SlideShare ist ein Scribd-Unternehmen logo
1 von 51
Rev.
Stand
3.0
15. Juni 2021, 10.00 – 11.30 Uhr
Webinar
Datenverarbeitung
durch Dritte
Inhaltlicher Stand: 31.05.2021 © RA Michael Rohrlich
Rev.
Stand
3.0
Rechtsanwalt Michael Rohrlich
Dozent
2
zugelassen als
Rechtsanwalt seit 03/2003
TÜV Süd zertifizierter
Datenschutzbeauftragter
(DSB-TÜV) seit 06/2012
Vorstandsmitglied des
Webmasters Europe e.V.
seit 09/2010
Mitglied im Expertenrat
des Webmasters Europe
e.V. seit 03/2019
Fachautor seit 1997 /
Buchautor seit 2005
Dozent seit 1998
Video-Trainer bei LinkedIn
Learning / Microsoft (ehem.
video2brain) seit 07/2012
Rev.
Stand
3.0
1. Einführung
2. Auftragsverarbeitung (AV) vs. gemeinsame
Verantwortlichkeit
3. Typische AV-Verhältnisse
4. Regelmäßig keine AV-Verhältnisse
5. Der AV- / JC-Vertrag
6. Besonderheiten in den sozialen Medien
Agenda
3
Rev.
Stand
3.0
1. Einführung
2. Auftragsverarbeitung (AV) vs. gemeinsame
Verantwortlichkeit
3. Typische AV-Verhältnisse
4. Regelmäßig keine AV-Verhältnisse
5. Der AV- / JC-Vertrag
6. Besonderheiten in den sozialen Medien
Agenda
4
Rev.
Stand
3.0
Einführung
5
verantwortliche
Stelle
E-Mail-Hoster
Google
Analytics
IT-Dienstleister
Cloud-Dienst
Social Plugins
Werbeagentur
Post
Hausbank
Web-Hoster
Rev.
Stand
3.0
 Auftragsverarbeitung (AV)?
 in Art. 4 DSGVO werden über 20 Begriffe definiert, u.a.
auch „Auftragsverarbeiter“:
„Auftragsverarbeiter ist eine natürliche oder juristische
Person, Behörde, Einrichtung oder andere Stelle, die
personenbezogene Daten im Auftrag des Verantwortlichen
verarbeitet.“
Einführung
6
Rev.
Stand
3.0
 Auftragsverarbeiter sind unabhängig von
Organisationsform, Größe, Mitarbeiteranzahle, Branche
etc. zu bewerten
 Voraussetzung: Weisungsgebundenheit des Beauftragten
Einführung
7
Rev.
Stand
3.0
 Definition des „Verantwortlichen“ (Art. 4 Nr. 7 DSGVO)
zur Abgrenzung ebenfalls wichtig:
„Verantwortlicher ist eine natürliche oder juristische Person,
Behörde, Einrichtung oder andere Stelle, die allein oder
gemeinsam mit anderen über die Zwecke und Mittel der
Verarbeitung von personenbezogenen Daten entscheidet
[…]“
Einführung
8
Rev.
Stand
3.0
 um über Zwecke bzw. Mittel entscheiden zu können, muss
ein tatsächlicher oder rechtlicher Einfluss auf die
Entscheidung bzgl. der Datenverarbeitung bestehen
 daher sind z.B.
 Betriebsarzt,
 DSB,
 weisungsabhängige Dienstleister,
 Gleichstellungs- oder Geldwäschebeauftragte
 Betriebs- / Personalrat
 keine Verantwortlichen
Einführung
9
Rev.
Stand
3.0
 Betriebsrätemodernisierungsgesetz*
 -> § 79a BetrVG-neu:
 „Bei der Verarbeitung personenbezogener Daten hat der
Betriebsrat die Vorschriften über den Datenschutz
einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner
Zuständigkeit liegenden Aufgaben personen-bezogene Daten
verarbeitet, ist der Arbeitgeber der für die Verarbeitung
Verantwortliche im Sinne der datenschutzrechtlichen
Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich
gegenseitig bei der Einhaltung der datenschutzrechtlichen
Vorschriften.“
 * noch nicht verkündet bzw. in Kraft (Stand: 31.05.2021)
Einführung
10
Rev.
Stand
3.0
 Regelungen bzgl. AV-Verhältnis u.a. zu
 Form des AV-Vertrages
 Inhalten des AV-Vertrages
 Vorgaben bzgl. Datensicherheit (TOMs)
 Details zu evtl. Unterauftragsverhältnissen
 aber: DSGVO regelt nicht, wann ein AV-Verhältnis
vorliegt bzw. wann nicht
Einführung
11
Rev.
Stand
3.0
 nur „sichere“ Auftragsverarbeiter
 Art. 28 Abs. 1 DSGVO:
 „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so
arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend
Garantien dafür bieten, dass geeignete technische und
organisatorische Maßnahmen so durchgeführt werden, dass die
Verarbeitung im Einklang mit den Anforderungen dieser
Verordnung erfolgt und den Schutz der Rechte der betroffenen
Person gewährleistet.“
 „Hinreichende Garantien“ ggf. auch durch genehmigte
Verhaltensregeln bzw. genehmigte Zertifizierungsverfahren
gem. Art. 28 Abs. 5 DSGVO (derzeit noch nicht verfügbar)
Einführung
12
Rev.
Stand
3.0
 Unterauftragnehmer nur mit Zustimmung
 Art. 28 Abs. 2 S. 1, 2 DSGVO:
 „Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter
ohne vorherige gesonderte oder allgemeine schriftliche
Genehmigung des Verantwortlichen in Anspruch.
Im Fall einer allgemeinen schriftlichen Genehmigung informiert der
Auftragsverarbeiter den Verantwortlichen immer über jede
beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die
Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche
die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu
erheben.“
 mögliche Haftung des Auftragsverarbeiters nicht nur für eigene
Fehler, sondern auch für Fehler von Unterauftragnehmern ggü.
verantwortlicher Stelle (Art 28 Abs. 4 S. 2 DSGVO)
Einführung
13
Rev.
Stand
3.0
 Mitwirkungs- / Hinweispflicht
 u.a. Art. 28 Abs. 3 S. 3 DSGVO:
 „Mit Blick auf [die Unterstützung beim Nachweis der
Einhaltung der DSGVO] informiert der Auftragsverarbeiter
den Verantwortlichen unverzüglich, falls er der Auffassung
ist, dass eine Weisung gegen diese Verordnung oder gegen
andere Datenschutzbestimmungen der Union oder der
Mitgliedstaaten verstößt.“
Einführung
14
Rev.
Stand
3.0
1. Einführung
2. Auftragsverarbeitung (AV) vs. gemeinsame
Verantwortlichkeit
3. Typische AV-Verhältnisse
4. Regelmäßig keine AV-Verhältnisse
5. Der AV- / JC-Vertrag
6. Besonderheiten in den sozialen Medien
Agenda
15
Rev.
Stand
3.0
 Welche Vorgaben für AV-Verhältnisse enthält die DSGVO?
