Datenverarbeiter spielen eine wichtige Rolle in der digitalen Wirtschaft. Alle Unternehmen sind auf die eine oder andere Weise auf Datenverarbeiter angewiesen: E-Mails, Cloud-Dienste und elektronische Zahlungen wären ohne sie völlig unmöglich.
In diesem Artikel wird genau erklärt, was ein Datenverarbeiter und eine Datenverarbeitungsvereinbarung sind und was eine Datenverarbeitungsvereinbarung beinhalten muss.
- Was sind für die Verarbeitung Verantwortliche und Auftragsverarbeiter?
- Was ist eine Datenverarbeitungsvereinbarung?
- Warum brauchen Sie eine Datenverarbeitungsvereinbarung?
- Kann ich die Daten nach der Unterzeichnung einer DPA weitergeben?
- Ist meine Datenweitergabe GDPR-konform?
- Bin ich nach der Unterzeichnung einer DPA von der Haftung befreit?
- Schlussfolgerungen
Tauchen wir ein!
Was sind für die Verarbeitung Verantwortliche und Auftragsverarbeiter?
Die Begriffe "für die Verarbeitung Verantwortlicher" und "Datenverarbeiter" sind in der DSGVO und im Datenschutzrecht sehr wichtig. Tatsächlich finden sich ähnliche Begriffe auch in vielen anderen Datenschutzgesetzen als der DSGVO, z. B. im California Online Privacy Protection Act von 2003 (CalOPPA) und ähnlichen Vereinbarungen
Nach der DSGVO entscheidet der für die Verarbeitung Verantwortliche, welche personenbezogenen Daten verarbeitet werden, wie sie verarbeitet werden und zu welchem Zweck. Mit anderen Worten: Er hat das Sagen. Ein Auftragsverarbeiter hingegen verarbeitet die Daten im Auftrag des für die Verarbeitung Verantwortlichen und nach dessen Anweisungen. Es ist auch möglich, dass ein Auftragsverarbeiter Daten im Auftrag eines anderen Verarbeiters verarbeitet, was als Unterauftragsverarbeiter bezeichnet wird.
So verwenden beispielsweise die meisten Webanalysedienste nur Besucherdaten, um ihren Kunden Einblicke zu gewähren. In einem solchen Szenario ist der Kunde der für die Verarbeitung Verantwortliche, da er entscheidet, welche Daten zu welchem Zweck gesammelt und analysiert werden. Der Anbieter von Analysediensten hingegen ist ein Verarbeiter. Für die Datenspeicherung, die Bereitstellung von Inhalten usw. stützt sich der Analyseanbieter häufig auf Unterprozessoren.
Das hört sich einfach an, ist es aber nicht wirklich. Es gibt eine ziemliche Grauzone zwischen Beherrschung und Verarbeitung, was die Einordnung einiger Szenarien schwierig macht.
Um die Dinge noch komplizierter zu machen, ist nach der Datenschutz-Grundverordnung auch eine gemeinsame Kontrollbefugnis möglich. Eine gemeinsame für die Verarbeitung Verantwortliche liegt vor, wenn zwei oder mehr für die Verarbeitung Verantwortliche dieselben Daten verarbeiten und dabei ihre eigenen Ziele verfolgen. Die gemeinsam für die Verarbeitung Verantwortlichen einigen sich darauf, wie einige Verantwortlichkeiten aufgeteilt werden, nehmen aber keine Anweisungen voneinander entgegen.
Hier ein Beispiel. Angenommen, ein Unternehmen beschließt, die Dienste einer KI-Firma in Anspruch zu nehmen, die es bei der Marktforschung auf der Grundlage personenbezogener Kundendaten unterstützt. Das KI-Unternehmen verwendet die Daten für zwei verschiedene Zwecke: Marktforschung und Training seines KI-Modells, um dessen Leistung weiter zu verbessern. In diesem Fall sind die beiden Unternehmen gemeinsam für die Verarbeitung verantwortlich, da sie beide eine Rolle bei der Verarbeitung spielen und gleichzeitig ihre eigenen Ziele verfolgen.
Google Analytics ist ein weiteres Beispiel. Die Rolle von Google bei der Bereitstellung des Dienstes hängt von den Einstellungen ab, die der Kunde (d. h. der Eigentümer der Website, die Google Analytics nutzt) gewählt hat. Wenn die Einstellung für die gemeinsame Nutzung von Daten deaktiviert ist, fungiert Google als Datenverarbeiter und verwendet die von Google Analytics gesammelten Daten nur, um dem Kunden Analysen zu liefern.
