Datenschutz

Allgemeines zum Datenschutz

Strategie und Grundsatz: Datensparsamkeit

Nur was benötigt wird, wird an personenbezogenen Daten gespeichert und verarbeitet. Durch diese Einstellung wird ein Risiko für betroffenen Personen ausgeschlossen. Wir verarbeiten nur Daten, die kein Risiko für Betroffene beinhalten.

Unsere Einstellung: Daten gehören den Betroffenen

Wirtschaft ist Beziehung zwischen Menschen. Wir wissen es zu schätzen, dass man uns Daten anvertraut. Die Daten der Betroffenen in unseren Unternehmen gehören zu folgenden Kategorien: MitarbeiterInnen, KundInnen, LieferantInnen, InteressentInnen, KooperationspartnerInnen und BesucherInnen unserer Unternehmen und Webseiten.

Das Datenschutzziel

Unser Ziel beim Datenschutz ist der respektvolle Umgang mit diesen uns anvertrauten Daten. Wir kennen die Gesetze und nutzen die Unterstützung von ExpertInnen.

Verantwortung der Unternehmensleitung

Die Verantwortung für den Schutz der Daten trägt die Unternehmensleitung. Jede und jeder kann sich zu diesem Thema jederzeit an jede Unternehmensleitung wenden.

Risiken bewusst niedrig halten

Die Risiken für die verarbeiteten Daten sind ganz besonders niedrig. Die Daten, die wir speichern, haben für Kriminelle keinen besonderen Wert. Gegen unbeabsichtige Fehler entwickeln wir gemeinsam Maßnahmen. Jedes Jahr werden die Risiken neu bewertet, denn die Welt verändert sich. Wenn wir Bedarf erkennen, werden neue Sicherheitsmaßnahmen festgelegt und umgesetzt.

Die Sicherheit bei der Verarbeitung von Daten ruht bei uns auf 3 Säulen:

• Geschulte MitarbeiterInnen
• Einsatz sicherer Technik mit Unterstützung professioneller Partner Unternehmen
• Das Bewusstsein, worauf es ankommt

Unsere AuftragsverarbeiterInnen und DienstleisterInnen

Sicherheit im Umgang mit Technologie fordert Fachkompetenz. Wir haben professionelle AuftragsverarbeiterInnen und DienstleisterInnen, die wir sorgfältig auswählen.

Sie bieten uns ausreichende Garantien für ihre Kompetenz im Datenschutz und ihren technischen und organisatorischen Maßnahmen.

Wir haben sie vertraglich zum Datenschutz verpflichtet und arbeiten im Interesse der betroffenen Personen zusammen.

Unser Team

Unsere MitarbeiterInnen schulen wir, damit uns allen das richtige Verhalten gelingt. Die Regeln, die im Unternehmen für die Verarbeitung personenbezogener Daten gelten, formulieren wir einfach und verständlich. Bewusstseinsbildung erleichtert uns das Einhalten der Regeln. Denn was man versteht, kann man leichter erfolgreich tun.

Was wir für den Datenschutz tun und wie wir es tun

Unser Datenschutz ist praxisbezogen und verständlich.

Datenschutz auf unserer Website

Kontaktaufnahme

Bei der Kontaktaufnahme mit uns (zum Beispiel per Kontaktformular oder E-Mail) werden Ihre Angaben zwecks Bearbeitung der Anfrage, für den Fall, dass Anschlussfragen entstehen, sowie zur zukünftigen Zusendung von Informationen rund um TYPO3 und Webservices, gespeichert. Ihre Daten werden dabei nur streng zweckgebunden benutzt. Mit dem Absenden des Kontaktformulars oder einer Email an uns erklären Sie sich mit der Verarbeitung Ihrer Daten einverstanden.

Zugriffsdaten/ Server-Logfiles

Wir (beziehungsweise unser Webspace-Provider) erheben Daten über jeden Zugriff auf das Angebot (so genannte Serverlogfiles). Zu den Zugriffsdaten gehören:

Name der abgerufenen Webseite, Datei, Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers, Referrer URL (die zuvor besuchte Seite), IP-Adresse und der anfragende Provider.

