Das Verfahrensverzeichnis der Tätigkeiten (VVT)

Was ist ein Verfahrensverzeichnis der Tätigkeiten (kurz VVT)?

Ein solches Verzeichnis dokumentiert die Verfahren der Datenverarbeitung. Es gibt ein internes und ein öffentliches. Letzteres muss nach § 4g Abs. 2 BDSG jedem, der es beantragt, durch den Datenschutzbeauftragten verfügbar gemacht werden.

Kopplungsverbot und Inkassounternehmen

Kopplungsverbot
Anbieter dürfen Sie nicht zu einer Einwilligung in die Verarbeitung von Daten zwingen, wenn diese nicht für die Erfüllung des Vertrages erforderlich ist. Sie sollen eine echte Wahl haben und keinem Druck oder Zwang unterworfen sein, der Datenverarbeitung zuzustimmen. Wie dieses Kopplungsverbot in der Praxis genau gehandhabt wird, muss sich allerdings erst noch zeigen. Muss etwa ein Verbraucher in einem Online-Shop seine Einwilligung in die Verwendung seiner Daten zu Werbezwecken erteilen, um den Kauf abzuschließen, so dürfte die Einwilligung nicht freiwillig und somit unwirksam sein.

Videoüberwachung – Gesetze zum Thema

Generell ist eine Überwachung von öffentlichen Flächen unter anderen Anforderungen zu betrachten, aber bezieht sich die Überwachung und Bildaufnahmen ausschliesslich auf das eigene Werksgelände fasse ich die Information mal wie folgt zusammen:

Die Videoüberwachung ist frühstmöglich erkennbar zu machen das typische Symbolschild genügt also, und der Hinweis und die Möglichkeit nachzulesen, das Videoaufzeichnungen zum folgenden Zweck angelegt werden, aber nicht archiviert werden. Natürlich dürfen Bilder immer nur für den bestimmten Zweck gespeichert werden. Aber ein Sinhafter Zweck ist mal vorausgesetzt und keine unangemessene Speicherdauer.

Ansonsten habe ich in diesen Artikel die Gesetzesgrundlage zum Thema DSGVO und Videoüberwachung zusammen gefasst.

Videoüberwachung

Gem. § 4 Abs. 2 BDSG 2018 sind nunmehr der Umstand der Beobachtung und der Name und die Kontaktdaten des Verantwortlichen durch geeignete Maßnahmen zum frühestmöglichen Zeitpunkt erkennbar zu machen. Es bleibt also beim heute schon typischen Symbolschild. Weitere Transparenzinformationen erhält die betroffene Person nicht, sie ist stattdessen auf den Auskunftsanspruch nach Art. 15 DS-GVO angewiesen.

Art. 15 DSGVO Auskunftsrecht der betroffenen Person
1. Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
1. die Verarbeitungszwecke;
2. die Kategorien personenbezogener Daten, die verarbeitet werden;
3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
5. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
7. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
8. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
2. Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.
3. 1Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. 2Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. 3Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
4. Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
Passende Erwägungsgründe
(63) Auskunftsrecht (64) Identitätsprüfung
Passende Paragraphen des BDSG (neu)
§ 27 BDSG (neu) Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken § 28 BDSG (neu) Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken § 29 BDSG (neu) Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten § 30 BDSG (neu) Verbraucherkredite § 34 BDSG (neu) Auskunftsrecht der betroffenen Person

Praxishinweise für Auftragsverarbeiter nach Art. 28 DS-GVO (GDD)

GDD-Praxishilfe DS-GVO XII
Praxishinweise für Auftragsverarbeiter nach Art. 28 DS-GVO
Datum: 29.05.2018
Quelle: https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo

Hinweis: Diesesn Text habe ich nur der Webseite der GDD übernommen – er gibt einen guten Überblick über das Thema Auftragsverarbeiter – und hier sind Praxishinweise momenten dringend notwendig.

Quelle: Gesellschaft für Datenschutz und Datensicherheit e.V.

Die Auftragsverarbeitung wird zukünftig über Art. 28 DS‐GVO geregelt. Während die Norm teilweise bekannte Vorgaben an die Dienstleisterauswahl und die vertragliche Gestaltung stellt, enthält die DS‐GVO an verschiedenen Stellen eigene Rechtspflichten für Auftragsverarbeiter. Diese Praxishinweise der GDD möchten Hilfestellungen für Auftragsverarbeiter geben, wie die gesetzlichen Vorgaben umgesetzt werden können.
Diese Praxishilfe besteht in Ergänzung zur GGD Praxishilfe DS‐GVO IV – Mustervertrag zur Auftragsverarbeitung.

A. Einleitung

Art. 28 DS‐GVO stellt die zentrale Norm für die Auftragsverarbeitung dar.1 Beteiligte einer Auftragsverarbeitung sind der Verantwortliche und der Auftragsverarbeiter.
„Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Abs. 7 DS‐GVO). „Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene
Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Abs. 8 DS‐GVO). Gem. Art. 4 Abs. 10 DS‐GVO ist die Auftragsverarbeitung weiterhin dergestalt privilegiert, dass der Auftragsverarbeiter kein Dritter ist. Eine Beschränkung der Privilegierung auf den EWR‐Raum erfolgt nicht.
Auftragsverarbeiter im Drittland sind damit ebenfalls keine „Dritten“ für den Verantwortlichen.

B. Wann bin ich Auftragsverarbeiter?

Auftragsverarbeiter verarbeiten personenbezogene Daten im Auftrag des Verantwortlichen und auf Basis seiner Weisungen. Da die Leistungen eines Dienstleisters sehr vielschichtig sind, muss im Rahmen einer Einzelfallprüfung untersucht werden, ob eine Verarbeitung personenbezogener
Daten im Auftrag vorliegt.
Es bestehen jedoch Kriterien2, die bei der Prüfung zur Einordnung als Verantwortlicher oder Auftragsverarbeiter Unterstützung leisten können. So kann eine Stelle, die über die Zwecke der Verarbeitung personenbezogener
1 Im BDSGneu finden sich keine Regelungen und Vorgaben zur Ausgestaltung einer Auftragsverarbeitung i.S.d. DS‐GVO
Daten entscheidet, kein Auftragsverarbeiter sein. Bei der Beurteilung dieses Kriteriums ist zu untersuchen, • welchen Umfang der Handlungsspielraum des Dienstleisters bei der Auftragsvearbeitung hat,
• wie der Dienstleister durch den Auftraggeber überwacht wird
• die Expertise des Dienstleistes bei der Auftragsvearbeitung
• die Transparenz des Dienstleisters gegenüber dem Betroffenen.
Gleiches gilt für eine Stelle, die über die wesentlichen Mittel einer Verarbeitung entscheidet. Eine Entscheidung über „wesentliche Mittel“ einer Datenverarbeitung liegt in der Regel bei einem der folgenden Punkte vor:
• Welche Daten verarbeitet werden
• Wie lange sie verarbeitet werden
• Wer Zugang zu ihnen hat
Die alleinige Entscheidung des Auftragsverarbeiters über technisch‐organisatorische Mittel ist kein Ausschlussgrund für eine Auftragsverarbeitung.
Wird der Dienstleister mit der IT‐Wartung oder Fernwartung betraut und besteht hierbei die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten des Auftraggebers, soll es sich nach Meinung der hiesigen Aufsichtsbehörden um eine Form der Auftragsverarbeitung
handeln und die Anforderungen des Art. 28 DS‐GVO sollen für die geschuldete Tätigkeit gelten.3 Bei einer rein technischen Wartung ohne Zugriff auf personenbezogene Daten des Auftraggebers gelten die Vorgaben des Art. 28 DS‐GVO entsprechend nicht. Ein möglicher Ablauf zur Einordnung des Dienstleisters als Verantwortlicher der Auftragsverarbeiter ist dem nachfolgenden Schaubild zu entnehmen:

Abbildung 1: Einordnung Dienstleister

Beispiele für Auftragsverarbeitungen sind:
• Cloud‐Computing
• Newsletterversand
• Datenerfassung, Datenkonvertierung
• Auslagerung der Lohn‐ und Gehaltsabrechnung
• Backup‐Auslagerung und Archivierung

Keine Auftragsverarbeitung stellen in der Regel dar:
3 DSK Kurzpapier Nr. 13, S. 3.
• Tätigkeiten und damit verbundene Verarbeitungen personenbezogener Daten von Berufsgeheimnisträgern (Rechtsanwälte, Steuerberater,
• Wirtschaftsprüfer)
• Die Übertragung des Forderungsmanagements
• an ein Inkassounternehmen
• Postdienstleistungen in Form des Brieftransports

2 Weiterführende Hinweise der Artikel‐29‐Datenschutzgruppe in Stellungnahme 1/2010 zu den Begriffen
„für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ vom 16.02.2010 (WP169).
C. Verantwortlichkeiten in der DS-GVO

Durch die gesetzliche Abgrenzung zwischen Verantwortlichem und Auftragsverarbeiter bleibt es bei dem Grundsatz, dass der Verantwortliche grundsätzlich die Stelle ist, die über Zwecke und wesentlichen Mittel einer Datenverarbeitung entscheidet und für die Rechtmäßigkeit der
Verarbeitung insgesamt verantwortlich ist (vgl. Art. 24 DS‐GVO). Mit Anwendung der DS‐GVO werden jedoch auch dem Auftragsverarbeiter Rechtspflichten auferlegt, die er als Normadressat zu erfüllen hat. Dies ist eine fundamentale Veränderung zur alten Rechtslage, in der die gesetzlichen Vorgaben grundsätzlich nur gegenüber dem Verantwortlichen durchgesetzt werden konnten.

D. Pflichten für Auftragsverarbeiter

Auftragverarbeitern werden in zahlreichen Normen eigene Rechtspflichten auferlegt:

Abbildung 2: Rechtspflichten für Auftragsverarbeiter

Neben eigenen Pflichten beinhaltet die DS‐GVO Vorgaben für den Auftragsverarbeiter, um den Verantwortlichen bei der Einhaltung der gesetzlichen Vorgaben zu unterstützen. Diese Unterstützungspflichten sind entweder unmittelbar (vgl. Schaubild 2) oder mittelbar aus anderen gesetzlichen Normen der DS‐GVO zu entnehmen. Im Rahmen der Auswahl eines Auftragsverarbeiters haben Verantwortliche gemäß Art. 28 Abs. 1 DS‐GVO darauf zu achten, dass dieser hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung
erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
Vorgabe ist durch die Implementierung technischorganisatorischer Maßnahmen beim Auftragsverarbeiter zu konkretisieren. Die zu implementierenden Maßnahmen lassen sich modular aufbauen und können im Sinne einer Checkliste abgearbeitet werden4:

4 Vgl. hierzu ausführlich Datenschutzstandard „DS‐BvD‐GDD‐02“ für Auftragsverarbeiter gem. Art. 28 DS‐GVO (Veröffentlichung voraussichtlich 2. Quartal 2018).

Diese für eine sorgfältige Dienstleisterauswahl elementare

I. Leistungsbeschreibung

Die Leistungsbeschreibung (Auftrag) dient der Definition des zu betrachtenden Gegenstandes der Auftragsverarbeitung im Sinne des Art. 28 DS‐GVO, der Definition anderer Dienstleistungen des Auftragsverarbeiters und der Abgrenzung zur eigen‐genutzten internen (IT‐)Infrastruktur. Die Leistungsbeschreibung ist die verbindliche Grundlage für die Gestaltung der Vertragsbeziehung zwischen Verantwortlichem und Auftragsverarbeiter und sorgt für die erforderliche Transparenz der Datenverarbeitung. Es bietet sich an, die Beschreibung an der jeweiligen Phase einer Beauftragung durch einen Auftraggeber zu orientieren. So werden in der Auswahlphase vereinfachte Darstellungen im Hinblick auf den Gegenstand und den Umfang, die Art und den Zweck der Datenverarbeitung sowie angemessener Datenschutz‐ und IT‐Sicherheitsmaßnahmen ausreichend sein. In der Vertragsphase bieten sich Musterklauseln an, die auch auf konkrete IT‐Sicherheitsmaßnahmen Bezug nehmen.

