Gut geregelt oder Baustelle – Datenschutz bei der Hard- und Softwarewartung 4. DFN-Konferenz Datenschutz RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) [email protected] Einordnung Hard- und Softwarewartung Auftragsdatenverarbeitung Weisungsgebundene Datenverarbeitung ➔ Vertrag mit gesetzlichen Mindestanforderungen ➔ Analog Auftragsdatenverarbeitung Zugriff auf personenbezogene Daten nicht ausgeschlossen ➔ Voraussetzungen? ➔ Keine Vorgaben aus Datenschutzsicht ➔ Zugriff auf personenbezogene Daten ist definitiv ausgeschlossen © 2003-2015 DFN-CERT Services GmbH / / 4. DFN-Konferenz Datenschutz / 24.11.2015 Slide 2 Auftragsdatenverarbeitung Kennzeichnend: Planmäßige Erhebung, Verarbeitung, Nutzung für den Auftraggeber Weisungsgebundenheit bei der Ausführung Anforderungen: Sorgfältige Auswahl des Auftragnehmers ➔ Kontrolle der Ausführung ➔ Betroffenenrechte werden nach wie vor gegenüber dem Auftraggeber ausgeübt ➔ Vertragliche Sicherstellung der Anforderungen ➔ © 2003-2015 DFN-CERT Services GmbH / / 4. DFN-Konferenz Datenschutz / 24.11.2015 Slide 3 Analog Auftragsdatenverarbeitung Kennzeichnend: Keine planmäßige Erhebung, Verarbeitung oder Nutzung für den Auftraggeber ➔ Kenntnisnahme von personenbezogenen Daten bei Wartungsarbeiten kann nicht ausgeschlossen werden Anforderungen: Es handelt sich um keine Auftragsdatenverarbeitung! Gesetze gehen von einer analogen Anwendung der Grundsätze der Auftragsdatenverarbeitung aus: © 2003-2015 DFN-CERT Services GmbH / / 4. DFN-Konferenz Datenschutz / 24.11.2015 Slide 4 Analog Auftragsdatenverarbeitung § 7 Abs. 5 LDSG BW: „Werden Wartungsarbeiten und vergleichbare Hilfstätigkeiten bei der Datenverarbeitung durch Stellen oder Personen außerhalb der verantwortlichen Stelle erbracht, gilt dies als Datenverarbeitung im Auftrag.“ § 11 Abs. 4 DSG NRW: „Externe Personen und Stellen, die mit der Wartung und Systembetreuung von Einrichtungen zur automatischen Datenverarbeitung beauftragt sind, unterliegen den Regelungen der Datenverarbeitung im Auftrag.“ § 17 Abs. 5 LDSG S.-H.: „Bei der Erbringung von Wartungsarbeiten oder von vergleichbaren Unterstützungstätigkeiten bei der Datenverarbeitung durch Stellen oder Personen außerhalb der datenverarbeitenden Stelle gelten die Absätze 1 bis 3 entsprechend.“ § 7 Abs. 5 SächsDSG: „Die Absätze 1 bis 4 gelten für Wartungs- und Fernwartungsaufträge sowie ähnliche Maßnahmen (Wartungsarbeiten) entsprechend.“ © 2003-2015 DFN-CERT Services GmbH / / 4. DFN-Konferenz Datenschutz / 24.11.2015 Slide 5 Analog Auftragsdatenverarbeitung Folgerungen für die Anforderungen: 1) Die selben Anforderungen wie bei einer „normalen“ Auftragsdatenverarbeitung? ➔ Fraglich, da der Verweis ansonsten keinen Sinn machen würde 2) Übertragung der Anforderungen nur, soweit diese für die konkrete Wartung relevant sind? ➔ Schlüssig, da dies dem Umstand Rechnung trägt, dass die mögliche Kenntnisnahme von personenbezogenen Daten nur ein Seiteneffekt ist. © 2003-2015 DFN-CERT Services GmbH / / 4. DFN-Konferenz Datenschutz / 24.11.2015 Slide 6 Analog Auftragsdatenverarbeitung Anforderungen: Ausgangspunkt