Wird die Datenfreigabe hingegen vom Kunden aktiviert, verwendet Google die Daten auch, um andere Dienste im Google-Ökosystem zu verbessern. In diesem Fall entscheidet Google, was mit den Daten geschehen soll, und ist gemeinsam mit dem Kunden für die Verarbeitung verantwortlich.
Zwei weitere Dinge sind zu beachten. Erstens sind die Begriffe "für die Verarbeitung Verantwortlicher" und "Auftragsverarbeiter" nur sinnvoll, wenn es sich um personenbezogene Daten handelt. Für nicht personenbezogene Daten können Sie weder für die Verarbeitung Verantwortlicher noch Auftragsverarbeiter sein, da die Datenschutz-Grundverordnung nicht für solche Daten gilt.
Zweitens sind die Begriffe für die Verarbeitung Verantwortlicher und Auftragsverarbeiter materiell. Mit anderen Worten: Sie hängen vollständig davon ab, was Sie mit den Daten tun, und nicht davon, wie Sie sich selbst in Ihren Datenschutzbestimmungen, Nutzungsbedingungen usw. nennen. Wenn Sie sich wie ein für die Verarbeitung Verantwortlicher verhalten, werden die Gerichte Sie wie einen für die Verarbeitung Verantwortlichen behandeln, unabhängig davon, was in Ihren rechtlichen Unterlagen steht.
Was ist eine Datenverarbeitungsvereinbarung?
Die Datenschutz-Grundverordnung (DSGVO) erlaubt es nur, sich auf einen Auftragsverarbeiter zu verlassen, wenn ein Vertrag bestimmte Aspekte der Datenverarbeitung regelt. Dieser Vertrag wird als Datenverarbeitungsvertrag oder DPA bezeichnet (nicht zu verwechseln mit den Datenschutzbehörden, die ebenfalls mit DPA abgekürzt werden).
Eine gültige DPA muss bestimmte Bestimmungen enthalten. Der Auftragsverarbeiter:
- muss die Anweisungen des für die Verarbeitung Verantwortlichen be folgen und darf die Daten nicht für eigene Zwecke verarbeiten
- muss die Daten auf eine sichere Weise verarbeiten
- muss sicherstellen, dass alle an der Verarbeitung beteiligten Mitarbeiter zur Vertraulichkeit verpflichtet sind
- muss den für die Verarbeitung Verantwortlichen nach Möglichkeit bei der Beantwortung von Anfragen im Rahmen der DSGVO unterstützen (z. B. bei Auskunfts- oder Löschungsanträgen)
- muss personenbezogene Daten löschen oder zurückgeben, sobald der Dienst endet
- muss den für die Verarbeitung Verantwortlichen bei der Erfüllung bestimmter Pflichten im Rahmen der DSGVO unterstützen, einschließlich der Meldung von Datenschutzverletzungen und der Durchführung von Folgenabschätzungen für die Datenverarbeitung (DPIAs)
- muss dem für die Verarbeitung Verantwortlichen für Audits zur Verfügung stehen.
Eine Datenschutzbehörde ist auch dann erforderlich, wenn ein Auftragsverarbeiter einen Unterauftragsverarbeiter einsetzt. In diesem Fall benötigt der Auftragsverarbeiter eine schriftliche Genehmigung des für die Verarbeitung Verantwortlichen, und die DPA mit dem Unterauftragsverarbeiter muss alle Datenschutzverpflichtungen der ursprünglichen DPA mit dem für die Verarbeitung Verantwortlichen aufrechterhalten. Mit anderen Worten: Der Schutz der Privatsphäre kann nicht im Nachhinein verwässert werden.
Das ist eine Menge, die man sich merken muss, aber keine Sorge: Sie werden wahrscheinlich nichts davon selbst schreiben müssen. Unternehmen, deren Kerngeschäft die Verarbeitung von Daten ist, haben in der Regel Standard-DSGVOs für ihre Kunden.
Wenn Sie jedoch eine allgemeine Vorstellung davon haben, was in einer DPA stehen sollte, können Sie diese überfliegen und sicherstellen, dass alles vorhanden ist (und natürlich können Sie jederzeit Artikel 28 Absatz 3 DSGVO überprüfen, um Ihr Gedächtnis aufzufrischen).
Warum brauchen Sie eine Datenverarbeitungsvereinbarung?
Das ist ja alles schön und gut, aber warum verlangt die DSGVO eine DPA?