Wir verwenden diese Protokolldaten nur für statistische Auswertungen zum Zweck des Betriebs, der Sicherheit und der Optimierung des Angebotes. Wir behalten uns jedoch vor, die Protokolldaten nachträglich zu überprüfen, wenn aufgrund konkreter Anhaltspunkte der berechtigte Verdacht einer rechtswidrigen Nutzung besteht

Newsletter

Um Sie noch aktueller über alle News des wow! solution Blogs informieren zu können, bekommen Sie, wenn Sie sich zum Newsletter Empfang anmelden, ganz automatisch tagesaktuell die neuesten Blog News per Mail zugesendet sobald ein neuer Eintrag im wow! solution Blog online geht.

Themen des wow! solution Blogs betreffen zb. Hosting, Web Tipps & Tricks, Responsive Webdesign, SEO, Social Networking, Web-Optimierung, wow! solution Referenzen, TYPO3 CMS Sicherheitsmeldungen, TYPO3 CMS Updates uvm.

Anmeldung / Registrierung

Mit der Anmeldung zum Newsletter speichern wir Ihre IP-Adresse und das Datum der Anmeldung. Diese Speicherung dient alleine dem Nachweis im Fall, dass ein Dritter eine Emailadresse missbraucht und sich ohne Wissen des Berechtigten für den Newsletterempfang anmeldet.

Ihre Einwilligung zur Speicherung der Daten, der Email-Adresse sowie deren Nutzung zum Versand des Newsletters können Sie jederzeit widerrufen. Der Widerruf kann über einen Link in den Newslettern selbst, in Ihrem Profilbereich oder per Mitteilung an die oben stehenden Kontaktmöglichkeiten erfolgen.

Spam-Vermeidung / double opt in

E-Mail-Adressen müssen verifiziert werden. Das bedeutet, dass nach Eingabe einer E-Mail-Adresse ein Bestätigungsmail an diesen E-Mail-Account gesendet werden muss, welche durch den rechtmäßigen Besitzer bestätigt werden muss. Wird nicht bestätigt, ist die Anmeldung nicht erfolgt.

Jede E-Mail-Adresse benötigt also ein „double opt in“. Das ist die übliche Methode, um Spam auszuschalten. Nur durch aktive Bestätigung einer Anforderung eines Newsletters aus dem Ziel-E-Mail-Account gilt eine Einwilligung als nachgewiesen. 

Cookies

Zum Schutz Ihrer Privatsphäre haben wir uns dazu entschlossen auf unserer Website komplett auf den Einsatz von Cookies zu verzichten. Ein netter Nebeneffekt davon ist auch der Wegfall des sonst seit der DSGVO üblichen Cookie Konfigurations Banners.

Datenschutz in unserem Unternehmen

Rechte der Betroffenen

DSGVO Art 15-22

Hinweis: Für jedes Recht ist die Prüfung der Identität der Person, die dieses Recht einfordert wichtig. Falls berechtigte Zweifel an der Identität der berechtigten Person bestehen, muss ein Nachweis gefordert werden.

Idealerweise haben wir

• eine Adresse
• eine E-Mail-Adresse
• eine Telefonnummer 

Diesen Identitätsnachweis kann man (ohne Portal mit Registrierung und Profil) am besten mit einer Rückfrage auf einem anderen Kanal absichern. Hat jemand per E-Mail um Auskunft gebeten, kann man telefonisch rückfragen, ob die Anfrage tatsächlich vom Betroffenen stammt.

Die Zusendung einer Kopie eines amtlichen Dokuments, das mit Sicherheit nur der Berechtigte hat ist ebenfalls eine Möglichkeit die Identität zu prüfen. Nach der Prüfung sollte das Ergebnis protokolliert werden und die Kopie unbedingt gelöscht, damit nicht die Kopie zu einem sensiblen Datenbestand wird.

Auskunftsrecht der betroffenen Person Art.15

Betroffene haben Recht auf Bestätigung, ob Daten verarbeitet werden.

