Auftragsverarbeitung. Das ewige Ärgernis

Ich unterbreche die Datenschutz für SORMAS-X Blogreihe für eine kurze Wutrede in Sachen Auftragsverarbeitung nach Art. 28 DSGVO.

Dieses Jahr feiert die DSGVO ihren 5. Geburtstag - zählt man die seit 2016 laufende Umsetzungsfrist dazu, sind es sogar schon 7 Jahre ... 7 Jahre, in denen es sich eigentlich herumgesprochen haben sollte, wie man eine Auftragsverarbeitung (Art. 28 DSGVO) vernünftig gestaltet. Mit vernünftig meine ich: Man entwirft einen Vertrag (AV-Vertrag), der die gegenseitigen Rechte und Pflichten klar und deutlich beschreibt. Allem voran die technischen und organisatorischen Sicherheitsmaßnahmen des Auftragnehmers.

Sehr oft prüfe ich im Auftrag meiner Mandanten solche AV-Verträge, die diese wiederum von ihren Dienstleistern erhalten. Zum Beispiel, weil meine Mandanten eine neue Software einführen wollen, die von einem Dienstleister als Software as a Service betrieben wird.

Absichtserklärungen und Prosa

Statt vernünftig geregelter Beschreibungen lese ich im Abschnitt technische und organisatorische Sicherheitsmaßnahmen statt vollständiger, präziser Beschreibungen aber wieder und wieder Prosa, Absichtserklärungen, Zitate des Gesetzestextes und eine Fülle an Allgemeinplätzen.

Beispiele aus der jüngsten Zeit

Wir führen regelmäßig Penetrationstests durch. Definiere regelmäßig. Regelmäßig jährlich oder alle drei Jahre oder alle zehn? Das Ergebnis dieser Tests und die Schlussfolgerungen würden uns auch interessieren, wenn wir eine SaaS Lösung beauftragen, die von überall aus dem Internet erreichbar ist.

Grundsätzlich werden alle Daten redundant gespeichert (mindestens über ausfallsichere RAID Systeme Level 5 und 6). Schön. Ich wüsste aber gerne, wie immer gesichert wird. Wer garantiert mir, dass nicht mein Mandant als Auftraggeber vielleicht die Ausnahme vom Grundsatz ist? Ich wüsste auch gerne in welchen Abständen die Sicherungen angelegt werden.

Es finden regelmäßig Tests zur Rücksicherung von Back-Up Daten statt, durch redundante Speicherung an verschiedenen Standorten wird versucht, Ausfallzeiten zu minimieren. Es wird versucht? Und was ist, wenn der Versuch nicht klappt? Wir wüssten gerne, mit welchen Maßnahmen Ausfallzeiten minimiert werden. Und auch hier: definiere regelmäßig!

Berücksichtigung der Grundsätze des Datenschutzes durch Technik und der datenschutzfreundlichen Grundeinstellungen (Privacy by Design, Privacy by Default) im Datenschutzkonzept. Ein solcher Satz nützt genau gar nichts. In ein Konzept kann ich schreiben, was immer ich will. Es ist ein Konzept, ein Plan. In einem Vertrag geht es aber um die Maßnahmen, die etabliert sind, und die Beschreibung ihrer Umsetzung.

Sichere Aufbewahrung von Datenträgern. Das ist keine Beschreibung der Umsetzung, das ist die Anforderung. Beschreibe sicher! In der Anfangszeit von PrivCom Datenschutz im Jahr 2002/2003 haben wir die Daten unseres Servers auf CDs gesichert. Die lagen im selben Büroraum wie der Server. Sicher, da kam außer den damals zwei Mitarbeitern von PrivCom niemand rein. Solange sicher, bis eines Tages das Büro nebenan abbrannte und unseres nur mit Glück keinen Schaden nahm.

Ärger von allen Seiten

Leute, ich habe es so satt. Jeder kleine Autounfall wird besser dokumentiert als technisch-organisatorische Sicherheitsmaßnahmen im Rahmen einer Auftragsverarbeitung nach Art. 28 DSGVO.

Für uns kommt der Ärger dabei von allen Seiten. Einerseits sind mitunter unsere Mandanten genervt, wenn sie Aufwand mit formalen Dingen haben, wenn sie doch nur eine neue Software nutzen wollen. Verständlich, aber leider nicht zu ändern. Das Argument: „Das ist doch so ein großer Anbieter, der wird doch keine Sicherheitsrisiken haben“, zählt nicht. Ein Blick in die Liste der Datenschutzvorfälle der letzten 12 Monate genügt um festzustellen, dass alles angegriffen wird, was sich im Netz bewegt. Groß oder klein.

Von Seiten der Dienstleister hören wir „was sind Sie denn so pingelig, nach solchen Details fragt sonst niemand“, wenn wir Nachbesserungen in den AV-Verträgen verlangen.

Warum fragt eigentlich niemand?

Auch ich bin verwundert, warum außer mir offenbar niemand fragt. Liebe Kolleginnen und Kollegen Datenschutzbeauftragte, was tut ihr den ganzen Tag? Der Softwareanbieter, aus dessen AV-Vertragsmuster die meisten der oben zitierten Beispiele stammen, sagte mir, er habe im letzten Jahr 37 Verträge abgeschlossen, u.a. mit großen Krankenhäusern und anderen medizinischen Einrichtungen. Keiner habe den Text beanstandet. Keine Geschäftsführung, kein Datenschutzbeauftragter, niemand.