II. Beschreibung der Herstellung

Die „Herstellung“ der Dienstleistung, sprich deren operative Durchführung, muss detailliert beschrieben sein. Die Dokumentation muss hinreichend vollständig, einheitlich und in sich schlüssig für Prozesse einer Dienstleistung vorgelegt werden können. Als Inhalte bieten sich an
• Flussdiagramme und Schnittstellen
• Eingesetzte Systeme, Hard‐ und Software
• Verantwortlichkeiten für den Datenumgang
• Eingesetzte weitere Auftragsverarbeiter
• Qualitätssicherungsprozesse
• Maßnahmen hinsichtlich Privacy by Design and by Default

III. Input‐Management

Datenweitergaben vom Verantwortlichen zum Auftragsverarbeiter in großem Umfang oder/und in hoher Regelmäßigkeit als Teil der Leistungserbringung sind umfassend zu dokumentieren. Eine Beschreibung der Schutzmaßnahmen und Abläufe der technischen Datenweitergabe
vom Verantwortlichen zum Auftragsverarbeiter hat zu erfolgen, inkl. der Kontrolle und Annahmedokumentation. Bei Verwendung externer Datenquellen außerhalb der Sphäre des Verantwortlichen ist die Rechtsgrundlage für die Datenverarbeitung zu dokumentieren.

IV. Auftragsmanagement

Ein Nachweis über funktionierende Schnittstellen zwischen den an der Leistungserbringung beteiligten Stellen und die vollständige Kontrolle über den jeweiligen Status eines Auftrags stehen beim Auftragsmanagement im Vordergrund. Der Auftragsverarbeiter hat den Nachweis zu erbringen,
dass ein revisionssicheres Auftragsmanagement implementiert ist. Verbindlichkeit, Handlungssicherheit und aktueller Status für jeden Auftrag müssen bei allen Beteiligten jederzeit sichergestellt sein. Zu den Beschreibungen zählen
• Abläufe der Auftragsbearbeitung, einschließlich der Tätigkeiten von weiteren Auftragsverarbeitern und Dienstleistern
• Beschreibung von Rollen und Schnittstellen
• Änderungsprotokollierung für die Auftragsverarbeitung

V. Output‐Management

Werden Datenweitergaben vom Auftragsverarbeiter zum Verantwortlichen als Teil der Leistungserbringung definiert, kann durch ein Output‐Management die Datenschutzkonformität
der entsprechenden Prozesse geprüft werden. Eine Weitergabe von Daten vom Auftragsverarbeiter
zum Verantwortlichen oder die Weitergabe an eine dritte Stelle muss sicher hinsichtlich Vertraulichkeit und Integrität sein und darf ausschließlich von hierfür autorisierten Personen durchgeführt werden. Hierzu müssen
 Abläufe der Datenübertragung beschrieben werden,
 ein Berechtigungskonzept erstellt werden,
 die Datenweitergabe protokolliert werden,
 IT‐Anwendungen auf die Möglichkeit eines Datenexports überprüft werden.

VI. Datenschutzkonzept

Ein Datenschutzkonzept stellt die Erfüllung der gesetzlichen Vorgaben sicher. Elementare Bestandteile des Datenschutzkonzepts eines Auftragsverarbeiters sind:

1. Eingabekontrolle

Veränderungen an Daten des Auftraggebers müssen angemessen protokolliert werden. Die Protokolle werden regelmäßig stichprobenartig kontrolliert, ob Veränderungen an Daten der Auftraggeber von berechtigten Personen durchgeführt worden sind.

2. Trennung von Daten verschiedener Verantwortlicher

Die Gewährleistung der Trennung von Daten ermöglicht, dass verschiedene Verantwortliche datenschutzkonforme Datenverarbeitungen von demselben Auftragsverarbeiter durchführen (lassen) können. Die Trennung kann auch ganz oder teilweise auf logischer Ebene stattfinden. Ein Berechtigungskonzept sorgt dafür, dass Daten von verschiedenen Auftraggebern getrennt verarbeitet werden können.

3. Auftragskontrolle

Die Auftragskontrolle gewährleistet, dass personenbezogene Daten nur weisungsgebunden verarbeitet werden (vgl. Art. 29 DS‐GVO). Der diesbezügliche Prozess muss bis zur untersten Ebene der Leistungserbringung Gültigkeit besitzen. Elementare Bestandteile der Auftragskontrolle sind
• Regelung der Form der Weisung (schriftlich oder in Textform)
• Dokumentation und Archivierung von Weisungen  Weisungsbefugte Personen und befugte Empfänger sind definiert
• Weisungen werden auf Datenschutzkonformität geprüft (Change Management)

4. Prozessbeschreibung Auskunft, Berichtigung, Datenübertragbarkeit und Löschung

Die Rolle des Auftragsverarbeiters hinsichtlich der Wahrung von Betroffenenrechten kann, je nach Auftrag, variieren. Der Prozess beim Auftragsverarbeiter hat in jedem Fall Unterstützungshandlungen des für die Verarbeitung Verantwortlichen vorzusehen. Hierzu bedarf es eines Datenschutzprozesses beim Auftragsverarbeiter, der an den Prozess des Verantwortlichen zur Erfüllung der Betroffenenrechte angebunden werden kann. Der Prozess
sollte u.a. vorsehen, dass
• Rollen, Tätigkeiten und Verantwortlichkeiten im Hinblick auf den Auskunftsprozess auf Seiten des Auftragsverarbeiters und die Schnittstelle zum Verantwortlichen umfassend beschrieben sind,
• auftragsbezogene Begehren von Betroffenen geordnet entgegenzunehmen und unverzüglich an
• den zuständigen Verantwortlichen weiterzuleiten sind, es sei denn der Auftragsverarbeiter hat
• sich vertraglich zur Beauskunftung für den Verantwortlichen verpflichtet,
• alle berechtigten Begehren zeitnah und vollständig erfüllt werden können (technische Umsetzung). Dabei sind Rechte Dritter zu wahren, so dürfen z.B. im Rahmen eines Auskunftsbegehrens keine Daten anderer Personen, Mitarbeiter oder Verantwortlicher mitbeauskunftet werden,
• eine Qualitätskontrolle etabliert ist,
• im Falle von veröffentlichten personenbezogenen Daten weitere Verantwortliche über ein Löschbegehren eines Betroffenen informiert werden.

5. Prozessbeschreibung Datenschutzverletzung

Eine Datenschutzverletzung bedeutet einen Sicherheitsvorfall, der zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, einer Änderung, unbefugten Offenlegung oder einem unbefugten Zugriff auf die übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten führt. Auch hier hat der Auftragsverarbeiter den Auftraggeber bei Daten, die aus dessen Auftrag resultieren, zu unterstützen. Dies beinhaltet
• eine Beschreibung, wie der Datenschutzprozess des Auftragsverarbeiters an den entsprechenden Prozess des Verantwortlichen angebunden werden kann,
• die Existenz eines Prozesses, um Verstöße gegen die Weisungen des Verantwortlichen oder gegen die Vorschriften zum Schutz personenbezogener Daten zu erkennen und unverzüglich den Verantwortlichen zu informieren. Dazu gehören auch Sachverhalte, die geeignet sind, die Interessen des Verantwortlichen zu tangieren,
• die Existenz eines Prozesses, um Datenschutzverletzungen, die eine gesetzliche Meldepflicht auslösen können, zu erkennen, den Verantwortlichen unverzüglich zu informieren und Maßnahmen zur Schadensminimierung einzuleiten,
• die Existenz eines Prozesses, um eine Datenschutzverletzung zeitnah zu untersuchen und aufzuklären.

VII. IT‐Sicherheitskonzept

Das IT‐Sicherheitskonzept soll den Schutz der Auftragsdaten beschreiben. Dazu müssen alle Räume, Infrastrukturen und IT‐Geräte betrachtet werden, die die Sicherheit der Auftragsdaten beeinflussen können. Netzwerke sind zu betrachten, soweit durch sie Auftragsdaten fließen oder Geräte, die Auftragsdaten speichern oder verarbeiten, an diesem Netzwerk angeschlossen sind. Weitere Auftragsverarbeiter (Unterauftragnehmer) sind in die Betrachtung einzubeziehen, soweit sie
• Zugriff auf Auftragsdaten erlangen können (z.B. Hard‐ und Softwarewartung, als Administratoren),
• für die Leistungserbringung relevant sind (z.B. Rechenzentren, Cloud‐Anbieter, Druckereien, Logistikunternehmen).

Der Auftragsverarbeiter hat ein IT‐Sicherheitskonzept basierend auf der angebotenen Leistung erstellt, das die Sicherheit der Auftragsdaten zum Gegenstand hat. Es erfüllt die Vorgaben zur Risikoabschätzung des Art. 32 Abs. 1 DS‐GVO und folgt einem etablierten Standard (z.B. BSI‐Standard 100‐2 „IT‐Grundschutz‐Vorgehensweise“).
Ist die Art der Auftragsdaten durch den Auftragsverarbeiter nicht erkennbar (z.B. beim Hosting), beschreibt das ITSicherheitskonzept das angebotene Schutzniveau. Die Beschreibung muss hinsichtlich ihrer Konkretheit und Detaillierung einen Verantwortlichen in die Lage versetzen können, zu beurteilen, ob das angebotene Schutzniveau für seinen konkreten Schutzbedarf angemessen ist.

VIII. Datenschutz‐Managementsystem

Da der Auftraggeber die datenschutzrechtliche Verantwortung für die unter seiner Verantwortung erhobenen personenbezogenen Daten trägt und den Auftragsverarbeiter mit der Verarbeitung dieser Daten beauftragt, erwächst für den Auftragsverarbeiter die Verpflichtung, seinerseits die Einhaltung von Datenschutzbestimmungen sicherzustellen. Das Datenschutz‐Managementsystem ist ein Instrument, dieser Verpflichtung nachzukommen und orientiert sich an den Definitionen des Datenschutzkonzepts.

Es beinhaltet u.a.
• die Bestellung eines Datenschutzbeauftragten,
• die Verpflichtung der mit der Datenverarbeitung befugten Personen des Auftragsverarbeiters auf einen vertraulichen Umgang mit Daten sowie ergänzende Schulungsmaßnahmen,
• die stichprobenhafte Kontrolle der angebotenen Leistung auf deren Datenschutzkonformität,
• einen Unterstützungsprozess zur Datenschutz‐Folgenabschätzung, der an den entsprechenden Prozess des Verantwortlichen angebunden werden kann. Dies beinhaltet auch eine Unterstützung bei einer möglichen Konsultation einer Aufsichtsbehörde nach Art. 36 DS‐GVO. Dieser Prozess schließt eine dokumentierte Risikobewertung hinsichtlich der Rechte und Freiheiten betroffener Personen ebenso mit ein, wie Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, um identifizierte Risiken zu bewältigen,
• einen Prozess zur regelmäßigen Kontrolle von weiteren Auftragsverarbeitern (Unterauftragnehmer), die für die Leistungserbringung wesentlich sind oder Zugriff auf Auftragsdaten erhalten.

IX. IT‐Sicherheitsmanagementsystem

Ein funktionierendes und dokumentiertes IT‐Sicherheitsmanagementsystem nach dem Stand der Technik gemäß Art. 32 DS‐GVO ist integraler Bestandteil eines wirksamen Datenschutzes. Neben dem Nachweis der Wirksamkeit eines solchen Managementsystems sind auch die Schnittstellen zwischen Datenschutz‐Managementsystem und dem IT‐Sicherheitsmanagement sowie eine redundanzfreie Regelungspyramide von hoher Wichtigkeit. Prozesse zur kontinuierlichen Verbesserung und einer Wirksamkeitsprüfung müssen vorhanden sein.
Der Nachweis eines etablierten IT‐Sicherheitsmanagementsystems ist durch ein Zertifikat möglich (vgl. Art. 42 DS‐GVO).

X. Auftragsmanagementsystem

Das Modul Auftragsmanagementsystem stellt die Kontrolle des weisungsgebundenen Handelns des Auftragsverarbeiters in den Mittelpunkt. Hierdurch soll gewährleistet werden, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Verantwortlichen verarbeitet werden (vgl. Art. 29 DS‐GVO). Für ein Auftragsmanagementsystem
ist folgendes elementar:

• Dokumentation von Prozessen zur Auftragsbearbeitung
• und deren Kontrolle,
• Verpflichtung der zur Verarbeitung befugten
• Personen auf Vertraulichkeit,
• Bearbeitung von Weisungen des Auftraggebers
• über einen Prozess (Change Management),
• Information des Verantwortlichen über eine Beauftragung weiterer Auftragsverarbeiter, das Einholen etwaiger Genehmigungen bzw. die Ermöglichung und Umsetzung von Widersprüchen des Verantwortlichen, die Ermöglichung angemessener Prüfungen durch den Verantwortlichen hinsichtlich der Auftragsbearbeitung.

