IT-Dienste werden heute nur noch selten in eigener Regie und mit eigener IT-Infrastruktur im eigenen Serverraum betrieben. Die Realität für das Hosting von Daten und den Betrieb von Anwendungen ist heute die Einschaltung von Dienstleistern und die Nutzung von Diensten in der Cloud. Das bringt viele Vorteile, wie die Einsparung von internen Ressourcen für Wartung und Betrieb und kann mit den richtigen Partnern auch die IT-Sicherheit verbessern. Es gibt aber Anforderungen zur datenschutzkonformen Beauftragung, Überwachung und Einbindung der Dienstleister. Lesen Sie hier, was es zu beachten gilt.
Klassifizierung des Dienstleisters
Wenn Sie Dienstleister bei der Verarbeitung personenbezogener Daten einsetzen, kann es sich dabei grundsätzlich um eine Auftragsverarbeitung, eine Übermittlung oder eine gemeinsame Verantwortlichkeit handeln. Um die richtigen Maßnahmen zu treffen, sollten Sie sich zuerst über die Rolle Ihres Dienstleisters bewusst werden.
- Auftragsverarbeitung: Eine Auftragsverarbeitung ist der häufigste Fall, wenn Sie Dritte bei der Verarbeitung personenbezogener Daten einsetzen. Sie liegt vor, wenn ein Dritter in Ihrem Auftrag personenbezogene Daten nach Ihren Weisungen verarbeitet, sie also bestimmen wie die Verarbeitung erfolgt. Klassische Anwendungsfälle sind das Hosting von Daten und Anwendungen, aber auch die Bereitstellung von SaaS oder Cloud-Software. Diesen Fall gucken wir uns gleich genauer an.
- Übermittlung: Eine Übermittlung personenbezogener Daten liegt vor, wenn Sie personenbezogene Daten selbst verarbeiten und an einen Dritten weitergeben, der selbst bestimmt wie er diese verarbeitet. Für die Einbindung von Dienstleistern, ist eine Übermittlung insbesondere für die Beauftragung von Beratern relevant, die mit eigener Expertise und Entscheidungsfreiräumen tätig werden, wie Rechtsanwälte, Steuerberater oder Wirtschaftsprüfer. Für diesen Fall müssen Sie sicherstellen, dass Sie eine Rechtfertigung haben, diesen Dienstleistern personenbezogene Daten zu übermittelt. Dieser Spezialfall wir hier nicht vertieft.
- Gemeinsame Verantwortlichkeit: Wenn Sie und ein weiterer Verantwortlicher gemeinsam die Zwecke und Umstände der Verarbeitung festlegen, handelt es sich um eine gemeinsame Verantwortlichkeit. Ein häufiger Fall ist die Bereitstellung von eigenen Inhalten in einem Portal das von einem Dritten betrieben wird, wie z.B. der Betrieb einer Fanpage bei Facebook oder Tätigkeiten in einem Netzwerk von Unternehmen in dem z.B. eine Vertriebsdatenbank gemeinsam genutzt wird. Wenn eine gemeinsame Verantwortlichkeit vorliegt, muss dafür eine Vereinbarung dazu gemäß Art. 26 DSGVO geschlossen werden. Dieser Spezialfall wir hier nicht vertieft.
Rechtliche Anforderungen an die Einbindung von Dienstleistern
Die Anforderungen an die datenschutzkonforme Einbindung eines Dienstleisters als Auftragsverarbeiter ergeben sich aus Art. 28 DSGVO. Dafür ist die sorgfältige Auswahl des Dienstleisters und die Kontrolle der technisch-organisatorischen Maßnahmen, der Abschluss einer Vereinbarung über die Auftragsverarbeitung und die regelmäßige Kontrolle dies Dienstleisters wichtig. Wenn der Dienstleister aus einem Drittstaat außerhalb des EWR kommt, ergeben sich zusätzliche Anforderungen.
