•  

Umsetzung der Anforderungen der EU-DSGVO hinsichtlich Auftragsverarbeitung und der technischen und organisatorischen Maßnahmen durch den Einsatz von Maßnahmen nach ISO/IEC 27001:2013

Laut EU-DSGVO sind personenbezogene Daten (hiernach auch pb) wichtige Informationen, die alle Unternehmen schützen müssen. Dies hat zur Folge, dass jede Organisation sich der Herausforderung stellen muss und den Schutz personenbezogener Daten sicherzustellen hat. Eine entsprechende Lösung bieten ISO/IEC 27001:2013 und ISO/IEC 27002:2013 (hiernach ISO 27001 und ISO 27002) – der weltweite Standard für Informationsschutz / Informationssicherheit. Der nachfolgende Artikel wird dazu die wesentlichen Punkte herausarbeiten.

Natürlich gibt es einige Anforderungen der EU-DSGVO, die nicht direkt von der ISO 27001 abgedeckt werden können, wie z.B. die Unterstützung der Rechte der betroffenen Personen bezogen auf das Recht zur Auskunft, das Recht auf Löschung von Daten und die Übertragbarkeit von Daten. Wenn die Umsetzung von ISO 27001 jedoch personenbezogene Daten als ein Vermögenswert (Asset) der Informationssicherheit identifiziert, können die meisten Anforderungen der DSGVO abgedeckt werden. Somit bietet sich die Möglichkeit, den Schutz der personen-bezogenen Daten durch das ISMS zu gewährleisten. Es gibt viele Punkte, bei denen die Norm (ISO 27001/ ISO 27002) Unternehmen helfen kann, die Einhaltung dieser Vorschrift zu erreichen. Nachfolgend werden hierzu einige Beispiele aufgeführt:

1. RELEVANTE ANFORDERUNGEN AUS DER DSGVO

Eine detaillierte gesetzliche Regelung der Auftragsverarbeitung erfolgt im Art. 28 ff. DSGVO.

1.1. Definition

Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der EU-Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet.

1.2. Kriterien 

Die Meinungen darüber, wann eine Auftragsverarbeitung vorliegt, gehen sehr weit auseinander: So ist der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom) der Ansicht „Aufträge über Wartung oder Prüfung von IT-Systemen stellen keine Auftragsver-arbeitung dar, sofern Gegenstand des Vertrages keine Datenverarbeitung ist, sondern allein auf die Supportleistung abzielt.“

Nicht derselben Auffassung ist aber die Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. Laut der GDD muss ein Verantwortlicher „für jegliche Wartung, in deren Rahmen ein Zugriff auf personenbezogene Daten nicht sicher ausgeschlossen werden kann, einen Auftragsver-arbeitungsvertrag entsprechend Art. 28 Abs. 3 DS-GVO mit dem die Wartung durchführenden externen Dienstleister abschließen“.

Eine ähnliche Interpretation kommt von der Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder „Ist Gegenstand des Vertrages zwischen Verantwortlichem und Auftragsverarbeiter die IT-Wartung oder Fernwartung (z.B. Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers) und besteht in diesem Rahmen für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich im Hinblick auf die weite Definition einer Verarbeitung in Art. 4 Nr. 2 DSGVO (z. B. Auslesen, Abfragen, Verwenden) ebenfalls um eine Form oder Teiltätigkeit einer Auftrags-verarbeitung und die Anforderungen des Art. 28 DSGVO – wie etwa der Abschluss eines Vertrages zur Auftragsverarbeitung – sind umzusetzen.“

Bis eine eindeutige Rechtsprechung hinsichtlich des Zugriffs auf personenbezogene Daten im Rahmen einer technischen Unterstützung (d.h. Kerntätigkeit ist nicht die Verarbeitung von personenbezogenen Daten) vorliegt, können Dienstleistungsverträge mit einer durchgängig geregelten Anforderung zu den Wartungsarbeiten (Wartungsaktivitäten, Durchführung und Abrechnung der Wartung, Protokollierung der Wartungsaktivitäten) sowie eine entsprechende Vertraulichkeitsvereinbarung, die sich auf alle Arten von Daten bezieht als Lösung gesehen werden. Falls sich der Dienstleister nicht an die vertraglichen Vorgaben hält, haftet er für seine Handlung wie ein Verantwortlicher.

