DSGVO – erste Leitlinie wer Verantwortlicher/ Auftragsverarbeiter von EDSA verabschiedet

Am 02.09.2020 hat der europäische Datenschutzausschuss EDSA eine Regelung in erster Version zu den Konzepten des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters der DSGVO verabschiedet. Diese Richtlinie der Datenschutz-Grundverordnung DSGVO wollen wir kurz vorstellen. Diese Regelung gibt es aktuell nur in englischer Sprache. Zu dieser ersten Version der veröffentlichen Leitlinie, gibt es eine öffentliche Konsultation.

Die EDSA bat bis zum 19.10.2020 die Möglichkeit Kommentare zur Richtlinie abzugeben.

https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-072020-concepts-controller-and-processor_de

 

Das WP 169 der Article 29 Working Party vom 16.02.2010 soll von den neuen Regeln ersetzt werden. Die Regelung baut in vielen Punkten auf seinem Vorgänger auf. Es kommen einige Fallbeispiele hinzu. Das durch die Datenschutzgrundverordnung neu geregelte Konzept nach Art. 26 DSGVO – Gemeinsame Verantwortlichkeiten. Dies ist erfreulich, da die Rechtsfigur der gemeinsamen Verantwortlichkeit im realen Leben zu einigen Verunsicherungen führt und es oftmals Probleme bei der Abgrenzung gibt.

Eine entscheidende Rolle für die Frage nach der Verantwortung bei der Datenverarbeitung spielt laut der Erläuterung der EDSA, wer wann Auftragsverarbeiter ist. Es ist wichtig für die Anwendung der DSGVO, da diese Fragen beantwortet sein müssen, um zu sagen, wer verantwortlich ist, dass die Datenschutzregeln eingehalten werden. So wissen Betroffene wie sie in der Praxis ihre Rechte ausüben dürfen. Diesen wichtigen Grund nennt die EDSA zur Erklärung, weswegen dieses Konzept sowie Kriterien in der gesamten EWR und der gesamten Europäischen Union bekannt zu sein haben.

Die zwei Teile-Strukturierung der Leitlinie:

Die verschiedenen Konzepte werden in Teil I aufgeführt, sowie:

  • des Verantwortlichen nach Art. 4 Nr. 7 DSGVO,
  • eines Empfängers Art. 4 Nr. 9 DSGVO,
  • eines Dritten Art. 4 Nr. 10 DSGVO,
  • die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO,
  • der Auftragsverarbeiters nach Art. 28 DSGVO.

Im zweiten Teil dreht sich alles um die Zuweisung der eben erwähnten Rollen und den dazugehörigen Konsequenzen.

Teil-1: Die Rechtlichen Konzepte:

Funktionales Konzept:

Die Frage, wer die Rolle des Verantwortlichen übernimmt und für die Einhaltung der datenschutzrechtlichen Regeln verantwortlich ist und wie es in der Praxis läuft, ist laut dem Leitentwurf klar, dass es in der der DSGVO dafür ein funktionales Konzept gibt. Hier ist das Ziel die tatsächlichen Rollen zu nutzen, um die Verantwortlichkeit zuzuweisen. Es ist weniger wichtig, wie die Rollen in den Verträgen aufgeteilt sind, sondern es ist wichtig, was tatsächlich gemacht wird.

Autonomes Konzept:

Beim Konzept mit dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiters, handelt es sich um das autonome Konzept. Auch wenn es externe und/oder nationale Quellen gibt, diese so ausgelegt zu sein haben, dass sie mit dem EU-Datenschutzrecht übereinstimmen.

Ein Verantwortlicher hat die Verantwortung nach Art. 5 Abs. 1 DSGVO zu übernehmen und sollte das Einhalten dieser „Compliance-Regeln“ nachweisen können.

Über das „Warum“ und das „Wie“, also den Zweck und die Mittel der Datenverarbeitung entscheidet der Verantwortliche. Die EDSA führt dazu auf, dass es die Rolle des Auftragsverarbeiters nicht unbedingt beeinflusst, wenn er über „nicht-wesentliche Mittel“ wie über Details der gewählten TOMs (TOM-Technische-Organisatorische-Maßnahmen) entscheidet.