 Art. 28 Abs. 3 S. 2 lit. a):
 „Dieser Vertrag […] sieht insbesondere vor, dass der
Auftragsverarbeiter die personenbezogenen Daten nur auf
dokumentierte Weisung des Verantwortlichen […] verarbeitet“
 -> Weisungsbefugnis des Auftraggebers ggü. Dienstleister
 -> keine eigenen Interessen des Dienstleisters an den
verarbeiteten pb Daten
 -> aber: Dienstleister darf im AV-Verhältnis über Mittel der
Verarbeitung (mit-) entscheiden
AV vs. gemeins. Verantwortung
16
Rev.
Stand
3.0
 Gemeinsame Verantwortung (Art. 26 Abs. 1 S. 1):
 „Legen zwei oder mehr Verantwortliche gemeinsam die
Zwecke der und die Mittel zur Verarbeitung fest, so sind
sie gemeinsam Verantwortliche.“
 sog. Joint Controllership (JC)
AV vs. gemeins. Verantwortung
17
Rev.
Stand
3.0
AV vs. gemeins. Verantwortung
18
gemeinsame
Verantwortlichkeit
(Art. 26 DSGVO)
AV-Verhältnis
(Art. 28 DSGVO)
getrennte
Verantwortlichkeit
wenn über Zwecke und Mittel
der Verarbeitung gemeinsam
entschieden wird
Auftraggeber entscheidet
alleine über Zwecke und
Mittel der Verarbeitung
jeweils eigenständige
Entscheidung über Zwecke
und Mittel der Verarbeitung
beide verfolgen mit der
Datenverarbeitung jeweils
eigene Interessen
Auftragnehmer als
„verlängerte Arm“ bzw.
„ausführendes Organ“ des
Auftraggebers; keine eigenen
Interessen des
Auftragnehmers
jeweils eigene Interessen,
die unabhängig vom anderen
bestehen bzw. erreicht
werden können
Ausmaß der Entscheidungs-
möglichkeit bzw. Zugang zu
den Daten irrelevant
„Mittel der Datenverarbeitung“
nicht nur im techn. oder
organisat. Sinne zu
verstehen, sondern v.a. als
Zugriffsrecht etc.
i.d.R. eher zufällige
Konstellation
Rev.
Stand
3.0
AV vs. gemeins. Verantwortung
19
keine Möglichkeit der Kenntnisnahme der Daten
durch AV (z.B. per Anonymisierung)?
AV-Verhältnis?
wirksamer AV-Vertrag?
Datenverarbeitung in Deutschland?
Datenverarbeitung innerhalb EU / EWR?
zulässige Datenverarbeitung in Drittland?
Checkliste Auftragsverarbeitung
Rev.
Stand
3.0
AV vs. gemeins. Verantwortung
20
Checkliste Auftragsverarbeitung – Verarbeitung in Drittland
anerkanntes Schutzniveau?
Zertifizierung durch EU-US-Privacy-Shield
(USA)?
Verwendung der EU-Standardvertragsklauseln?
Vorliegen von (genehmigten) Binding Corporate
Rules (BCR)?
für Vertragserfüllung erforderlich?
Einwilligung der Betroffenen?
zusätzliche Garantien?
Rev.
Stand
3.0
 Staaten mit „anerkanntem Schutzniveau“ (Stand: 05/2021):
 Andorra
 Argentinien
 Kanada
 Schweiz
 Färöer-Inseln
 Guernsey
 Israel
 Isle of Man
 Jersey
 Neuseeland
 Uruguay
 Japan
 demnächst: Republik Korea
 USA (Privacy Shield)
AV vs. gemeins. Verantwortung
21
Rev.
Stand
3.0
 erwartungsgemäß: EuGH kippt den „EU-US-Privacy-
Shield“
 „Der Durchführungsbeschluss (EU) 2016/1250 der
Kommission vom 12. Juli 2016 gemäß der Richtlinie
95/46/EG des Europäischen Parlaments und des Rates
über die Angemessenheit des vom EU-US-
Datenschutzschild gebotenen Schutzes ist ungültig.“
(EuGH, Urt. v. 16.07.2020, Az. C-311/18)
AV vs. gemeins. Verantwortung
22
Rev.
Stand
3.0
 mögliche Alternativen:
 EU-Standardvertragsklauseln (neue Fassung geplant)
 Einwilligung (schwierig, zudem jederzeit widerrufbar)
 Art. 49 (restriktiv auszulegen)
 erforderlich zur Erfüllung eines Vertrages
 wichtige Gründe des öffentl. Interesses
 Schutz lebenswichtiger Interessen
 …
AV vs. gemeins. Verantwortung
23
Rev.
Stand
3.0
1. Einführung
2. Auftragsverarbeitung (AV) vs. gemeinsame
Verantwortlichkeit
3. Typische AV-Verhältnisse
4. Regelmäßig keine AV-Verhältnisse
5. Der AV- / JC-Vertrag
6. Besonderheiten in den sozialen Medien
Agenda
24
Rev.
Stand
3.0
 Wann liegt ein AV-Verhältnis vor?
 Problem: keine Anhaltspunkte in der DSGVO oder im BDSG
 wichtig: Abgrenzung zur gemeinsamen oder getrennten
Verantwortlichkeit
 Praxishilfen der dt. Aufsichtsbehörden u.a., z.B. von BayLDA,
DSK, LfDI Baden-Württemberg
 Tipp: „Orientierungshilfe Auftragsverarbeitung“ der DSK oder
des BayLDA
Typische AV-Verhältnisse
25
Rev.
Stand
3.0
 typische AV-Verhältnisse (1/2):
 DV-technische Arbeiten für Lohn- und Gehaltsabrechnung
 Outsourcing mittels Cloud-Computing
 Werbeadressenverarbeitung in sog. Lettershop
 Verarbeitung von Kundendaten durch Callcenter (ohne
wesentliche eigene Entscheidungsspielräume)
 Auslagerung der E-Mail-Verwaltung oder von sonstigen
Datendiensten zu Webseiten (z.B. Betreuung von
Kontaktformularen oder Nutzeranfragen)
 Datenerfassung, Datenkonvertierung oder Einscannen von
Dokumenten
 Auslagerung der Backup-Sicherheitsspeicherung und anderer
Archivierungen
 Datenträgerentsorgung durch Dienstleister
Typische AV-Verhältnisse
26
Rev.
Stand
3.0
 typische AV-Verhältnisse (2/2):
 Prüfung oder Wartung (z.B. Fernwartung, externer Support)
automatisierter Verfahren oder von EDV-Anlagen, wenn dabei ein Zugriff
auf personenbezogene Daten nicht ausgeschlossen werden kann
 Zentralisierung bestimmter „Shared-Services-Dienstleistungen“ innerhalb
eines Konzerns, wie Dienstreisen-Planungen oder
Reisekostenabrechnungen
 Apothekenrechenzentren (§ 300 SGB V)
 ärztliche / zahnärztliche Verrechnungsstellen (ohne Forderungsverkauf)
 Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten
erheben
 externe Personen, Dienstleister usw., die im Auftrag Messwerte in
Mietwohnungen ablesen bzw. verarbeiten (Heizung, Strom, Wasser etc.)
 Visabeschaffungsdienstleister, die hierfür vom Arbeitgeber die
Beschäftigtendaten erhalten
Typische AV-Verhältnisse
27
Rev.
Stand
3.0
1. Einführung
