße Internet-Zugangsdienste (Zugangsvermittlung, Datentransportleistung, Website-Hosting ohne weitere Leistungen mit personenbezogenen Daten) anbieten.
Telefonanlagen in der Cloud
Auch die Telefonanlagen wandern in Zeiten von Voice over IP (VoIP) zunehmend in die Cloud. Sipgate & Co. lassen grüßen. Dabei werden in der Regel auch Mitarbeiterdaten zu Nebenstellen und Mobiltelefonen, die Organisation von Telefonkonferenzen, Callcenter-Monitoring und die Sicherung der entsprechenden Daten an den Dienst ausgelagert. Diese IT-Dienstleistungen, die sich außerhalb der TKG-Regelungen bewegen, sind als Datenverarbeitungen im Auftrag nach § 11 BDSG einzuordnen.
Wartung von Multi-Funktionsgeräten
In der IT-Umgebung von Unternehmen werden häufig Multi-Funktionsgeräte zum Drucken, Kopieren, Scannen sowie für aus- und eingehende Faxe eingesetzt. Diese Geräte verfügen meist über interne Dokumentenspeicher, die personenbezogene Daten enthalten können. Bei der Wartung oder bei Updates solcher Systeme kann daher ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden. Erfolgt die Wartung durch Dritte, was bei gemieteten oder geleasten Geräten häufig der Fall ist, so ist auch eine Auftragsverarbeitung im Sinne von § 11 Abs. 5 BDSG gegeben. Dabei spielt es keine Rolle, ob die ein externer Wartungstechniker vor Ort tätig wird oder ob es sich um eine Fernwartung handelt.
Handlungsempfehlung
Aus der Beratungspraxis wissen wir, dass sich nicht alle Unternehmen größere Gedanken über die Absicherung ausgelagerter Datenverarbeitung und die damit zusammenhängenden Haftungs- und Bußgeldrisiken gemacht haben.
Vor dem Hintergrund des drastisch steigenden Bußgeldrahmens ab Mai 2018 (die DSGVO sieht Bußgelder von bis zu 10.000.000 EUR bzw. 2 % des weltweit erzielten Vorjahresumsatzes des Unternehmens vor, wenn die Vorgaben der Auftragsverarbeitung vernachlässigt werden) sind Unternehmer gut beraten, hier für Ordnung zu sorgen:
- Klopfen Sie Ihr Unternehmen auf Dienstleister, IT-Strukturen und Online-Services ab, bei denen personenbezogene Daten verarbeitet werden oder zur Kenntnis genommen werden könnten. Sie können dazu ganz „old school“ eine Liste anlegen.
- Prüfen Sie alle Positionen Ihrer Liste darauf ab, ob die Übermittlung der Daten an den Dienstleister gerechtfertigt ist (Einwilligung der Betroffenen oder Rechtsgrundlage) oder ob eine Auftragsverarbeitung vorliegt.
- Prüfen Sie bei allen Auftragsverarbeitungen, ob ein Vertrag zur Auftragsverarbeitung geschlossen wurde, der den Anforderungen des § 11 Abs. 2 BSDG entspricht (u.a. Schriftform!).
- Die DSGVO bringt ab Mai 2018 einige Neuerungen. Passen Sie Ihre Verträge entsprechend an.
Gerne beraten und unterstützen wir Sie dabei, Ihre Outsourcing-Aktivitäten zu bewerten und Ihre Datenschutz-Organisation auf Vordermann zu bringen.
Weitere Informationen zur DSGVO und unser kostenfreies Whitepaper „Das neue Datenschutzrecht – 55 Antworten zur DSGVO“ finden Sie HIER.
Sebastian Herting ist Rechtsanwalt und zertifizierter Datenschutzbeauftragter. Er unterstützt Unternehmen mit lösungsorientierter Beratung zu Daten, Technologie, KI und Marketing.