ImpressumDatenschutz
Kategorien
Neueste Beiträge

Datenschutz bei datenverarbeitenden Produkten

Datenschutz beim Produktkauf

Die DSGVO verlangt den Schutz und die Sicherheit für jegliche Verarbeitung von personenbezogenen Daten. Dies bezieht auch den Datenschutz bei datenverarbeitenden Produkten ein, bei denen die Datenverarbeitung allerdings eine Neben- als Hauptfunktion ist. Hier reden wir beispielsweise von Geräten wie Scanner, Drucker, Fax-Geräte oder aber auch Software. Bei der Nutzung solcher Produkte verarbeitet eine verantwortliche Stelle selbst die Nutzerdaten und gegebenenfalls der Produktanbieter ebenfalls. Welche Folgen hat dies nun eigentlich für den Verantwortlichen, der die Produkte beruflich einsetzt?

Datenverarbeitungsprozesse bei Produkten

Selbst wenn ein Scanner, Drucker etc. bzw. Multifunktionsgeräte, die all diese Funktionen und eventuell auch das Faxen in einem Gerät vereinen, nicht internetfähig sind, werden bei Nutzung solcher Geräte personenbezogene Daten verarbeitet. Die Verarbeitung erfolgt beispielsweise dadurch, dass Nutzer sich authentifizieren müssen, bevor sie solche Geräte nutzen können. Hierfür müssen sie eventuell eine PIN eingeben, ihre Mitarbeiterzugangskarte auslesen lassen etc. Diese Authentifizierungsmittel sind idealerweise individualisiert und somit einer bestimmten Person zuordenbar. Damit ergibt sich schon das erste personenbezogene Datum.

Weitere bei der Nutzung solcher Produkte verarbeitete personenbezogene Daten können dann die IP-Adresse sein oder sonstige technische Informationen (z. B. Gerätekonfiguration, Metadaten) sowie wer was wann ausgedruckt oder einen Druck abgebrochen hat. Diese Verarbeitung personenbezogener Daten geschieht wahrscheinlich auch über den Zwischenspeicher. Dies ist beispielswiese ein zu beachtender Aspekt, wenn ein Verantwortlicher externe Wartungsfirmen einsetzt.

Bei SaaS-Produkten, also nicht physischen Produkten, kommt dann die Verarbeitung einer Reihe weiterer personenbezogener Daten hinzu. Die personenbezogenen Daten, die ein Verantwortlicher und auch der Anbieter bei Einsatz eines solchen Produktes verarbeiten, können sich umfangreich gestalten. Hier kommt es zur Nutzung von Cookies; dabei teils solcher, die technisch notwendig sind, als auch optionaler. Eventuell kommt es zur Übermittlung etwaiger Fehlerberichte, was allerdings unabhängig von Cookies geschieht. Für den Login verarbeiten der Anbieter und der Verantwortliche dann u. a. eventuell auch die E-Mail-Adresse bzw. den Nutzernamen und das Passwort.

Pflichten eines Verantwortlichen

Aufgrund der Verarbeitung von personenbezogenen Daten ist es enorm wichtig, dass sich ein Verantwortlicher vor dem Kauf bzw. vor Vertragsabschluss über die Datenschutzkonformität des Produktes und dessen Anbieters, sofern dieser bei der Produktnutzung Daten verarbeitet, erkundigt. Dies umfasst u. a. folgende Aspekte:

1) Prüfung und Abschluss des Auftragsverarbeitungsvertrages gemäß Art. 28 Abs. 3 DSGVO, sofern eine Auftragsverarbeitung vorliegt.

2) Prüfung und Abschluss eines Vertrages zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO, sofern eine gemeinsame Verantwortlichkeit vorliegt.

3) Ggf. Durchführung einer Inspektion vor Ort beim Anbieter.

4) Sofern notwendig, Durchführung oder Analyse eines Transfer Impact Assessments,(kurz: TIA), sofern eine Drittlanddatenübermittlung vorliegt und durch EU-Standarddatenschutzklauseln rechtlich abzusichern ist.

5) Erlangen eines vollständigen Verständnisses über die Verarbeitung (Technik, Verarbeitungsprozesse, involvierte Dienstleister) personenbezogener Daten bei Einsatz des Produktes.

6) Untersuchung der Einhaltung des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen gemäß Art. 25 DSGVO.