2. Auftragsverarbeitung (AV) vs. gemeinsame
Verantwortlichkeit
3. Typische AV-Verhältnisse
4. Regelmäßig keine AV-Verhältnisse
5. Der AV- / JC-Vertrag
6. Besonderheiten in den sozialen Medien
Agenda
28
Rev.
Stand
3.0
 Wann liegt kein AV-Verhältnis vor?
 Problem: keine Anhaltspunkte in der DSGVO oder im BDSG
 wichtig: Abgrenzung zur gemeinsamen oder getrennten
Verantwortlichkeit
 Praxishilfen der dt. Aufsichtsbehörden u.a., z.B. von BayLDA,
DSK, LfDI Baden-Württemberg
 Tipp: „Orientierungshilfe Auftragsverarbeitung“ der DSK oder
des BayLDA
Regelmäßig keine AV-Verhältn.
29
Rev.
Stand
3.0
 regelmäßig keine AV-Verhältnisse (1/5):
 Tätigkeiten von Berufsgeheimnisträgern (Steuerberater,
Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer,
Ärzte, Apotheker…)
 Inkassobüros mit Forderungsübertragung
 Bankinstitute für den Geldtransfer
 Postdienste für den Brief- oder Pakettransport
 Tätigkeit als Verwalter z.B. für Eigentumswohnungen
Regelmäßig keine AV-Verhältn.
30
Rev.
Stand
3.0
 regelmäßig keine AV-Verhältnisse (2/5):
 Detektive (bei ihrer Observierungs-, Überwachungs- oder
Ausforschungstätigkeit)
 Fälle beauftragter Warenzusendung (z.B. durch Blumen-
oder Weinhändler, Hersteller…)
 Insolvenzverwalter
 Personalvermittlung nach Auftrag von Stellensuchenden
oder Arbeitgebern
 Internet-Plattformbetreiber zur Vermittlung zwischen
Anbietern und Nachfragern, die sich auf der Plattform
treffen können (z.B. eBay, Amazon, MyHammer…)
Regelmäßig keine AV-Verhältn.
31
Rev.
Stand
3.0
 regelmäßig keine AV-Verhältnisse (3/5):
 TKG-Dienstleistungen (z.B. Deutsche Telekom, Vodafone,
Telefonica, 1&1…)
 Versicherungs- oder Finanzmakler bzw. -vermittler im
Rahmen des Kundenvertrags
 Handelsvertreter im Rahmen ihrer Beratungstätigkeit und
Vertragsvermittlungen
 Übersendung von Schulungsteilnehmer-Daten zur
Durchführung der Schulung an einen externen Trainer,
Schulungsveranstalter oder an das Tagungshotel
 Fertigung individueller medizinischer Produkte,
Hilfsmittel, Prothesen etc. für Patienten / Kunden
Regelmäßig keine AV-Verhältn.
32
Rev.
Stand
3.0
 regelmäßig keine AV-Verhältnisse (4/5):
 Medizinische Labore, Materiallabore usw.
(Materialuntersuchung im Auftrag)
 Zahlungsdienstleister für elektronische Zahlungen
 von Reisebüros aufgrund Kundenvertrags vermittelte
Leistungsanbieter, wie Hotels, Mietwagenfirmen,
Fluggesellschaften, Busunternehmen, Versicherungen usw.
 vom Vermieter beauftragte Handwerker, die dazu die
nötigen Mieterdaten erhalten
 Sachverständige zur Begutachtung eines Kfz-Schadens
 Personenbeförderung / Krankentransportleistungen
Regelmäßig keine AV-Verhältn.
33
Rev.
Stand
3.0
 regelmäßig keine AV-Verhältnisse (5/5):
 Bewachungsdienstleistungen
 Reinigungsdienstleistungen und Handwerkereinsätze in
Unternehmen
 Reinigung von Berufskleidung (mit Namensschildern)
 Druck von Prospekten, Katalogen etc. (mit Bildern von
Beschäftigten oder Fotomodellen)
 Aber: Abgrenzung zu Lettershops!
 Transport von Unterlagen und Waren durch Kurierdienste,
Speditionen, Zeitungsausträger
 Übersetzung von Texten in/aus Fremdsprachen
Regelmäßig keine AV-Verhältn.
34
Rev.
Stand
3.0
1. Einführung
2. Auftragsverarbeitung (AV) vs. gemeinsame
Verantwortlichkeit
3. Typische AV-Verhältnisse
4. Regelmäßig keine AV-Verhältnisse
5. Der AV- / JC-Vertrag
6. Besonderheiten in den sozialen Medien
Agenda
35
Rev.
Stand
3.0
 Form des AV-Vertrages (Art. 28 Abs. 9 DSGVO):
 „Der Vertrag [...] ist schriftlich abzufassen, was auch in
einem elektronischen Format erfolgen kann.“
 nach allg. Auffassung ist auch der Abschluss des AV-
Vertrages in elektr. Form zulässig (Website, App…)
Der AV- / JC-Vertrag
36
Rev.
Stand
3.0
 Pflichtinhalte eines AV-Vertrages [1/2]:
 Gegenstand, Dauer, Art & Zweck der Verarbeitung
 Art der personenbezogenen Daten
 Kategorien der Betroffenen
 Rechte & Pflichten des Verantwortlichen
 AV darf Daten nur auf dokumentierte Weisung des
Verantwortlichen verarbeiten, sofern er nicht durch Gesetz hierzu
verpflichtet ist
 AV gewährleistet, dass sich die zur Datenverarbeitung befugten
Personen zur Vertraulichkeit verpflichtet haben oder einer
angemessenen gesetzlichen Verschwiegenheitspflicht
unterliegen
 AV ergreift alle erforderlichen Maßnahmen zur Sicherheit der
Datenverarbeitung (vgl. Art. 32 DSGVO)
Der AV- / JC-Vertrag
37
Rev.
Stand
3.0
 Pflichtinhalte eines AV-Vertrages [2/2)]:
 AV hält Bedingungen für Inanspruchnahme der Dienste eines weiteren
Auftragsverarbeiters ein
 AV unterstützt Verantwortlichen nach Möglichkeit mit geeigneten TOMs
dabei, der Pflicht zur Beantwortung von Anträgen auf Wahrnehmung
von Betroffenenrechten nachzukommen
 AV unterstützt Verantwortlichen unter Berücksichtigung der Art der
Verarbeitung & der ihm zur Verfügung stehenden Informationen bei der
Einhaltung seiner Pflichten (z.B. zur DSFA)
 nach Abschluss der Erbringung der Verarbeitungsleistungen veranlasst
AV Löschung bzw. Rückgabe aller Daten nach Wahl des
Verantwortlichen an diesen (sofern nicht eine gesetzliche Verpflichtung zur
Speicherung der Daten besteht)
 AV stellt Verantwortlichen alle erforderlichen Informationen zum
Nachweis der Einhaltung seiner Pflichten zur Verfügung und ermöglicht
Überprüfungen, die vom Verantwortlichen durchgeführt werden
Der AV- / JC-Vertrag
38
Rev.
Stand
3.0
 Technisch Organisatorische Maßnahmen (TOM) im AV-Vertrag?
 nach früherer Rechtslage waren TOM integraler Bestandteil des
AV-Vertrages
 TOMs werden heute i.d.R. als Anlage beigefügt