XI. Vertrag zur Auftragsverarbeitung

Gemäß Art. 28 Abs. 9 DS‐GVO kann ein Vertrag zur weisungsgebundenen
Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter schriftlich oder in einem
elektronischen Format abgefasst werden. Dieser Vertrag muss den Anforderungen des Art. 28 DS‐GVO entsprechen.
Anregungen zur Vertragsgestaltung finden sich in der GDD‐Praxishilfe DS‐GVO IV „Mustervertrag zur Auftragsverarbeitung“.
5 Für Verträge im Kontext des Gesundheitswesens besteht ebenfalls ein Muster.6

XII. Beendigung der Leistungsbeziehung

Nach Beendigung eines Auftrages müssen klare Regelungen zwischen Auftragsverarbeiter und Verantwortlichem bestehen, was mit den beim Auftragsverarbeiter vorhandenen Daten geschehen soll (Löschung, Rückgabe, Archivierung oder Weiterverwendung im Rahmen eines Folgeauftrags).
Es existiert ein Prozess zur Auftragsbeendigung, der auch das Löschen oder Zurückgeben der Auftragsdaten an den Verantwortlichen umfasst. Dies schließt sämtliche Daten bei etwaigen weiteren Auftragsverarbeitern mit ein.

5 https://www.gdd.de/downloads/praxishilfen/GDD‐Praxishilfe_
DS‐GVO_4.pdf (letzter Abruf am 01.02.2018)
6 https://www.bvdnet.de/wp‐content/uploads/2017/07/Muster‐
AV‐Vertrag.doc (letzter Abruf am 01.02.2018).

Herausgeber:
Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.)
Heinrich-Böll-Ring 10
53119 Bonn
Tel.: +49 2 28 96 96 75-00
Fax: +49 2 28 96 96 75-25
www.gdd.de
info@gdd.de
Stand:
Version 1.1 (Februar 2018)
Gesellschaft für Datenschutz
und Datensicherheit e.V.

Die Inhalte dieser Praxishilfe wurden erstellt von Steffen Weiß, LL.M. Sie sind teilweise dem
Datenschutzstandard für Auftragsverarbeiter „DS-BvD-GDD-02“ entnommen. Die GDD
dankt dem Berufsverband der Datenschutzbeauftragten Deutschlands (BvD e.V.) für die
freundliche Unterstützung.

Voraussetzungen der Pflicht zur DSB-Bestellung

1. Bestellpflicht nach DS-GVO

Nach der DS-GVO ist ein Datenschutzbeauftragter (DSB) in folgenden Fällen verpflichtend zu bestellen (vgl. Art. 37 Abs. 1):

• Art. 37 Abs. 1 Buchst. a) DS-GVO: Personenbezogene Datenverarbeitung durch Behörde / öffentliche Stelle (Ausnahme: Rechtsprechung)

• Art. 37 Abs. 1 Buchst. b) DS-GVO: Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/ oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen.

• Art. 37 Abs. 1 Buchst. c) DS-GVO: Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Art. 9 DS-GVO) oder von Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DS-GVO).

Die für Unternehmen maßgebliche Bestellpflicht der beiden letztgenannten Fallgruppen hat jeweils zwei Voraussetzungen. Erstens muss die die Bestellpflicht auslösende personenbezogene Datenverarbeitung zur „Kerntätigkeit“ des für die Verarbeitung Verantwortlichen bzw. Auftragsverarbeiters gehören. Zweitens muss die Tätigkeit bestimmte inhaltliche Voraussetzungen erfüllen, nämlich das Erfordernis einer umfangreichen regelmäßigen und systematischen Beobachtung oder die umfangreiche Verarbeitung von Daten im Sinne von Art. 37 Abs. 1 Buchst. c) DS-GVO. In der englischen Fassung der DS-GVO, die Gegenstand der Trilogverhandlungen war, ist anstelle von „Kerntätigkeit“ (Singular) von „core activities“ (Plural) die Rede. „Core activities“ sind alle Geschäftsbereiche, die entscheidend sind für die Umsetzung der Unternehmensstrategie, die ihren Ausdruck findet in Kundenservice, Marketing, Produktdesign etc. Keine Aktivitäten in diesem Sinne sind routinemäßige Verwaltungs- und Erhaltungsaufgaben. Es genügt also, wenn die die Bestellpflicht auslösende Tätigkeit einen (!) Hauptzweck der betreffenden Stelle darstellt. „Beobachtung“ meint umfangreiche regelmäßige und systematische personenbezogene Auswertungen, insbesondere die Vornahme von Profilbildungen.


Biepsiele:
Beispiele für Bestellpflicht nach Art. 37 Abs. 1 Buchst. b) DS-GVO:
Auskunfteien; Detekteien; Versicherungsunternehmen (Risikomanagement oder individualisierte Tarife wie „Pay as you drive“); Marketing auf Basis detaillierter Kunden- und Interessentenprofile.

Beispiele für Bestellpflicht nach Art. 37 Abs. 1 Buchst. c) DS-GVO:
Gesundheitseinrichtungen, wie z.B. Krankenhäuser; mit genetischen Untersuchungen befasste Labors; Beratungsstellen wie Pro Familia; Dienstleister im biometrischen ID-Management oder Anbieter von Erotikartikeln.


Quelle:
GDD-Praxishilfe DS-GVO I – Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung, Version 1.0, Stand November 2016
URL: https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo

2. Anforderungen an die Bestellung

2.1 Notwendige Qualifikation und persönliche Voraussetzungen

Die DS-GVO stellt folgende Anforderungen an die notwendige Qualifikation und persönlichen Voraussetzungen, die ein DSB mitzubringen hat:

• Benennung auf Basis der beruflichen Qualifikation und insbes. des Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie der Fähigkeit zur Erfüllung der in Art. 39 genannten Aufgaben (Art. 37 Abs. 5 DS-GVO)

Die DS-GVO (Art. 38 Abs. 6 S. 2) verbietet wie das BDSG Interessenkonflikte.

2.2 Form und Dauer der Bestellung

Die Form der Bestellung wird durch die DS-GVO nicht geregelt. Zur Gewährleistung von Rechtssicherheit und aus Dokumentationsgründen ist eine Bestellung zumindest in Textform jedoch ratsam. Während der Kommissionsentwurf noch eine Mindestdauer von zwei Jahren verlangte, enthält die finale Fassung der DS-GVO im Hinblick auf die Dauer der Bestellung keine Vorgaben mehr. Dies bedeutet gleichwohl nicht, dass beliebig kurze Befristungen
möglich sind, vielmehr muss die Unabhängigkeit des Datenschutzbeauftragten (ErwG 97) gewährleistet bleiben. Sofern die Fristen so kurz sind, dass sie den Beauftragten hindern, effektiv seine Aufgaben wahr- und auch unliebsame Positionen gegenüber Unternehmensleitung und Fachabteilung einzunehmen, ist von einer Unwirksamkeit
der Befristung auszugehen.

2.3 Publizität der Bestellung

Im Verhältnis zum bisherigen nationalen Recht sieht die DS-GVO eine verstärkte Publizität des Datenschutzbeauftragten vor, indem die „Kontaktdaten“ des Datenschutzbeauftragten zu veröffentlichen und der Aufsichtsbehörde mitzuteilen
sind (Art. 37 Abs. 7 DS-GVO).

2.4 Möglichkeit der externen Bestellung und der Bestellung von Konzern-DSBs

Explizit regelt die DS-GVO dagegen die Möglichkeit der externen Bestellung (Art. 37 Abs. 6 DS-GVO) sowie der Bestellung eines gemeinsamen Datenschutzbeauftragten in Unternehmensgruppen

(Art. 37 Abs. 2 DS-GVO). Die Möglichkeit der Berufung eines solchen gemeinsamen Beauftragten ist mit der Bedingung verbunden, dass dieser von jeder Niederlassung aus „leicht erreicht werden kann“. Die nicht. Zu den Fachkundeanforderungen bislang vgl. Beschluss des Düsseldorfer Kreises vom 24./25. November 2010: Mindestanforderungen
an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG). Abrufbar unter: https://www.lda.
bayern.de/media/dk_mindestanforderungen_dsb.pdf
Das Erfordernis der persönlichen Integrität des Datenschutzbeauftragten ist in der DS-GVO nicht explizit geregelt, ergibt sich aber aus seiner Aufgabenstellung, Ansprechpartner
des Unternehmens und der betroffenen Personen zu sein.
Wie ein Vergleich mit Art. 13 Abs. 1 Buchst. a) DS-GVO zeigt, wo von „Name und Kontaktdaten“ die Rede ist, setzt die Angabe der bloßen Kontaktdaten, z.B. auf
der Homepage, nicht zwingend voraus, dass auch der Name des Datenschutzbeauftragten genannt wird. Im Verhältnis zur Aufsichtsbehörde ist die namentliche Nennung des Beauftragten gleichwohl sinnvoll (vgl. auch Art. 30 Abs. 1 Buchst. a) i.V.m. Abs. 4 DS-GVO).
GDD-Praxishilfe DS-GVO I / Stand: November 2016 7

leichte Erreichbarkeit impliziert den persönlichen und sprachlichen Zugang für die Verantwortlichen der einzelnen Konzernunternehmen sowie die Beschäftigten
als betroffene Personen. Zur Frage, ob auch eine juristische Person als Datenschutzbeauftragter bestellt werden kann, äußert sich Art. 37 DS-GVO nicht (zum Streitstand vgl. GDD-Ratgeber, Der betriebliche Datenschutzbeauftragte, 2014,
S. 38 f.). In der Literatur ist zudem umstritten, ob die in der DS-GVO enthaltene Regelung zur Bestellung eines gemeinsamen Datenschutzbeauftragten innerhalb der Unternehmensgruppe auch dazu führt, dass in Zukunft die Bestellung zentral durch
das herrschende Unternehmen erfolgen kann und damit der administrative Aufwand von Mehrfachbestellungen entfällt.

3. Stellung des Datenschutzbeauftragten

3.1 Unabhängigkeit

Kern der Rechtsstellung des Datenschutzbeauftragten ist seine Unabhängigkeit. Als übergeordnete Gewährleistung wird diese in ErwG 97 der DS-GVO angesprochen. Die unmittelbaren Ausprägungen der Unabhängigkeit, nämlich insbesondere die Unabhängigkeit von fachlichen Weisungen und die Verpflichtung zur Gewährleistung eines unmittelbaren Berichtswegs des Datenschutzbeauftragten zur höchsten Managementebene sind im normativen Teil der DS-GVO geregelt (Art. 38 Abs. 3 S. 1 und 3). Im Sinne eines effektiven Datenschutzmanagements ist es sinnvoll, den Datenschutzbeauftragten auch organisatorisch unmittelbar der Leitung des für die Verarbeitung Verantwortlichen zu unterstellen, denn die damit verbundene Sonderstellung verschafft ihm bei denjenigen, die personenbezogene Daten verarbeiten, die notwendige Autorität.

3.2 Abberufungsschutz und Benachteiligungsverbot

Zum Schutz des Datenschutzbeauftragten gewährleistet die DS-GVO Abberufungsschutz sowie ein Benachteiligungsverbot (Art. 38 Abs. 3 S. 2 DSGVO).
Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Möglich ist jedoch nach der DS-GVO ein betriebsbedingter Wegfall der Bestellung. Ebenso wenig genießt der Datenschutzbeauftragte nach der DS-GVO besonderen arbeitsrechtlichen
Schutz. Auf Grund seiner Befugnis zur Regelung des materiellen Arbeitsrechts ist dem nationalen Gesetzgeber jedoch unbenommen, einen Sonderkündigungsschutz für Datenschutzbeauftragte auf nationaler Ebene weiterhin vorzusehen.
Die Notwendigkeit eines solchen Schutzes hat der Gesetzgeber 2009 selbst explizit festgestellt (BT-Drs. 16/12011, S. 30).

3.3 Anspruch auf Einbindung, Unterstützung und Fortbildung

Vergleichbar dem BDSG sieht auch die DS-GVO einen Anspruch des Datenschutzbeauftragten auf Einbindung, Unterstützung und Fortbildung vor (Art. 38
Abs. 1 und 2 DS-GVO), der im Einzelnen Folgendes umfasst:

• Ordnungsgemäße und frühzeitige Einbindung in alle mit dem Schutz pb Daten zusammenhängenden Fragen
• Unterstützung bei der Aufgabenerfüllung
• Ressourcen zur Aufgabenwahrnehmung / Erhaltung des Fachwissens
• Zugang zu pb Daten und Verarbeitungsvorgängen
GDD-Praxishilfe DS-GVO I / Stand: November 2016 8

Zu den notwendigen Ressourcen im Hinblick auf die Aufgabenwahrnehmung gehört es dabei nach wie vor insbesondere, dass dem Datenschutzbeauftragten die notwendigen zeitlichen Kapazitäten zur Wahrnehmung seiner Aufgabe zur Verfügung gestellt werden. Das konkrete Maß der erforderlichen Unterstützung ist im Einzelfall zu bestimmen.