Wenn zwei oder mehr Einheiten über den Zweck und Mittel entscheiden, besteht die gemeinsame Verantwortlichkeit. Die gemeinsame Verantwortlichkeit kann auch konvergierend erfolgen. Konvergierend hat die Bedeutung, dass die Entscheidungen sich so stark ergänzen müssen, dass das eine ohne das andere unmöglich wäre.

Zwei unverkennbare Merkmale weist der Auftragsverarbeiter auf:
Ein Auftragsverarbeiter arbeitet nur auf Weisung. Er ist kein Mitarbeiter des Verantwortlichen, sondern eine separate Einheit. Er hat kleinere Entscheidungen zu treffen.

 

Relatives Konzept

Die EDSA nennt dieses Konzept von Empfängern und Dritten ein relatives Konzept. In diesem Konzept ergibt sich die Rolle aus der Beziehung zum Verantwortlichen bzw. Auftragsverarbeiter. Dieses Konzept entspricht laut der EDSA der vorherigen Auslegung der Richtlinie 95/46/ EC.

Beispiele in dem Leitlinienentwurf sind zwar vorhanden, obwohl sie näher an der Praxis hätten sein sollen. Es sind leider keine Beispiele enthalten, in denen strittige Konstellationen klargestellt werden.

Die EDSA betont, dass es sich bei den praktischen Fällen um typische Konstellationen handelt. Dabei sollte beachtet werden, dass die ausgeübten Rollen überprüft werden, ob es eventuell zu neuen Rollenzuweisungen kommt.

Die EDSA weist darauf hin, dass es sinnvoll sein kann, die Datenverarbeitung in unterschiedliche Abschnitte aufzuteilen. Wird eine gemeinsame Onlineplattform genutzt, kann dies ein Teil der gemeinsamen Verantwortlichkeit sein. Ein anderer Teil der Datenverarbeitung könnte außerhalb dieser Plattform sein, aber in eigener Verantwortlichkeit.

Hier einige Beispiele zur eigenen Verantwortlichkeit:

– Rechtsanwaltskanzleien
– Taxi Service, der eine eigene Online-Plattform benutzt für die Buchungen

Die Auftragsverarbeitung-Konstellationen:

– Allgemeiner IT-Support
– Cloud Services Dienstleister
– Hosting Dienstleistungen
– Lohn- und Gehaltsabrechnung
– Marktforschung

Konstellationen MIT gemeinsamer Verantwortlichkeit

– Verschiedene Institute haben Forschungsprojekte, für welche sie eine gemeinsame Online-Plattform nutzen.
– Wenn zwei Unternehmen zusammen ein Co-Markenprodukt vermarkten, hier bezieht es sich auf gemeinsam geplante Eventveranstaltungen.
– Gemeinsam erarbeitete Studienprotokolle bei klinischen Studien.
– Headhunter, hier sind allerdings andere Konstellationen möglich.


Konstellationen OHNE gemeinsamer Verantwortlichkeit:

– An Steuerbehörden die Mitarbeiterdaten übermitteln, haben keinen gemeinsamen Zweck und keine Mittel über die gemeinsam entschieden wird.
– Unter „Kettenverarbeitungen“ ist zu verstehen, wenn Daten nach und nach verarbeitet werden mit eigener Zweckbestimmung.
– Mehr Beispiele findet sich in den Guidelines 07/2020, S. 23

Konstellationen von Verantwortlicher zu Verantwortlichem:

– Bankzahlungen, hier Gehaltszahlungen Arbeitgeber und Bank
– Steuerberatung bzw Buchhaltung: im europäischen Kontext kommt es auf die erteilten Weisungen und die jeweilige Rechtslage an.
– Reiseplattformen, welche gemeinsam von Reisebüros, Fluggesellschaften, Hotels und anderen Dienstleistern genutzt werden.

Konstellationen mit Dritten bzw. Empfängern:

– Reinigungsdienstleister (Dritter)
– Eine Muttergesellschaft, welche die Mitarbeiterdaten der Tochtergesellschaften für statistische Zwecke erhält (Dritter)
– Ein Reisebüro, welches die Daten der Kunden im Rahmen einer Anfrage an Fluggesellschaften oder Hotels weiterleitet (Empfänger)

 

Teil-2: Konsequenz der jeweiligen Zuweisung der Rollen:

Informative Erklärungen, welche Folgen eine Rolle hat, wird im Teil zwei erklärt.