 gem. DSGVO keine Pflicht zur Integration der TOM im AV-
Vertrag
 je sensibler oder umfangreicher die Daten sind, die per AV
verarbeitet werden sollen, desto eher sollten die TOMs
beschrieben und in den AV-Vertrag aufgenommen werden
Der AV- / JC-Vertrag
39
Rev.
Stand
3.0
 Entgelt für Prüfungen der Voraussetzungen beim Auftragnehmer?
 Pflicht des Auftragnehmers, Prüfungen durch Auftraggeber
zuzulassen -> Pflicht im Vertrag zu regeln
 kein Anhaltspunkt in DSGVO, dass Prüfungen kostenfrei sein
müssen
 ggf. Nachweis durch vorherige Prüfungen, Zertifizierungen etc.
möglich -> wenn darüber hinaus eine Vor-Ort-Prüfung
gewünscht wird, können angemessene Kosten ggü.
Auftraggeber geltend gemacht werden (allerdings darf dabei kein
Gewinn gemacht werden, es geht nur um die Kosten, die
tatsächlich für die Prüfung vor Ort entstehen)
 Ausnahme: wenn Anzeichen für Rechtsverletzungen,
Sicherheitsmängel o.ä. vorliegen, muss kostenfreie Prüfung
durch Auftraggeber möglich sein
Der AV- / JC-Vertrag
40
Rev.
Stand
3.0
 Exkurs: Spezielles Verarbeitungsverzeichnis für Auftragsverarbeiter!
 jeder Auftragsverarbeiter führt ein Verzeichnis zu allen Kategorien von
Verarbeitungstätigkeiten, die im Auftrag eines Verantwortlichen durchgeführt
werden
 dieses Verarbeitungsverzeichnis enthält Folgendes:
 den Namen und die Kontaktdaten des Auftragsverarbeiters und jedes
Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist
 den Namen und die Kontaktdaten des Vertreters des Verantwortlichen oder des
Auftragsverarbeiters
 den Namen und die Kontaktdaten eines etwaigen Datenschutzbeauftragten
 die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen
durchgeführt werden
 ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an
eine internationale Organisation, einschließlich der Dokumentierung geeigneter
Garantien
 wenn möglich, eine allg. Beschreibung der technischen und
organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO
Der AV- / JC-Vertrag
41
Rev.
Stand
3.0
 Form des JC-Vertrages?
 es existieren keine Formvorgaben
 Abfassung in Schriftform, elektronisch oder auch „per
Handschlag“ möglich
 aber: „Das wesentliche der Vereinbarung wird der
betroffenen Person zur Verfügung gestellt.“ (Art. 26 Abs. 2
S. 2)
Der AV- / JC-Vertrag
42
Rev.
Stand
3.0
 Pflichtinhalte des JC-Vertrages? [1/2]
 „Sie legen in einer Vereinbarung in transparenter Form
fest, wer von ihnen welche Verpflichtung gemäß dieser
Verordnung erfüllt, insbesondere was die Wahrnehmung
der Rechte der betroffenen Person angeht, und wer
welchen Informationspflichten gemäß den Artikeln 13 und
14 nachkommt, sofern und soweit die jeweiligen Aufgaben
der Verantwortlichen nicht durch Rechtsvorschriften der
Union oder der Mitgliedstaaten, denen die Verantwortlichen
unterliegen, festgelegt sind.“ (Art. 26 Abs. 1 S. 2)
Der AV- / JC-Vertrag
43
Rev.
Stand
3.0
 Pflichtinhalte des JC-Vertrages? [2/2]
 „In der Vereinbarung kann eine Anlaufstelle für die
betroffenen Personen angegeben werden.“ (Art. 26 Abs. 1
S. 3)
 „Die Vereinbarung gemäß Absatz 1 muss die jeweiligen
tatsächlichen Funktionen und Beziehungen der
gemeinsam Verantwortlichen gegenüber betroffenen
Personen gebührend widerspiegeln.“ (Art. 26 Abs. 2 S. 1)
Der AV- / JC-Vertrag
44
Rev.
Stand
3.0
1. Einführung
2. Auftragsverarbeitung (AV) vs. gemeinsame
Verantwortlichkeit
3. Typische AV-Verhältnisse
4. Regelmäßig keine AV-Verhältnisse
5. Der AV- / JC-Vertrag
6. Besonderheiten in den sozialen Medien
Agenda
45
Rev.
Stand
3.0
 EuGH, „FashionID“-Urt. v. 29.7.2019, C-40/17:
 Gemeinsame Verantwortlichkeit von Facebook & Fanpage-
Betreiber bzw. Nutzer von Social Plugins
 Gerichtsentscheidung primär nur bzgl. Facebook & Fanpage-
Betreiber, aber auch auf andere soziale Netzwerke
übertragbar
 Auswirkungen auf die Praxis?
Social Media
46
Rev.
Stand
3.0
 Betrieb von Social-Media-Accounts:
 Abschluss eines Vertrages über gemeinsame
Verantwortlichkeit (sog. Joint Controllership gem.
Art. 26 DSGVO) – z.Zt. nur bei Facebook möglich
 Datenschutzerklärung für Social-Media-Account
 Anpassung der Website-Datenschutzerklärung
 Verweis von Social-Media-Accounts auf Website
 per sprechendem Link (z.B. „Datenschutzerklärung:
www.xyz.de/datenschutz“ o.ä.)
 „Rückverweis“ auf soziale Medien
Social Media
47
Rev.
Stand
3.0
Social Media
48
Facebook
Twitter
LinkedIn
Youtube
Xing
…
Rev.
Stand
3.0
 Einsatz sog. Social Plugins, z.B.
 „Like“-Button (Facebook)
 „Tweet“-Button (Twitter)
 „Share“-Button (LinkedIn)
 „x“-Button (Xing)
Social Media
49
Rev.
Stand
3.0
 Einsatz von sog. „2-Klick-Lösungen“ o.ä. Techniken in
der Praxis noch nicht abschließend jur. bewertet
 der sog. „Düsseldorfer Kreis“ hat am 08.12.2011
beschlossen, dass jedenfalls die Einbindung von Social
Plugins ohne „2-Klick-Lösung“ rechtswidrig ist
 u.a. der Heise Verlag bietet eine eigene techn. Lösung
dafür (c‘t Shariff), auch Erweiterungen für div. CMS-
Systeme erhältlich
 z.B. Cookie-Banner, der auch Social Plugins umfasst
Social Media
50
Rev.
Stand
3.0
 Einsatz „2-Klick-Lösung“
 Einbindung von Platzhalter-Grafiken (ohne sonstige
Funktionen)
 Infos bzgl. „Social Plugins“ bzw. „2-Klick-Lösung“ als
Mouse-over-Text
 Aktivierung der Social Plugins nach 1. Mausklick
des Nutzers
 Nutzung der Funktionen der Social Plugins erst nach
2. Mausklick des Nutzers
 ausdrücklicher Hinweis auf Social Plugins in
Datenschutzerklärung + Hinweis auf gemeinsame
Verantwortlichkeit
Social Media
51

