Auftragsverarbeitung. Das ewige Ärgernis
Ich unterbreche die Datenschutz für SORMAS-X Blogreihe für eine kurze Wutrede in Sachen Auftragsverarbeitung nach Art. 28 DSGVO.
Dieses Jahr feiert die DSGVO ihren 5. Geburtstag – zählt man die seit 2016 laufende Umsetzungsfrist dazu, sind es sogar schon 7 Jahre … 7 Jahre, in denen es sich eigentlich herumgesprochen haben sollte, wie man eine Auftragsverarbeitung (Art. 28 DSGVO) vernünftig gestaltet. Mit vernünftig meine ich: Man entwirft einen Vertrag (AV-Vertrag), der die gegenseitigen Rechte und Pflichten klar und deutlich beschreibt. Allem voran die technischen und organisatorischen Sicherheitsmaßnahmen des Auftragnehmers.
Sehr oft prüfe ich im Auftrag meiner Mandanten solche AV-Verträge, die diese wiederum von ihren Dienstleistern erhalten. Zum Beispiel, weil meine Mandanten eine neue Software einführen wollen, die von einem Dienstleister als Software as a Service betrieben wird.
Absichtserklärungen und Prosa
Statt vernünftig geregelter Beschreibungen lese ich im Abschnitt technische und organisatorische Sicherheitsmaßnahmen statt vollständiger, präziser Beschreibungen aber wieder und wieder Prosa, Absichtserklärungen, Zitate des Gesetzestextes und eine Fülle an Allgemeinplätzen.
Beispiele aus der jüngsten Zeit
Wir führen regelmäßig Penetrationstests durch. Definiere regelmäßig. Regelmäßig jährlich oder alle drei Jahre oder alle zehn? Das Ergebnis dieser Tests und die Schlussfolgerungen würden uns auch interessieren, wenn wir eine SaaS Lösung beauftragen, die von überall aus dem Internet erreichbar ist.
Grundsätzlich werden alle Daten redundant gespeichert (mindestens über ausfallsichere RAID Systeme Level 5 und 6). Schön. Ich wüsste aber gerne, wie immer gesichert wird. Wer garantiert mir, dass nicht mein Mandant als Auftraggeber vielleicht die Ausnahme vom Grundsatz ist? Ich wüsste auch gerne in welchen Abständen die Sicherungen angelegt werden.
Es finden regelmäßig Tests zur Rücksicherung von Back-Up Daten statt, durch redundante Speicherung an verschiedenen Standorten wird versucht, Ausfallzeiten zu minimieren. Es wird versucht? Und was ist, wenn der Versuch nicht klappt? Wir wüssten gerne, mit welchen Maßnahmen Ausfallzeiten minimiert werden. Und auch hier: definiere regelmäßig!
Berücksichtigung der Grundsätze des Datenschutzes durch Technik und der datenschutzfreundlichen Grundeinstellungen (Privacy by Design, Privacy by Default) im Datenschutzkonzept. Ein solcher Satz nützt genau gar nichts. In ein Konzept kann ich schreiben, was immer ich will. Es ist ein Konzept, ein Plan. In einem Vertrag geht es aber um die Maßnahmen, die etabliert sind, und die Beschreibung ihrer Umsetzung.
Sichere Aufbewahrung von Datenträgern. Das ist keine Beschreibung der Umsetzung, das ist die Anforderung. Beschreibe sicher! In der Anfangszeit von PrivCom Datenschutz im Jahr 2002/2003 haben wir die Daten unseres Servers auf CDs gesichert. Die lagen im selben Büroraum wie der Server. Sicher, da kam außer den damals zwei Mitarbeitern von PrivCom niemand rein. Solange sicher, bis eines Tages das Büro nebenan abbrannte und unseres nur mit Glück keinen Schaden nahm.
Ärger von allen Seiten
Leute, ich habe es so satt. Jeder kleine Autounfall wird besser dokumentiert als technisch-organisatorische Sicherheitsmaßnahmen im Rahmen einer Auftragsverarbeitung nach Art. 28 DSGVO.
Für uns kommt der Ärger dabei von allen Seiten. Einerseits sind mitunter unsere Mandanten genervt, wenn sie Aufwand mit formalen Dingen haben, wenn sie doch nur eine neue Software nutzen wollen. Verständlich, aber leider nicht zu ändern. Das Argument: „Das ist doch so ein großer Anbieter, der wird doch keine Sicherheitsrisiken haben“, zählt nicht. Ein Blick in die Liste der Datenschutzvorfälle der letzten 12 Monate genügt um festzustellen, dass alles angegriffen wird, was sich im Netz bewegt. Groß oder klein.
Von Seiten der Dienstleister hören wir „was sind Sie denn so pingelig, nach solchen Details fragt sonst niemand“, wenn wir Nachbesserungen in den AV-Verträgen verlangen.
Warum fragt eigentlich niemand?
Auch ich bin verwundert, warum außer mir offenbar niemand fragt. Liebe Kolleginnen und Kollegen Datenschutzbeauftragte, was tut ihr den ganzen Tag? Der Softwareanbieter, aus dessen AV-Vertragsmuster die meisten der oben zitierten Beispiele stammen, sagte mir, er habe im letzten Jahr 37 Verträge abgeschlossen, u.a. mit großen Krankenhäusern und anderen medizinischen Einrichtungen. Keiner habe den Text beanstandet. Keine Geschäftsführung, kein Datenschutzbeauftragter, niemand.
Nicht beschrieben, nicht existent
Ja – ich bin pingelig. Verflixt noch mal! Alle Unklarheiten und Auslassungen in der Beschreibung der Sicherheitsmaßnahmen im AV-Vertrag gehen zu Lasten meines Mandaten, des Auftraggebers! Im Streitfall existiert im Zweifel nicht, was nicht beschrieben ist. Dafür haftet dann der Auftraggeber – und der kann den Schaden bei mir geltend machen, wenn ich unzureichende Vertragsklauseln durchwinke, nur weil niemand Mühe haben will. Auch Auftragnehmer haben die Vorgaben des Art. 32 DSGVO zu erfüllen! Warum ist es nicht möglich, diese dann einmal sorgfältig und ausführlich zu beschreiben?
Der Poet
Mein Kollege hat in seinem früheren Leben (wie er es nennt) Software entwickelt. Als er irgendwann feststellte, dass in seiner Firma niemand mehr mit der Dokumentation der Software hinterherkam, hat er dafür jemanden beauftragt. Das war ein ehemaliger Deutschlehrer, genannt der Poet. Dieser tat nichts anderes, als die Software zu dokumentieren.
Wenn Sie es nicht schaffen, Ihre technischen und organisatorischen Sicherheitsmaßnahmen zu beschreiben, lassen Sie mich das machen. Es tut nicht weh und kostet nicht viel. Der Poet in mir müsste sich nicht länger ärgern, Sie hätten Ihre Haftungsrisiken minimiert. Eine klassische Win-Win-Situation.