Pflichten des Auftragsverarbeiters und des Verantwortlichen nach der DSGVO: Ein Spickzettel

Veröffentlicht: 2021-08-18

In der Fortsetzung unserer Blog-Serie zur bevorstehenden Datenschutz-Grundverordnung (DSGVO) werden wir ein paar Minuten damit verbringen, die verschiedenen Verpflichtungen zu beschreiben, die die DSGVO den Datenverantwortlichen und Datenverarbeitern auferlegt , und lassen Sie dann mit einem Spickzettel mit etwas Schnelligkeit Aktionspunkte, die Ihnen dabei helfen, herauszufinden, welche Aufgaben Sie möglicherweise speziell benötigen, um sicherzustellen, dass Sie die Einhaltung der Vorschriften gewährleisten.

Aber zuerst einige Definitionen.

Die DSGVO definiert einen Datenverantwortlichen in Artikel 4 Absatz 6 als:

die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“

Ein Datenverarbeiter (Artikel 4 Absatz 7) ist:

„die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“

Um ein konkreteres Beispiel zu geben: Wenn Sie ein Online-Händler von Widgets sind und sich Jane Doe für Ihre Mailingliste anmeldet, in der Hoffnung, mehr über Ihre Widgets zu erfahren (oder vielleicht herumzuschleichen, bis Sie einen Verkauf haben), werden Sie wahrscheinlich sammelt ihre E-Mail-Adresse – und möglicherweise andere Kontaktinformationen –, wenn sie sich anmeldet. Glückwünsche! Sie sind gerade ein Verantwortlicher für die personenbezogenen Daten von Jane Doe geworden. Sie ist damit einverstanden, Marketingnachrichten von Ihnen zu erhalten, und Sie als Datenverantwortlicher können bestimmen, wann und wie Sie diese E-Mails senden.

Angenommen, Sie senden nicht wirklich Ihre eigenen Marketing-E-Mails, vielleicht beauftragen Sie einen E-Mail-Dienstleister (ESP), der Ihnen hilft, Ihre Inhalte zu erstellen, die E-Mails zu planen und die Zustellung zu verfolgen und zu melden. Der ESP hätte nicht das Recht, mit Janes Daten zu tun, was er wollte, er wäre nur berechtigt, Ihnen auf Anfrage bei der Gestaltung Ihrer Kampagnen, dem Versenden Ihrer E-Mails usw. zu helfen. Der ESP ist in diesem Fall der Datenverarbeiter.

Im weiteren Verlauf beschließen Sie, gemeinsam mit Ihrem engen Partner A ein Co-Branding-Marketing zu betreiben (was in diesem Fall in Ordnung ist, da Sie bei der Anmeldung von Jane ihre Zustimmung eingeholt haben, ihre Daten zu diesem Zweck an Partner A weiterzugeben). Während des Verhandlungsprozesses haben Sie sich entschieden, die ESP von Partner A statt Ihres zu verwenden, um die Kampagne zu senden. Sie senden also Ihre Abonnentenliste (einschließlich Janes Daten) an Ihren Partner, der sie in seinen ESP hochlädt. Die E-Mails werden versendet.

Durch die Weitergabe von Janes Daten an Partner A für gemeinsame Marketingaktivitäten haben Sie Partner A zu einem gemeinsamen Controller für Janes Daten gemacht. Partner A wird die Daten von Jane weiterhin außerhalb Ihrer Beziehung zu Jane verwenden. Der ESP von Partner A ist immer noch ein Datenverarbeiter und muss sowohl Ihre als auch die Anforderungen von Partner A erfüllen, aber Sie haben auch gerade einige Komplexitäten in Ihrer Beziehung zu Jane eingeführt, die Sie gemäß der DSGVO im Auge behalten müssen.

Gemäß der DSGVO werden den betroffenen Personen als Eigentümer ihrer Daten Rechte gewährt, wie zum Beispiel: (Beachten Sie, dass dies keine vollständige Liste ist.)