Sorgfältige Auswahl des Dienstleisters
Die Beauftragung von Auftragsverarbeitern ist nur zulässig, wenn der Dienstleister zuverlässig ist, weil er hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen bestehen und die Verarbeitung datenschutzkonform erfolgt. Mit anderen Worten, muss die Datenverarbeitung bei dem Dienstleister genauso sorgfältig erfolgen, wie bei dem Verantwortlichen selbst. Diese Prüfung erfolgt praktisch durch die Kontrolle des Konzepts zum technisch-organisatorischen Datenschutz.
Diese Kontrolle muss erstmalig vor der Beauftragung eines Dienstleisters erfolgen und muss dann regelmäßig wiederholt werden. Dir Frequenz und Intensität der Kontrolle richtet sich dabei insbesondere nach der Sensitivität der verarbeiteten Daten. Üblich sind jährliche Kontrollen des Konzepts zum technischen und organisatorischen Datenschutz, die bei weniger kritischen Anwendungen bedeuten können, das aktualisierte Konzept anzufordern und zu prüfen, während für kritische Anwendungen auch vor Ort Kontrollen erforderlich sein können.
Technische und organisatorische Maßnahmen (TOMs)
Das Konzept zum technisch-organisatorischen Datenschutz ist das zentrale Dokument, in dem Dienstleister dokumentieren, welche Maßnahmen sie treffen, um die Einhaltung datenschutzrechtlicher Pflichten und den Schutz der personenbezogenen Daten sicherzustellen. Als Auftraggeber sollten Sie sich dieses Dokument immer ansehen und nur dann eine Beauftragung vornehmen, wenn davon überzeugt sind, dass die dokumentierten Maßnahmen angemessen sind und tatsächlich umgesetzt werden. Die Bewertung wird klassischer Weise durch einen oder mehrerer der nachfolgenden Personen bzw. Abteilungen vorgenommen.
- Datenschutzbeauftragte,
- IT,
- IT-Sicherheit
- Informationssicherheit
Inhalte, die ein TOM-Konzept abbilden sollte ergeben sich aus Art. 32 DSGVO. Es handelt sich insbesondere um
- Pseudonymisierung und Verschlüsselung personenbezogener Daten,
- Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste,
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.
Abschluss eines Auftragsverarbeitungsvertrags (AVV)
Wenn der Dienstleister auf Grundlage der Kontrolle des Konzepts zum technisch-organisatorischen Datenschutz sorgfältig erscheint, muss er vertraglich zur Einhaltung des Datenschutzrechts auf der Grundlage von Art. 28 DSGVO verpflichtet werden. Es muss also ein Vertrag über die Auftragsverarbeitung abgeschlossen werden, in dem unter anderem vereinbart wird,
- personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet werden,
- welche technischen und organisatorischen Maßnahmen der Dienstleister treffen muss,
- dass der verantwortliche den Dienstleister kontrollieren darf,
- welche Sub-Dienstleister eingeschaltet sind und
- unter welchen Voraussetzungen weitere Sub-Dienstleister eingebunden werden dürfen.
Dienstleister in Drittstaaten
In der Praxis kommt es regelmäßig vor, dass Dienstleister in Drittstaaten außerhalb des EWR beauftragt werden, etwa AWS oder Microsoft für Hosting und Applikation Services. Für diesen Normalfall in der IT-technischen Realität bestehen zusätzliche Herausforderungen nach dem Datenschutzrecht. Der Verantwortliche muss dann nämlich zusätzlich zu den beschriebenen Anforderungen sicherstellen, dass angemessene Garantien für den Schutz der betroffenen Daten für die Verarbeitung im Drittstaat bestehen. Dafür werden häufig die Standardvertragsklauseln der EU-Kommission, Binding Corporate Rules oder Angemessenheitsbeschlüsse der EU Kommission genutzt. Es kann zusätzlich aber erforderlich sein weitere technische Maßnahmen zu treffen oder eine Datentransferfolgenabschätzung zu machen.