Kriterien für eine ausreichende finanzielle und materielle Ausstattung sowie
ein angemessenes Zeitbudget für die Wahrnehmung der gesetzlichen
Aufgaben sind beispielsweise:
• Größe des Unternehmens
o Anzahl der Mitarbeiter
o Anzahl der Standorte/ Betriebsstätten
• Organisation des Unternehmens
o Einbindung in eine Konzernstruktur
o national oder international
o Matrixorganisation
o Komplexität der Geschäftsprozesse
o Home-Office/Telearbeit
o Außendienst-/Vertriebsorganisation
o Delegationsmöglichkeiten (Rechtsabteilung/

Revisionsabteilung/ITSicherheitsbeauftragter/ externe Berater)
• Inanspruchnahme externer Dienstleister (Outsourcing)
• Branche
• Art und Anzahl der zu verwaltenden Personengruppen (Mitarbeiter, Kunden, Lieferanten, Dritte, Kontaktpersonen etc.)
• Sensibilität der verarbeiteten personenbezogenen Daten bzw. der verwendeten Verfahren

3.4 DSB als „Anwalt der Betroffenen“/ Pflicht zur Geheimhaltung bzw. Vertraulichkeit

Nach Art. 38 Abs. 4 DS-GVO können betroffene Personen den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer Daten und mit der Wahrnehmung ihrer Rechte aus der Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen. Dies entspricht im Wesentlichen der bisherigen Regelung in § 4f Abs. 5 Satz 2 BDSG, wonach sich Betroffene
jederzeit an den Beauftragten für den Datenschutz wenden können. Der Datenschutzbeauftragte ist demnach verpflichtet, Datenschutzbeschwerden zu prüfen und die betroffenen Personen über das Ergebnis seiner Prüfung zu informieren. Stellt er Datenschutzverletzungen, z.B. die Missachtung von Betroffenenrechten, fest, hat er darauf hinzuwirken, dass diese abgestellt werden. Die Wahrung von Geheimhaltung und Vertraulichkeit sind essenziell für eine effektive Ausübung der Tätigkeit als Datenschutzbeauftragter. Eigene Geheimhaltungs- bzw. Vertraulichkeitsverpflichtungen
sind in der DS-GVO jedoch nicht vorgesehen.
Diese verweist insofern vielmehr auf das sonstige Unionsrecht bzw. das Recht der Mitgliedstaaten. Auf nationaler Ebene finden sich entsprechende Regelungen
aktuell in § 4f Abs. 4 BDSG und in § 203 Abs. 2a StGB. Aufgrund des Verweises der DS-GVO ins nationale Recht hat der deutsche Gesetzgeber die Möglichkeit, diese Regelungen auch nach Geltung der DS-GVO entsprechend beizubehalten.

4. Aufgaben

4.1 Unterrichtung und Beratung

Der Datenschutzbeauftragte hat den Verantwortlichen bzw. Auftragsverarbeiter sowie die konkret mit der Datenverarbeitung Beschäftigten hinsichtlich ihrer Pflichten nach der DS-GVO sowie nach den sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten zu unterrichten und beraten (Art. 39 Abs. 1 Buchst. a) DS-GVO). Unterrichtung meint insofern die allgemeine Information über die bestehenden datenschutzrechtlichen Pflichten,
Beratung die Unterstützung bei der Lösung von konkreten datenschutzrechtlichen Fragestellungen.

4.2 Überwachung der Einhaltung des Datenschutzes

Weitere Kernaufgabe des Datenschutzbeauftragten neben der Unterrichtung und Beratung ist die Überwachung der Einhaltung des Datenschutzes (Art. 39 Abs. 1 Buchst. b) DS-GVO). Zu überwachen ist im Einzelnen die Einhaltung
• der DS-GVO,
• anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie
• der Strategien des Verantwortlichen oder Auftragsverarbeiters für den Schutz personenbezogener Daten (einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen).

4.3 Aufgaben im Zusammenhang mit der Datenschutz-Folgenabschätzung

Anders als die Vorabkontrolle nach dem BDSG ist die Durchführung der Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) dem Datenschutzbeauftragten nicht übertragen. Zuständig ist vielmehr der für die Verarbeitung Verantwortliche und
damit in abgeleiteter Verantwortung die jeweilige Fachabteilung. Die Aufgaben des Datenschutzbeauftragten im Zusammenhang mit der Datenschutz-Folgenabschätzung liegen zum einen in der Überwachung, ob diese durchgeführt wird, und zum anderen in der Verpflichtung, auf Anfrage im Hinblick auf deren Durchführung zu beraten (Art. 39 Abs. 1 Buchst. c) DS-GVO). Korrespondierend zur Beratungspflicht des Datenschutzbeauftragten besteht eine Verpflichtung der Fachabteilung, dessen Rat auch einzuholen (Art. 35 Abs. 2 DS-GVO).

4.4. Zusammenarbeit mit der Aufsichtsbehörde

Nach der DS-GVO arbeitet der Datenschutzbeauftragte mit der Aufsichtsbehörde zusammen und fungiert als deren „Anlaufstelle“ beim für die Verarbeitung Verantwortlichen; zudem berät er sich mit der Behörde „zu allen sonstigen Fragen“ (Art. 39 Abs. 1 Buchst. d) und e) DS-GVO). Ein Anlass zur Konsultation der Behörde wird sich insbesondere dann ergeben, wenn sich der Datenschutzbeauftragte über die Auslegung einschlägiger gesetzlicher
Regelungen oder die Angemessenheit einzelner Datenschutzmaßnahmen im Unklaren ist.

4.5. Pflicht zur risikoorientierten Tätigkeit

Nach Art. 39 Abs. 2 DS-GVO hat der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko
gebührend Rechnung zu tragen, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt, sog. Pflicht zur risikoorientierten Tätigkeit. Diese Verpflichtung entspricht dem risikobasierten Ansatz, der der gesamten DS-GVO zugrunde liegt, und ist grundsätzlich zu befürworten. Zur Gewährleistung der garantierten Unabhängigkeit (vgl. vorstehend Abschnitt 3.1) muss die Bewertung, welche Verarbeitungsvorgänge wegen des mit ihnen verbundenen Risikos einer vorrangigen Bewertung bedürfen, aber dem Datenschutzbeauftragten selbst obliegen. So dürfen etwa Prüfaufträge gegenüber dem Datenschutzbeauftragten diesen nicht daran hindern, aus
seiner Sicht vordringlichen datenschutzrechtlichen Angelegenheiten nachzugehen.

Transparenz- und Informationspflichten nach Artikel 13 und Artikel 14 Datenschutz-Grundverordnung

Transparenz- und Informationspflichten nach Artikel 13 und Artikel 14 Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DS-GVO) sieht vor, dass die oder der Verantwortliche Sie als betroffene Person über die Modalitäten, wie Ihre personenbezogenen Daten verarbeitet werden und welche Rechte Ihnen in diesem Zusammenhang zustehen, informiert.

Zwecke und Rechtsgrundlage der Datenverarbeitung:
Die gesamte Verarbeitung Ihrer personenbezogenen Daten erfolgt im Rahmen der Wahrnehmung der gesetzlich normierten, aufsichtsbehördlichen Befugnisse nach § 19 Niedersächsisches Datenschutzgesetz (NDSG) sowie Artikel 6 Abs. 1 lit. e DS-GVO i.V.m. den Artikeln 51 ff. DS-GVO, insbesondere mit den Artikeln 57 und 58 DS-GVO.

Speicherdauer oder Kriterien für die Festlegung der Dauer:
„Wie lange werden ihre Daten, Akten, die personenbezogenen Daten enthalten, aufbewahrt? Wann werden die Daten datenschutzgerecht gelöscht?

Empfänger oder Kategorien von Empfänger der Daten:
Sofern eine anonymisierte Bearbeitung Ihrer Eingabe nicht möglich ist, werden Ihre personenbezogenen Daten – wenn Sie hierin eingewilligt haben oder eine entsprechende Rechtsgrundlage vorliegt – zur Aufklärung des von Ihnen vorgetragenen Sachverhalts oder im Rahmen der Durchführung „aufsichtsbehördlicher Befugnisse“ … übermittelt. Die elektronische Datenverarbeitung erfolgt über den Dienstleister XYZ.

Hinweis zur Datenerhebung bei Dritten (Artikel 14 DS-GVO):
Im Rahmen der Sachverhaltsaufklärung ist nicht auszuschließen, dass mir die in Ihrer Eingabe genannte Stelle zusätzliche oder abweichende personenbezogene Daten über Sie zur Verfügung stellt. Hierüber würden Sie im Rahmen einer Antwort rechtzeitig informiert.

Hinweise auf Ihre Rechte als betroffene Person

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden, die Sie betreffen; ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Artikel 15 DS-GVO im einzelnen aufgeführten Informationen.

Sie haben das Recht, unverzüglich die Berichtigung unrichtiger personenbezogener Daten und ggf. die Vervollständigung unvollständiger personenbezogener Daten, die Sie betreffen, zu verlangen (Artikel 16 DS-GVO).

Sie haben das Recht, zu verlangen, dass personenbezogene Daten die Sie betreffen unverzüglich gelöscht werden, sofern einer der in Artikel 17 DS-GVO im einzelnen aufgeführten Gründe zutrifft, z. B. wenn die Daten für die verfolgten Zwecke nicht mehr benötigt werden (Recht auf Löschung) und die gesetzlichen Aufbewahrungs- und Archivvorschriften einer Löschung nicht entgegenstehen.

Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Artikel 18 DS-GVO aufgeführten Voraussetzungen gegeben ist, z. B. wenn Sie Widerspruch gegen die Verarbeitung eingelegt haben, für die Dauer meiner Prüfung, ob dem Widerspruch statt gegeben werden kann.

Datenübertragbarkeit: Sie haben gem. Artikel 20 DS-GVO das Recht, die mir aufgrund Ihrer Einwilligung freiwillig zur Verfügung gestellten und elektronisch verarbeiteten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, so dass Sie diese Daten einer oder einem anderen Verantwortlichen zur Verfügung stellen können.

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung personenbezogener Daten, welche Sie betreffen, Widerspruch einzulegen. Die personenbezogenen Daten werden dann nicht mehr verarbeitet, es sei denn:

* zwingende schutzwürdige Gründe für die Verarbeitung können nachgewiesen werden, welche Ihren Interessen, Rechten und Freiheiten überwiegen oder
* die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Artikel 21 DS-GVO) oder
* die Verarbeitung erfolgt im Rahmen meiner aufsichtsrechtlichen Befugnisse (insbesondere Artikel 57 und Artikel 58 DS-GVO).

Cookies

Cookies

Die europäische Datenschutz-Grundverordnung finden Sie online unter datenschutz-grundverordnung.eu. Auf derselben Seite ist auch das BDSG-neu einsehbar.

Interessant ist vieleicht auch die ausführliche Umsetzung von Volkswagen
Quelle: https://www.volkswagen.de/de/rechtliches/cookie-richtlinie.html

Quelle: https://www.e-recht24.de/artikel/datenschutz/8451-hinweispflicht-fuer-cookies.html

Viele Nutzer sind von Cookies genervt und dennoch konfrontieren die meisten Webseitenbetreiber ihre Besucher mit einem Cookie-Hinweis.

Brauchen WebSeitenbetreiber überhaupt einen solchen Cookie Hinweis?
Welche Hinweise müssen in der Datenschutzerklärung stehen?
Wie genau sollte eine Cookie Warnung aussehen?

Cookies und die EU-Cookie-Richtlinie

Cookies sind dazu da, Nutzer wiederzuerkennen und ihnen das Surfen auf einer Website zu erleichtern, etwa dadurch dass der Nutzer seine Zugangsdaten nicht bei jedem Besuch neu eingeben muss oder erkannt wird, was der Nutzer bereits gekauft hat.

Den rechtlichen Umgang regelt in der EU die so genannte „Cookie-Richtlinie“. Diese EU Cookie-Richtlinie, die eine ausdrückliche Einwilligung des Nutzers in solchen Fällen vorsieht, wurde von Deutschland aber gar nicht umgesetzt. Zur Erklärung: EU-Richtlinien sind nicht automatisch „Gesetz“, sondern müssen von den EU-Ländern umgesetzt werden. Da das in Deutschland nicht geschehen ist, gilt die Richtlinie bei uns eigentlich gar nicht.

Hinweis: Die in einer Textdatei hinterlegten Daten kann allein der Webserver auslesen, der das Cookie gesetzt hat.

Dafür gibt es den § 15 Abs.3 Telemediengesetz (TMG). Der besagt dass es ausreicht, den Nutzer zu unterrichten und auf ein Widerspruchsrecht hinzuweisen. Das kann in einem Cookie-Hinweis mit Link auf die Datenschutzerklärung erfolgen.

Das deutsche Recht kennt aktuell trotz der EU Cookie Richtline also keine direkte Pflicht, die Nutzer in die Verwendung von Cookies einwilligen zu lassen.

