Durch die zunehmende Komplexität von Arbeitsprozessen und die fortschreitende Spezialisierung von Organisationen werden immer öfter auch die Verarbeitungen personenbezogener Daten an andere Stellen ausgelagert. In der Praxis ergeben sich hierbei immer öfter Schwierigkeiten in der Einschätzung des (datenschutz-)rechtlichen Verhältnisses zwischen den beteiligten Vertragsparteien. Eine bedeutende Rolle nimmt in diesem Zusammenhang die sogenannte Auftragsverarbeitung ein. Der nachfolgende Beitrag soll Anhaltspunkte liefern, in welchen Konstellationen eine Auftragsverarbeitung regelmäßig anzunehmen ist.

Verantwortlicher, Auftragsverarbeiter, gemeinsam Verantwortliche

Zur Klärung der Frage, in welchen konkreten Fällen eine Auftragsverarbeitung vorliegt, sind zunächst die Begrifflichkeiten des Verantwortlichen, des Auftragsverarbeiters sowie der gemeinsam Verantwortlichen anhand der Definitionen in der Datenschutz-Grundverordnung aufzugreifen.

Bei einem Verantwortlichen handelt es sich gemäß Art. 4 Nr. 7 DS-GVO um jede „natürliche oder juristische Person, Behörde, Einrichtung, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […].“ In Abgrenzung hierzu, handelt es sich gemäß Art. 4 Nr. 8 DS-GVO bei einem Auftragsverarbeiter um jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“ Der Verantwortliche definiert sich somit insbesondere dadurch, dass dieser stets die Zwecke und Mittel der Datenverarbeitung festlegt, also über das „ob“ und „wie“ der Datenverarbeitung entscheidet, wohingegen der Auftragsverarbeiter eben diese Datenverarbeitung lediglich auf Weisung umsetzt.

Legt ein Verantwortlicher mit einem oder mehreren weiteren Verantwortlichen gemeinsam die Zwecke und Mittel der Datenverarbeitung fest, handelt es sich gemäß Art. 26 Abs. 1 Satz 1 DS-GVO um gemeinsam Verantwortliche.

Eine saubere Unterscheidung dieser Begrifflichkeiten hat in der Praxis eine große Bedeutung, da je nach Konstellation unterschiedliche Vertragswerke zugrunde zu legen sind und sich auch die Haftungsregelungen unterscheiden können. So ist unter Beachtung des Art. 82 Abs. 2 Satz 2 DS-GVO eine Haftung des Verantwortlichen für Tätigkeiten des Auftragsverarbeiter grundsätzlich nicht ausgeschlossen.

Der Europäische Datenschutzausschuss (EDSA) nennt in seinen Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DS-GVO zwei grundsätzliche Voraussetzungen zur Einstufung als Auftragsverarbeiter. Einerseits muss es sich bei einem Auftragsverarbeiter um eine von dem Verantwortlichen getrennten Stelle handeln, andererseits muss dieser die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeiten.

Das erstgenannte Kriterium bedarf keiner näheren Betrachtung, dient es insbesondere der Klarstellung, dass Fachabteilungen innerhalb eines Verantwortlichen gegenseitig keine Auftragsverarbeitungen durchführen können. Hingegen sind  Unternehmen innerhalb eines Konzernverbundes regelmäßig jeweils als eigenständige Verantwortliche einzustufen, sodass diese gegenseitig Auftragsverarbeitungen erbringen können, z.B. in Form von Shared Services.

In der Praxis liegt der Streitpunkt jedoch viel häufiger bei der Frage, ob im jeweiligen Einzelfall eine Verarbeitung personenbezogener Daten im Auftrag erfolgt. Der EDSA definiert in den Leitlinien das Handeln im Auftrag in Anlehnung an das Rechtskonzept der Delegation als Dienen im Interesse eines anderen. Im datenschutzrechtlichen Kontext bedeute dies, dass „ein Auftragsverarbeiter die Weisungen des Verantwortlichen zumindest in Beug auf den Zweck der Verarbeitung und die wesentlichen Elemente der Mittel“ umzusetzen hat. Weiterhin schließe ein Handeln im Auftrag des Verantwortlichen die Verarbeitung personenbezogener Daten zu eigenen Zwecken des Auftragsverarbeiter aus, diesen Schluss lasse insbesondere Art. 28 Abs. 10 DS-GVO zu.

Aus den Ausführungen des EDSA ergibt sich jedoch zwangsläufig die Anschlussfrage nach den wesentlichen und den unwesentlichen Elementen der Mittel einer Datenverarbeitung. Der EDSA nimmt in den benannten Leitlinien folgende Zuweisung vor: Die Festlegung wesentlicher Elemente obliege stets dem Verantwortlichen. Dabei handele es sich um Kriterien, die in einem engen Zusammenhang mit dem Zweck und dem Umfang der Datenverarbeitung stehen, also insbesondere die Art der verarbeiteten personenbezogenen Daten, die Kategorien der betroffenen Personen, die Dauer der Verarbeitung sowie die Kategorien von Empfängern. Bei unwesentlichen Elementen handele es sich hingegen insbesondere um „praktische Aspekte der Umsetzung“ oder umzusetzende Sicherheitsmaßnahmen.