7) Prüfung, ob die Betroffenen, z. B. über Datenverarbeitung und die eingeschalteten (Dritt-)Dienstleister, informiert werden müssen (Art. 13 DSGVO).

8) Prüfung, ob ggf. ein Mitbestimmungsrecht sowie Information des Betriebsrates zu beachten sind.

Einhaltung der Pflichten

Zusammengefasst stellt ein Verantwortlicher sicher, dass er auch bei Einsatz des Produktes und etwaiger damit verbundener (Cloud-)Dienste die Datenschutzvorgaben der DSGVO einhält.

Auftragsverarbeitungsvertrag

Ein DSGVO-konformer Auftragsverarbeitungsvertrag bedeutet, dass keine rechtswidrige Übermittlung der personenbezogenen Daten an den Auftragnehmer stattfindet bzw. der Auftragsverarbeiter verpflichtet sich u. a., die personenbezogenen Daten ausschließlich nach Weisung des Verantwortlichen zu verarbeiten.

Datenschutzinformation

Indem der Verantwortliche versteht, welche Funktionen das Produkt hat und wie es programmiert ist, kann er auch nachvollziehen, welche personenbezogene Daten beim Einsatz des Produktes verarbeitet werden. – Übrigens ist es nicht zwangsläufig notwendig, dass die Geschäftsführung dieses Wissen besitzen muss. Idealerweise gibt es aber mindestens eine Person in der verantwortlichen Stelle, die die notwendigen Kenntnisse besitzt. Alternativ stellt der Auftragsverarbeiter die benötigten Informationen zur Verfügung. Diese Informationen muss dann allerdings eine Person beim Verantwortlichen (oder ein für den Verantwortlichen tätiger Berater) fachkompetent beurteilen und ggf. die erforderlichen Maßnahmen ableiten. – Der Verantwortliche muss dieses Wissen also direkt oder indirekt haben, da er in den relevanten Datenschutzinformationen über die Verarbeitung der personenbezogenen Daten informieren muss (Art. 13 DSGVO).

Verzeichnis von Verarbeitungstätigkeiten

Des Weiteren muss er diese Verarbeitung auch im Verzeichnis von Verarbeitungstätigkeiten festhalten (Art. 30 DSGVO). Auch bei Nachfrage der Datenschutzaufsichtsbehörde muss der Verantwortliche in der Lage sein, entsprechend Auskunft zu den Verarbeitungstätigkeiten geben zu können. Dies kann eben auch die Erläuterung eines SaaS-Dienstes umfassen.

Sind die soeben angesprochen Aspekte abschließend? Nein, keinesfalls. Je nach Dienst oder Produkt gibt es weitere Einzelheiten zu beachten, wie u. a. die Implementation dazu passender technischer und organisatorischer Maßnahmen u. v. m.

Fazit

Wir hoffen, dieser Beitrag zeigt, wie wichtig es ist, den Datenschutz frühzeitig vor dem Produktkauf bzw. vor Umsetzung einer Verarbeitungstätigkeit einzubeziehen und regelmäßig zu prüfen. Dies ist eben auch bei Kauf eines Produktes und ggf. damit verbundener Dienste notwendig, sofern bei diesem die Möglichkeit besteht, dass es zu einer Verarbeitung von personenbezogenen Daten kommen kann.

Sofern Sie hierbei oder bei der gesamten Umsetzung des Datenschutzes in Ihrem Unternehmen, Ihrer Schule, Ihrer Arztpraxis, Ihrer Behörde, Ihrer Kindertagesstätte etc. wünschen, kontaktieren Sie uns gern noch heute.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.

Logo in weiß - dpc Data Protection Consulting GmbH Cottbus

Die dpc wurde 2018 gegründet, um mit gebündeltem datenschutzrechtlichem und technischem Knowhow Unternehmen und andere Verantwortliche in allen Fragen des Datenschutzrechts zu unterstützen, zu beraten, zu auditieren und externe Datenschutzbeauftragte zu stellen.

Kontakt

dpc Data Protection Consulting GmbH
 Karl-Liebknecht-Str. 33
03046 Cottbus

+49 (0) 355 - 78427884
+49 (0) 355 - 49459824
info@dpc-datenschutz.de
www.dpc-datenschutz.de

Navigation

© Copyright 2018 Data Protection Consulting GmbH | All Rights Reserved | Gestaltung & technische Umsetzung: Werbeagentur DesignSplash