Sonntag, 29. Oktober 2017

Auftrags(daten)verarbeitung - Aktuelles Recht und Änderungen durch die DS-GVO

Die sog. Auftragsdatenverarbeitung nimmt im Datenschutzrecht eine Sonderstellung ein. Nach der aktuellen Rechtslage ist normalerweise eine Übermittlung von personenbezogenen Daten an einen Dritten nur zulässig, sofern dafür eine Rechtsgrundlage besteht. Eine verantwortliche Stelle kann sich von ihren datenschutzrechtlichen Pflichten grundsätzlich nicht dadurch lösen, indem sie einen anderen mit der Verarbeitung beauftragt. Insbesondere bedarf die Übermittlung von personenbezogenen Daten an Dritte gem. § 4 Abs. 1 BDSG grundsätzlich einer Rechtsgrundlage. Hiervon macht § 11 BDSG eine praktisch bedeutsame Ausnahme. Dieser regelt die Verarbeitung von personenbezogenen Daten nach Weisung des Verantwortlichen, sog. Auftragsdatenverarbeitung. Liegt eine Auftragsdatenverarbeitung vor, so bestimmt § 3 Abs. 8 BDSG, dass es sich bei dem Aufragsdatenverarbeiter, etwa einem Cloud-Dienstleister, nicht um einen Dritten im Sinne des BDSG handelt. Somit liegt dann konsequenterweise auch keine Übermittlung von Daten vor, da diese eine Bekanntgabe personenbezogener Daten an Dritte voraussetzt.

In welcher Gestalt das Auftragsverhältnis begründet wird, ist unerheblich. Typischerweise handelt es sich in der Praxis um Dienstverträge, Werkverträge oder um Geschäftsbesorgungsverträge. Als Beispiele lassen sich hier u.a. ein Vertrag über die Erbringung von Rechenzentrumsdienstleistungen, aber auch ein Vertrag über die ordnungsgemäße Vernichtung von Akten anführen. Dass der Dienstleister auch in diesen Fällen ein finanzielles Eigeninteresse an der Erbringung der Dienstleistung hat, schließt das Vorliegen einer Auftragsdatenverarbeitung nicht aus.

I. Verarbeitung nach Weisung 

Voraussetzung für die Anwendung von § 11 BDSG ist, dass eine Verarbeitung nach Weisung des Verantwortlichen erfolgt. Der Verarbeiter darf insofern nur eine Hilfsfunktion innehaben und muss an die konkreten Weisungen der verantwortlichen Stelle gebunden sein. Er darf keine eigenständige Entscheidungsbefugnis über die Art der Verarbeitung haben. Nicht anwendbar ist § 11 BDSG deshalb bei der sog. Funktionsübertragung, d.h. wenn die Verarbeitung über die Wahrnehmung einer Hilfsfunktion hinausgeht und im Wesentlichen unabhängig erfolgt. Hierunter fällt etwa eine Übermittlung von personenbezogenen Daten an einen Steuerberater, damit dieser die Gehaltsabrechnung vornimmt. Liegt eine Funktionsübertragung vor, bedarf es für die Übermittlung der personenbezogenen Daten einer Rechtsgrundlage, bspw § 32 BDSG, wenn die Übermittlung zur Durchführung eines Arbeitsverhältnisses erforderlich ist.  In diesem Fall ist der Verarbeiter nämlich Dritter im Sinne des BDSG. Maßgeblich für die Abgrenzung zwischen Auftragsverarbeitung und Funktionsübertragung sind die Umstände und Gegebenheiten des Einzelfalls. Da die Grenzen insofern recht fließend sein können, sollte im Zweifel immer ein ADV-Vertrag abgeschlossen werden, um im Fall der Fälle in den Genuß der Privilegierung nach § 11 BDSG zu kommen.