sind die Anforderungen der Auftragsdatenverarbeitung ➔ Anpassungen mit Blick auf die spezifischen Gefährdungen durch die Wartung ➔ Beispiele: 1)Fernwartung einer Datenbank mit personenbezogenen Daten 2)Wartung einer Datenbank mit personenbezogenen Daten vor Ort durch Mitarbeiter des Auftragnehmers © 2003-2015 DFN-CERT Services GmbH / / 4. DFN-Konferenz Datenschutz / 24.11.2015 Slide 7 Analog Auftragdatenverarbeitung Problem: Abgrenzung zu bloßen Nebenleistungen ➔ Teils: Tätigkeiten, die unmittelbar nichts mit dem Umgang mit personenbezogenen Daten zu tun haben, bei denen die Dienstleister aber trotzdem mit den Daten in Berührung kommen können (z.B. Wachschutz, Reinigung, Wartung, Entsorgung) ➔ Keine Auftragsdatenverarbeitung ➔ Kein zustimmungspflichtiges Subunternehmerverhältnis bei einer Auftragsdatenverarbeitung ➔ Bitkom: Mustervertrag ADV ➔ GDD: Muster des AK Datenschutz ➔ Verpflichtung zur Gewährleistung von Schutz und Sicherheit personenbezogener Daten durch vertragliche Vereinbarungen und Kontrollmaßnahmen. © 2003-2015 DFN-CERT Services GmbH / / 4. DFN-Konferenz Datenschutz / 24.11.2015 Slide 8 Zwischenergebnis Auftragsdatenverarbeitung: Kern der Leistung ist Umgang mit personenbezogenen Daten Analog Auftragsdatenverarbeitung ➔ Umgang mit personenbezogenen Daten ist nicht Kern der Leistung. Ein Zugriff auf solche Daten kann vorkommen bzw. nicht ausgeschlossen werden. ➔ Ausgehend von den Anforderungen ADV ➔ Modifizierung anhand zu erwartender Gefährdungen ➔ © 2003-2015 DFN-CERT Services GmbH / / 4. DFN-Konferenz Datenschutz / 24.11.2015 Slide 9 Übermittlung außerhalb EU Stets Übermittlung im Sinne der Datenschutzgesetze Rechtsgrundlage erforderlich Rechtsgrundlagen bislang: Safe-Harbour-Entscheidung EU-Kommission Standardvertragsklauseln Einwilligung EuGH „Safe-Harbour-Urteil“ vom 6.10.15: ➔ Safe-Harbour-Entscheidung EU-Kommission ➔ Standardvertragsklauseln ➔ Einwilligung © 2003-2015 DFN-CERT Services GmbH / / 4. DFN-Konferenz Datenschutz / 24.11.2015 Slide 10 Übermittlung außerhalb EU Einwilligung? ➔ Bei Wartungsverträgen nicht praktikabel! Standardvertragsklauseln? ➔ ➔ Datenschutz-Aufsichtsbehörden: ➔ Nicht unmittelbar Gegenstand EuGH-Urteil. ➔ Prinzipien des EuGH aufgrund US-amerikanischer Gesetzeslage nicht erfüllbar. ➔ Kündigung oder sofortiger Stopp Datenexport EU-Kommission: ➔ Standardvertragsklauseln weiterhin als Grundlage geeignet ➔ Safe-Harbour II innerhalb der nächsten 3 Monate © 2003-2015 DFN-CERT Services GmbH / / 4. DFN-Konferenz Datenschutz / 24.11.2015 Slide 11 Folgerungen Wartung analog Auftragsdatenverarbeitung Sorgfältige Auswahl Unternehmen Kontrolle der Auftragsdurchführung Geeignete vertragliche Regelungen auf Basis Standardverträge für Auftragsdatenverarbeitung. Übermittlung an ein Unternehmen außerhalb der EU Massive Rechtsunsicherheit durch Safe-HarbourUrteil des EuGH ➔ Anbieterwechsel ➔ Ggf. wirksamer Ausschluss von Zugriffen © 2003-2015 DFN-CERT Services GmbH / / 4. DFN-Konferenz Datenschutz / 24.11.2015 Slide 12 Vielen Dank für Ihre Aufmerksamkeit RA Dr. Jan K. Köcher [email protected]
© Copyright 2024 ExpyDoc