Wenn ja, so haben sie ein Recht auf Auskunft mit folgenden Inhalten:  

• Die gespeicherten personenbezogenen Daten
• Zweck der Verarbeitung
• Kategorie der Daten
• Empfänger / Kategorien der Empfänger
• Dauer / Kriterien für die Dauer
• Information über das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht, Beschwerderecht
• Herkunft der Daten 
• Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling, der Logik, Tragweite und Auswirkungen
• Bei Übermittlung an ein Drittland / internat. Organisation die geeigneten Garantien

Da Betroffene nicht wissen, welche Daten in welchem Unternehmen der Gruppe verarbeitet werden, kümmern wir uns im Falle einer Auskunftsanfrage um einen Rundlauf, der alle personenbezogenen Daten aller Dienstleiter von wow! solution beauskunftet. 

Recht auf Berichtigung Art 16

Betroffene haben das Recht auf unverzügliche Berichtigung und Vervollständigung. 

Für den Fall, dass Daten rechtmäßig weitergegeben wurden, informieren wir bei gewünschter Berichtigung auch die Empfänger dieser Daten über den Berichtigungsauftrag.

Recht auf Löschung Art 17

Ein Prozess für das Recht auf Löschung sollte mit einer vorherigen Auskunft kombiniert werden, um zu vermeiden, dass Betroffene Daten löschen lassen, die sie eigentlich nicht löschen wollten, weil sie nicht mehr wussten, welche Daten verarbeitet werden.

Für den Fall, dass vom Betroffenen eine Löschung gefordert ist und diese nicht unverzüglich möglich ist, ist die Verarbeitung dieser Daten nach Datenschutzanpassungsgesetz §4(2) durch den Verantwortlichen unverzüglich einzuschränken.

Für den Fall, dass Daten rechtmäßig weitergegeben wurden, informieren wir bei gewünschter Löschung auch die Empfänger dieser Daten über den Löschauftrag.

Recht auf Einschränkung der Verarbeitung Art 18

Einschränkung bedeutet, dass die Daten unverändert aufbewahrt und nicht verarbeitet werden dürfen.

Betroffene haben Recht auf Einschränkung der Verarbeitung in 4 Situationen: 

• Die Richtigkeit der Daten wird bestritten
• Die Daten sind unrechtmäßig und d. Betroffene verlangt Einschränkung statt Löschung
• Die Daten werden vom Verantwortlichen nicht mehr benötigt, vom Betroffenen aber für Rechtsansprüche benötigt
• Der Betroffene hat Widerspruch gegen berechtigte Interessen eingelegt, solange das überwiegende Interesse nicht feststeht

Für den Fall, dass Daten rechtmäßig weitergegeben wurden, informieren wir bei gewünschter Einschränkung auch die Empfänger dieser Daten über den Einschränkungsauftrag. 

Recht auf Datenübertragbarkeit Art 20

Betroffene dürfen Daten, die sie uns bereitgestellt haben in strukturierter, gängiger, maschinenlesbarer Form fordern, wenn

• die Daten mit Hilfe automatisierter Verfahren verarbeitet werden und
• die Verarbeitung auf Basis einer Einwilligung oder eines Vertrages erfolgt

Auch die direkte Übertragung an einen anderen Verantwortlichen ist durchzuführen.

Widerspruchsrecht Art 21

Betroffene Personen dürfen Widerspruch einlegen bei 

• Datenverarbeitung aus 6.1.e Öffentlichem Interesse
• Datenverarbeitung aus 6.1.f Berechtigtem Interesse 
• Datenverarbeitung aus 6.1.e oder 6.1.f gestützt auf Profiling

aus ihrer besonderen Situation.

Widerspricht die Person, werden die Daten nicht mehr verarbeitet, es sei denn, der Verantwortliche kann zwingende, überwiegende Interessen nachweisen oder Rechtsansprüche.

Betroffene Personen dürfen Widerspruch einlegen bei

• Datenverarbeitung für Direktwerbung oder 
• Datenverarbeitung für Direktwerbung gestützt auf Profiling

Widerspricht die Person, werden die Daten nicht mehr verarbeitet.