II. Inhaltliche Voraussetzungen

Diese Privilegierung ist allerdings an besondere Voraussetzungen gebunden. Allgemein gilt zunächst, dass der Auftragsdatenverarbeiter unter Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen ist. Da der Auftraggeber nach bisherigem Recht alleine verantwortlich für die Datenverarbeitung bleibt, muss er prüfen, ob der Auftragsdatenverarbeiter die Gewähr dafür bietet, dass die datenschutzrechtlichen und IT-Sicherheits-Standards, die die verantwortliche Stelle einzuhalten hat, dort ebenfalls eingehalten werden. Dies ist zudem auch bei der Vertragsgestaltung zu berücksichtigen. § 11 Abs. 2 BDSG macht insofern Vorgaben dafür, welche Inhalte im Vertrag festzulegen sind:
Der zu Grunde liegende Vertrag muss schriftlich abgeschlossen werden und insbesondere folgende Angaben enthalten:
  • Auftragsgegenstand und Dauer
  • Umfang, Art und Zweck der Datenverarbeitung, Art der Daten und der Betroffenen
  • die zu treffenden technischen und organisatorischen Maßnahmen
  • Sicherstellung, dass Lösch-, Berichtigungs- oder Sperrpflichten erfüllt werden können
  • Pflichten des Auftragnehmers, insb. Kontrollpflichten
  • Berechtigung zur Einschaltung von Unterauftragnehmern?
  • Kontrollrechte des Auftraggebers und entsprechende Duldungs- und Mitwirkungspflichten des Auftragnehmers
  • Verhaltenspflichten bei Datenschutzverstößen
  • Umfang der Weisungsbefugnisse des Auftraggebers
  • Rückgabe der überlassenen Datenträger bzw. Löschungspflichten des Auftragnehmers nach Beendigung des Auftrags
Die vorstehenden Konkretisierungen ergeben sich aus § 11 Abs. 2 BDSG und sind aus Auftraggebersicht bereits deshalb entscheidend, da er sicherstellen muss, dass der Auftragnehmer insbesondere datenschutzrechtliche Zulässigkeits- oder Ge- bzw. Verbotsnormen einhält. Es handelt sich um die gesetzlichen Mindestanforderungen an die vertragliche Vereinabrung über die Auftragsdatenverarbeitung.

Der Auftraggeber hat sich zudem gem. § 11 Abs. 2 S. 4 BDSG vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis dieser Kontrollen ist zu dokumentieren. Es reicht daher regelmäßig nicht aus, wenn der Auftraggeber auf die Aussagen des Auftragnehmers vertraut, sondern er muss sich selbst ein Bild von den Verhältnissen beim Auftragnehmer machen.
Der Auftragnehmer ist demgegenüber verpflichtet, sich an die Weisungen des Auftraggebers zu halten. Er darf die ihm übermittelten Daten ohne ausdrückliche Erlaubnis des Auftraggebers nicht abweichend von dessen Weisungen und den niedergelegten Bedingungen des Auftrags verarbeiten. Aus diesem Grund sollten Weisungen möglichst schriftlich erteilt werden, damit diese beweissicher dokumentiert sind. Allerdings sind mangels gesetzlicher Formvorgabe auch mündliche Weisungen möglich und verbindlich.

Zu den Pflichten des Auftragnehmers gehören außerdem
  • Wahrung des Datengeheimnisses
  • Implementierung von technischen und organisatorischen Maßnahmen nach § 9 BDSG und der zugehörigen Anlage
  • ggf. die Bestellung eines Datenschutzbeauftragten nach § 4f. BDSG
Weiter gilt die Privilegierung nicht für Auftragsdatenverarbeiter in Staaten außerhalb des Anwendungsbereichs des BDSG und des Europäischen Datenschutzrechts.

Praxisrelevanz besitzt auch der nachträglich eingefügt § 11 Abs. 5 BDSG, der Wartungs- und Prüfungsarbeiten an Datenverarbeitungsanlagen einer Auftragsdatenverarbeitung gleichstellt. Auch bei solchen vertraglichen Leistungen von Firmen, die außerhalb der verantwortlichen Stelle stehen, sollte daher ein Vertrag über die Auftragsdatenverarbeitung abgeschlossen werden, bevor etwa Zugriffe via Teamviewer oder ähnlichem zugelassen werden.

Wird der Auftrag weisungsgemäß durchgeführt, haftet der Auftraggeber, da er Verantwortlicher für die Datenverarbeitung bleibt. Eine Ausnahme besteht aber dann, wenn der Auftragnehmer rechtswidrig gehandelt hat.