Eine Besonderheit: Die Bereitstellung von Cloud-Anwendungen

Im Kontext der seitens des EDSA aufgestellten Kriterien stellt sich nun die Frage, ob die Nutzung cloudbasierter Anwendungen dann überhaupt eine Auftragsverarbeitung darstellt. Es könnte behauptet werden, allein der Cloudanbieter sei in der Lage über die wesentlichen Elemente bezüglich der Mittel einer Datenverarbeitung zu entscheiden. Schließlich darf die Möglichkeit zur Einflussnahme des Verantwortlichen auf die Datenverarbeitung, zum Beispiel hinsichtlich der konkreten Speicherdauer oder der Übermittlung an Unter-Auftragsverarbeiter, eines weltweit agierenden Cloudanbieters ernsthaft angezweifelt werden.

Doch auch hierauf findet der EDSA eine nachvollziehbare Antwort: „Selbst wenn der Auftragsverarbeiter eine Dienstleistung anbietet, die vorab in einer bestimmten Weise definiert wurde, muss er dem Verantwortlichen eine ausführliche Beschreibung der Dienstleistung vorlegen und der Verantwortliche muss die endgültige Entscheidung treffen, die Art und Weise der Verarbeitung aktiv zu genehmigen und erforderlichenfalls Änderungen zu verlangen. Des Weiteren kann der Auftragsverarbeiter die wesentlichen Elemente der Verarbeitung zu einem späteren Zeitpunkt nicht ohne Zustimmung des Verantwortlichen ändern.“

Eine Auftragsverarbeitung kann demnach also auch dann vorliegen, wenn der Auftragnehmer wesentliche Elemente der Datenverarbeitung vorab festlegt, dem Auftraggeber jedoch zumindest die Einflussnahme hinsichtlich der tatsächlichen Durchführung der Datenverarbeitung möglich ist. Dies gelte auch dann, wenn der Auftraggeber ausschließlich zwischen Auftragsvergabe (Datenverarbeitung findet statt) und keiner Auftragsvergabe (Datenverarbeitung bleibt aus) wählen kann.

Übrigens liegt nach Ansicht des EDSA auch dann eine Auftragsverarbeitung vor, sofern die Verarbeitung personenbezogener Daten nicht den hauptsächlichen oder vorrangigen Gegenstand der angebotenen Dienstleistung darstellt. Dies ist beispielsweise dann relevant, sofern innerhalb der Cloud-Anwendung primär keine personenbezogenen Daten gespeichert, aber zur Gewährleistung einer ordnungsgemäßen Funktionalität personenbezogene Daten in Form von IP-Adressen und Zugriffszeiten verarbeitet werden müssen.

Typische Auftragsverarbeitungen

Fernab dieses Anwendungsfalls haben die unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz, kurz: DSK) im Rahmen ihres Kurzpapier Nr. 13 bereits im Jahr 2018 eine Reihe weiterer typischer Auftragsverarbeitungen benannt. Hierzu gehören beispielsweise Datenverarbeitungen im Zusammenhang mit der Lohn- und Gehaltsabrechnung sowie der Finanzbuchhaltung; die Adressverarbeitung durch einen Lettershop; die Datenträgerentsorgung durch einen Dienstleister sowie die Prüfung und Wartung von Datenverarbeitungsanlagen, sofern dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

Im Gegensatz dazu ist eine Auftragsverarbeitung jedoch regelmäßig ausgeschlossen, wenn Datenverarbeitungen durch einen Berufsgeheimnisträger (z.B. Steuerberater, Rechtsanwälte, Wirtschaftsprüfer) durchgeführt werden und die jeweilige Tätigkeit dem Berufsrecht unterliegt, das heißt grundsätzlich weisungsfrei und demnach eigenständig ausgeübt werden muss.

Fazit

Auch wenn die Einschätzung der datenschutzrechtlichen Verhältnisse zwischen den datenverarbeitenden Stellen nicht immer einfach ist, so bieten die benannten Veröffentlichungen des EDSA und der DSK sinnvolle Kriterien und Anwendungsbeispiele. Wird das Vorliegen einer Auftragsverarbeitung festgestellt, ist zwischen den beteiligten Vertragsparteien zwingend ein Vertrag zur Auftragsverarbeitung abzuschließen. Hierbei muss vorab geprüft werden, ob der Vertrag sämtliche der durch Art. 28 DS-GVO geforderte Inhalte bereithält. Auch dabei ist der Datenschutzbeauftragte Freund und Helfer.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Entscheiden sich verantwortliche Stellen für den Einsatz eines externen Dienstleisters, welcher personenbezogene Daten im Auftrag verarbeitet muss ergänzend zum Hauptvertrag ein Auftragsverarbeitungsvertrag geschlossen werden. Klassische Beispiele einer Auftragsverarbeitung stellen das Hosting einer Internetseite, die Nutzung einer Cloud in Form von „Software as a Service“ (SaaS) oder die Vernichtung von Dokumenten durch ein entsprechend spezialisiertes Unternehmen dar. Die meisten Dienstleister stellen potenziellen Kunden mittlerweile Musterverträge zur Verfügung. Doch sollte man keinesfalls diesen Verträgen vertrauen, denn diese sind in vielen Fällen lückenhaft oder enthalten Klauseln, die rechtlich angreifbar sind. Aus diesem Grund bleibt verantwortlichen Stellen häufig nichts anderes übrig, als die von den Anbietern zur Verfügung gestellten Verträge eigenhändig zu kontrollieren. Und zwar gründlich. In diesem Beitrag wollen wir Ihnen einen Überblick verschaffen, wie Sie einen Auftragsverarbeitungsvertrag prüfen, beziehungsweise worauf Sie bei der Prüfung achten sollten und möchten Ihnen einen groben Vorschlag geben, wie Sie die Prüfung durchführen können.

