Wir schreiben den 28.05.2018. Der 25. Mai ist überstanden, das Internet funktioniert, die Welt ist wider Erwarten nicht untergegangen. Mit der neuen Woche kommen neue Verträge zur Auftragsverarbeitung, die es zu prüfen und abzulegen gilt. Der BayLfD hat Freitag eine Orientierungshilfe zur Auftragsverarbeitung veröffentlicht. Sie kann auch für Unternehmen hilfreich sein.
Der Inhalt im Überblick
BayLfD und BayLDA
Kurz vorab zu Klarstellung: Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) regelt den Datenschutz im öffentlichen Bereich. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hingegen überwacht die Einhaltung des Datenschutzrechts im nicht-öffentlichen Bereich. Als Papier des BayLfD richtet sich die Orientierungshilfe somit vornehmlich an den öffentlichen Bereich. Als Orientierungshilfe dürfte es aber auch für Unternehmen relevant sein, zumal die Auftragsverarbeitung ein ständiges Thema ist. Allgemeines zur Auftragsverarbeitung aus unserem Blog können Sie hier lesen.
Die Orientierungshilfe
Der Leitfaden enthält neben allgemeinen Informationen und rechtlichen Hinweisen auch Angaben zu Befugnissen der Aufsichtsbehörden. Die Befugnisse sind in Art. 58 DSGVO geregelt und beziehen sich auch auf die Untersuchungs- und Abhilfebefugnisse der Behörden bei der Auftragsverarbeitung.
Besonders hilfreich in der Orientierungshilfe ist hingegen die Nennung und nähere Erläuterung zu einzelnen Formen der Auftragsverarbeitung. Beispielhaft wird u.a. der Versand von Broschüren und sonstigen Drucksachen erwähnt, wenn diesem Dienstleister ein Adressbestand zur Verfügung gestellt wird. Auch das Cloud-Computing wird genannt, sowie die Durchführung von Befragungen und Forschungsaufträgen. Dies sind jedoch Beispiele, die relativ einfach einzuordnen sind.
Auch die Beispiele, auf die die Orientierungshilfe detaillierter eingeht, sind relativ eindeutig:
- Vernichtung von Datenträgern (im Übrigen: eine Orientierungshilfe zur Datenträgerentsorgung von 2014)
- (Fern-)Wartung
- Outsourcing: Auslagerung von Systemadministration, Outsourcing von (Teilen) des Datenbestandes, zentrale Datenbank verschiedener Verantwortlicher und Backup-Service
- Programmerstellung (auch Apps)
Umfangreiche Checkliste
Etwas überraschend fällt die Checkliste aus. Auf 4 Seiten deckt sie eine Vielzahl an Aspekten ab. Obwohl sie bei der Prüfung unterstützen soll, ob die wesentlichen Inhalte erfasst sind, geht sie weit darüber hinaus, denn die wirklich wesentlichen Teile eines solchen Vertrages sind in Art. 28 DSGVO genannt. Beispielsweise fordert die Checkliste die ausdrückliche Nennung des DSB inklusive Kontaktdaten, was die DSGVO nicht fordert.
Es gibt aber keinen Grund zu Sorge: Sofern eine Frage mit „Nein“ beantwortet wird, ist der Vertrag nur um wirklich zwingende Punkte zu ergänzen, die sich aus Art. 28 DSGVO ergeben. Im Übrigen muss mit Hinblick auf die konkrete Verarbeitung der Daten festgestellt werden, wie die vertragliche Ausgestaltung aussehen muss.
Technische und organisatorische Maßnahmen
Die Orientierungshilfe nennt auch die Pflichten zur Einhaltung der technischen und organisatorischen Maßnahmen (TOMs) nach Art. 28 Abs. 3 S. 2 lit. c i.V.m. Art. 32 DSGVO durch den Auftragsverarbeiter. Die TOMs sollten nicht generell und abstrakt formuliert sein, sondern vor dem Hintergrund der Rechenschaftspflicht risikobasiert für den Einzelfall gelten. Damit liegt man auf der Linie des ADV-Musters des BayLDA. Auch das BayLfD geht mit seiner Best-Practice-Empfehlung über den gesetzlichen Wortlaut hinaus. Vor- und Nachteile dieser Lösung haben wir im Beitrag, ist die Methodik zur Risikobewertung im ADV festzulegen, erörtert.
Während die BayLDA noch unter ADV §11 BDSG eine starke Einschränkung gegeben hat um die ADV/AV auszuschliessen („Daten als Beiwerk zu Liferung/Leistung, nicht Hauptzweck“) sind die Ausführungen diesmal nicht so stark, schade.
Gibt es schon Regelungen/Empfehlungen/Vorgaben für Kostenersatz für AV bei Mitwirkungen der Betroffenenrechte. Es gibt bereits AV-Verträge, bei den von Kostenersatz gesprochen wird. Ist das legitim/legal?