Um die Sache noch komplizierter zu machen: Die EU-Kommission hat erklärt, dass die Cookie Richtlinie in Deutschland eigentlich gar nicht umgesetzt werden muss, da die heutigen Regelungen in Deutschland die Vorgaben der Cookie-Richtlinie bereits erfüllen. Das klingt komisch, da die deutschen Regeln gerade keine Einwilligung (also den Klick auf „Ja, ich stimme zu“), sondern nur einen Hinweis auf das Widerspruchsrecht vorsehen. Es bleibt also ein gewisses Risiko, wenn Sie keinen Cookie Hinweis auf Ihrer Webseite anbieten.

Deutschland hat nicht offiziell umgesetzt

Informationen zu Cookies eines regional in Deutschland bekannten Webseiten Hoster:
Quelle: https://hosting.1und1.de/digitalguide/websites/online-recht/die-eu-cookie-richtlinie-teil-1-was-gilt-in-deutschland/


Was sind Cookies und welche Daten sammeln sie?
Cookies sind Textdateien, die der Browser beim Aufrufen einer Webseite auf dem Computer des Nutzers ablegt. Sie speichern Daten zum Besuch von Websites und erhöhen damit deren Benutzerfreundlichkeit: Zum Beispiel merkt sich Ihr Browser Log-in-Daten und Spracheinstellungen, die Sie dann nicht ständig aufs Neue eingeben müssen. Dem nützlichen Aspekt gegenüber steht die Kritik, dass Cookies mit dem Datenschutz oft nicht vereinbar seien. So werden viele Cookies eingesetzt, um bestimmte Aspekte des Surfverhaltens aufzuzeichnen, worüber z. B. personalisierte Werbung im Browser möglich wird. Vor allem Tracking- und Targeting-Cookies sind Datenschützern häufig ein Dorn im Auge.
Ein Cookie enthält normalerweise eine Angabe über die Lebensdauer der Textdatei sowie eine zufällig generierte Nummer, über die Ihr Computer wiedererkannt wird. In der Regel erfolgt die Datenspeicherung von Cookies anonymisiert. Personenbezogene Daten können nur dann gesammelt werden, wenn die entsprechende Seite ein Log-in erfordert.

Das besagt die Cookie-Richtlinie der EU
In der Europäischen Union soll die Richtlinie 2009/136/EG den Schutz personenbezogener Daten bei Website-Besuchen gewährleisten und stärken. Die 2009 erlassene EU-Cookie-Richtlinie sollte spätestens im Jahr 2011 von allen Mitgliedsstaaten umgesetzt werden – was so allerdings nicht geschah.
Die Cookie-Richtlinie sieht im Wesentlichen vor, dass die Besucher einer Website über den Einsatz von Cookies in einer leicht verständlichen Form informiert werden und der Speicherung zustimmen müssen. Cookies dürfen laut der Richtlinie nur dann ungefragt gesetzt werden, wenn sie technisch notwendig sind – also beispielsweise um einen durch den Nutzer erwünschten Dienst umzusetzen. Hierzu zählen etwa Session-Cookies zur Speicherung der Spracheinstellung, der Log-in-Daten und des Warenkorbs oder Flash-Cookies zur Wiedergabe von Medieninhalten.
Für die Anwendung der meisten Cookies benötigen Website-Betreiber jedoch eine Zustimmung der Nutzer. Das betrifft alle Cookies, die technisch nicht notwendig für das Funktionieren des Internetangebots sind. Vor allem Werbe-Cookies, die für das Retargeting genutzt werden, aber auch Analyse- und Social-Media-Cookies zählen hierzu. Die EU-Richtlinie gibt allerdings nicht vor, wie die genannten Auflagen genau umzusetzen sind. Vor allem hinsichtlich der Einverständniserklärung durch Website-Besucher herrscht Ungewissheit.

Das wird sich mit der e-Privacy-Verordnung ändern
Das soll mit der neuen e-Privacy-Verordnung endgültig geregelt werden.
Der aktuelle Entwurf verbietet technisch nicht notwendige Cookies generell, mit der Ausnahme, dass Nutzer deren Verwendung vorher zustimmen. Der Erstentwurf sprach dabei lediglich von Webanwendungen. Die Version vom 22. März 2018 schließt jede Art der maschinengestützten Kommunikation ein, also beispielsweise Apps, E-Mail und die Erhebung von Metadatan bei VoIP-Telefonaten. Das betrifft auch die Kommunikation zwischen zwei Maschinen, sogenannte M2M-Kommunikation.
Die e-Privacy-Verordnung sollte auch internationale Anbieter von Kommunikationsservices interessieren. Denn die Verordnung schreibt vor, dass die Regelungen Anwendung finden, sobald sich ein Endgerät innerhalb der EU-Grenzen befindet. Dabei ist es unerheblich, wo die Datenverarbeitung eines angesteuerten Dienstes stattfindet.
Der Datenschutz in den USA ist beispielsweise weniger streng ausgelegt. Im sogenannten Microsoft-Irland-Fall Microsoft und die europäische Daten-Treuhand wollte ein amerikanisches Bezirksgericht den Großkonzern dazu zwingen, kundenbezogene Daten von EU-Bürgern in den USA zugänglich zu machen. Microsoft hat dort seinen Hauptsitz und fällt unter das dort geltende Recht.
Die Daten europäischer Kunden lässt der Konzern aber über ein Tochterunternehmen der Deutschen Telekom, T-Systems, in Deutschland speichern und schützen. Mit der Begründung, dass amerikanisches Recht nur auf amerikanischem Boden gelte, konnte die Klage in erster Instanz abgewendet werden. Der Prozess läuft aber noch. Inwieweit sich europäisches und amerikanisches Recht in Zukunft potenziell in die Quere kommen werden, bleibt abzusehen.
Da der Anwendungsbereich der e-Privacy-Verordnung gilt, sobald ein Endgerät in Europa auf Kommunikationsdienste zugreift, werden amerikanische Unternehmen überlegen müssen, ob Sie Ihre Angebote in Bezug auf Cookies für Europa lokalisieren und somit weniger zielgerichtete Werbung schalten können oder ob sie Kunden möglicherweise mit einer „Bezahlschranke“ konfrontieren.
Inhalte der aktuellen EU-Cookie-Richtlinie
Die Europäische Union möchte mit der Cookie-Richtlinie die personenbezogenen Daten der Internetnutzer stärker schützen. Grundsätzlich unterscheidet die EU hierbei zwischen technisch notwendigen und nicht notwendigen Cookies:
Technisch notwendige Cookies: Zur notwendigen Datenspeicherung gehören Cookies, die für die Funktionen einer Website zwingend erforderlich sind. Das meint etwa das Speichern von Log-in-Daten, des Warenkorbs oder der Sprachauswahl durch sogenannte Session-Cookies (die beim Schließen des Browsers gelöscht werden).

Technisch nicht notwendige Cookies:
Als nicht notwendige Cookies werden dagegen Textdateien angesehen, die nicht allein der Funktionsfähigkeit der Website dienen, sondern auch andere Daten erheben. Dazu zählen folgende:
Tracking-Cookies
Targeting-Cookies
Analyse-Cookies
Cookies von Social-Media-Websites
Notwendige Cookies dürfen laut Cookie-Richtlinie von Anfang an gesetzt werden, also auch ohne vorherige Zustimmung durch den Nutzer. Demgegenüber müssen Website-Besucher einwilligen, bevor die Cookies nicht notwendige Daten speichern. Somit verlangt die EU-Cookie-Richtlinie nach allgemeinem Verständnis eine sogenannte Opt-in-Lösung bei nicht notwendigen Cookies.
Das ist der Unterschied zwischen Opt-out und Opt-in:
Opt-out: Cookies werden von Beginn an gesetzt – die User können der Datenspeicherung erst nachträglich widersprechen.

Opt-in: Cookies werden nicht von Beginn an gesetzt, sondern erst, wenn der Nutzer der Datenspeicherung zustimmt.
Der aktuelle Stand der e-Privacy-Verordnung
Der Erstentwurf der e-Privacy-Verordnung verlangte, dass in den Browser-Einstellungen vom Hersteller generell die höchste Privatsphärenstufe voreingestellt sein sollte. In dieser akzeptiert der Browser keine Cookies von Dritten. Somit würden die aktuell viel genutzten Cookie-Banner wegfallen, da sich User bei jeder Software-Installation aktiv dafür entscheiden müssten, Cookies zu akzeptieren. Diese Vorgabe basierte auf dem Prinzip „Privacy by Design“, das bereits in der DSGVO festgeschrieben ist. Ein neuerer Entwurf lockert allerdings die Regelungen für die Browsereinstellungen. Dies lässt User wieder von Domain zu Domain entscheiden, ob Sie Cookies zulassen.
Das sogenannte Koppelungsverbot schreibt vor, dass die Nutzung einer Website nicht davon abhängig gemacht werden darf, ob User der Verwendung von Cookies zustimmen. Es gibt jedoch berechtigte Zwecke, die notwendige Cookies voraussetzen können. Muss sich ein User beispielsweise beim Onlinebanking authentifizieren oder möchte er den Warenkorb eines Onlineshops nutzen, sind häufig Cookies notwendig. Informieren Website-Betreiber die User klar verständlich über den Zweck, können Einverständnis und Nutzung gekoppelt werden.

Was heißt das für den Einsatz von Cookies in der Praxis?
Die Rechtslage ist verzwickt und nicht abschließend geklärt. Hieran ändert auch die Tatsache nichts, dass die EU-Kommission die Anforderungen der Cookie-Richtlinie ebenfalls mit dem deutschen Telemediengesetz bereits als erfüllt ansieht. Sicher ist nur: Grundsätzlich können auf deutschen Webseiten nicht notwendige Cookies von Anfang an gesetzt werden. Wenn dies geschieht, müssen die Besucher aber die Chance haben, sich über Opt-out gegen die Speicherung Ihrer Nutzerdaten auszusprechen.

Die ideale Opt-out-Lösung
Einige deutsche Websites setzen die Vorgaben des TMGs mit dieser Opt-out-Variante um: Die aufgerufene Seite wird am oberen oder unteren Ende mit einem eingeblendeten Banner überlagert, über das die User durch einen entsprechenden Button die Verwendung von Cookies unterbinden können. Im Normalfall enthält das Banner einen Link zur Datenschutzerklärung, die folgende Informationen über die Cookie-Nutzung liefert:
Welche Daten werden gespeichert?
Warum werden diese Daten gespeichert?
Wie lange werden die Daten gespeichert?
Wer ist für die Datenspeicherung verantwortlich?
Wie kann man eine Einwilligung zur Datenspeicherung rückgängig machen?
Wichtig ist auch, dass Sie in der Datenschutzerklärung Auskunft über nicht notwendige Cookies geben. Beachten sollten Sie, dass die Informationen stets eindeutig und verständlich formuliert, dauerhaft abrufbar und leicht zu finden sind. An Stelle eines Banners können Sie auch ein Pop-up-Fenster oder eine vorgeschaltete Webseite verwenden. Ein Pop-up kann jedoch je nach Browser-Einstellung geblockt werden und eine vorgeschaltete Seite wirkt ungewohnt und könnte dazu führen, dass die Website-Besucher abspringen.

Andere Lösungen
Derzeit begegnen einem aber auch viele andere Reaktionen auf die Anforderungen des TMGs. Weit verbreitet ist beispielsweise diese Lösung: Die Nutzer werden per Banner oder Pop-up nur über das Setzen von Cookies informiert und können dem nicht widersprechen; stattdessen erklären sie sich mit der Weiternutzung der Website automatisch mit der Datenspeicherung einverstanden. Andere Websites weisen allein in ihrer Datenschutzerklärung auf die Funktion und Verwendung von Cookies hin.
Allerdings sind diese Varianten nur mit Abstrichen eine akkurate Umsetzung der rechtlichen Vorgaben des TMGs. Diesbezüglich sollte es ausreichend sein, in der Datenschutzerklärung die Nutzung von Cookies angemessen zu erläutern und darauf hinzuweisen, dass man dem widersprechen kann. Da dieser Artikel keine Rechtsberatung darstellt, sollten Sie jedoch bei Unsicherheiten immer einen Experten kontaktieren.