1.3. Beispiele Auftragsverarbeitung / keine Auftragsverarbeitung

Wenn z.B. Server in einem Rechenzentrum gemietet sind und das Rechenzentrum keine Datenverarbeitung durchführt handelt es sich um Housing und somit um keine Auftrags-verarbeitung, da die Server nur zur Verfügung gestellt sind aber das Rechenzentrum keinen Zugriff auf personenbezogene Daten hat.

Sobald das Rechenzentrum aber Systeme administriert, wartet und Backups durchführt handelt es sich um Hosting. Besteht in diesem Fall die Möglichkeit auf personenbezogene Daten zuzugreifen, soll eine Vereinbarung zur Auftragsverarbeitung abgeschlossen werden. Allerdings soll näher betrachtet werden, ob ein Willensmoment auf Seitens des Verarbeiters (in diesem Fall Rechen-zentrum) vorliegt und ob der Zugriff überhaupt beabsichtigt ist.

Weitere Beispiele:

1.4. Anforderungen an die Auftragsverarbeitung 

• Nach Art. 28 DSGVO darf der Auftragsverarbeiter die Daten nur auf Weisung der Verantwortlichen (Auftraggeber) verarbeiten. Falls er dagegen verstößt und somit z.B. der Zweck der Verarbeitung neu bestimmt wird, handelt er nach Art. 28 Abs. 10 DSGVO als Verantwortlicher.

• Eine vertragliche Regelung der Auftragsverarbeitung ist nach wie vor erforderlich, muss aber nicht mehr ausschließlich schriftlich vorliegen, sondern kann auch in einem elektronischen Format abgeschlossen werden.

• Eine neue Anforderung der DSGVO ist, dass auch der Auftragsverarbeiter künftig ein Verzeichnis von Verarbeitungstätigkeiten (Art. 30 Abs. 2 DSGVO) für alle im Auftrag durchgeführten Tätigkeiten zu führen hat. Darüber hinaus soll erwähnt werden, dass eine Datenverarbeitung im Auftrag auch außerhalb der EU stattfinden kann, vorausgesetzt es liegen entsprechende Garantien vor.

• Auftragnehmer dürfen Subunternehmer nur dann einsetzten, wenn der Auftraggeber dies schriftlich oder elektronisch genehmigt hat. Dieselbe Regelung bezieht sich auf einen Wechsel von Subunternehmen. Findet eine Änderung bei den eingesetzten Subunternehmen statt, muss der Auftragsverarbeiter dies dem Auftraggeber vorher mitteilen. Der Auftraggeber hat dann die Möglichkeit, Einspruch gegen den geplanten Einsatz des neuen Subunternehmers einzulegen.

• Eine weitere Form der Datenverarbeitung bietet der in Art. 26 DSGVO geregelte „Joint Control“. Hiernach legen zwei oder mehrere Verantwortliche die Zwecke und Mittel zur Verarbeitung personenbezogener Daten gleichberechtigt und gemeinsam fest. Gleichzeitig haften sie für die Verarbeitung, die sie durchführen, d.h. der Betroffene kann seine Rechte gegenüber jedem für die Verarbeitung Verantwortlichen geltend machen.

• Es gibt in der DSGVO keinen Bestandsschutz für Altverträge. Daher sollten bis Mai 2018 notwendige Anpassungen vorgenommen worden sein.

1.5. Inhaltliche Anforderungen eines Vertrags zur Datenverarbeitung im Auftrag

2. TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN UND UMSETZUNGSBEISPIELE 

Die nachfolgende Tabelle beschreibt die Anforderungen des BDSG hinsichtlich der technischen und organisatorischen Maßnahmen und gibt einige Beispiele hinsichtlich der Umsetzung dieser anhand Annex SL des ISO 27001. Es wird keine Vollständigkeit garantiert.

 

 

 3. FAZIT

Die Erfüllung der Anforderungen der DSGVO und des BDSG (neu) hinsichtlich der technischen und organisatorischen Maßnahmen können durch die im Abschnitt 3 beschriebenen Beispiele erfolgen. Selbst bei einer erfolgreichen Integration dieser müssen aber weitere Datenschutzanforderungen beachtet und erfüllt werden. 

Autoren: Dr. Tomov, D. Ivanov, NenConsulting IT and Security GmbH

Quelle: Opens external link in new windowGAI NetConsult GmbH

4. REFERENZEN

[1] EU-DSGVO

[2] ISO/IEC 27001:2013

 

 

 

 

 

 

Autor: Dr. Tomov, D. Ivanov

Diesen Artikel empfehlen