Nun, die für die Verarbeitung Verantwortlichen haben nach der DSGVO Verpflichtungen. Sie müssen Daten rechtmäßig, nach Treu und Glauben und auf transparente Weise verarbeiten, für Sicherheit sorgen, auf Auskunftsersuchen reagieren, Datenschutzverletzungen melden und so weiter. All diese Pflichten zielen darauf ab, bestimmte Standards für den Datenschutz zu gewährleisten.
Die Datenschutzbehörden schützen diese Standards, wenn ein Datenverarbeiter oder Unterauftragsverarbeiter beteiligt ist. Sie spielen eine wichtige Rolle beim Datenschutz, da die Wertschöpfungsketten der Datenverarbeitung recht lang und komplex sein können.
Kurz gesagt, DPAs sind nicht nur lästiger juristischer Papierkram: Sie schützen Ihre Daten.
Außerdem ist eine gut formulierte DPA für die Parteien selbst hilfreich, da sie darin genau nachlesen können, wie die Verantwortlichkeiten für die Datenverarbeitung zwischen ihnen aufgeteilt sind.
Kann ich die Daten nach der Unterzeichnung einer DPA weitergeben?
Nach der Datenschutz-Grundverordnung müssen bei der Verarbeitung personenbezogener Daten bestimmte Regeln eingehalten werden. Dies gilt auch für die Weitergabe personenbezogener Daten an einen Auftragsverarbeiter. Die Unterzeichnung einer DPA ist also keine Garantie dafür, dass Sie die Daten rechtmäßig weitergeben können.
So müssen Sie beispielsweise über eine Rechtsgrundlage für die Verarbeitung der Daten verfügen (wir haben das Thema hier erörtert), transparente Informationen bereitstellen, sicherstellen, dass Sie sich bei Datenübertragungen in Länder außerhalb der EU auf die richtigen Sicherheitsvorkehrungen verlassen, und den Grundsatz der Datenminimierung beachten (d. h. nur die Daten erfassen, die Sie wirklich benötigen, und sie so wenig invasiv wie möglich verarbeiten).
Dies sind nur einige der Kriterien, die zusammen bestimmen, ob eine Weitergabe personenbezogener Daten nach der DSGVO zulässig ist. Wenn Sie der für die Datenverarbeitung Verantwortliche sind, liegt es in Ihrer Verantwortung, die Einhaltung der Vorschriften sicherzustellen. Die Unterzeichnung einer Datenschutzfolgenabschätzung bedeutet nicht automatisch, dass Ihre Weitergabe personenbezogener Daten alle Kriterien erfüllt - Sie müssen die Dinge aus einer breiteren Perspektive betrachten.
Ist meine Datenweitergabe GDPR-konform?
Wie wir bereits sagten, ist eine gültige Datenschutzfolgenabschätzung nur eines von vielen Kontrollkästchen. Was sind also die anderen?
Eine Checkliste wäre hier wenig hilfreich. Die meisten Regeln, die für die Weitergabe von Daten gelten, sind allgemeine Regeln, die für jede Verarbeitung personenbezogener Daten gelten - egal, ob es sich um die Erhebung, Speicherung oder sogar Löschung handelt. Das ist eine wirklich lange Liste, denn wir sprechen hier über fast die gesamte DSGVO,
Wenn Sie sicherstellen wollen, dass die Datenweitergabe an Ihren Auftragsverarbeiter mit der DSGVO konform ist, sollten Sie mit den Grundlagen beginnen. In Artikel 5 GDPR sind alle Kernprinzipien der GDPR aufgeführt. Der Artikel ist weitaus wertvoller als jede Checkliste zur Einhaltung der Vorschriften, die wir entwickeln könnten, da er einen Einblick in die Bedeutung der Datenschutz-Grundverordnung bietet.
Mit einem gewissen Verständnis für die allgemeinen Grundsätze können Sie Ihre Datenweitergabe prüfen und sich die richtigen Fragen stellen. Zum Beispiel:
- Muss ich die Daten wirklich an einen Auftragsverarbeiter weitergeben?
- Gebe ich nur die Daten weiter, die mein Auftragsverarbeiter wirklich für seine Arbeit benötigt?
- Wird mein Auftragsverarbeiter die Daten nach einer angemessenen Zeit löschen?
- Weiß ich, was die Weitergabe rechtmäßig macht? Könnte ich das erklären, wenn mich jemand fragen würde?
Vergessen Sie nicht, die Weitergabe auch aus der Perspektive der betroffenen Personen zu betrachten, d. h. der Personen, auf die sich die Daten beziehen. Bei den betroffenen Personen kann es sich um Ihre Kunden, Website-Besucher oder andere Personen handeln, die in keiner Beziehung zu Ihnen stehen - zum Beispiel die Personen, deren persönliche Daten Sie zum Trainieren eines KI-Modells verwenden.