Nutzung von Checklisten

Aus Art. 28 DS-GVO ergeben sich alle Regelungen, die ein Vertrag zur Auftragsverarbeitung mindestens beinhalten sollte. Auch wenn sich im Detail Abweichungen ergeben können, unterscheiden sich die Wesentlichen Regelungen in den einzelnen Vertragsmustern kaum. Die Nutzung von Checklisten kann hierbei helfen, ein gleichbleibendes Prüfschema anzuwenden. Eine solche Checkliste kann beispielsweise auf der Internetseite der Sächsischen Datenschutzbeauftragten abgerufen werden. Zugegebenermaßen ist diese Liste recht „kryptisch“ und erscheint für Personen, die nicht sehr viel damit zu tun haben (was häufig der Fall ist) recht unübersichtlich. Unterm Strich rät aber auch die Checkliste zu nichts anderem, als sich an dem Katalog des Art. 28 Abs. 3 DS-GVO entlang zu hangeln.

Geeignete Garantien

Zunächst fordert Art. 28 Abs. 1 DS-GVO, dass verantwortliche Stellen nur mit solchen Auftragsverarbeitern zusammen arbeiten, welche „hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ Eine Überprüfung dessen kann beispielsweise anhand der Darstellung der technisch-organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DS-GVO oder etwaig bestehender Zertifizierungen, wie beispielsweise der ISO 27001, erfolgen. Versuchen Sie im Rahmen einer Überprüfung zu beurteilen, ob die Maßnahmen auch dem aktuellen Stand der Technik entsprechen.

Vertragsinhalte

Aus dem Vertragstext sollten sich zunächst die wesentlichen Angaben zur Auftragsverarbeitung, das heißt zum Gegenstand und Zweck, zur Art und Dauer der Verarbeitung sowie zur Art der personenbezogenen Daten und Kategorien betroffener Personen. Auch die Örtlichkeit der Datenverarbeitung sollte sich eindeutig aus dem Vertragstext ergeben. Diesbezüglich sollte der Vertrag auf Angaben zur Verarbeitung außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums geprüft werden. Sitzt der Auftragsverarbeiter selbst oder ein eingesetzter Unterauftragsverarbeiter in einem solchen Drittland, gelten die besonderen Anforderungen aus Kapitel V der DS-GVO. In diesem Zusammenhang kann auf unseren Blog-Beitrag „Übermittlung personenbezogener Daten in Drittländer“ verwiesen werden. In einigen Fällen ist dann eine sogenannte „Transferfolgenabschätzung“ erforderlich.

Darüber hinaus sollte jeder Vertrag zur Auftragsverarbeitung Angaben zur Weisungsgebundenheit des Auftragnehmers enthalten. Hintergrund: Im Rahmen einer Aufragsverarbeitung verbleibt der Auftraggeber für die Datenverarbeitungen datenschutzrechtlich verantwortlich, denn dieser entscheidet weiterhin über die Zwecke und Mittel der Verarbeitung (Art. 4 Nr. 7 DS-GVO). Das heißt, dass verantwortliche Stellen unter Umständen auch für etwaige Schäden haften müssen, die durch eine ordentliche Prüfung des Auftragnehmers und des Vertrages zur Auftragsverarbeitung hätte verhindert werden können. Dementsprechend sollte bei einer Prüfung des Vertrages zur Auftragsverarbeitung ebenfalls sichergestellt werden, dass sich der Auftragnehmer zur Verpflichtung der Beschäftigten auf die Vertraulichkeit verpflichtet.

Weiterhin haben Auftragnehmer gewisse Hinweis- und Unterstützungspflichten, insbesondere wenn diese der Ansicht sind, dass die Weisungen des Auftraggebers rechtswidrig sind, aber auch in Fällen, in denen Betroffene ihre Rechte nach Kapitel III der DS-GVO geltend machen möchten. Auch dies sollte aus einem vernünftigen Vertrag zur Auftragsverarbeitung entsprechend hervorgehen.