Profiling bedeutet, dass bestimme Aspekte einer Person analysiert oder vorhergesagt werden. Details siehe Art 4, Begriff 4. „Profiling“ 

Link: https://dsgvo-gesetz.de/art-4-dsgvo/

Widerspruchsrecht gegen automatisierte Entscheidungsfindung und Profiling Art 22

Derzeit nicht anwendbar, da weder automatisierte Entscheidungsfindung noch Profiling durch wow! solution erfolgt.

Automatisierte Entscheidungsfindung darf aus 3 Bedingungen (Absatz 2 a,b,c) erfolgen, wenn die Absätze 3) und 4) berücksichtig werden. Siehe Link

Profiling bedeutet, dass bestimme Aspekte einer Person analysiert oder vorhergesagt werden. Siehe Art 4, Begriff 4. „Profiling“

Link zum Artikel: https://dsgvo-gesetz.de/art-22-dsgvo/

Einwilligungen

DSGVO Art 7

Beruht die Verarbeitung auf einer Einwilligung, muss die Einwilligung nachweisbar sein.

ACHTUNG: Da sich diese Pflicht auf die Verarbeitung (nicht auf die Erhebung) bezieht, gilt sie bei jeder Verarbeitung, egal, wann die Daten erhoben worden sind.

Eine Einwilligung muss

• freiwillig
• für den konkreten Fall 
• in informierter Weise
• unmissverständlich
• durch Auswahl / Erklärung oder Verhaltensweise geschehen.

Eine Einwilligung setzt eine aktive Handlung voraus. Inaktivität zählt nicht als Einwilligung. Eine Vorbelegung von Klickboxen ist nicht geeignet. 

Wenn mehrere Sachverhalte dargestellt werden, müssen das Ersuchen um Einwilligung klar zu unterscheiden sein.

Bezieht sich die Verarbeitung auf mehrere Zwecke, soll für jeden Zweck eine Einwilligung gegeben werden. (Erwägungsgrund 32)

Widerruf

Eine Einwilligung kann jederzeit widerrufen werden.

Der Widerruf muss so einfach wie die Einwilligung sein.

Der Widerruf gilt ab diesem Zeitpunkt.

Koppelungsverbot

Eine Vertragserfüllung oder eine Dienstleistung darf nicht von einer auf Freiwilligkeit basierenden Verarbeitung abhängig gemacht werden, die nicht für die Erfüllung des Vertrages notwendig ist.

Zwanglos

Die betroffene Person hat nur dann eingewilligt, wenn bei Verweigerung der Einwilligung keine Nachteile erwartet werden.

Zur Orientierung:  https://www.lda.bayern.de/media/oh_einwilligung.pdf

Risikobewertung

Mit der DSGVO werden Maßnahmen gefordert, die dem Risiko für die Betroffenen angemessen sind. Eine praktikable Methode für die Bewertung des Risikos ist folgende:

• Die Kritikalität der Daten steht im Vordergrund, weil man sie einschätzen kann
• Die Wahrscheinlichkeit eines Schadens ist sehr schwierig zu bewerten – wir vernachlässigen sie. Der Unterschied in den Maßnahmen ist marginal.

Damit es praktisch anwendbar ist, verwenden wir 5 Klassen von Daten:

• Öffentliche Daten: Kein Risiko
• Daten, für die jemand berechtigte Vertraulichkeits-Interessen hat. Beispiel: „interne Daten“ = Namen und deren Funktion im Unternehmen. Risiko bei nicht widmungsgemäßer Verwendung: Gering
• Daten, geeignet das Ansehen zu schädigen. „Insider-Infos“ und Daten über Verhaltensmängel, die zu sozialer Ablehnung führen können. Risiko: Mittel - Hoch, abhängig von der Wichtigkeit des Ansehens für die Person
• Daten, geeignet die Existenz zu bedrohen. Nicht tolerierte Eigenschaften. Risiko: Hoch. Langfristiger Schaden, Verlust des Berufs, Ausschluss aus Gruppen
• Daten, die Leib & Leben gefährden. Emotionale, unberechenbare Konsequenzen. Risiko: Sehr hoch

Für eine praktikable Risikobewertung stellt man die Frage: „Was bedeutet der worst case für die Betroffenen, zB für meinen Partner / für Kinder“? 