(KI wirft übrigens sehr ernste Fragen zum Datenschutz auf. Wenn Sie ein KI-Modell auf der Grundlage personenbezogener Daten trainieren, sollten Sie bereits in der Entwurfsphase Datenschutzexperten hinzuziehen).
Betroffene Personen haben ein Recht auf Information. Haben Sie Maßnahmen ergriffen, um die betroffenen Personen darüber zu informieren, dass Ihr Auftragsverarbeiter beteiligt ist? Haben Sie diese Informationen in einer klaren und zugänglichen Form bereitgestellt?
Betroffene Personen können nach der Datenschutz-Grundverordnung auch bestimmte Rechte ausüben. So können sie beispielsweise von dem für die Verarbeitung Verantwortlichen verlangen, dass er ihre personenbezogenen Daten berichtigt oder löscht oder ihnen Zugang zu diesen Daten gewährt.
Was geschieht, wenn eine betroffene Person eines dieser Rechte ausübt? Können Sie dem Ersuchen eigenständig nachkommen, oder muss Ihr Auftragsverarbeiter eingeschaltet werden? Ist Ihr Auftragsverarbeiter wirklich in der Lage und bereit, Ihnen bei solchen Anfragen zu helfen, unabhängig davon, was Ihre Datenschutzbehörde sagt?
Dies sind einige der Fragen, die Sie sich stellen sollten, wenn Sie das Problem aus der Sicht der betroffenen Person betrachten. Es ist leicht, sich auf die Position Ihres Unternehmens zu konzentrieren und das Gesamtbild aus den Augen zu verlieren. Aber hinter den Daten stehen Menschen, und Sie müssen sich in deren Lage versetzen, um die Datenschutzgesetze einzuhalten.
Bin ich nach der Unterzeichnung einer DPA von der Haftung befreit?
Nein. Die Unterzeichnung einer DPA entbindet Sie nicht von der Haftung. Deshalb ist es wichtig, sich auf vertrauenswürdige und GDPR-konforme Auftragsverarbeiter zu verlassen.
Das bedeutet nicht, dass Sie zwangsläufig haftbar gemacht werden können, wenn etwas schief geht. Nach der Datenschutz-Grundverordnung besteht jedoch eine Art Vermutung, dass der für die Verarbeitung Verantwortliche die Schuld trägt, wenn in Bezug auf den Datenschutz etwas schief läuft. Sie können sich der Haftung entziehen, indem Sie nachweisen, dass Sie nicht für den Vorfall verantwortlich sind, aber die Beweislast liegt allein bei Ihnen, was riskant ist.
Aus diesem Grund bewerten große Unternehmen die Einhaltung der Vorschriften durch ihre Auftragsverarbeiter gründlich und dokumentieren diese Bewertung. Diese dokumentierte Bewertung wird als Risikobewertung des Anbieters bezeichnet und dient zwei Zwecken. Erstens kann der für die Verarbeitung Verantwortliche damit sicherstellen, dass der Auftragsverarbeiter zuverlässig ist. Zweitens kann der für die Verarbeitung Verantwortliche anhand einer gut dokumentierten Risikobewertung des Anbieters nachweisen, dass er seine Hausaufgaben in Bezug auf die Einhaltung der Vorschriften gemacht hat, wenn etwas schief geht.
Den meisten kleinen Unternehmen fehlen die Ressourcen und das Fachwissen für die Durchführung von Risikobewertungen bei Lieferanten. Dennoch kann es für sie von Vorteil sein, ihre Auftragsverarbeiter zu überprüfen und sicherzustellen, dass sie einen guten Ruf in Bezug auf die Einhaltung der Vorschriften haben.
Schlussfolgerungen
Beim Datenschutz geht es nicht um das Abhaken von Kästchen auf einer Compliance-Checkliste. Es geht darum, die Gründe hinter den Regeln zu verstehen und sich um die Menschen hinter den Daten zu kümmern.
Wir bei Simple Analytics kümmern uns um den Datenschutz. Und im Gegensatz zu anderen Unternehmen meinen wir es wirklich ernst. Datenschutz ist der Eckpfeiler von Simple Analytics und kein bloßer Anstrich. Wir haben unsere Software so entwickelt, dass sie Unternehmen alle Erkenntnisse liefert, die sie für die Optimierung ihrer Websites und Kampagnen benötigen, ohne die persönlichen Daten der Besucher zu verwenden. Wenn sich das für Sie gut anhört, probieren Sie uns doch einfach mal aus!