Weitere ähnliche Inhalte

Ähnlich wie Datenverarbeitung durch Dritte

SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
Symposia 360°
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
Symposia 360°
 
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Raabe Verlag
 

Ähnlich wie Datenverarbeitung durch Dritte (20)

Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Datenschutz Update Juli 2021
Datenschutz Update Juli 2021
 
Datenschutz im internet
Datenschutz im internetDatenschutz im internet
Datenschutz im internet
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
 
Sichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandSichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins Ausland
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im Datenschutzrecht
 
Cloud Computing
Cloud Computing Cloud Computing
Cloud Computing
 
1612011[1]
1612011[1]1612011[1]
1612011[1]
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
 
Datenschutz 2013 bernd_fuhlert
Datenschutz 2013 bernd_fuhlertDatenschutz 2013 bernd_fuhlert
Datenschutz 2013 bernd_fuhlert
 
Datenschutz im Internet
Datenschutz im InternetDatenschutz im Internet
Datenschutz im Internet
 
Impressum & Datenschutzerklärung
Impressum &  DatenschutzerklärungImpressum &  Datenschutzerklärung
Impressum & Datenschutzerklärung
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
 
nuances newsletter - February 2014
nuances newsletter - February 2014nuances newsletter - February 2014
nuances newsletter - February 2014
 
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
 
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
 
Cloud Compendium
Cloud CompendiumCloud Compendium
Cloud Compendium
 
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
 
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMCOnlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
 
Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz
Verträge für die Cloud - Rechtliche Besonderheiten und praktische RelevanzVerträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz
Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz
 

Mehr von Michael Rohrlich

Mehr von Michael Rohrlich (16)

Grundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & DatenschutzrechtGrundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & Datenschutzrecht
 
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen PraxisElektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
 
Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?
 
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
 
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess aufOnlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
 
E-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - VertragsfragenE-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - Vertragsfragen
 
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess aufE-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
 
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes ImpressumE-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
 
Social Media Recht
Social Media RechtSocial Media Recht
Social Media Recht
 
E-Commerce-Recht
E-Commerce-RechtE-Commerce-Recht
E-Commerce-Recht
 
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachten
 
E-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer WerbungE-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
 
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreichDer Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
 
DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?
 
Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVO
 

Datenverarbeitung durch Dritte

  • 1. Rev. Stand 3.0 15. Juni 2021, 10.00 – 11.30 Uhr Webinar Datenverarbeitung durch Dritte Inhaltlicher Stand: 31.05.2021 © RA Michael Rohrlich
  • 2. Rev. Stand 3.0 Rechtsanwalt Michael Rohrlich Dozent 2 zugelassen als Rechtsanwalt seit 03/2003 TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012 Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010 Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019 Fachautor seit 1997 / Buchautor seit 2005 Dozent seit 1998 Video-Trainer bei LinkedIn Learning / Microsoft (ehem. video2brain) seit 07/2012
  • 3. Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 3
  • 4. Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 4
  • 6. Rev. Stand 3.0  Auftragsverarbeitung (AV)?  in Art. 4 DSGVO werden über 20 Begriffe definiert, u.a. auch „Auftragsverarbeiter“: „Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“ Einführung 6
  • 7. Rev. Stand 3.0  Auftragsverarbeiter sind unabhängig von Organisationsform, Größe, Mitarbeiteranzahle, Branche etc. zu bewerten  Voraussetzung: Weisungsgebundenheit des Beauftragten Einführung 7
  • 8. Rev. Stand 3.0  Definition des „Verantwortlichen“ (Art. 4 Nr. 7 DSGVO) zur Abgrenzung ebenfalls wichtig: „Verantwortlicher ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]“ Einführung 8
  • 9. Rev. Stand 3.0  um über Zwecke bzw. Mittel entscheiden zu können, muss ein tatsächlicher oder rechtlicher Einfluss auf die Entscheidung bzgl. der Datenverarbeitung bestehen  daher sind z.B.  Betriebsarzt,  DSB,  weisungsabhängige Dienstleister,  Gleichstellungs- oder Geldwäschebeauftragte  Betriebs- / Personalrat  keine Verantwortlichen Einführung 9
  • 10. Rev. Stand 3.0  Betriebsrätemodernisierungsgesetz*  -> § 79a BetrVG-neu:  „Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personen-bezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.“  * noch nicht verkündet bzw. in Kraft (Stand: 31.05.2021) Einführung 10
  • 11. Rev. Stand 3.0  Regelungen bzgl. AV-Verhältnis u.a. zu  Form des AV-Vertrages  Inhalten des AV-Vertrages  Vorgaben bzgl. Datensicherheit (TOMs)  Details zu evtl. Unterauftragsverhältnissen  aber: DSGVO regelt nicht, wann ein AV-Verhältnis vorliegt bzw. wann nicht Einführung 11
  • 12. Rev. Stand 3.0  nur „sichere“ Auftragsverarbeiter  Art. 28 Abs. 1 DSGVO:  „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“  „Hinreichende Garantien“ ggf. auch durch genehmigte Verhaltensregeln bzw. genehmigte Zertifizierungsverfahren gem. Art. 28 Abs. 5 DSGVO (derzeit noch nicht verfügbar) Einführung 12
  • 13. Rev. Stand 3.0  Unterauftragnehmer nur mit Zustimmung  Art. 28 Abs. 2 S. 1, 2 DSGVO:  „Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.“  mögliche Haftung des Auftragsverarbeiters nicht nur für eigene Fehler, sondern auch für Fehler von Unterauftragnehmern ggü. verantwortlicher Stelle (Art 28 Abs. 4 S. 2 DSGVO) Einführung 13
  • 14. Rev. Stand 3.0  Mitwirkungs- / Hinweispflicht  u.a. Art. 28 Abs. 3 S. 3 DSGVO:  „Mit Blick auf [die Unterstützung beim Nachweis der Einhaltung der DSGVO] informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.“ Einführung 14
  • 15. Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 15
  • 16. Rev. Stand 3.0  Welche Vorgaben für AV-Verhältnisse enthält die DSGVO?  Art. 28 Abs. 3 S. 2 lit. a):  „Dieser Vertrag […] sieht insbesondere vor, dass der Auftragsverarbeiter die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen […] verarbeitet“  -> Weisungsbefugnis des Auftraggebers ggü. Dienstleister  -> keine eigenen Interessen des Dienstleisters an den verarbeiteten pb Daten  -> aber: Dienstleister darf im AV-Verhältnis über Mittel der Verarbeitung (mit-) entscheiden AV vs. gemeins. Verantwortung 16
  • 17. Rev. Stand 3.0  Gemeinsame Verantwortung (Art. 26 Abs. 1 S. 1):  „Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche.“  sog. Joint Controllership (JC) AV vs. gemeins. Verantwortung 17
  • 18. Rev. Stand 3.0 AV vs. gemeins. Verantwortung 18 gemeinsame Verantwortlichkeit (Art. 26 DSGVO) AV-Verhältnis (Art. 28 DSGVO) getrennte Verantwortlichkeit wenn über Zwecke und Mittel der Verarbeitung gemeinsam entschieden wird Auftraggeber entscheidet alleine über Zwecke und Mittel der Verarbeitung jeweils eigenständige Entscheidung über Zwecke und Mittel der Verarbeitung beide verfolgen mit der Datenverarbeitung jeweils eigene Interessen Auftragnehmer als „verlängerte Arm“ bzw. „ausführendes Organ“ des Auftraggebers; keine eigenen Interessen des Auftragnehmers jeweils eigene Interessen, die unabhängig vom anderen bestehen bzw. erreicht werden können Ausmaß der Entscheidungs- möglichkeit bzw. Zugang zu den Daten irrelevant „Mittel der Datenverarbeitung“ nicht nur im techn. oder organisat. Sinne zu verstehen, sondern v.a. als Zugriffsrecht etc. i.d.R. eher zufällige Konstellation
  • 19. Rev. Stand 3.0 AV vs. gemeins. Verantwortung 19 keine Möglichkeit der Kenntnisnahme der Daten durch AV (z.B. per Anonymisierung)? AV-Verhältnis? wirksamer AV-Vertrag? Datenverarbeitung in Deutschland? Datenverarbeitung innerhalb EU / EWR? zulässige Datenverarbeitung in Drittland? Checkliste Auftragsverarbeitung
  • 20. Rev. Stand 3.0 AV vs. gemeins. Verantwortung 20 Checkliste Auftragsverarbeitung – Verarbeitung in Drittland anerkanntes Schutzniveau? Zertifizierung durch EU-US-Privacy-Shield (USA)? Verwendung der EU-Standardvertragsklauseln? Vorliegen von (genehmigten) Binding Corporate Rules (BCR)? für Vertragserfüllung erforderlich? Einwilligung der Betroffenen? zusätzliche Garantien?
  • 21. Rev. Stand 3.0  Staaten mit „anerkanntem Schutzniveau“ (Stand: 05/2021):  Andorra  Argentinien  Kanada  Schweiz  Färöer-Inseln  Guernsey  Israel  Isle of Man  Jersey  Neuseeland  Uruguay  Japan  demnächst: Republik Korea  USA (Privacy Shield) AV vs. gemeins. Verantwortung 21