  • Artikel 15 (Auskunftsrecht): Jane könnte Ihnen schreiben und um eine Kopie der personenbezogenen Daten bitten, die Sie von ihr gesammelt haben. Sie als Datenverantwortlicher müssten dieser Aufforderung innerhalb von 30 Tagen nach Erhalt ihrer Aufforderung nachkommen;
  • Artikel 16 (Recht auf Berichtigung): Wenn Jane feststellt, dass die von Ihnen gespeicherten Daten ungenau oder unvollständig sind, kann sie Sie bitten, diese zu aktualisieren (z. B. ihre E-Mail-Adresse zu ändern oder die Schreibweise ihres Namens in Ihrer Datenbank zu ändern);
  • Artikel 17 (Recht auf Löschung): Jane könnte Sie bitten, ihre Daten insgesamt zu löschen. Vielleicht widerruft sie ihre Zustimmung, zukünftige Nachrichten von Ihnen zu erhalten, oder vielleicht denkt sie, dass die von Ihnen an sie gerichteten Kampagnen in die falsche Richtung führen, und sie möchte bei Null anfangen.
  • Artikel 18 (Recht auf Einschränkung der Verarbeitung): Vielleicht haben Sie damit begonnen, Janes Öffnungen und Klicks zu verfolgen (verhaltensbasiertes Tracking), aber Jane glaubt nicht, dass sie Ihnen damit zugestimmt hat (gemäß der DSGVO, verhaltensbasiertes Tracking Zustimmung erforderlich. Sie können nicht einfach davon ausgehen, dass Sie dies tun können). Jane kann Sie bitten, ihre Öffnungen und Klicks nicht mehr zu verfolgen, bis Sie beide herausgefunden haben, womit sie tatsächlich zugestimmt hat.
  • Artikel 20 (Recht auf Datenübertragbarkeit): In einigen Fällen hat Jane das Recht, Sie zu bitten, ihre Daten zu zippen und an einen Ihrer Konkurrenten zu übertragen. (Ja! Wirklich. Dies soll Jane dabei helfen, ihre Daten beispielsweise von einem Mobilfunkanbieter zu einem anderen zu übertragen oder ihre Social-Media-Präsenz einfach von einer App zu einer anderen zu verschieben. Wenn Sie ihre Daten über „die Leistung“ verarbeiten eines Vertrags“ oder „auf Grundlage einer Einwilligung“ könnte diese Bestimmung auf Sie zutreffen.

Wenn Jane beschließt, von ihren Rechten Gebrauch zu machen und Sie darum bittet, ihre Daten zu löschen, ist dies im Paradigma eines einzigen Controller-Prozessors ziemlich einfach. Sie löschen ihre Daten von Ihrem System und bitten Ihren Auftragsverarbeiter (Ihren ESP), sie auch von ihrem zu löschen.

Im Modell des gemeinsam für die Verarbeitung Verantwortlichen müssen Sie es jedoch gemäß Artikel 17 Absatz 2 nicht nur aus Ihrer Infrastruktur und der Infrastruktur Ihres Auftragsverarbeiters löschen, sondern auch:

„angemessene Maßnahmen, einschließlich technischer Maßnahmen, treffen, um die Verantwortlichen, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass die betroffene Person die Löschung beantragt hat“

Mit anderen Worten, Sie müssen sehr sorgfältig aufzeichnen, wohin Sie Janes Daten gesendet haben, und im Namen von Jane Datenlöschanfragen an alle anderen gemeinsam Verantwortlichen, die möglicherweise über ihre Daten verfügen, initiieren. Diese gemeinsam für die Verarbeitung Verantwortlichen müssen sich dann auch an alle von ihnen verwendeten Auftragsverarbeiter wenden und Janes Daten ebenfalls aus diesen Systemen löschen.

Und das ist erst der Anfang Ihrer Pflichten als Datenverarbeiter und Verantwortlicher für Janes Informationen. Nachfolgend finden Sie eine kurze Liste der Anforderungen der DSGVO sowie weitere Informationen zur DSGVO.

Datensicherheit
 Pflichten des Verantwortlichen:Ergreifen Sie geeignete technische und organisatorische Maßnahmen zum Schutz der Datensicherheit.