Cookies und Datenschutz: Was bringt die Zukunft?
Website-Betreiber sollten die weiteren Entwicklungen rund um die Umsetzung der EU-Cookie-Richtlinie aufmerksam verfolgen – denn die Rechtslage wird sich mit der e-Privacy-Verordnung definitiv ändern, auch wenn noch nicht ganz klar ist, wie streng diese ausfallen wird. Die Datenschutz-Grundverordnung der EU enthält weitere Bestimmungen für die Sicherheit von personenbezogenen Nutzerdaten. Solange die e-Privacy-Verordnung noch nicht rechtskräftig ist, fallen Cookies zumindest unter den Einflussbereich der in Kapitel 1 der DSGVO definierten personenbezogenen Daten – sofern sie Daten erfassen, die einen User auf irgendeine Weise (Kennnummer, Userprofil etc.) identifizierbar machen.
In den letzten Jahren mussten sich deutsche Websites lediglich dann stärker an der Cookie-Richtlinie orientieren, wenn sie beispielsweise Waren ins EU-Ausland über einen Onlineshop verkauften und entsprechende Zielmärkte das EU-Recht strenger auslegten. Die Cookie-Richtlinie in der EU hatte zudem Einfluss auf das sogenannte Retargeting, bei dem Onlinemarketing-Experten versuchen, mithilfe von Tracking-Cookies Käufer zu weiteren Transaktionen zu bewegen.
Doch mit Einzug der Datenschutz-Grundverordnung in die Gesetzgebung werden auch hierzulande strengere Regeln für die Verarbeitung personenbezogener Daten gelten. Diese Regelungen genau umzusetzen, wird Website-Betreibern zudem ein gutes Stück Arbeit ersparen, wenn später die „neue Cookie-Richtlinie“ in Form der e-Privacy-Verordnung rechtsgültig wird.

Bitte beachten Sie den rechtlichen Hinweis zu diesem Artikel (ganz unten).


Hinweis: Ich zitiere:

Quelle: https://www.datenschutzbeauftragter-info.de/cookie-und-webtracking-nur-mit-einwilligung-was-waere-wenn/
Datum: 14. März 2018

Fachbeitrag
Ab dem 25. Mai 2018 stehen wesentliche Änderungen im Datenschutz an. Cookie und Webtracking könnten nur noch mit ausdrücklicher Einwilligung der Nutzer möglich sein. Das Ob, Wie und Warum wird diskutiert, aber klare Antworten werden nicht geliefert. Wir beleuchten den rechtlichen Hintergrund.
Übergangszeit bis zur ePrivacy-Verordnung
Die ePrivacy-Verordnung sollte zeitgleich mit der Datenschutz-Grundverordnung (DSGVO) in Kraft treten und die Richtlinie 2002/58/EG (sog. ePrivacy-Richtlinie) in der Fassung von Richtlinie 2009/136/EG (sog. Cookie-Richtlinie) und das Telemediengesetz (TMG) ablösen. Das wird zum Mai 2018 nicht passieren, da die ePrivacy-Verordnung noch im Entwurfsstadium steckt.
Das TMG enthält eine umfassende Regelung zu Webtracking für deutsche Anbieter. Es erlaubt derzeit das Erstellen pseudonymer und anonymer Nutzerprofile sofern der Nutzer dem nicht widersprich (sog. Widerspruchslösung), während es die Erstellung personenbezogener Profile von einer Einwilligung abhängig macht.
In diesem Artikel geht es nicht um die ePrivacy-Verordnung, sondern um den Umgang mit Cookies und Webtracking in der Übergangszeit bis die ePrivacy-Verordnung wirkt.
Die Argumentationskette
Zurzeit geht man teilweise davon aus, dass ohne ePrivacy-Verordnung das TMG neben der DSGVO (Art. 95 DSGVO i.V.m. Erwägungsgrund 173) gilt, da die Normen des TMG die nationale Umsetzung der ePrivacy-Richtlinie darstellen. Diese Ansicht zieht Erwägungsgrund 25 der ePrivacy-Richtlinie, bzw. Erwägungsgrund 66 der Cookie-Richtlinie heran.
Folgt man einen alternativen Ansatz, könnte man folgendes sagen:
Neben der DSGVO gilt das TMG nach anderer Ansicht nicht weiter. Zwar dient § 15 Abs. 3 TMG der Umsetzung der ePrivacy-Richtlinie, hat die Richtlinie aber gerade nicht korrekt umgesetzt. Dies ergibt sich daraus, dass das TMG eine Opt-Out-Lösung präsentiert während die Richtlinie eine Opt-In-Lösung fordert.
Auch kann die Richtlinie nicht unmittelbar als Rechtsgrundlage herangezogen werden, da eine Richtlinie ihrer Natur nach einer Umsetzung in nationales Recht bedarf (Art. 288 AEUV). Denkbar wäre eine richtlinienkonforme Auslegung des § 15 TMG, was hier bereits schwierig ist, weil sie eine komplette Umdeutung des TMG bedeuten würde. Das ginge im Rahmen einer Auslegung m.E. zu weit. Im Ergebnis verstößt § 15 Abs. 3 TMG gegen die europarechtlichen Vorgaben.
Lösung nach DSGVO
Übrig bleibt also die DSGVO. Die DSGVO ist im Gegensatz zu einer Richtlinie direkt anwendbar und bedarf keiner Umsetzung, eben weil sie eine Verordnung ist. Die DSGVO ist anwendbar, wenn bei Cookies und Webtracking pseudonymisierte Daten verarbeitet werden. Anders als anonyme Daten, fallen pseudonymisierte Daten unter die DSGVO.
So weit so gut.
Aus oben genannter Überlegung wird als Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit Erwägungsgrund 47 S. 7 herangezogen. Demnach hat die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich zu sein und im Rahmen einer Interessenabwägung dürfen die Interessen des Betroffenen nicht überwiegen. Aus dem Erwägungsgrund 47 ergibt sich, dass die Verarbeitung zum Zwecke der Direktwerbung ein solches berechtigtes Interesse betrachtet werden kann. Der Fall ist scheinbar klar: Als Rechtsgrundlage kann das berechtigte Interesse herangezogen werden. Eine Widerspruchslösung genügt.
Ein alternativer Ansatz
Was aber passiert, wenn diese Argumentation nicht ausreicht? Wie oben beschrieben, gibt das europäische Recht ein Einwilligungserfordernis für Webtracking vor. Die Einwilligung muss nach diesen Vorgaben aktiv erfolgen und eine Opt-Out-Lösung genügt nicht.
Folgt man einem alternativen Ansatz, wäre das Einholen einer Einwilligung erforderlich. Die Anforderungen an eine Einwilligung sind nach der DSGVO hoch (vgl. Art. 7 DSGVO). Und u.a. dürfte die Einhaltung der Informationspflichten sein – der Cookie Banner würde statt eines mehr oder weniger diskreten Banners nunmehr die gesamte Seite ausfüllen.
Zudem dürfen Daten erst nach der aktiven Einwilligung verarbeitet werden. Konkret bedeutet dies zweierlei. Zum einen, dass eine Einwilligung aktiv erteilt werden müsste – eine konkludente Einwilligung durch Weitersurfen reicht nicht. Zum anderen, das technisch unterbunden wird müsste, dass überhaupt Daten vor einer Einwilligung erhoben werden.
Noch ist nichts sicher
Die hier dargestellte Argumentation ist durchaus vertretbar. Abzuwarten bleibt, wie sich diese Thematik entwickelt und welche Ansicht sich auf europäischer Ebene durchsetzt. Überhaupt bleibt abzuwarten, wie sich die Diskussion rund um die ePrivacy-Verordnung entwickelt.

Ich bin auf der Suche nach weiteren Informationen zum Thema Cookies auf einen Beitrag gestossen, den ich gerne zitieren möchte.

Quelle: https://shopbetreiber-blog.de/2017/06/01/dsgvo-cookies-1/
Ich zitiere hier einen Beitrag von Jennifer Rost vom 1.06.2017

Neue Rechtsgrundlagen der DSGVO
Zunächst ist festzuhalten, dass die meisten Cookies unter den Anwendungsbereich der Datenschutzgrundverordnung fallen. Denn Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten auch als solche Daten, die eine natürliche Person dadurch identifizierbar machen, indem sie einer
„Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen“
zugeordnet werden kann. Dies ist eine weitergehende Definition, als § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) sie noch enthielt.
Cookies enthalten regelmäßig jedenfalls Online-Kennungen, damit gerade eine Wiedererkennbarkeit hergestellt wird. Dass es sich hierbei um Pseudonyme handelt, spielt im Rahmen der DSGVO zunächst keine Rolle.
Es bleibt insoweit bei dem Verbot mit Erlaubnisvorbehalt, das auch der DSGVO zugrunde liegt: Die Verarbeitung personenbezogener Daten ist grundsätzlich nicht zulässig, es sei denn, eine der in Art. 6 DSGVO aufgeführten Bedingungen ist erfüllt. Diese Bedingungen sind neu, ähneln inhaltlich jedoch Regelungen, die heute bereits aus §§ 28 ff. BDSG bekannt sind. Auf den ersten Blick bleibt für Cookies daher nur der Weg über eine vorherige Einwilligung des Betroffenen. Doch kann der europäische Gesetzgeber diese wenig praktikable Lösung wirklich gewollt haben?

Lösung über die Abwägung berechtigter Interessen
Kurz gesagt: nein. Zwar muss mangels einer Privilegierung wie § 15 Abs. 3 TMG in Zukunft auf die „normalen“ Voraussetzungen einer zulässigen Verarbeitung personenbezogener Daten zurückgegriffen werden. Die Einwilligung ist jedoch nicht die einzige Alternative, die für Cookies in Frage kommt.
Vielmehr bietet Art. 6 Abs. 1 Satz 1 lit. f DSGVO eine Möglichkeit für die zulässige Verarbeitung von personenbezogenen Daten, der nicht nur im Hinblick auf Cookies voraussichtlich eine große Relevanz zukommen wird.
Nach dieser Vorschrift ist die Verarbeitung personenbezogener Daten zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“.
Es kommt also auf eine Interessenabwägung im Einzelfall an.

Durchführung der Abwägung für den Einzelfall
Diese Frage ist vor Einsatz des Cookies mittels einer dreistufigen Prüfung zu beantworten:
Gibt es ein berechtigtes Interesse des Online-Händlers?
Ist die beabsichtigte Datenverarbeitung, der Einsatz des Cookies, zur Wahrung dieses Interesses erforderlich?
Überwiegen die Interessen der Betroffenen am Schutz Ihrer Daten dem Interesse des Online-Händlers?
Ein berechtigtes Interesse ist bereits jedes nicht rechtswidrige rechtliche, wirtschaftliche oder ideelle Interesse.
Das Kriterium der Erforderlichkeit lehnt sich an den Grundsatz der Datensparsamkeit an, nach dem Daten nur zu einem Zweck erhoben werden dürfen, wenn sie zu dessen Erfüllung auch tatsächlich erforderlich sind.
Dafür, wie die einzelnen Interessen zu gewichten sind, gibt Erwägungsgrund 47 der DSGVO weitere Anhaltspunkte. Demnach sind insbesondere die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen, zum Beispiel dem Online-Händler, beruhen, zu berücksichtigen. Kann eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen dies erfolgt, vernünftigerweise absehen, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird, so überwiegen ihre Interessen in diesem Fall nicht.
Die Abwägung unter Berücksichtigung der vernünftigen Erwartungen der Betroffenen ist neu und zeigt, dass sich der Datenschutz unter der DSGVO teilweise gegenüber neuen Technologien öffnet. Denn Erwartungen entwickeln sich weiter. So erwartet heute noch kein Webseitenbesucher die namentliche Ansprache bei erneutem Besuch – möglicherweise ändert sich dies in den nächsten Jahren, sodass ein entsprechender Cookie, der den Namen enthält, irgendwann in der Zukunft unter Art. 6 Abs. 1 S. 1 lit. f DSGVO gerechtfertigt sein könnte.
Daneben sind auch die Umstände der Datenverarbeitung zu berücksichtigen: Werden nur pseudonymisierte personenbezogene Daten verarbeitet, kann dies im Rahmen der Interessenabwägung zugunsten der Interessen des Online-Händlers ebenfalls in die Waagschale geworfen werden.
Beispiele
Was ist nach alldem also erlaubt? Wo überwiegen die Interessen des Online-Händlers am Einsatz bestimmter Cookies die Interessen der Webseitenbesucher?
Bei einem Cookie, der der besseren Nutzerfreundlichkeit einer Webseite dient, werden die Interessen des Online-Händlers die Schutzinteressen der Webseitebesucher regelmäßig überwiegen. Dies kann zum Beispiel eine Merkfunktion für Spracheinstellungen oder den Warenkorb sein. Die Besucher haben selbst ebenfalls ein Interesse an der anwenderfreundlichen Gestaltung der Webseite. Werden nur pseudonyme Daten im Rahmen dieser Cookies (z.B. UserID zur Wiedererkennung) verarbeitet, ist gleichzeitig die Einschränkung der schutzwürdigen Interessen nicht besonders tiefgreifend.
Ein Cookie zur Webseitenanalyse, das nach heutiger Rechtslage zulässig eingesetzt wird, kann in der Regel unter der DSGVO ebenfalls über die Interessenabwägung aus Art. 6 Abs. 1 Satz 1 lit. f DSGVO gerechtfertigt werden. Auch hier dürften die Interessen des Online-Händlers an der bedarfsgerechten Gestaltung im Zusammenhang mit einer Verarbeitung pseudonymer Daten überwiegen.
Fazit
Im Ergebnis bringt die Datenschutzgrundverordnung bezüglich der Zulässigkeit des Einsatzes von Cookies keine 180°-Drehung. Zwar entfällt künftig die Rechtsgrundlage, über die heute der Großteil der Cookies eingesetzt wird – insbesondere § 15 Abs. 3 TMG. Art. 6 Abs. 1 Satz 1 lit. f DSGVO bietet mit der Zulässigkeit bei positiver Interessenabwägung jedoch eine vielseitig einsetzbare Alternative.
Doch Vorsicht! Die Vorschrift ist kein Freifahrtschein – eine Interessenabwägung sollte immer objektiv und gewissenhaft durchgeführt werden, bevor der Cookie gesetzt wird. Nur, weil der Einsatz bisher möglich war, muss dies nicht auch für die Zukunft gelten – beginnen Sie daher schon heute, die Rechtmäßigkeit der von Ihnen eingesetzten Cookies unter der DSGVO zu überprüfen.
Gleichzeitig ist das jederzeitige Widerspruchsrecht der Betroffenen aus Art. 21 DSGVO zu beachten und entsprechend einzuräumen.
Ist der Einsatz eines Cookies über Art. 6 Abs. 1 Satz 1 lit. f DSGVO zulässig, ist folglich keine Einwilligung erforderlich. Dies lässt jegliche Notwendigkeit für einen Cookie-Banner entfallen.
Etwas anderes kann sich jedoch aus der sog. ePrivacy-Verordnung der EU ergeben, welche sich aktuell im Entwurfsmodus befindet. Dort ist eine Neuregelung der Inhalte aus der Cookie-Richtlinie im Einklang mit der DSGVO geplant. Wir halten Sie hierzu auf dem Laufenden.