  • 22. Rev. Stand 3.0  erwartungsgemäß: EuGH kippt den „EU-US-Privacy- Shield“  „Der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US- Datenschutzschild gebotenen Schutzes ist ungültig.“ (EuGH, Urt. v. 16.07.2020, Az. C-311/18) AV vs. gemeins. Verantwortung 22
  • 23. Rev. Stand 3.0  mögliche Alternativen:  EU-Standardvertragsklauseln (neue Fassung geplant)  Einwilligung (schwierig, zudem jederzeit widerrufbar)  Art. 49 (restriktiv auszulegen)  erforderlich zur Erfüllung eines Vertrages  wichtige Gründe des öffentl. Interesses  Schutz lebenswichtiger Interessen  … AV vs. gemeins. Verantwortung 23
  • 24. Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 24
  • 25. Rev. Stand 3.0  Wann liegt ein AV-Verhältnis vor?  Problem: keine Anhaltspunkte in der DSGVO oder im BDSG  wichtig: Abgrenzung zur gemeinsamen oder getrennten Verantwortlichkeit  Praxishilfen der dt. Aufsichtsbehörden u.a., z.B. von BayLDA, DSK, LfDI Baden-Württemberg  Tipp: „Orientierungshilfe Auftragsverarbeitung“ der DSK oder des BayLDA Typische AV-Verhältnisse 25
  • 26. Rev. Stand 3.0  typische AV-Verhältnisse (1/2):  DV-technische Arbeiten für Lohn- und Gehaltsabrechnung  Outsourcing mittels Cloud-Computing  Werbeadressenverarbeitung in sog. Lettershop  Verarbeitung von Kundendaten durch Callcenter (ohne wesentliche eigene Entscheidungsspielräume)  Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z.B. Betreuung von Kontaktformularen oder Nutzeranfragen)  Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten  Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen  Datenträgerentsorgung durch Dienstleister Typische AV-Verhältnisse 26
  • 27. Rev. Stand 3.0  typische AV-Verhältnisse (2/2):  Prüfung oder Wartung (z.B. Fernwartung, externer Support) automatisierter Verfahren oder von EDV-Anlagen, wenn dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann  Zentralisierung bestimmter „Shared-Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen  Apothekenrechenzentren (§ 300 SGB V)  ärztliche / zahnärztliche Verrechnungsstellen (ohne Forderungsverkauf)  Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten erheben  externe Personen, Dienstleister usw., die im Auftrag Messwerte in Mietwohnungen ablesen bzw. verarbeiten (Heizung, Strom, Wasser etc.)  Visabeschaffungsdienstleister, die hierfür vom Arbeitgeber die Beschäftigtendaten erhalten Typische AV-Verhältnisse 27
  • 28. Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 28
  • 29. Rev. Stand 3.0  Wann liegt kein AV-Verhältnis vor?  Problem: keine Anhaltspunkte in der DSGVO oder im BDSG  wichtig: Abgrenzung zur gemeinsamen oder getrennten Verantwortlichkeit  Praxishilfen der dt. Aufsichtsbehörden u.a., z.B. von BayLDA, DSK, LfDI Baden-Württemberg  Tipp: „Orientierungshilfe Auftragsverarbeitung“ der DSK oder des BayLDA Regelmäßig keine AV-Verhältn. 29
  • 30. Rev. Stand 3.0  regelmäßig keine AV-Verhältnisse (1/5):  Tätigkeiten von Berufsgeheimnisträgern (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer, Ärzte, Apotheker…)  Inkassobüros mit Forderungsübertragung  Bankinstitute für den Geldtransfer  Postdienste für den Brief- oder Pakettransport  Tätigkeit als Verwalter z.B. für Eigentumswohnungen Regelmäßig keine AV-Verhältn. 30
  • 31. Rev. Stand 3.0  regelmäßig keine AV-Verhältnisse (2/5):  Detektive (bei ihrer Observierungs-, Überwachungs- oder Ausforschungstätigkeit)  Fälle beauftragter Warenzusendung (z.B. durch Blumen- oder Weinhändler, Hersteller…)  Insolvenzverwalter  Personalvermittlung nach Auftrag von Stellensuchenden oder Arbeitgebern  Internet-Plattformbetreiber zur Vermittlung zwischen Anbietern und Nachfragern, die sich auf der Plattform treffen können (z.B. eBay, Amazon, MyHammer…) Regelmäßig keine AV-Verhältn. 31
  • 32. Rev. Stand 3.0  regelmäßig keine AV-Verhältnisse (3/5):  TKG-Dienstleistungen (z.B. Deutsche Telekom, Vodafone, Telefonica, 1&1…)  Versicherungs- oder Finanzmakler bzw. -vermittler im Rahmen des Kundenvertrags  Handelsvertreter im Rahmen ihrer Beratungstätigkeit und Vertragsvermittlungen  Übersendung von Schulungsteilnehmer-Daten zur Durchführung der Schulung an einen externen Trainer, Schulungsveranstalter oder an das Tagungshotel  Fertigung individueller medizinischer Produkte, Hilfsmittel, Prothesen etc. für Patienten / Kunden Regelmäßig keine AV-Verhältn. 32
  • 33. Rev. Stand 3.0  regelmäßig keine AV-Verhältnisse (4/5):  Medizinische Labore, Materiallabore usw. (Materialuntersuchung im Auftrag)  Zahlungsdienstleister für elektronische Zahlungen  von Reisebüros aufgrund Kundenvertrags vermittelte Leistungsanbieter, wie Hotels, Mietwagenfirmen, Fluggesellschaften, Busunternehmen, Versicherungen usw.  vom Vermieter beauftragte Handwerker, die dazu die nötigen Mieterdaten erhalten  Sachverständige zur Begutachtung eines Kfz-Schadens  Personenbeförderung / Krankentransportleistungen Regelmäßig keine AV-Verhältn. 33
  • 34. Rev. Stand 3.0  regelmäßig keine AV-Verhältnisse (5/5):  Bewachungsdienstleistungen  Reinigungsdienstleistungen und Handwerkereinsätze in Unternehmen  Reinigung von Berufskleidung (mit Namensschildern)  Druck von Prospekten, Katalogen etc. (mit Bildern von Beschäftigten oder Fotomodellen)  Aber: Abgrenzung zu Lettershops!  Transport von Unterlagen und Waren durch Kurierdienste, Speditionen, Zeitungsausträger  Übersetzung von Texten in/aus Fremdsprachen Regelmäßig keine AV-Verhältn. 34
  • 35. Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 35
  • 36. Rev. Stand 3.0  Form des AV-Vertrages (Art. 28 Abs. 9 DSGVO):  „Der Vertrag [...] ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.“  nach allg. Auffassung ist auch der Abschluss des AV- Vertrages in elektr. Form zulässig (Website, App…) Der AV- / JC-Vertrag 36
  • 37. Rev. Stand 3.0  Pflichtinhalte eines AV-Vertrages [1/2]:  Gegenstand, Dauer, Art & Zweck der Verarbeitung  Art der personenbezogenen Daten  Kategorien der Betroffenen  Rechte & Pflichten des Verantwortlichen  AV darf Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten, sofern er nicht durch Gesetz hierzu verpflichtet ist  AV gewährleistet, dass sich die zur Datenverarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen  AV ergreift alle erforderlichen Maßnahmen zur Sicherheit der Datenverarbeitung (vgl. Art. 32 DSGVO) Der AV- / JC-Vertrag 37