Zudem haben Sie als Auftraggeber gewisse Kontrollrechte gegenüber Auftragnehmern. Das bedeutet, dass Sie das Recht haben, ihren Auftragnehmer in regelmäßigen Abständen auf ihre Datenschutzkonformität zu überprüfen. Die Überprüfung können sie tatsächlich durch eine physische Inspektion durchführen. Sprich, Sie können den jeweiligen Dienstleister vor Ort besuchen und sich selbst einen Überblick über dessen technische und organisatorische Maßnahmen zur Einhaltung des nötigen Sicherheitsstandards verschaffen. Eine solche Inspektion kommt jedoch eher selten vor und ist auch angesichts des Aufwands nicht immer zielführend. Rein rechtlich ist es ausreichend, sich die Einhaltung der vertraglichen und gesetzlichen Standards durch Bereitstellung aller nötigen Informationen und durch Vorlage von Zertifizierungen und Testaten nachweisen zu lassen.

Jeder lückenlose Vertrag zur Auftragsverarbeitung enthält weiterhin Klauseln, welche die Lösch- und Rückgabepflichten nach Vertragsbeendigung regeln. Nach Beendigung des Vertrages müssen Auftragnehmer der verantwortlichen Stelle sämtliche personenbezogene Daten entweder zurückgeben oder nach einschlägigen Standards zu löschen. Die Wahl hierüber obliegt grundsätzlich dem Auftraggeber.

Zu guter Letzt enthalten die meisten Verträge zur Auftragsverarbeitung sonstige Angaben, wie beispielsweise die Haftung, das anwendbare Recht und Gerichtsort oder Pflichten des Auftragnehmers zur Sicherung der Daten bei Pfändung. Hinsichtlich Haftungsregelungen sei noch erwähnt, dass diesbezüglich ausschließlich auf die gesetzliche Haftungsregelung des Art. 82 DS-GVO verwiesen werden sollte. Anderweitige, oftmals haftungsbeschränkende Regelungen, stehen regelmäßig im Widerspruch zu den gesetzlichen Normierungen.

Fazit

Im Ergebnis lässt sich festhalten, dass die Prüfung eines Vertrages zur Auftragsverarbeitung recht umfassend sein kann, wobei viele einzelne Punkte zu beachten sind. In diesem Beitrag haben wir Ihnen die nötigen Eckpfeiler dargestellt, die ein Vertrag zur Auftragsverarbeitung in jedem Fall regeln muss. Fehlen einzelne Punkte oder sind gewisse Formulierung „merkwürdig“ beziehungsweise unverständlich, sollten Sie vorsichtig sein. In jedem Fall ist die Prüfung der Verträge mit größter Aufmerksamkeit durchzuführen. Wir empfehlen Ihnen, die Prüfung der Verträge ihrem Datenschutzbeauftragen anzuvertrauen, da sie nach Jahren der Praxis viele Musterverträge bereits kennen und Ihnen oftmals sofort sagen können, ob der jeweilige Vertrag „sauber“ ist oder nicht. Ist dies jedoch keine Option, halten Sie sich an diesem Beitrag und schauen Sie sich ergänzend hierzu die oben verlinkte Checkliste an.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

WAS IST PASSIERT?

Microsoft hat ein Additional Safeguards Addendum to Standard Contractual Cluases veröffentlich. In dieser Ergänzung der Standardvertragsklauseln unterbreitet der US-Dienstleister Vorschläge für Garantien zur Stärkung der Betroffenenrechte. Insbesondere werden folgende relevante Zusagen seitens Microsoft gegeben: 

(1) Microsoft verpflichtet sich, bei einer Anordnung zur Herausgabe von Daten durch US-Behörden dazu (Ziff. 1 des Addendum): 
– alle Maßnahmen zu ergreifen, damit der Anfragende die Daten unmittelbar bei dem Kunden von Microsoft erfragen muss; 
– den Kunden unverzüglich zu benachrichtigen und für den Fall der Untersagung einer solchen Benachrichtigung des Kunden, alle rechtmäßigen Anstrengungen zu unternehmen, um das Recht auf Aufhebung des Verbots zu erwirken, damit dem Kunden so bald wie möglich so viele Informationen wie möglich mitgeteilt werden und 
– alle rechtmäßigen Anstrengungen zu unternehmen, um die geltend gemachte Offenlegung wegen Rechtsmängeln oder Konflikten mit dem Recht der Europäischen Union oder dem geltenden Recht der Mitgliedstaaten anzufechten.

(2) Microsoft gewährt den Betroffenen im Falle einer Offenlegung von Daten auf Anordnung einer US-Behörde einen Anspruch auf Ersatz des Schadens, der durch die Offenlegung entstanden ist (Ziff. 2 des Addendum). 

WIE REAGIEREN DIE AUFSICHTSBEHÖRDEN ZUR MAßNAHME VON MICROSOFT?