  • Verschlüsselung, ggf. Pseudonymisierung der Daten
  • Fähigkeit, die Vertraulichkeit, Integrität und Belastbarkeit von Daten zu gewährleisten
  • Prozess zum regelmäßigen Testen, Bewerten und Bewerten von Sicherheit
  • Dokumentieren Sie Ihre Bemühungen.

Pflichten des Auftragsverarbeiters:Ergreifen Sie geeignete technische und organisatorische Maßnahmen zum Schutz der Datensicherheit.

  • Verschlüsselung, ggf. Pseudonymisierung der Daten
  • Fähigkeit, die Vertraulichkeit, Integrität und Belastbarkeit von Daten zu gewährleisten
  • Prozess zum regelmäßigen Testen, Bewerten und Bewerten von Sicherheit
  • Dokumentieren Sie Ihre Bemühungen.

DSGVO-Artikel:Kunst. 32 Verarbeitungssicherheit

Verstoßbenachrichtigung
 Pflichten des Verantwortlichen:

  • Benachrichtigen Sie die Aufsichtsbehörde innerhalb von 72 Stunden nach der Verletzung, wenn ein hohes Risiko für die betroffenen Personen wahrscheinlich ist
  • Hinweis der betroffenen Person, falls zutreffend

Pflichten des Auftragsverarbeiters:

  • Den Verantwortlichen unverzüglich informieren, wenn er von einer Verletzung erfährt

Artikel zur DSGVO:Kunst. 33 Meldung einer Datenschutzverletzung
Kunst. 34 Mitteilung einer Datenschutzverletzung an die betroffene Person

Grundsätze der Datenverarbeitung
 Pflichten des Verantwortlichen:

  • Sicherstellen, dass die Daten rechtmäßig und auf transparente Weise für die betroffene Person verarbeitet werden
  • Stellen Sie sicher, dass Daten für bestimmte Zwecke gesammelt und verarbeitet werden und nicht in einer Weise, die mit den ursprünglichen Zwecken unvereinbar ist.
  • Stellen Sie sicher, dass die gesammelten Daten korrekt und aktuell sind
  • Stellen Sie sicher, dass Sie die Compliance nachweisen können

Artikel zur DSGVO:Kunst. 5 Grundsätze zur Verarbeitung personenbezogener Daten
Kunst. 6 Rechtmäßigkeit der Verarbeitung

Datenschutzerklärung
 Pflichten des Verantwortlichen:

  • Muss der betroffenen Person zur Verfügung stehen.
  • Beschreiben Sie, welche Daten zu welchen Zwecken erhoben werden.
  • Geben Sie alle Empfänger an, die die Daten erhalten, einschließlich ob sie außerhalb des EWR übertragen werden und wie die Daten bei der Weiterleitung geschützt werden.
  • Sofern berechtigte Interessen an der Erhebung und/oder Verarbeitung der Daten bestehen.
  • Beschreiben Sie die Datenaufbewahrungs- und/oder Speicherfristen oder die Kriterien, die zur Bestimmung der Aufbewahrungsfristen verwendet werden.
  • Beschreiben Sie die Rechte der betroffenen Person und wie eine betroffene Person ihre Rechte ausüben kann.
  • Einzelheiten zu allen Verwendungen der automatisierten Entscheidungsfindung.

Artikel zur DSGVO:Kunst. 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
Kunst. 13 Informationspflicht bei Erhebung personenbezogener Daten bei der betroffenen Person
Kunst. 14 Informationspflicht, wenn personenbezogene Daten nicht bei der betroffenen Person erhoben wurden

Vertragliche Anforderungen an den Auftragsverarbeiter
 Pflichten des Verantwortlichen:

  • Setzen Sie nur Auftragsverarbeiter ein, die die DSGVO-Vorschriften erfüllen können.
  • Setzen Sie nur Auftragsverarbeiter ein, die die Daten der betroffenen Personen angemessen schützen können.
  • Beschreiben Sie Gegenstand, Dauer und Art der Verarbeitungstätigkeit.
  • Beschreiben Sie Art und Zweck der Verarbeitung.
  • Beschreiben Sie die Arten der verarbeiteten personenbezogenen Daten.
  • Beschreiben Sie Kategorien von Datensubjekten, die verarbeitet werden.