Eine weitere Interessante Zusammenfassung/Überblick zum Thema Cookies finden Sie unter
https://www.onlinehaendler-news.de/recht/rechtsfragen/29385-dsgvo-9-cookies.html

FAZIT:
1. Setzen Sie ein Cookie-Banner ein, wenn sie sich nicht sicher sind, wer auf ihrer Webseite welce Daten sammelt, um sich abzusichern.
2. Identifizieren Sie die Cookies auf ihrer Webseite und analysieren Sie genau welche Cookies sie warum einsetzen
3. Verwenden Sie nur die Cookies die sie zwingend benötigen, um so weniger Daten sie sammeln um so besser
4. Speichern sie die Daten nur im Sinne der Notwendigkeit des Vernwendungszweck der Daten entsprechend.
Generell gilt je weniger personenbezogene Daten sie speichern, destso besser ist es im Sinne der DSGVO.

Beispiel:
IP-Adressen können durchaus personenbezogen ausgewertet werden. IP-Adressen können einem Ort zugeordnet werden, ein Ort wohlmöglich eindeutig einer einzelnen Person und somit sind es schon wieder eindeutig personenbezogene Daten die zumindest hätten soweit Anonymisiert werden müssen, um für Auswertungen verwendet werden zu dürfen.

Haftungsausschluss
Die Informationen in diesem Artikel sind allein als unverbindliche Hinweise zu verstehen. Für die inhaltliche Richtigkeit der hier gemachten Angaben übernimmt die Dynamics Business Solutions GmbH keine Gewähr.

Auftragsverarbeitung nach Art. 28 DS-GVO

Auftragsverarbeitung nach Art. 28 DS-GVO

Quelle: https://www.lfd.niedersachsen.de/themen/auftragsdatenverarbeitung/auftragsverarbeitung-nach-art-28-ds-gvo-161994.html

Gesetzesgrundlage der DSGVO 28 – Auftragsverarbeiter

Die bereits aus dem Bundesdatenschutzgesetz bekannte Auftragsverarbeitung findet sich auch in der Datenschutzgrundverordnung (DS-GVO) wieder.

Auftragsverarbeiter ist nach der Legaldefinition des Art. 4 Nr. 8 DS-GVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Die Verarbeitung personenbezogener Daten im Auftrag ist in Artikel 28 ff. DS-GVO geregelt.

Für den Auftragsverarbeiter ergeben sich aus der DS-GVO eine Vielzahl neuer Pflichten und Verantwortungen.

So hat der Auftragsverarbeiter künftig die Pflicht ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DS-GVO für alle Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung zu führen. Das Verzeichnis muss der Aufsichtsbehörde auf Anfrage nach Art. 30 Abs. 4 DS-GVO, z. B. bei Kontrollen, zur Verfügung gestellt werden.
Zur rechtssicheren Gestaltung des Vertrags wird die Verwendung der Formulierungshilfe für einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO empfohlen https://www.lfd.niedersachsen.de/download/127630 (PDF Download).

Text-Beispiel Vorlage:

Hinweis:
Diese Formulierungshilfe ist nicht abschließend und bezieht sich in erster Linie auf die Fallgestaltung einer Auslagerung von klassischen IT-Dienstleistungen z. B. für die Lohnabrechnung oder Finanzbuchhaltung. Je nach konkretem Anwendungsfall müssen gegebenenfalls weitere Inhalte hinzukommen, können solche weggelassen oder müssen modifiziert werden, um dem gegebenen Sachverhalt gerecht zu werden (z. B. bei Berufsgeheimnisträgern, bei Dienstleistungen zur Wartung, Datenlöschung oder -konvertierung, bei der externen Datenarchivierung

Die konkrete Ausgestaltung ist an den jeweiligen Sachverhalt anzupassen. Diese Formulierungshilfe stellt keine Standard-vertragsklauseln im Sinne von Art. 28 Abs. 8 DS-GVO dar.

Formulierungshilfe für einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO1

Auftragsverarbeiter (Auftragnehmer):
_____________________________________________________________________

1. Gegenstand und Dauer der Vereinbarung

Der Auftrag umfasst Folgendes:

_____________________________________________________________________
(Gegenstand des Auftrags, konkrete Beschreibung der Dienstleistungen)

Der Auftragsverarbeiter verarbeitet dabei personenbezogene Daten für den Verantwortlichen im Sinne von Art. 4 Nr. 2 und Art. 28 DS-GVO auf Grundlage dieses Vertrages.
Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedsstaat der Europäi-schen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht.

Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddaten-schutzklauseln, genehmigte Verhaltensregeln).
Dauer des Auftrags

Der Vertrag beginnt am ……………………………… und endet am ………………………………
oder
wird auf unbestimmte Zeit geschlossen. Kündigungsfrist ist ………………………………….

Der Verantwortliche kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragsverarbeiters gegen Datenschutzvorschriften oder die Bestim-mungen dieses Vertrages vorliegt, der Auftragsverarbeiter eine Weisung des Verantwortlichen nicht ausführen kann oder will oder der Auftragsverarbeiter Kontrollrechte des Verantwortlichen vertrags-widrig verweigert. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DS-GVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.

2. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen:
(nähere Beschreibung, ggf. Verweis auf Leistungsverzeichnis als Anlage etc.)
Art der Verarbeitung (entsprechend der Definition von Art. 4 Nr. 2 DS-GVO):

____________________________________________________________________________

Art der personenbezogenen Daten (entsprechend der Definition von Art. 4 Nr. 1, 13, 14 und 15
DS-GVO):

_____________________________________________________________________________

Kategorien betroffener Personen (entsprechend der Definition von Art. 4 Nr. 1 DS-GVO):

______________________________________________________________________________

3. Rechte und Pflichten sowie Weisungsbefugnisse des Verantwortlichen

Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wah-rung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Verantwortli-che verantwortlich. Gleichwohl ist der Auftragsverarbeiter verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Verantwortlichen gerichtet sind, unverzüglich an diesen weiter-zuleiten.

Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Verantwortlichem und Auftragsverarbeiter abzustimmen und schriftlich oder in einem dokumentier-ten elektronischen Format festzulegen.
Der Verantwortliche erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

Der Verantwortliche ist berechtigt, sich wie unter Nr. 5 festgelegt vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragsverarbeiter ge-troffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen.

Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregel-mäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

Der Verantwortliche ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragsverarbeiters vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

4. Weisungsberechtigte des Verantwortlichen, Weisungsempfänger des Auftragsverarbeiters

Weisungsberechtigte Personen des Verantwortlichen sind:

________________________________________________________________________
(Vorname, Name, Organisationseinheit, Telefon)

Weisungsempfänger beim Auftragsverarbeiters sind:

________________________________________________________________________
(Vorname, Name, Organisationseinheit, Telefon)

Für Weisung zu nutzende Kommunikationskanäle:

________________________________________________________________________
(genaue postalische Adresse/ E-Mail/ Telefonnummer)

Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertrags-partner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen. Die Weisungen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalen-derjahre aufzubewahren.

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der ge-troffenen Vereinbarungen und nach Weisungen des Verantwortlichen, sofern er nicht zu einer ande-ren Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehör-den); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen An-forderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht we-gen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO).

Der Auftragsverarbeiter verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezoge-nen Daten werden ohne Wissen des Verantwortlichen nicht erstellt.

Der Auftragsverarbeiter sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezoge-nen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Verantwortlichen verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt wer-den.

Die Datenträger, die vom Verantwortlichen stammen bzw. für den Verantwortlichen genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert.

Der Auftragsverarbeiter hat über die gesamte Abwicklung der Dienstleistung für den Verantwortli-chen insbesondere folgende Überprüfungen in seinem Bereich durchzuführen:

Das Ergebnis der Kontrollen ist zu dokumentieren.

Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Verant-wortlichen, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderli-chen Datenschutz-Folgeabschätzungen des Verantwortlichen hat der Auftragsverarbeiter im notwen-digen Umfang mitzuwirken und den Verantwortlichen soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Er hat die dazu erforderlichen Angaben dem Verantwortli-chen unverzüglich an folgende Stelle weiterzuleiten:

Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich darauf aufmerksam machen, wenn eine vom Verantwortlichen erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Verantwort-lichen nach Überprüfung bestätigt oder geändert wird.

Der Auftragsverarbeiter hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Verantwortliche dies mittels einer Wei-sung verlangt und berechtigte Interessen des Auftragsverarbeiters dem nicht entgegenstehen.

Unabhängig davon hat der Auftragsverarbeiter personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Weisung des Verant-wortlichen ein berechtigter Anspruch des Betroffenen aus Art. 16, 17 und 18 DS-GVO zugrunde liegt.

Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger Weisung oder Zustimmung durch den Verantwortli-chen erteilen.

Der Auftragsverarbeiter erklärt sich damit einverstanden, dass der Verantwortliche – grundsätzlich nach Terminvereinbarung – berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Da-tensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Verantwortlichen beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbei-tungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO).
Der Verantwortliche kann die Einhaltung eines genehmigten Zertifizierungsverfahrens gem. Art. 42 DS-GVO durch den Auftragsverarbeiter als Faktor heranziehen, um die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen zu beurteilen.

Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Auf-tragsverarbeiters) ist nur mit Zustimmung des Verantwortlichen gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kon-trollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DS-GVO sind auch in diesem Fall sicherzustellen.
Der Auftragsverarbeiter bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen daten-schutzrechtlichen Vorschriften der DS-GVO bekannt sind. Er verpflichtet sich, auch folgende für die-sen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Verantwortlichen obliegen:

____________________________________________________________________________
(z. B. Bankgeheimnis, Fernmeldegeheimnis, Sozialgeheimnis, Berufsgeheimnisse nach § 203 StGB etc.)

Der Auftragsverarbeiter verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezo-genen Daten des Verantwortlichen die Vertraulichkeit zu wahren. Diese besteht auch nach Beendi-gung des Vertrages fort.
Der Auftragsverarbeiter sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mit-arbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhält-nisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-GVO). Der Auftragsverarbeiter überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.

Beim Auftragsverarbeiter ist als Beauftragte(r) für den Datenschutz Herr/Frau

_____________________________________________________________________________
(Vorname, Name, Organisationseinheit, Telefon)

bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Verantwortlichen unverzüglich mitzutei-len.
oder
Ein betrieblicher Datenschutzbeauftragter ist beim Auftragsverarbeiter nicht bestellt, da die gesetzli-che Notwendigkeit für eine Bestellung nicht vorliegt.
Sofern einschlägig:
Der Auftragsverarbeiter verpflichtet sich den Verantwortlichen über den Ausschluss von genehmig-ten Verhaltensregeln nach Art. 41 Abs. 4 DS-GVO und den Widerruf einer Zertifizierung nach Art. 42 Abs. 7 DS-GVO unverzüglich zu informieren.