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, der Bayrische Landesbeauftragte für den Datenschutz und das Bayrische Landesamt für Datenschutzaufsicht und der Hessische Beauftragte für Datenschutz und Informationsfreiheit äußern sich wie folgt: 

„Damit [mit dem Additional Safeguards Addendum] sei, so die gemeinsame Bewertung der beteiligten Datenschutzaufsichtsbehörden, zwar die Transferproblematik in die USA nicht generell gelöst – denn eine Ergänzung der Standardvertragsklauseln könne eben nicht dazu führen, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde.“
Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg Dr. Stefan Brink

„Die Vorschläge von Microsoft sind ein wertvoller Impuls für die gemeinsame Suche nach Rechtssicherheit für Datenübermittlungen in die USA genauso wie in andere Staaten, deren Rechtsordnung den Schutzstandard des europäischen Datenschutzrechts nicht hinreichend gewährleisten können. Der Europäische Gerichtshof hat eindeutig entschieden, dass Datenflüsse aus Europa in die USA ohne zusätzliche Maßnahmen nicht mehr zulässig sind. Microsoft hat mit seiner heute vorgestellten Initiative diese Forderung des Europäischen Gerichtshofs und der für die Durchsetzung der DSGVO zuständigen Datenschutzaufsichtsbehörden in einem ersten Schritt aufgegriffen. Gerade für kleine und mittlere Unternehmen, die auf den unkomplizierten und trotzdem datenschutzkonformen Einsatz von Standardprodukten in besonderem Maße angewiesen sind, ist dies eine ermutigende Nachricht.“ 
Präsident des Bayrischen Landesamt für Datenschutzaufsicht Michael Will

„Bayerische öffentliche Stellen sollten in erster Linie Dienstleistungen in Anspruch nehmen, die auf Datentransfers in Drittländer verzichten. Allerdings wäre es realitätsfremd zu glauben, dass dies für alle gängigen Büroanwendungen möglich ist. Umso wichtiger ist es, wenn auch US-amerikanische Anbieter von Büroanwendungen die Anforderungen der Datenschutz-Grundverordnung erfüllen. Ich halte die aktuellen Vorschläge von Microsoft für einen ersten wichtigen Ausgangspunkt für die kommenden Verhandlungen.“ 
Der Bayerische Landesbeauftragte für den Datenschutz Prof. Dr. Petri

“Die Frage, ob in den USA ein angemessener Datenschutz für europäische Exportunternehmen besteht, ist durch eine Abwägungsentscheidung zu beantworten. Dies war durch die begrenzte Kalkulierbarkeit der bisherigen US-Regierung betriebenen Handelspolitik belastet. Angesichts des Wahlergebnisses kann künftig von einer Verbesserung der Verhandlungssituation ausgegangen werden. Aber auch dann ist ein Verhandlungserfolg nur zu erwarten, wenn die Datenschutzprobleme schrittweise ergebnisoffen auf allen Entscheidungsebenen diskutiert werden. Es kommt nur darauf an, dass die relevanten Argumente auf den Tisch gebracht werden. Wer das macht, ist unerheblich. Die eigentliche Abwägung kann dann aber nur durch die zuständigen Gremien erfolgen.“
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Michael Ronellenfitsch

Eine kritische Auseinandersetzung erfolgt durch Matthias Bergt – Referatsleiter des Referates I B der Berliner Beauftragten für Datenschutz Informationsfreiheit – in seinem Beitrag „Zusatz zu Standardvertragsklauseln: Massenweise Nebelkerzen von Microsoft und manchen Datenschutz-Aufsichtsbehörden“.  

WELCHE NEUEN ERKENNTNISSE IN SACHEN INTERNATIONALER DATENTRANSFER GIBT ES NOCH?

 Unlängst veröffentlichte bereits der Europäische Datenschutzausschuss (EDSA) ein Paper mit Empfehlungen zu „zusätzlichen Maßnahmen“ für Datenübermittlungen in Drittländer. Dieses Dokument enthält erste Handlungsempfehlungen zur Ausgestaltung von Schutzmaßnahmen. Das Papier des EDSA wurde zunächst in eine Öffentliche Konsultation bis zum 21.12.2020 gegeben. 

Zudem veröffentlichte die EU-Kommission am 12.11.2020 – nur einem Tag nach der Veröffentlichung durch den EDSA – den Entwurf der neuen Standard Contractual Clauses. In dieser Sache läuft die öffentliche Konsultation noch bis zum 10.12.2020. 

FAZIT

Seit dem viel zitierten Urteil des EuGH stehen Verantwortliche und Auftragsverarbeiter bei geplanten Datenübermittlung in Drittstaaten vor einigen herausfordernden Aufgaben. Mit dem Vorgehen eines der größten Technologieunternehmen wird zwar – so auch die Aufsichtsbehörden – keines Falles schlagartig die Problematik der Drittsaatentransfers gelöst, insbesondere da die vorgelegte Ergänzung der Standardvertragsklauseln nicht die generelle Zugriffsmöglichkeiten der US-Geheimdienste unterbindet. Den bisher veröffentlichten Stellungnahmen der einzelnen Landesdatenschutzbeauftragten lässt sich dennoch entnehmen, dass die Maßnahme als ein Fingerzeig in die richtige Richtung gewertet werden kann, auch wenn diese Euphorie augenscheinlich nicht von allen Aufsichtsbehörden geschürt wird. Es wird nunmehr eine Bewertung des Vorschlages von Microsoft seitens der Datenschutzkonferenz abzuwarten sein. 

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

WELCHE ARTEN VON VIDEOKONFERENZSYSTEMEN SIND ZU UNTERSCHEIDEN?