 

Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter:

Die unterschiedlichen Anforderungen des Art. 28 Abs. 3 DSGVO werden hier von der EDSA mit Anmerkungen versehen.

Wenn der Auftragsverarbeiter Daten in Drittländer übermitteln möchte, muss er genau wie der verantwortliche Art. 44 ff DSGVO einhalten. Direkte Verpflichtungen bekommt der Auftragsverarbeiter durch Art. 28 Abs. 3 DSGVO.

Die EDSA führt zu Art. 28 DSGVO aus, dass die Anforderungen an den Auftragsverarbeitungsvertrag nicht ausschließlich die Regeln der Datenschutz-Grundverordnung enthalten, sondern es sind genauso konkrete, spezifische Informationen enthalten. Die getroffenen TOMs (Technische Organisatorische Maßnahmen) sollten mit der konkreten Datenverarbeitung im Verhältnis stehen. Die erteilten Weisungen sind zu dokumentieren, sowie der eventuell vorgenommen Aktualisierungen. Sollte der Vertrag mit dem Auftragsverarbeiter aus einer Zeit stammen, in der die DSGVO noch nicht galt, dürfen diese nicht weiterbestehen, sondern sind zu den Vorschriften der DSGVO zu aktualisieren, falls nötig.

Es wird nicht klargestellt, ob beispielsweise die Zusammenarbeit mit Subauftragnehmern die Verpflichtung des Verantwortlichen oder des Auftragsverarbeiters ist, die EU-Standard-Vertragsklauseln mit dem Subauftragnehmer zu schließen. Sieht man auf Schrems II, wäre es eine gute Idee gewesen.

Folgen gemeinsamer Verantwortlichkeit:

Die EDSA legt im Bezug auf die gemeinsame Verantwortlichkeit besonderen Wert auf eine Feststellung der Verantwortlichkeiten in transparenter Form. Besonders für die Betroffenen ist diese Transparenz wichtig, damit die Betroffenenrechte mit Transparenz ausgeübt werden können.

Jeder Verantwortliche hat sich darüber klar zu sein, ob es ein rechtliches Konzept für die anstehende Verarbeitung der Daten gibt. Zusätzlich ist darauf zu achten, dass die Daten nur zu dem gemeinsamen Zweck verarbeitet werden, für den sie erhoben wurden und dass die Datenverarbeitung nicht darüber hinausgeht.

In welcher Form die Vereinbarung vorgenommen wird, wird in der Datenschutz-Grundverordnung nicht extra erwähnt, wie in Art. 26 Abs. 1 S. 2 DSGVO. Es gibt dazu eine Empfehlung der EDSA. Diese empfiehlt für den Vertrag die Form eines Dokumentes mit rechtlicher Bindung zu schließen. Damit kann gleichzeitig die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachgekommen werden. Für Aufsichtsbehörden ist es nicht wichtig, wie die Verantwortlichkeiten vertraglich aufgeteilt wurden. Jeder Verantwortliche ist ein Ansprechpartner für die Aufsichtsbehörden.

Veröffentlichte FAQ´s sowie Zusammenfassung

Es wurden vom Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg zu den Guidelines bereits FAQs zur Abgrenzung veröffentlicht, sowie Ergänzungen und eine Zusammenfassung der Guidelines enthalten.

https://www.baden-wuerttemberg.datenschutz.de/faq-zur-abgrenzung-der-verantwortlichkeiten-und-des-konzepts-der-auftragsverarbeitung/

Fazit:

In dem Leitlinienentwurf geht es um die Rollenverteilung der Verantwortlichen und der Auftragsverarbeiter sowie einige gute Erklärungen. Natürlich kommt hier nichts, das komplett neu ist. Es wurden bereits gute Konzepte weiter verbessert. Es können noch mehr Erklärungen kommen, damit Bereiche in denen Unsicherheiten herrschen klarer werden, wie beispielsweise die Arbeitnehmerüberlassung.

 

 

DSGVO – Verantwortlicher und welche Verantwortung

https://datenschutzbeauftragter-dsgvo.com/dsgvo-verantwortlicher-und-welche-verantwortung/

Lesen Sie hier:

 

 

DSGVO – Auftragsdatenverarbeiter – Was Beachten – Richtiger Umgang

https://datenschutzbeauftragter-dsgvo.com/dsgvo-auftragsdatenverarbeiter-beachten-richtiger-umgang/