6. Mitteilungspflichten des Auftragsverarbeiters bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten

Der Auftragsverarbeiter teilt dem Verantwortlichen unverzüglich Störungen, Verstöße des Auf-tragsverarbeiters oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Best-immungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverlet-zungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Verantwortlichen nach Art. 33 und Art. 34 DS-GVO. Der Auftragsverarbeiter sichert zu, den Verantwortlichen erforderli-chenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Verantwortlichen darf der Auftragsverarbeiter nur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages durchführen.

7. Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. 3 Satz 2 lit. d DS-GVO)

(Hinweis: Hier sind verschiedene Regelungsalternativen möglich. Die Parteien können ein absolutes Unterauftragsverbot vereinbaren, es kann aber auch ein Verbot mit Genehmigungsvorbehalt im Ein-zelfall geregelt werden. Auf letztere Möglichkeit bezieht sich der unten stehende Formulierungsvor-schlag.)

Die Beauftragung von Subunternehmern zur Verarbeitung von Daten des Verantwortlichen ist dem Auftragsverarbeiter nur mit Genehmigung des Verantwortlichen gestattet, Art. 28 Abs. 2 DS-GVO, welche auf einem der o. g. Kommunikationswege (Ziff. 4) mit Ausnahme der mündlichen Gestattung erfolgen muss. Die Zustimmung kann nur erteilt werden, wenn der Auftragsverarbeiter dem Verant-wortlichen Namen und Anschrift sowie die vorgesehene Tätigkeit des Subunternehmers mitteilt. Au-ßerdem muss der Auftragsverarbeiter dafür Sorge tragen, dass er den Subunternehmer unter beson-derer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DS-GVO sorgfältig auswählt. Die relevanten Prüfunterlagen dazu sind dem Verantwortlichen auf Anfrage zur Verfügung zu stellen.

Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Vo-raussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

Der Auftragsverarbeiter hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Verantwortlichem und Auftragsverarbeiter auch gegenüber Subunternehmern gelten. In dem Vertrag mit dem Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des Auftragsverarbeiters und des Subunternehmers deutlich voneinander abgegrenzt werden. Wer-den mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. Insbesondere muss der Verantwortliche berechtigt sein, im Bedarfsfall an-gemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen o-der durch von ihm beauftragte Dritte durchführen zu lassen.

Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem elektro-nischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DS-GVO).

Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DS-GVO bezüglich seiner Beschäftigten erfüllt hat.

Der Auftragsverarbeiter hat die Einhaltung der Pflichten des/der Subunternehmer(s) wie folgt zu überprüfen:

Das Ergebnis der Überprüfungen ist zu dokumentieren und dem Verantwortlichen auf Verlangen zu-gänglich zu machen.

Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen dafür, dass der Subunternehmer den Datenschutzpflichten nachkommt, die ihm durch den Auftragsverarbeiter im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt wurden.

Zurzeit sind für den Auftragsverarbeiter die in Anlage ……… mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort ge-nannten Umfang beschäftigt. Mit deren Beauftragung erklärt sich der Verantwortliche einverstan-den.

Der Auftragsverarbeiter informiert den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer, wodurch der Ver-antwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (§ 28 Abs. 2 Satz 2 DS-GVO).

(Hier haben die Vertragsparteien einen Gestaltungsspielraum: Entweder werden dem Auftragsverar-beiter allgemein Befugnisse eingeräumt, Subunternehmer zu beauftragen oder dies wird von einer Einzelgenehmigung abhängig gemacht. Einigt man sich auf eine allgemeine Befugnis des Auftragsver-arbeiters zur Beauftragung von Subunternehmern, ist jede Subbeauftragung vorher durch den Auf-tragsverarbeiter dem Verantwortlichen anzuzeigen. Der Verantwortliche hat dann von Gesetzes we-gen ein Recht auf Einspruch gegen diese Änderung (Art. 28 Abs. 2). Das Recht des Verantwortlichen zum Einspruch ist im Vertrag ausdrücklich zu erwähnen. Da das Gesetz die Folgen dieses Einspruchs nicht regelt, wird empfohlen, hierzu vertragliche Regelungen zu finden. Wird keine Regelung getrof-fen, ist die Bestellung des Unter-Auftragsverarbeiters, gegen den Einspruch erhoben wurde, nicht möglich.)

8. Technische und organisatorische Maßnahmen (insbesondere Art. 28 Abs. 3 Satz 2 lit. c und e DS-GVO)

Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Niveau der Sicherheit der Verar-beitung gewährleistet. Dazu werden einerseits mindestens die Schutzziele von Art. 32 Abs. 1 DS-GVO wie Vertraulichkeit, Verfügbarkeit und Integrität der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird (Art. 28 Abs. 3 lit. c).

Die Formulierung in Art. 32 Abs. 1 DS-GVO „diese Maßnahmen schließen unter anderem Folgendes ein“ verdeutlicht andererseits, dass die dort vorgenommene Aufzählung nicht abschließend ist. Für die Auftragsverarbeitung sind auch technische und organisatorische Maßnahmen umzusetzen, die in Kapitel III der DS-GVO genannten Rechte der betroffenen Personen wahren (Art. 28 Abs. 3 lit. e).
Diese Maßnahmen sollen u. a. sicherstellen, dass Daten nur für den Zweck verarbeitet und ausgewer-tet werden können, für den sie erhoben werden (Zweckbindung), dass Betroffene, Verantwortliche und Kontrollinstanzen u. a. erkennen können, welche Daten für welchen Zweck in einem Verfahren erhoben und verarbeitet werden, welche Systeme und Prozesse dafür genutzt werden (Transparenz) und dass den Betroffenen die ihnen zustehenden Rechte auf Benachrichtigung, Auskunft, Berichti-gung, Sperrung und Löschung jederzeit wirksam gewährt werden (Intervenierbarkeit). Entsprechend sind auch die Maßnahmenbereiche zu berücksichtigen, die vorrangig der Minimierung der Eingriffsin-tensität in die Grundrechte Betroffener dienen.

Beispiele für typische, bewährte technische und organisatorische Maßnahmen in den einzelnen Be-reichen können den „Hinweisen zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO“ (Ab-schnitte 6.7 bis 6.9) entnommen werden. Die Auflistung dort ist nicht vollständig oder abschließend. In Abhängigkeit von den konkreten Verarbeitungstätigkeiten können weitere oder andere Maßnah-men geeignet und angemessen sein.

Methodik der Risikobewertung

Für die auftragsgemäße Verarbeitung personenbezogener Daten wird folgende Methodik zur Risiko-beurteilung verwendet, welche die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten berücksichtigt:
…………………………………………………………………………………………………………………………………………………………….
Das im Anhang ……….. beschriebene Datenschutz- und Datensicherheitskonzept stellt die Auswahl der technischen und organisatorischen Maßnahmen passend zum Datensicherheitsrisiko unter Be-rücksichtigung der Schutzziele Vertraulichkeit, Verfügbarkeit, Integrität, Zweckbindung, Transparenz und Intervenierbarkeit detailliert und unter besondere Berücksichtigung der eingesetzten IT-Systeme und Verarbeitungsprozesse beim Auftragsverarbeiter dar.
Das im Anhang ………. beschriebene Verfahren zur regelmäßigen Überprüfung, Bewertung und Evalu-ierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung wird als verbindlich festgelegt.
Folgende Möglichkeit für den Nachweis durch Zertifizierung bestehen:
Die Bewertung des Risikos samt der Auswahl der geeigneten technischen und organisatorischen Da-tensicherheitsmaßnahmen des Auftragsverarbeiters wurden am …… durch folgende unabhängige ex-terne Stellen auditiert/zertifiziert gemäß den Zertifizierungen nach Art. 42 :
…………………………………………………………………………………………………………………………………………………………….
Diese vollständigen Prüfunterlagen und Auditberichte können vom Verantwortlichen jederzeit einge-sehen werden.

Oder:
Der Auftragsverarbeiter hat bei gegebenem Anlass, mindestens aber jährlich, eine Überprüfung, Be-wertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen zur
Gewährleistung der Sicherheit der Verarbeitung durchzuführen (siehe Abschnitt 8) und das Ergebnis samt vollständigem Auditbericht dem Verantwortlichen mitzuteilen.

Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den an-gewandten Verfahren sind mit dem Verantwortlichen abzustimmen.

Soweit die beim Auftragsverarbeiter getroffenen Sicherheitsmaßnahmen den Anforderungen des Verantwortlichen nicht genügen, benachrichtigt er den Verantwortlichen unverzüglich.

Die Datensicherheitsmaßnahmen beim Auftragsverarbeiter können im Laufe des Auftragsverhältnis-ses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Sicherheitsstandards nicht unterschreiten.

Wesentliche Änderungen sind vom Auftragsverarbeiter mit dem Verantwortlichen in dokumentierter Form (schriftlich, elektronisch) abzustimmen. Solche Abstimmungen sind für die Dauer dieses Vertra-ges aufzubewahren.

9. Verpflichtungen des Auftragsverarbeiters nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g DS-GVO

Nach Abschluss der vertraglichen Arbeiten hat der Auftragsverarbeiter sämtliche in seinen Besitz so-wie an Subunternehmen gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungser-gebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen,
dem Verantwortlichen auszuhändigen.
oder
wie folgt datenschutzgerecht zu löschen bzw. zu vernichten/vernichten zu lassen:

_______________________________________________________________________________

Die Löschung bzw. Vernichtung ist dem Verantwortlichen mit Datumsangabe schriftlich oder in ei-nem dokumentierten elektronischen Format zu bestätigen.

10. Vergütung

11. Haftung

Auf Art. 82 DS-GVO wird verwiesen.
Im Übrigen wird folgendes vereinbart:

12. Vertragsstrafe

Bei Verstoß des Auftragsverarbeiters gegen die Regelungen dieses Vertrages, insbesondere zur Einhal-tung des Datenschutzes, wird eine Vertragsstrafe von ………………. Euro vereinbart.

13. Sonstiges

Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfungs-unterlagen (auch zu Subunternehmen) sind von beiden Vertragspartnern für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

Weitere Beispiele für mögliche Regelungen:

Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches Format erforderlich.

Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Verantwortlichen beim Auftragsverarbeiter durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auf-tragsverarbeiter den Verantwortlichen unverzüglich zu verständigen.

Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der für den Verantwortli-chen verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Ver-einbarung im Übrigen nicht.

Datum:

Unterschriften

____________________________________________________________________________
Verantwortlicher . . . . . . . . . . . Auftragsverarbeiter

Welche Sanktionen drohen bei fehlender Bestellung eines Datenschutzbeauftragten?

Welche Sanktionen drohen bei fehlender Bestellung eines Datenschutzbeauftragten?

Die vorsätzliche oder fahrlässige Versäumnis einen betrieblichen Datenschutzbeauftragten zu bestellen, diesen nicht in der vorgeschrieben Weise oder nicht rechtzeitig zu bestellen, stellt gemäß § 43 Abs. 1 Nr. 2 BDSG bereits heute eine Ordnungswidrigkeit dar, die mit einem Bußgeld in Höhe von bis zu 50.000 € belegt werden kann.

Die Datenschutz-Grundverordnung teilt diese Auffassung und sieht ein Bußgeld von bis zu 10 Mio € oder 2 % des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist (vgl. Art. 83 Abs. 4 lit. A DSGVO).

Datenschutz für Ihr Unternehmen – Externer Datenschutzbeauftragter

Wir stellen den externen Datenschutzbeauftragten für Ihre Firma und beraten sie kompetent. Wir zeigen Ihnen konstruktive und kreative Lösungswege auf, damit Ihre wertschöpfenden Geschäftsprozesse schlank und effizient bleiben.

Wir übernehmen das erstellen der Datenschutzrichtlinie für ihr Unternehmen und helfen ihnen dabei diese Erfolgreich umzusetzen.
Erstellen für sie das benötigte Verfahrensverzeichnis und prüfen ihre bestehenden Verträge. Bei der Einführung von neuen Anwendungen und Prozessen achten wir gemeinsam mit Ihnen darauf ob diese den Anforderungen an die DS-GVO genügen. Wir führen Vertragsverhandlungen zum Thema Datenschutz für sie und sind immer ihr zentraler Ansprechpartner und Berater bei Fragen zum Thema Datenschutz.

Sprechen Sie uns an, wir sind für sie da.

Weitere Informationen finden Sie auf unserer Seite unter: Datenschutz-Grundverordnung

Tipps und Tricks zum Thema finden Sie auch unter: https://www.e-recht24.de/datenschutzgrundverordnung.html

Kim Sancken