Nicht beschrieben, nicht existent

Ja – ich bin pingelig. Verflixt noch mal! Alle Unklarheiten und Auslassungen in der Beschreibung der Sicherheitsmaßnahmen im AV-Vertrag gehen zu Lasten meines Mandaten, des Auftraggebers! Im Streitfall existiert im Zweifel nicht, was nicht beschrieben ist. Dafür haftet dann der Auftraggeber – und der kann den Schaden bei mir geltend machen, wenn ich unzureichende Vertragsklauseln durchwinke, nur weil niemand Mühe haben will. Auch Auftragnehmer haben die Vorgaben des Art. 32 DSGVO zu erfüllen! Warum ist es nicht möglich, diese dann einmal sorgfältig und ausführlich zu beschreiben?

Der Poet

Mein Kollege hat in seinem früheren Leben (wie er es nennt) Software entwickelt. Als er irgendwann feststellte, dass in seiner Firma niemand mehr mit der Dokumentation der Software hinterherkam, hat er dafür jemanden beauftragt. Das war ein ehemaliger Deutschlehrer, genannt der Poet. Dieser tat nichts anderes, als die Software zu dokumentieren.

Wenn Sie es nicht schaffen, Ihre technischen und organisatorischen Sicherheitsmaßnahmen zu beschreiben, lassen Sie mich das machen. Es tut nicht weh und kostet nicht viel. Der Poet in mir müsste sich nicht länger ärgern, Sie hätten Ihre Haftungsrisiken minimiert. Eine klassische Win-Win-Situation.

Unterliegen Bewegungen der Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten und definiert eigentlich ziemlich genau, wer ihr unterliegt. Trotzdem ist die Frage, ob Bewegungen der DSGVO unterliegen nicht so einfach zu beantworten.

Für wen gilt die DSGVO?

Generell kann man sagen, dass keine Privatpersonen derDSGVO unterliegen. Das bedeutet, wenn Sie einen Geburtstag oder Ihre Hochzeit planen, dann müssen Sie sich nicht an die DSGVO halten.

Das liegt daran, dass dies eine familiäre bzw. persönliche Tätigkeit ist.
DSGVO Artikel 2 Absatz 2c

Wenn Sie aber zum Beispiel in einem Unternehmen, einer Behörde, einem Verein oder ähnlichem arbeiten, dann unterliegt die Datenverarbeitung der DSGVO. Sie sind dann ein so genannter "Verantwortlicher".
Verantwortliche sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.
DSGVO Artikel 4 Absatz 7

Und was ist mit Bewegungen?

Bewegungen sind keine juristische Person. Bewegungen sind auch kein Unternehmen, keine Behörden oder Vereine. Jedoch gehören einer Bewegung ja natürliche Personen an. Natürliche Personen sind Menschen so wie Sie und ich.

Laut DSGVO können Verantwortliche allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.
DSGVO Artikel 4 Absatz 7

Man kann also jede einzelne Person innerhalb einer Bewegung als Verantwortlichen sehen. Die Bewegung ist dann ein Zusammenschluss von mehreren Verantwortlichen, die personenbezogene Daten verarbeiten.

Ist das Organisieren von z.B. Demonstrationen ein persönlicher oder familiärer Zweck?

Nein, das ist es nicht. Denn Demonstrationen sind öffentliche Veranstaltungen.

Einige Bewegungen organisieren mehrfach, bzw. wöchentlich Demonstrationen und/oder Veranstaltungen. Damit kann man nicht mehr von einem persönlichen oder familiären Zweck sprechen.

Wer haftet? Und wie?

Im Falle der Bewegung ist es so, dass alle Personen, die an der Erhebung, Verarbeitung, Speicherung usw. der personenbezogenen Daten beteiligt sind, auch Verantwortliche im Sinne der DSGVO sind. Damit sind sie auch für die Datenverarbeitung haftbar.

Gehaftet wird mit dem privaten Vermögen. Auch hier gelten die Summen, die die DSGVO vorsieht. Das können theoretisch bis zu 20.000.000 Euro bzw. bis zu 4% des jährlichen Umsatzes sein. Die Summen bemessen sich an der Art und der Schwere des Verstoßes.
DSGVO Artikel 83

Aber keine Angst. Diese Bußgelder müssen angemessen und verhältnismäßig sein. Es ist relativ unwahrscheinlich, dass Ihnen als Privatperson mit mittlerem Einkommen ein Bußgeld von 1.000.000 Euro und mehr aufgedrückt wird.
DSGVO Artikel 83

Dennoch können diese Bußgelder weh tun.

Wirklich alle? Was, wenn die anderen Mist bauen?

Da Sie ein Zusammenschluss von mehreren Verantwortlichen sind, haften Sie erst einmal alle gleichermaßen.

Sie können allerdings Verträge aufsetzen, in denen Sie die anderen Verantwortlichen zur Einhaltung der in der DSGVO festgelegten Spielregeln verpflichten. Dann können Sie sich der Haftung entziehen, wenn sich an diese, im Vertrag festgelegten, Regeln gehalten wird.

Haben Sie Fragen zu diesem Thema? Kontaktieren Sie uns gerne.