Pflichten des Auftragsverarbeiters:

  • Verarbeiten Sie die Daten nur auf dokumentierte Weisung des Verantwortlichen
  • Stellen Sie sicher, dass sich alle zur Verarbeitung der Daten befugten Personen zu Vertraulichkeitsvereinbarungen verpflichtet haben
  • Unterstützung des Verantwortlichen bei der Bearbeitung von Zugriffsrechtsanfragen betroffener Personen
  • Unterstützung des Verantwortlichen bei Verpflichtungen in Bezug auf Sicherheit und Anfragen von Aufsichtsbehörden.
  • Verfügbar und in der Lage sein, den Verantwortlichen bei Compliance-Verpflichtungen zu unterstützen
  • Alle Daten auf Anfrage oder Anforderung des Controllers löschen oder zurückgeben
  • Umreißen Sie alle Datenübertragungen außerhalb des EWR und beschreiben Sie Sicherheitsvorkehrungen zum Schutz der Daten
  • Beitrag zu Audits, die vom Verantwortlichen oder einer anderen erforderlichen Behörde durchgeführt werden
  • Stellen Sie sicher, dass jede Beauftragung von Unterauftragsverarbeitern dieselben Verpflichtungen erfüllt, die der Verantwortliche verlangt.
  • Beauftragen Sie Unterauftragsverarbeiter nur mit Zustimmung des Verantwortlichen.

Artikel zur DSGVO:Kunst. 24 Verantwortlichkeiten des Verantwortlichen
Kunst. 28 Prozessor
Kunst. 29 Verarbeitung im Auftrag des Verantwortlichen oder Auftragsverarbeiters

Nehmen Sie Datenschutzpraktiken an
 Pflichten des Verantwortlichen:

  • Grundsätze der Datensparsamkeit nachweisen können und ggf. Datenschutz durch Technikgestaltung und/oder Voreinstellungen anwenden
  • Führen Sie Datenschutzfolgenabschätzungen bei allen Verarbeitungsaktivitäten durch, die wahrscheinlich ein Risiko für die betroffene Person darstellen

Artikel zur DSGVO:Kunst. 5 Grundsätze zur Verarbeitung personenbezogener Daten
Kunst. 25 Datenschutz durch Design und Voreinstellungen
Kunst. 35 Datenschutz-Folgenabschätzung

Aufzeichnungen über Verarbeitungsaktivitäten aufbewahren
 Pflichten des Verantwortlichen:

  • Name/Kontaktdaten des Verantwortlichen und des DSB oder EU-Vertreter
  • Dokumentieren Sie die Kategorien betroffener Personen, Kategorien personenbezogener Daten und Empfänger der Daten
  • Dokumentieren Sie die rechtliche Grundlage für alle Datenübertragungen außerhalb des EWR und beschreiben Sie Sicherheitsvorkehrungen zum Schutz der Daten
  • Datenaufbewahrungsfristen
  • Rechtliche Grundlage für Datenverarbeitungstätigkeiten dokumentieren

Pflichten des Auftragsverarbeiters:

  • Name/Kontaktdaten des Verantwortlichen und des DSB
  • Kategorien der Verarbeitung für den Verantwortlichen

DSGVO-Artikel:Kunst. 30 Aufzeichnungen über Verarbeitungstätigkeiten

Dies ist eine Menge zu verkraften und mag wie eine Menge Arbeit erscheinen. Aber auf lange Sicht wird es Sie und Ihre Partner in Übereinstimmung mit dem europäischen Recht halten und die Rechte Ihrer betroffenen Personen schützen. Suchen Sie nach weiteren Informationen zur DSGVO? Weitere Informationen finden Sie in der Kategorie DSGVO auf unserem Blog und in unserem On-Demand-Webinar: Der Weg zur DSGVO.