Für den Schutz der Daten gegen die Risiken sind „Technische & Organisatorische Maßnahmen festzulegen.

Notfall / Schutzverletzung

Nach Auflistung aller Bewertungen der 18 Risiken protokolliert die Geschäftsführung der für die Verarbeitung Verantwortlichen die Gesamteinschätzung als

KEIN RISIKO für Betroffene

RISIKO für Betroffene

HOHES Risiko für Betroffene

Bei der Bewertung „RISIKO für Betroffene“ muss nach Art 33 eine Meldung an die Behörde erfolgen.

Für diese Meldung enthält folgende Informationen: 

• eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, 
• soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, 
• der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
• den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
• eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
• eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und 
• gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Link zum Artikel: https://dsgvo-gesetz.de/art-33-dsgvo/

Bei der Bewertung „HOHES RISIKO für Betroffene“ muss eine Benachrichtigung der betroffenen Person nach Art 34 erfolgen. dsgvo-gesetz.de/art-34-dsgvo/

Diese Benachrichtigung muss nicht erfolgen, wenn  

• die Daten durch Sicherheitsmaßnahmen für Unbefugte unzugänglich sind oder
• nachfolgende Maßnahmen das hohe Risiko wahrscheinlich nicht mehr besteht oder
• wegen Unzumutbarkeit über eine öffentliche Bekanntmachung informiert wird

Regeln für sicheres Verhalten

Eine organisatorische Maßnahme für den Datenschutz ist die Erstellung einer Liste von Regeln, um sie schulen zu können. 

95% aller Schutzverletzungen passieren durch Verhaltensfehler.

Mitarbeiterinnen brauchen eine Einschulung zu diesen Regeln, denn Missverständnisse und Fehler sind gefährlich. Betrüger nutzen die Unsicherheit der MitarbeiterInnen aus.

Hier die wichtigsten Regeln für alle MitarbeiterInnen im Umgang mit Technologie, im privaten Bereich und im Unternehmen:

• Für jedes Login-System braucht es ein eigenes Passwort. Ein Passwort für mehrere Systeme zu verwenden, ist gefährlich, wenn ein Passwort gestohlen wurde. Man muss das Passwort nicht regelmäßig ändern, (Wir ändern ja auch nicht regelmäßig einen guten Schlüssel, nur, weil jemand ihn nachgemacht haben könnte). Wichtig ist, dass das Passwort gut ist: Ca. 16 Zeichen und kein Wort, das man erraten kann.
• Das Passwort darf kein Wort aus dem Wörterbuch, kein Geburtsdatum und kein Name sein. Es muss Groß und Kleinbuchstaben enthalten, mindestens 1 Zahl und ein Sonderzeichen (eines, dass man auch am Smartphone findet). Ein Tipp: Bilden Sie Ihre Passworte mit einem Satz. So kann man sich unendlich viele Passworte merken, siehe folgendes Kapitel
• Bei Eingabe eines Passworts oder eines PINs darf niemand zusehen.
• Updates („Patches“) für die Software immer sofort einspielen.
• Backups machen und an einem sicheren Ort aufbewahren.
• Links in Mails nur anklicken, wenn Sender bekannt und das Mail erwartet wird. Denn die Sender könnten Sie auf eine falsche Seite locken, um Ihr Passwort abzufangen. Besser ist, die Seite über Google oder gespeicherte Favoriten aufzurufen.
• Makros in Dateien nie sofort aktivieren. Erst wenn die benötigte Funktion leidet.
• Bei Security Warnings IMMER in der IT nachfragen
• Fremde USB-Geräte nicht am Firmen-PC anstecken, Daten besser per Mail fordern. Mails werden am Server und am Endgerät geprüft.
• Vorsicht = Rückfragen: Wenn eine sehr ungewöhnliche Sache von Ihnen „streng geheim“ gefordert wird und der Auftraggeber nicht erreichbar ist. Betrüger arbeiten so.
• Vorsicht = Rückfragen, wenn man Sie stark unter Druck setzt, zB „sehr dringend“ und außergewöhnliche Handlungen gefordert werden (zB Kontoänderungen, hohe Überweisungen oder die Herausgabe einer wichtigen Information).
• Anti-Malware-Scan laufen lassen (1 x je Woche). Fragen Sie Ihre IT, wie das geht.
• Rechnen Sie immer mit einem Taschendieb. Achten Sie auf Smartphone & Laptop
• E-Mails mit heiklen Daten: Verteiler doppelt prüfen vor dem Versand. Ein Versandfehler an eine falsche Adresse ist ein schwer wiegender Fehler.
• E-Mails an viele Personen, die sich nicht kennen: Immer alle in BCC schreiben, denn die E-Mail-Adressen der Empfänger dürfen den anderen Empfängern nicht einfach öffentlich gemacht werden.
• Wenn Sie Unbekannte in Bereichen treffen, wo Personendaten aufbewahrt werden, fragen Sie nach dem zuständigen Mitarbeiter, für den die Person im Haus tätig ist. Fragen Sie bei dem Mitarbeiter dann nach, ob das in Ordnung ist. Diebe arbeiten so. 

