von Marco Rutzke

Datenschutz im Unternehmen und der Daten in der Cloud.

Quelle: Pixabay CC0 Public Domain/ Hans

Verpflichtung zur Benennung eine Datenschutzbeauftragten Im Unternehmen.

Nach dem deutschen Bundesdatenschutzgesetz (BDSG) müssen Unternehmen, die personenbezogene Daten mit EDV speichern, verarbeiten oder übermitteln, einen betrieblichen Datenschutzbeauftragten zwingend bestellen.

Das Bundesdatenschutzgesetz (BDSG) verpflichtet Unternehmen zur Ernennung eines betrieblichen Datenschutzbeauftragten, wenn ein Unternehmen Computer/EDV nutzt und mindestens vorübergehend mehr als neuen Personen beschäftigt:

  • 4f Abs. 1 S. 3 BDSG
  • unabhängig von der Zahl der Beschäftigten, wenn ein Unternehmen
    • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung erhebt, verarbeitet oder nutzt: § 4f Abs. 1 S. 5 BDSG - z.B. Auskunfteien, Adressverlage, Markt- und Meinungsforschungsinstitute
    • unabhängig von der Zahl der Beschäftigten, wenn das Unternehmen einer Vorabkontrolle unterliegt, weil besonders sensitive Daten verarbeitet werden:  § 4f Abs. 1 S. 5 BDSG - z.B. Scoringverfahren, Religion, Gesundheitsdaten, Angaben über ethnische Herkunft, Rasse, etc.

Ein betrieblicher Datenschutzbeauftragter ist schriftlich zu bestellen; zweckmäßig ist dabei die Festlegung der wichtigsten Aufgaben in der Bestellungsurkunde oder die Bezugnahme auf die Vorschriften der §§ 4f, 4g BDSG.

Ein Datenschutzbeauftragter kann

  • (unter Auflagen) aus den Reihen des Unternehmens (interner Datenschutzbeauftragter) oder
  • als unabhängiger, externer Dienstleister mit flexibel und frei zu vereinbarendem Aufgabenumfang bestellt werden.

Eine Vernachlässigung dieser Pflicht kann empfindliche Folgen haben, vor allem, wenn tatsächlich etwas passieren sollte. Da jedes dritte Unternehmen in jüngster Vergangenheit Ziel von Angriffen wurde, ist das vergleichsweise wahrscheinlich.

Die Wichtigkeit einer Auftragsdatenverarbeitungserklärung.

Auftragsdatenverarbeitung, das Auslagern von Datenverarbeitungsprozessen durch den Auftraggeber auf externe Dienstleister (Cloud-Services), ist ein häufiges Mittel zur Kostensenkung, Personaleinsprung und der Nutzung von externem Know How — Stichwort “Outsourcing”. Sind hiervon personenbezogene Daten betroffen, findet § 11 “Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag” BDSG (Bundesdatenschutzgesetz) Anwendung.

 

Nachfolgende Kriterien unterstützen die Bewertung über das Vorliegen einer Auftragsdatenverarbeitung.

  • Der Auftragnehmer steht in keiner vertraglichen Beziehung zu den Betroffenen der personenbezogenen Daten.
  • Dem Auftragnehmer fehlt die Entscheidungsbefugnis über die übermittelten Daten.
  • Dem Auftragnehmer ist die Nutzung der überlassenen Daten über den eigentlichen Überlassungszweck hinaus verboten.
  • Der Auftragnehmer nutzt nur die ihm überlassenen Daten.
  • Die Datenverarbeitung wird nach außen durch den Auftraggeber vertreten.

 

Wann liegt eine Auftragsdatenverarbeitung vor?

Hinweis: Die nachfolgende Aufstellung bietet nur einen Auszug.

  • Outsourcing von EDV (IT- und TK-Diensten) z.B. E-Mail, Homepage etc.
  • Outsourcing des Rechenzentrums (ganz oder teilweise).
  • Marketingaktionen, Kundenumfragen, Newsletterversand durch eine externe Agentur.
  • Beauftragung eines Callcenters für Kundensupport oder Kundengewinnung.
  • Papier– und Aktenvernichtung sowie die Vernichtung von Datenträgern.
  • Externe Lohn– und Gehaltsabrechnung.
  • Externe Rechnungsbearbeitung / Buchhaltung.
  • Zugriff auf personenbezogene Daten vor Ort bei Auftraggeber.

Oft vernachlässigt wird § 11 Absatz 5 des BDSG . Durch diesen Absatz finden die Regelungen zur Auftragsdatenverarbeitung ebenfalls Anwendung auf Wartungs– und Prüfungsverträge, wenn hierdurch der Zugriff auf personenbezogene Daten möglich ist. Somit ist ein weites Feld an weiteren Leistungen ebenfalls von den Regelungen des BDSG betroffen (Beispiele):

  • Wartung von Servern und Computern durch einen externen Dienstleister (wichtig: auch Fernwartung!)
  • Parametrisierung oder Pflege von Software (Updates etc.), über die Zugriff auf personenbezogene Daten möglich ist.
  • Systemmigrationen.

 

Was bedeutet dies für Sie als Auftraggeber?

Liegt eine Auftragsdatenverarbeitung vor, muss diese schriftlich geregelt werden.

Sie als Auftraggeber müssen die im Vertrag festgeschriebenen Massnahmen zum Datenschutz und zur Datensicherheit beim Auftraggeber in geeigneter Form kontrollieren — im Zweifel persönlich vor Ort beim Auftragnehmer.

Für die Einhaltung der gesetzlichen Datenschutzvorschriften sind Sie als Auftraggeber verantwortlich, nicht der Auftragnehmer (dies wird oft irrtümlich falsch eingeschätzt).

Eine einfache Erklärung des Auftragnehmers über die Einhaltung der Datenschutzvorschriften ist nicht ausreichend!

 

Fazit:

Externe Dienstleister und ordentliche Cloud-Service-Provider haben ein stichhaltiges Datenschutzkonzept samt einer vorformulierten Vereinbarung gem. § 11 BDSG bereits in der Schublade und gehen damit aktiv auf ihre Kunden zu.

Sie sind bereits Kunde von NetTask oder wollen unsere Cloud Services zukünftig nutzen?

Sprechen Sie uns auf die komplette Thematik Datenschutz an. Gern übersenden wir Ihnen eine Auftragsdatenverarbeitungserklärung sowie unsere technischen und organisatorischen Maßnahmen zum Datenschutz.

Zurück

Hat Ihnen unser Artikel gefallen?

Teilen Sie ihn mit Ihren Followern.

NetTask MDRN.WORK Revolution

NetTask ist der führende Cloud Service Provider für „Modernes Arbeiten“ in Europa. Mit unserer langjährigen Themen- und Umsetzungskompetenz in der Informations- und Kommunikationstechnologie entwickeln wir, auf der Basis von Microsoft-Technologie (deHOSTED Exchange, deHOSTED Skype for Business, deHOSTED SharePoint, IoT - Technologie), cloudbasierte, hochperformante und sichere Services für die digitale Unternehmenskommunikation und Kollaboration.

Unsere Lösungen bieten Unternehmen einen nachhaltigen Mehrwert in der Arbeitseffizienz, Produktivität sowie der zielgerichteten wirtschaftlichen Verwendung ihrer IT-Budgets.