Kategorien
Neueste Beiträge
Datenschutz bei Auftragnehmern
Die Auslagerung (auch/Englisch: Outsourcing) von Datenverarbeitungsprozessen kann einem Unternehmen, einer Arztpraxis, einer Behörde etc. vielfache Erleichterung bei häufigen Prozessabläufen bringen. Zum einen gehen Auftraggeber davon aus, dass der Auftragnehmer aufgrund seines Fokus‘ den jeweiligen Prozess optimiert hat. Somit spart der Auftraggeber Ressourcen in seiner Organisation. Diese Ressourcen (Mitarbeiter) können sich dann auf ihre eigentlichen Aufgaben konzentrieren, die ausgelagerten Dienste bei Bedarf als Ergänzung heranziehen. Folglich spart der Auftraggeber dann auch wiederum Kosten. Wichtig dabei ist aber auch, den Datenschutz bei Auftragnehmern im Auge zu behalten, sofern es zur Verarbeitung von personenbezogenen Daten kommt. Zusätzlich sollte ein Verantwortlicher selbst weitere Maßnahmen ergreifen, um seinerseits den Schutz personenbezogener Daten bei einer Auslagerung zu gewährleisten. Im Folgenden gehen wir näher auf dieses Thema ein.
Auftragnehmer = Auftragsverarbeiter gemäß Art. 28 DSGVO?
In Sachen DSGVO ist zu bedenken, dass nicht jeder Auftragnehmer auch ein Auftragsverarbeiter gemäß Art. 28 DSGVO ist, sondern nur derjenige, der personenbezogene Daten im Auftrag verarbeitet (Art. 4 Nr. 8 DSGVO). Hierbei stellt sich die Frage, ob die Verarbeitung personenbezogener Daten ein Nebenprodukt ist, um die eigentliche Dienstleistung zu erbringen oder ob sie ein wichtiger Bestandteil des eigentlichen Dienstes ist.
Wann liegt keine Auftragsverarbeitung vor?
Beispiele dafür, wenn keine Auftragsverarbeitung vorliegt, sind generell solche, wenn eine sogenannte Dienstleistung höherer Art vorliegt, z. B. wenn die Dienste eines Rechtsanwalts, Wirtschaftsprüfers, Steuerberaters, Arztes etc. in Anspruch genommen werden. Diese Dienstleister sind in ihrer Fachkompetenz eigenverantwortlich und weisungsfrei, was einer Auftragsverarbeitung widerspricht.
Die Fachleistungen von Berufsgeheimnisträgern stellen also keine Auftragsverarbeitung dar. Auch bei folgenden Tätigkeiten liegt für gewöhnlich keine Auftragsverarbeitung vor:
1) Beanspruchung von Zahlungsdienstanbietern (Mehr zu diesem Thema finden Sie hier.).
2) Inkassobüro mit Forderungsübertragung.
3) Postdienstleistungen für den Brief- oder Pakettransport.
4) Reinigungsdienstleistungen in Unternehmen.
5) Handwerkereinsatz.
6) Sprachübersetzungsdienste etc.
Wann liegt eine Auftragsverarbeitung vor?
In den folgenden Fällen liegt für gewöhnlich eine Auftragsverarbeitung vor:
1) Auslagerung der Archivierungen.
2) Prüfung automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn ein Zugriff auf personenbezogene Daten nicht auszuschließen ist.
3) Beauftragung eines Unternehmens zur Bereitstellung von Servern.
4) Auslagerung der Entsorgung von Datenträgern und Dokumenten.
5) Wartung des internen Multifunktionsgerätes durch einen externen Dienstleister, wenn ein Zugriff auf personenbezogene Daten nicht auszuschließen ist.
Die genannten Beispiele sind keinesfalls abschließend. Weitere finden Sie in dem Informationsblatt des Bayerischen Landesamtes für Datenschutzaufsicht hier.
Folgen bei nicht vorliegender Auftragsverarbeitung
Nun atmet vielleicht so mancher Verantwortliche auf, wenn er zu der Erkenntnis kommt, dass keine Auftragsverarbeitung vorliegt und er denkt, dadurch ist das Problem eines Vertrages gemäß der DSGVO gelöst. Das ist möglich, muss aber nicht sein. Es ist schließlich zu betrachten, ob eventuell ein Vertrag gemäß Art. 26 DSGVO abzuschließen ist. Wann dies der Fall ist, erklären wir in diesem Beitrag näher.
Außerdem ist zu bedenken, dass die Auftragsverarbeitung auch eine Privilegierung darstellt, der auslagernde Auftraggeber also keine gesonderte Rechtsgrundlage für die Datenweitergabe an den Auftragsverarbeiter braucht. Ist derjenige, dem die Daten übermittelt werden, kein Auftragsverarbeiter, bedarf es einer Rechtsgrundlage, die die Datenübermittlung an den Datenempfänger und eigenständigen Datenverarbeiter rechtfertigt. Diese Rechtsgrundlage ist dann in das Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO, welches der Verantwortliche für jeden Datenverarbeitungsprozess erstellen muss, aufzunehmen.
Verpflichtung auf das Berufsgeheimnis
Bei Verpflichtung eines Dienstleisters – ganz gleich ob ein Vertrag nach Artt. 28 Abs. 3 oder 26 DSGVO abzuschließen ist – durch einen Berufsgeheimnisträger nach § 203 Abs. 1 StGB (Rechtsanwalt, Arzt, Berufspsychologe, Notar etc.) muss der Berufsgeheimnisträger auch den Dienstleister auf das Berufsgeheimnis nach § 203 StGB verpflichten. Anderenfalls macht er sich selbst strafbar, selbst wenn er auf der datenschutzrechtlichen Seite durch den Abschluss eines Auftragsverarbeitungsvertrages alles richtig gemacht hat.
Prüfung der Umsetzung der Pflichten gemäß der DSGVO
In Abhängigkeit des Ausmaßes und der Art der verarbeiteten personenbezogenen Daten ist es auch wichtig, sicherzustellen, dass der Auftragnehmer die Vorgaben der DSGVO einhält. Schließlich ist es auch wichtig, dass z. B. der Getränkelieferant, bei dem ein Verantwortlicher regelmäßig online bestellt, technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementiert hat, um u. a. einen etwaigen Missbrauch der Bankdaten oder etwaige Phishing-Angriffe etc. zu vermeiden.
Bindet ein Online-Shop-Betreiber Zahlungsdienstanbieter auf der Webseite ein (mehr zum Thema hier), ist es auch wichtig, dass er hier Anbieter wählt, die die DSGVO umsetzen. Schließlich ist es Pflicht des Online-Shop-Betreibers den Datenschutz und die -sicherheit zu gewährleisten. Diese Pflicht weitet sich dann auch darauf aus, entsprechende Anbieter und Dienstleister zu wählen.
Fazit
Es ist folglich essentiell, die Auftragnehmer auf die Einhaltung des Datenschutzes zu prüfen, wenn eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit vorliegt. Schließlich kann dann ein Verantwortlicher mit dem Auftragnehmer als sozusagen „verlängerten Arm“ in diesem Bereich sagen, er gewährleistet den Schutz der Rechte und Freiheiten betroffener Personen. Ist dagegen ein Dienstleister eigenverantwortlich, gibt es keine gesonderte Pflicht, diesen datenschutzrechtlich zu prüfen.
Sofern Sie Unterstützung und Beratung bei der Umsetzung wünschen, können Sie uns gern kontaktieren.