Sichere Passworte merken. So geht´s:

Bilden Sie Passworte mit einem Satz aus 10 Zeichen + 6 Zeichen für das System

zB. „Heute Nachmittag erlebe ich acht unglaublich starke Momente hintereinander !“ = HNei8usMh! Davor (oder dahinter) stellen wir 6 Buchstaben des Systems, klein-groß-groß zB: tWITTE für Twitter oder fACEBO für Facebook, oder iTUNES für iTunes...

Das Passwort für facebook: Hei8sM!fACEBO

Übung: Wie lautet das Passwort für „Whatsapp“?

Verraten Sie niemandem Ihren Satz! Lassen Sie sich nicht bei der Eingabe zusehen.

Zuhause notieren Sie Ihre Passworte in einem Notizbuch. Diese Notizbuch darf Ihre Wohnung nie verlassen. Sie brauchen es, wenn Sie vielleicht länger im Krankenhaus sind und danach vielleicht manches vergessen haben.

Verantwortliche, Auftragsverarbeitung & Dienstleister 

Die Unternehmensleitung hat die Verantwortung für die personenbezogenen Daten im Unternehmen. Verantwortliche bestimmen die Zwecke und Mittel der Verarbeitung.

Die Unternehmensleitung muss zuerst prüfen, ob Beauftragte „geeignete Garantien“ für den Schutz der Daten vorweisen können. Es ist deshalb wichtig, dass Dienstleister im Vertrag oder in den verbindlichen AGBs und der Datenschutzerklärung dokumentieren, wie sie den Datenschutz sicherstellen. 

Ein Widerspruch in AGBs oder Datenschutzerklärung zu den geltenden Datenschutzgesetzen muss auf seine Bedeutung im konkreten Fall überprüft werden.

Von den Verantwortlichen dürfen nur Unternehmen und Personen für die Verarbeitung personenbezogener Daten beigezogen werden, die vertraglich zum geltenden Datenschutzrecht verpflichtet wurden. Diese Verträge sind als Nachweis aufzubewahren.

Zwei Arten Auftrag: Auftragsverarbeiter und Verantwortliche

Auftragsverarbeitung 

bedeutet, dass der Verantwortliche die volle Verantwortung für die Datenverarbeitung behält und der Auftragsverarbeiter nach strikten Vorgaben und ohne jeden Spielraum was Mittel und Zwecke anbelangt agieren muss. 

Ein spezieller Vertrag nach Art 28 ist verpflichtend.

(Zur Veranschaulichung: Wenn mehrere Auftragsverarbeiter ihre Aufträge zeitgleich und ohne voneinander zu wissen abarbeiten, ist verständlich, warum hier die Aufträge exakt vom Verantwortlichen zu vergeben sind.)

Der Auftrag bezieht sich dabei auf die Verarbeitung der personenbezogenen Daten.