Für Verantwortliche bieten sich bei dem Einsatz von Videokonferenzsystem grundsätzlich drei Möglichkeiten:

(1) Betrieb der ausgewählten Software auf eigenen Servern. Diese Lösung wird als sogenannte „on-permise-Lösung“ bezeichnet, also ein Nutzungsmodell auf eigenen IT-Ressourcen. Der Veranstalter der Konferenz ist für die jeweilige Videokonferenz demnach auch der Verantwortliche i.S.d Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO).

(2) In Abwandlung zur ersten Alternative kann sich der Verantwortliche bei dem Betrieb der Software der Serverleistung eines externen IT-Dienstleisters bedienen. Der auf diesem Wege eingesetzte Dienstleister ist ein Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DS-GVO.

(3) Schließlich besteht die Möglichkeit, dass Verantwortliche Videokonferenzsysteme über einen cloudbasierten Online-Dienst („Software-as-a-Service“) nutzen. Der Anbieter einer solchen Softwarelösung ist regelmäßig nicht als Verantwortlicher der konkreten Konferenz, sondern als Auftragsverarbeiter zu qualifizieren. Verarbeitet der Anbieter, die im Rahmen der Konferenz übermittelten Daten jedoch zu eigenen Zwecken, ist er für diese Datenverarbeitung insoweit als Verantwortlicher einzustufen.

Je nach Ausgestaltung des Einsatzes der Anwendung müssen Verantwortliche unterschiedlichen Anforderungen nach den Bestimmungen der DS-GVO nachkommen. Dies betrifft allen voran die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO, wonach der Verantwortliche die Einhaltung der Datenschutzgrundsätze jederzeit nachweisen können muss. Erforderlich ist mithin die Anlage eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO. Unter Umständen kann die Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO geboten sein. Darüber hinaus ist insbesondere bei dem Einsatz eines Auftragsverarbeiters ein Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DS-GVO mit dem betroffenen Dienstleister abzuschließen.

AUF WELCHE RECHTSGRUNDLAGE KANN DIE DURCHFÜHRUNG EINER VIDEOKONFERENZ GESTÜTZT WERDEN?

Bei der Durchführung einer Videokonferenz handelt es sich unstreitig um eine Verarbeitung personenbezogener Daten. Zur rechtmäßigen Verarbeitung bedarf es gemäß Art. 5 Abs. 1 lit. a), Art. 6 DS-GVO einer belastbaren Rechtsgrundlage. Die konkrete Erlaubnisnorm ist in Kontext der jeweiligen Verarbeitungssituation zu bestimmen. Erfolgt die Videokonferenz über einen cloudbasierten Dienst, um beispielsweise einen Online-Kurs oder ein Seminar durchzuführen, wird die Verarbeitung regelmäßig zur Erfüllung eines Vertrages gemäß Art. 6 Abs. 1 S. 1 lit. b) DS-GVO erforderlich sein. Ebenso kommt Art. 6 Abs. 1 lit. f) DS-GVO in Betracht. Abhängig vom Einzelfall wird die Teilnehme von Mitarbeitern in vielen Fällen gemäß Art. 88 Abs. 1 DS-GVO i.V.m. § 26 Abs. 1 S. 1 BDSG zur Durchführung des Beschäftigungsverhältnisses erforderlich sein. Daneben kann ebenfalls die Einwilligung der Teilnehmer gemäß Art. 6 Abs. 1 S. 1 lit. a) DS-GVO herangezogen werden.

Außerdem sind weitere Rechtsgrundlagen zu überprüfen, wenn neben der eigentlichen Durchführung der Videokonferenz andere Verarbeitungstätigkeiten durchgeführt werden, beispielsweise die Aufzeichnung der Konferenz oder die Übermittlung personenbezogener Daten in Drittländer.

WER MUSS DIE DATENSCHUTZINFORMATION ERFÜLLEN?

Der Veranstalter einer Videokonferenz muss die Informationspflichten gemäß Art. 13 DS-GVO gegenüber allen Betroffenen erfüllen. Nicht ausreichend ist hierbei auf die Datenschutzinformationen des Diensteanbieters zu verweisen. Diese Hinweise können nicht die Informationspflichten des Verantwortlichen ersetzen. Dieser muss gegenüber den Betroffenen für seinen Verantwortungsbereich den Informationspflichten nachkommen und unter Umständen Betroffenenrechte umsetzen. Von der Informationsverpflichtung werden unter anderem Hinweise zum Verantwortlichen und gegebenenfalls zum Datenschutzbeauftragten, zu den Verarbeitungszwecken sowie zur Rechtsgrundlage für die Verarbeitung, und den berechtigten Interessen, die bei einer Verarbeitung gemäß Art. 6 Abs. 1 S. 1 lit. f) DS-GVO umfasst werden sowie der Speicherdauer. Ferner muss über die Betroffenenrechte und das Beschwerderecht bei der Aufsichtsbehörde informiert werden.

Im Rahmen der Informationspflichten ist insbesondere zu beachten, dass gemäß Art. 13 Abs. 1 lit. f) DS-GVO anzugeben ist, wenn eine Übermittlung personenbezogener Daten in ein Drittland erfolgt und ob diese Übermittlung auf einen Angemessenheitsbeschluss der EU-Kommission oder andere Garantien gestützt wird.