  • 38. Rev. Stand 3.0  Pflichtinhalte eines AV-Vertrages [2/2)]:  AV hält Bedingungen für Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters ein  AV unterstützt Verantwortlichen nach Möglichkeit mit geeigneten TOMs dabei, der Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nachzukommen  AV unterstützt Verantwortlichen unter Berücksichtigung der Art der Verarbeitung & der ihm zur Verfügung stehenden Informationen bei der Einhaltung seiner Pflichten (z.B. zur DSFA)  nach Abschluss der Erbringung der Verarbeitungsleistungen veranlasst AV Löschung bzw. Rückgabe aller Daten nach Wahl des Verantwortlichen an diesen (sofern nicht eine gesetzliche Verpflichtung zur Speicherung der Daten besteht)  AV stellt Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung seiner Pflichten zur Verfügung und ermöglicht Überprüfungen, die vom Verantwortlichen durchgeführt werden Der AV- / JC-Vertrag 38
  • 39. Rev. Stand 3.0  Technisch Organisatorische Maßnahmen (TOM) im AV-Vertrag?  nach früherer Rechtslage waren TOM integraler Bestandteil des AV-Vertrages  TOMs werden heute i.d.R. als Anlage beigefügt  gem. DSGVO keine Pflicht zur Integration der TOM im AV- Vertrag  je sensibler oder umfangreicher die Daten sind, die per AV verarbeitet werden sollen, desto eher sollten die TOMs beschrieben und in den AV-Vertrag aufgenommen werden Der AV- / JC-Vertrag 39
  • 40. Rev. Stand 3.0  Entgelt für Prüfungen der Voraussetzungen beim Auftragnehmer?  Pflicht des Auftragnehmers, Prüfungen durch Auftraggeber zuzulassen -> Pflicht im Vertrag zu regeln  kein Anhaltspunkt in DSGVO, dass Prüfungen kostenfrei sein müssen  ggf. Nachweis durch vorherige Prüfungen, Zertifizierungen etc. möglich -> wenn darüber hinaus eine Vor-Ort-Prüfung gewünscht wird, können angemessene Kosten ggü. Auftraggeber geltend gemacht werden (allerdings darf dabei kein Gewinn gemacht werden, es geht nur um die Kosten, die tatsächlich für die Prüfung vor Ort entstehen)  Ausnahme: wenn Anzeichen für Rechtsverletzungen, Sicherheitsmängel o.ä. vorliegen, muss kostenfreie Prüfung durch Auftraggeber möglich sein Der AV- / JC-Vertrag 40
  • 41. Rev. Stand 3.0  Exkurs: Spezielles Verarbeitungsverzeichnis für Auftragsverarbeiter!  jeder Auftragsverarbeiter führt ein Verzeichnis zu allen Kategorien von Verarbeitungstätigkeiten, die im Auftrag eines Verantwortlichen durchgeführt werden  dieses Verarbeitungsverzeichnis enthält Folgendes:  den Namen und die Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist  den Namen und die Kontaktdaten des Vertreters des Verantwortlichen oder des Auftragsverarbeiters  den Namen und die Kontaktdaten eines etwaigen Datenschutzbeauftragten  die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden  ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Dokumentierung geeigneter Garantien  wenn möglich, eine allg. Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO Der AV- / JC-Vertrag 41
  • 42. Rev. Stand 3.0  Form des JC-Vertrages?  es existieren keine Formvorgaben  Abfassung in Schriftform, elektronisch oder auch „per Handschlag“ möglich  aber: „Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.“ (Art. 26 Abs. 2 S. 2) Der AV- / JC-Vertrag 42
  • 43. Rev. Stand 3.0  Pflichtinhalte des JC-Vertrages? [1/2]  „Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind.“ (Art. 26 Abs. 1 S. 2) Der AV- / JC-Vertrag 43
  • 44. Rev. Stand 3.0  Pflichtinhalte des JC-Vertrages? [2/2]  „In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.“ (Art. 26 Abs. 1 S. 3)  „Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln.“ (Art. 26 Abs. 2 S. 1) Der AV- / JC-Vertrag 44
  • 45. Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 45
  • 46. Rev. Stand 3.0  EuGH, „FashionID“-Urt. v. 29.7.2019, C-40/17:  Gemeinsame Verantwortlichkeit von Facebook & Fanpage- Betreiber bzw. Nutzer von Social Plugins  Gerichtsentscheidung primär nur bzgl. Facebook & Fanpage- Betreiber, aber auch auf andere soziale Netzwerke übertragbar  Auswirkungen auf die Praxis? Social Media 46
  • 47. Rev. Stand 3.0  Betrieb von Social-Media-Accounts:  Abschluss eines Vertrages über gemeinsame Verantwortlichkeit (sog. Joint Controllership gem. Art. 26 DSGVO) – z.Zt. nur bei Facebook möglich  Datenschutzerklärung für Social-Media-Account  Anpassung der Website-Datenschutzerklärung  Verweis von Social-Media-Accounts auf Website  per sprechendem Link (z.B. „Datenschutzerklärung: www.xyz.de/datenschutz“ o.ä.)  „Rückverweis“ auf soziale Medien Social Media 47
  • 49. Rev. Stand 3.0  Einsatz sog. Social Plugins, z.B.  „Like“-Button (Facebook)  „Tweet“-Button (Twitter)  „Share“-Button (LinkedIn)  „x“-Button (Xing) Social Media 49
  • 50. Rev. Stand 3.0  Einsatz von sog. „2-Klick-Lösungen“ o.ä. Techniken in der Praxis noch nicht abschließend jur. bewertet  der sog. „Düsseldorfer Kreis“ hat am 08.12.2011 beschlossen, dass jedenfalls die Einbindung von Social Plugins ohne „2-Klick-Lösung“ rechtswidrig ist  u.a. der Heise Verlag bietet eine eigene techn. Lösung dafür (c‘t Shariff), auch Erweiterungen für div. CMS- Systeme erhältlich  z.B. Cookie-Banner, der auch Social Plugins umfasst Social Media 50
  • 51. Rev. Stand 3.0  Einsatz „2-Klick-Lösung“  Einbindung von Platzhalter-Grafiken (ohne sonstige Funktionen)  Infos bzgl. „Social Plugins“ bzw. „2-Klick-Lösung“ als Mouse-over-Text  Aktivierung der Social Plugins nach 1. Mausklick des Nutzers  Nutzung der Funktionen der Social Plugins erst nach 2. Mausklick des Nutzers  ausdrücklicher Hinweis auf Social Plugins in Datenschutzerklärung + Hinweis auf gemeinsame Verantwortlichkeit Social Media 51

Hinweis der Redaktion

  1. Die Informationen auf diesen Sprechernotizen werden eingegeben über [Einfügen] [Kopf- und Fußzeilen] Die Formatierung z. B. kursiv bei © dbb akademie wird im Notizenmaster durch Formatierung des Fußzeilen-Platzhalters erreicht