Wenn ein Auftragsverarbeiter den Vertrag verlässt, indem er eine Vereinbarung bricht, wird er automatisch zum Verantwortlichen

Eine Auftragsverarbeitung liegt zum Beispiel regelmäßig vor bei: 

• Telefonmarketing und andere Callcenterleistungen soweit nicht vom Unternehmen selbst durchgeführt. 
• externer Datenhaltung, insbesondere beim teilweisen oder gesamten Outsourcing eines Rechenzentrums. 
• Implementierung neuer IT-Systeme mit Migration bestehender Datenbanken durch den Auftragnehmer. 
• Nutzung von Cloudsystemen zur Personal- oder Kundenverwaltung. 
• externe Druckdienstleistung. 
• manuellem oder elektronischem Archivierungsservice. 
• Aktenvernichtung, Vernichtung von Datenträgern. 

„Wer keinen spezifischen Auftrag hat, ist Verantwortlicher“

Steuerberater und Rechtsanwälte die durch ihre Standesregeln frei von allen Weisungen sind, sind voll selbst Verantwortliche mit allen Pflichten gegenüber den Betroffenen. Für weisungsfreie Berufsgruppen und alle Auftragnehmer, die nicht eine Auftragsverarbeitung an personenbezogenen Daten durchführen, ist ein Vertrag sinnvoll, der die Pflichten bei Berührung mit personenbezogenen Daten regelt. 

Verträge, die keinen Auftrag zur Verarbeitung beschreiben 

Sollte ein Unternehmen, das keinen spezifischen Auftrag zur Verarbeitung von personenbezogenen Daten hat, unbedingt einen Vertrag abschließen wollen, ist das kein Nachteil, wenn sich alle Inhalte des Vertrages nach Art 28. vereinbaren lassen.

Verträge sind auch Bindungsinstrumente: Wer einen Vertrag eingeht, ist in einer engeren Beziehung gebunden als Verantwortliche, die nach Prüfung ihrer geeigneten Garantien ohne Art.28 Vertrag Daten für Verantwortliche verarbeiten.

Hier finden Sie Beschreibungen, wo keine Auftragsverarbeitung gesehen wird:

www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/EU-DSG/170515-LF-Auftragsverarbeitung-online.pdf

Gemeinsam Verantwortliche: Kooperationen

Die DS-GVO geht in Art. 4 Nr. 7 davon aus, dass Verantwortlicher derjenige ist, der »allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (...)«. 

Auftragsverarbeiter ist diejenige Person oder Stelle, die (so Art. 4 Nr. 8) »personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet«. 

Aus Art. 4 Nr. 7 DS-GVO ergibt sich, dass neben der alleinigen Verantwortung auch ein arbeitsteiliges Zusammenwirken möglich ist. 

Ohne ein solches Zusammenarbeiten kommen selbst kleinere und mittlere Unternehmen heute nur noch selten aus, denn es ermöglicht die Inanspruchnahme besonderer Kenntnisse und Erfahrungen. 

Dabei ist das Zusammenwirken nicht zahlenmäßig beschränkt: Art. 26 DS-GVO, die Kernbestimmung über gemeinsam Verantwortliche, nennt »zwei oder mehr Verantwortliche« und verzichtet auf eine Obergrenze. 

Cloud & Software: Prüfen gegen Vertragsvorlage

Eine Unternehmensleitung, die personenbezogen Daten verarbeitet, ist laut Artikel 32 für die Vertraulichkeit, Verfügbarkeit und Integrität der Daten verantwortlich, was Vertraulichkeitserklärungen und die Einhaltung der Datenschutzgesetze bei den Auftragnehmern erfordert.

Bei Cloud-Diensten, wo Auftragsverarbeiter ihre Kompetenzen mittels AGBs und Datenschutzerklärungen darstellen, muss geprüft werden:

• Ist das Land der Niederlassung des Providers genehmigungsfrei (EWR bzw. Art 45)?
• Welches Risiko für die Betroffenen besteht, wenn der Cloud-Dienst entgegen den Beschreibungen (AGBs, Datenschutzerklärung) agiert?
• Ist die Webseite (auf der personenbezogene Daten verarbeitet werden), die App oder die Software ausreichend und dem Risiko für die Betroffenen durch Nachweis geeigneter Garantien angemessen sicher (zB durch Nachweise externer Zertifizierer oder Tests in Fachmedien dokumentiert)?