Möglich ist es bspw. den Teilnehmenden einer Videokonferenz im Vorfeld per E-Mail die Informationen zur Verfügung zu stellen. In Betracht gezogen werden kann auch, dass der Text auf der Organisationswebseite zur Verfügung gestellt wird und in der Konferenzeinladung eine entsprechende Verlinkung erfolgt.

WELCHE TECHNISCHEN UND ORGANISATORISCHEN MAßNAHMEN MÜSSEN VERANTWORTLICHE TREFFEN?

Der Verantwortliche muss dafür Sorge tragen, dass nach den Grundsätzen der Art. 5 Abs. 1 lit. f) DS-GVO, Art. 24, Art. 25 und Art. 32 DS-GVO geeignete technische und organisatorische Maßnahmen getroffen werden, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Mittlerweile haben sich folgende generische technische und organisatorische Maßnahmen herausgebildet (Auflistung nicht abschließend):
– Wird keine on-permise-Lösung genutzt, müssen Serverstandorte überprüft werden,
– Verschlüsselte Übertragung (Transportverschlüsselung oder ggf. Ende-zu-Ende-Verschlüsselung),
– Aufzeichnungsfunktion der Konferenz deaktivieren,
– Verhaltensüberwachung beziehungsweise Aufmerksamkeitstracking ausschalten,
– Zugangsbeschränkungen durch Login,
– Zutritt zur Konferenz regeln (beispielsweise über Warteraumfunktionen),
– Möglichkeiten zu Hintergründen und Weichzeichnern (»background blur«) aufzeigen,
– Privacy by Default (Kamera und Mikrofon deaktivieren, Freigabe durch Teilnehmer selbst ermöglichen),
– Löschung von Protokollen und Aufzeichnungen, sobald sie nicht mehr erforderlich sind,
– Datensparsame Zugangsmöglichkeiten (beispielsweise über den Browser oder per Telefon).

WELCHE HERAUSFORDERUNGEN ERGEBEN SICH BEI DEM EINSATZ VON DIENSTLEISTERN IN SOGENANNTEN DRITTSTAATEN?

Herausforderungen ergeben sich außerdem bei einer mit dem Einsatz von Konferenzsystemen verbundenen Übermittlung von personenbezogenen Daten in sogenannte Drittländer, insbesondere die USA, durch beispielsweise den Einsatz eines entsprechenden Dienstleisters. Hierbei rücken – durch die Unzulässigkeitserklärung des sog. Privacy-Shields durch den Europäischen Gerichtshof – die sogenannten Standarddatenschutzklauseln als Legitimationsgrundlage in das Blickfeld der Verantwortlichen. Diese sind jedoch zur Sicherstellung geeigneter Garantien nicht ausreichend. Vielmehr bedarf es der Sicherstellung weiterer technische und organisatorischer sowie rechtlicher Maßnahmen.

FAZIT

Vor der Inbetriebnahme eines entsprechenden Videokonferenzsystems müssen Verantwortliche einzelfallbezogen eine Reihe von datenschutzrechtlichen Anforderungen umsetzen. Nur so kann der rechtkonforme Einsatz gewährleistet werden.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

WAS WURDE GEPRÜFT?

Der Arbeitskreis hatte „die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft Onlinedienste (Data Processing Addendum / DPA) – jeweils Stand: Januar 2020“ geprüft und hinsichtlich der Erfüllung der Anforderungen von Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) bewertet. Im Einzelnen:

(1) Zunächst kritisiert der Beschluss die fehlende Beschreibung von Art und Zweck der Verarbeitung – selbst wenn es unter der Berücksichtigung des Dienstes MS Office 365 als cloudspezifischer Dienst sachdienlich sein kann, beide Kategorien verallgemeinert darzustellen – insbesondere wenn es um die Verarbeitung besonderer personenbezogener Daten im Sinne von Art. 9 DS-GVO geht. Es soll hierbei der Abstraktionsgrad auf Seiten von Microsoft verringert werden.

(2) Weiterhin merkt der Arbeitskreis an, dass innerhalb der Datenschutzbestimmungen für Microsoft Online-Dienste zwar darauf verwiesen wird, dass Microsoft als ein unabhängiger Verantwortlicher anzusehen ist, soweit personenbezogene Daten im Zusammenhang mit den legitimen Geschäftszwecken von Microsoft verarbeitet werden. Jedoch geht aus den Bestimmungen nicht eindeutig hervor, welche personenbezogenen Daten in diesem Rahmen verarbeitet werden. Zudem liegt für die Übermittlung weiterer personenbezogener Daten vom Verantwortlichen an Microsoft, z.B. im Rahmen der Telemetriedaten, neben dem Auftragsverarbeitungsvertrag keine weitere belastbare Rechtsgrundlage vor. Die ist insbesondere für öffentliche Stellen problematisch, da diese sich gemäß Art. 6 Abs. 1 S. 2 DS-GVO in der Erfüllung ihrer Aufgaben vorgenommenen Verarbeitungen nicht auf ein etwaiges berechtigtes Interesse im Sinne des Art. 6 Abs. 1 S. 1 lit. f) DS-GVO berufen können.

(3) Ferner kritisiert der Arbeitskreis, dass Microsoft Daten offenlegen muss, wenn die Datenschutzbestimmungen es vorsehen oder dies gesetzlich vorgeschrieben ist. Insbesondere wird hierbei auf den sogenannten Cloud-Act verwiesen, dem Microsoft als US-Dienstleister unterliegt.

(4) Gerügt wird außerdem, dass seitens Microsoft keine ausreichende Darstellung erfolgt, welche dem Risiko angemessenen Maßnahmen der angebotene Onlinedienst für die Verarbeitung von personenbezogenen Daten bietet. Die derzeitige Darstellung zu den technischen und organisatorischen Maßnahmen allein reiche nicht aus, um eine objektive Einschätzung zu treffen, ob die Maßnahmen dem Risiko angemessen sind.

(5) Außerdem wird angemerkt, dass durch Microsoft Daten, die zu eigenen Zwecken verarbeitet werden, nicht gelöscht werden.

(6) Schließlich wird eine fehlende Transparenz hinsichtlich des Einsatzes von Unterauftragnehmern kritisiert. Diesbezüglich soll Microsoft in Zukunft proaktiv Mechanismen zur Benachrichtigung der Kunden treffen.

WAS WURDE NICHT GEPRÜFT?

Microsoft hat seine OST sowie seine DPA seit Januar 2020 bereits mehrfach überarbeitet und angepasst. Hierbei wurden Änderungen in den Verträgen und auch in den Dokumentationen vorgenommen. Die Prüfung des Arbeitskreises beruht nicht auf den aktualisierten Dokumenten. Es erfolgt keine differenzierte Betrachtung einzelner Produkte. Microsoft Office 365 ist vielmehr ein Oberbegriff für eine ganze Produktgruppe, welche strenggenommen in Office 365 und Microsoft 365 zu unterteilen sind. Innerhalb der Produktgruppen gibt es zudem zahlreiche Produkte, Lizenzen und Konfigurationsmöglichkeiten. Keine Berücksichtigung fand ferner das Urteil des Europäischen Gerichtshofes (EuGH) vom 16. Juli 2020 in der Rechtssache C-311/18 (Schrems II).

WELCHE AUSWIRKUNGEN HAT DER BESCHLUSS FÜR DIE PRAXIS?

Festzuhalten bleibt, dass nicht alle Aufsichtsbehörden der DSK der datenschutzrechtlichen Bewertung des Arbeitskreises folgen. Die Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands stellen klar, dass auch sie bei Microsoft Office 365 erhebliche datenschutzrechtliche Verbesserungspotenziale sehen, gerade auch mit Blick auf die jüngste Entscheidung des EuGH zu internationalen Datentransfers. Sie unterstützen im Grundsatz die Zielsetzungen des Arbeitskreises, soweit er Ansatzpunkte für datenschutzrechtliche Verbesserungen des Produkts Microsoft Office 365 formuliert. Seine Gesamtbewertung können sie allerdings schon deshalb nicht teilen, weil sie zu undifferenziert ausfällt. Die genannten Aufsichtsbehörden sehen die Bewertung des Arbeitskreises Verwaltung vom 15. Juli 2020 zwar als relevante Arbeitsgrundlage, aber noch nicht als entscheidungsreif an. Das gilt umso mehr, als bislang noch keine förmliche Anhörung von Microsoft zu den Bewertungen des Arbeitskreises Verwaltung erfolgt ist.

Ziel des Beschlusses war es, dass eine Grundlage geschaffen wird, auf deren Basis in den Dialog mit Microsoft getreten werden kann. Diese Gespräche sollen federführend durch den Landesbeauftragten für den Datenschutz Brandenburg und das Bayerischen Landesamts für Datenschutzaufsicht zeitnah aufgenommen werden.

Die größte Herausforderung seitens Microsoft dürfte die Anpassung hinsichtlich der Offenlegung z.B. gegenüber Strafverfolgungsbehörden (beispielsweise aufgrund des Cloud-Act) sein. Microsoft selbst setzt bereits vor dem Urteil des EuGH auf die sogenannten EU-Standardvertragsklauseln. Jedoch kann auch so ein Zugriff durch US-Behörden nicht ausgeschlossen werden. Ein Problem, welches jedoch nahezu alle US-Dienstleister gleichermaßen betrifft. Abzuwarten bleibt hier die Entwicklung hinsichtlich der Wirksamkeit der Standardvertragsklauseln.

Aufgrund der vorangestellten Ausführungen sind derzeit wohl keine konkreten Maßnahmen seitens der Aufsichtsbehörden aufgrund des Dokumentes des Arbeitskreises zu erwarten. Vielmehr geht die DSK selbst davon aus, dass eben jenes Dokument zunächst eine Gesprächsgrundlage mit Microsoft bilden kann. Organisationen in der Praxis sollten in aller erster Linie Ruhe bewahren und keine voreiligen Entscheidungen treffen. Vielmehr sollte mit größter Sorgfalt die weitere Entwicklung beobachtet werden. Deutlich wird jedoch, dass ohne jegliche Konfiguration Produkte aus den Gruppen Office 365 und Microsoft 365 nicht datenschutzkonform genutzt werden können.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.