Im Dokument „VertragAuftragsverarbeitung_VV-AV-DSGVO“ sind alle Varianten abbildbar.

Informationen für Datenschutzverantwortliche 

Damit für alle Mitarbeiter der Datenschutz einfach und gut funktioniert, gibt es hier für wichtige Themen Informationen. 

Hilfreicher Link zur DSGVO zum Nachlesen: https://dsgvo-gesetz.de

Die Grundsätze des Datenschutzes 

nach Artikel 5 der DSGVO:

• Rechtmäßigkeit der Daten. Ohne Rechtmäßigkeit keine Nutzung von personenbezogenen Daten. Es gibt 6 verschiedene Arten der Rechtmäßigkeit.
• Zweckbindung. Legitime Daten dürfen nur für eindeutige Zwecke genutzt werden.
• Datenminimierung. Nur die für den Zweck erforderlichen Daten sind erlaubt.
• Richtigkeit. Die Daten müssen dem Zweck entsprechend richtig sein.
• Speicherbegrenzung. Daten dürfen solange wie notwendig genutzt werden.
• Integrität und Vertraulichkeit. Daten müssen vor Beschädigung, Verlust und gegen Unbefugte geschützt werden.
• Rechenschaftspflicht. Gegenüber Betroffenen und der Behörde gibt es verschiedene Pflichten über Nachweise.

Vertraulichkeit: Die Pflicht

Artikel 29 DSGVO sagt:  Jede unterstellte Person (bei Verantwortlichen und auch bei Auftragsverarbeitern), die Zugang zu personenbezogenen Daten hat, darf diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten.

Diese Weisung und die Verpflichtung zur Vertraulichkeit (auch über das Ende des Arbeitsverhältnisses hinaus) muss vereinbart werden.

Bei MitarbeiterInnen im Dienstvertrag, bei externen Personen, die Zugang zu personenbezogenen Daten haben könnten (Steuerberater, IT etc.) im Vertrag.

Übersicht über Verarbeitungen

DSGVO Art 30 fordert ein „Verzeichnis aller Verarbeitungen personenbezogener Daten“. 

Es ist die Basisinformation über die Datenverarbeitungen und aller Maßnahmen.

Das Verzeichnis ist die Grundlage aller Argumentationen, warum die Maßnahmen als angemessen bewertet werden.

Das Verzeichnis wird vom Verantwortlichen für alle Verarbeitungen geführt, für die er Zwecke und Mittel definiert.

Ebenfalls wird ein Verzeichnis auch von Auftragsverarbeitern für deren Verarbeitungen im Auftrag von Verantwortlichen geführt.

Datenschutz & MitarbeiterInnen

Wer neu ins Unternehmen kommt, bekommt 4 Informationen zum Datenschutz:

• Vertraulichkeitserklärung im Dienstvertrag 
• Eine Einweisung zum Datenschutz durch Selbststudium des Datenschutz-Handbuchs
• Erklärung der Regeln für sicheres Verhalten durch die / den Vorgesetzten
• Awareness-Schulung über den Sinn der Regeln

In den folgenden Jahren finden diese 3 organisatorischen Maßnahmen jährlich statt:

• Besprechung und Bewertung der Erfahrungen mit Regeln für sicheres Verhalten im Team
• Awareness-Schulung über den Sinn der Regeln
• Information an die Unternehmensleitung über die Bewertung 

Daten in Drittländer & an internationale Organisationen

Wenn Daten außerhalb des Europäischen Wirtschaftsraums übermittelt werden sollen, gibt es zwei Prüfungen:

• Das Land, in das die Daten übermittelt werden sollen
• Die geeigneten Garantien des Verantwortlichen / Auftragsverarbeiters, dem die Daten übermittelt werden

Hier finden die Artikel 44-49 Anwendung.

Im Vertrag, den Sie mit dem Verantwortlichen / Auftragsverarbeiter vereinbaren müssen, finden Sie alle erforderlichen Fragen.

Siehe Vertragsvorlage „VertragAuftragsverarbeitung_...“ unter der Überschrift (2) Ort der vorgesehenen Verarbeitung von Daten“