III. Auftragsverarbeitung in der DS-GVO

Mit Wirksamwerden der DS-GVO am 25.05.2018 erhält die vorstehend skizzierte Verarbeitung von personenbezogenen Daten nach Weisung des Verantwortlichen einen neuen - kürzeren - Namen: Auftragsverarbeitung.

Es bleibt aber dabei, dass der Auftragsverarbeiter grundsätzlich nicht selbst verantwortliche Stelle ist, wenn er personenbezogene Daten weisungsabhängig verarbeitet. Zudem dürfte er auch weiterhin - auch wenn eine entsprechende Klarstellung in der DS-GVO fehlt - nicht als "Dritter" anzusehen sein und damit weiterhin eine Übermittlung an einen Auftragsverarbeiter nicht dem Verbot mit Erlaubnisvorbehalt unterliegen.

Die Neuregelung der Auftragsverarbeitung in Art. 28, 29 DS-GVO enthält Altbekanntes aus dem BDSG, aber auch einige Neuerungen, die für die Praxis von erheblicher Bedeutung sind und regelmäßig zwingend zu einer Anpassung der abgeschlossenen Verträge über die Datenverarbeitung im Auftrag führen. Insbesondere für die Auftragsverarbeiter ergeben sich Änderungen. Insbesondere muss der Auftragsverarbeiter ein Datenschutzmanagementsystem im Sinne von Art. 32 Abs. 1 DS-GVO vorhalten und ein Verzeichnis der Verarbeitungstätigkeiten erstellen, Art. 30 Abs. 2  DS-GVO. Wichtigste Neuerung dürfte sein, dass der Auftragsverarbeiter unter der DS-GVO nun auch haftungsrechtlich verantwortlich ist, Art. 82 Abs. 2 DS-GVO. Seine Haftung bezieht sich dabei aber auf eine Verletzung der ihn spezifisch treffenden Pflichten. In formeller Hinsicht sieht die DS-GVO vor, dass die Weisungen des Auftraggebers zukünftig dokumentiert werden müssen.

Sonntag, 24. September 2017

Fernmeldegeheimnis contra Erbrecht - Zugriff der Erben auf Facebook-Profil?

Die Bedeutung von Sozialen Medien hat in den letzten Jahren in einem kaum zu unterschätzenden Maß zugenommen. Ein großer Teil der privaten und teilweise auch geschäftlichen Kommunikation erfolgt heutzutage über Facebook, Twitter und Co. Oft im - trügerischen - Bewusstsein, dass die ausgetauschten Informationen nur einem selbst definierten Nutzerkreis zugänglich sind und insbesondere Chatverläufe nur von demjenigen gelesen werden, mit dem man sich unmittelbar austauschen will. Doch was passiert mit dem Sozial-Media-Profil des Nutzers nach dessen Tod? Können die Erben etwa von Facebook die Herausgabe des Nutzernamens und des Passwortes verlangen?

Diese Frage beschäftigt seit geraumer Zeit insbesondere die Berliner Gerichte. Eine 15-jährige Facebooknutzerin war unter tragischen Umständen ums Leben gekommen. Die Mutter versprach sich von der Sichtung des Facebookprofils ihrer Tochter nähere Hinweise auf die Todesumstände. Facebook lehnte die Herausgabe der Nutzerdaten unter Verweis auf das Fernmeldegeheimnis ab. Hiergegen klagte die Mutter und erhielt zunächst vor dem LG Berlin recht. Die Erben treten grundsätzlich in das schuldrechtliche Nutzungsverhältnis mit dem Online-Anbieter ein, das vom verstorbenen Nutzer begründet worden ist. Dem stand nach Auffassung des LG Berlin auch nicht der höchstpersönliche Charakter der Kommunikationsinhalte auf Facebook entgegen. Dem folgt im Grundsatz auch das Kammergericht Berlin als Berufungsinstanz (Urt. v. 31.05.2017 - 21 U 9/16), lässt die Frage der Vererbbarkeit aber im Ergebnis offen. Nach Auffassung des KG scheitert der Herausgabeanspruch hinsichtlich der Nutzerdaten am entgegenstehenden Fernmeldegeheimnis.

Das Fernmeldegeheimnis ist in Art. 10 GG geregelt und wird durch § 88 TKG in Form des Telekommunikationsgeheimnisses für das Verhältnis von privaten Diensteanbietern zum Nutzer ausgestaltet. § 88 TKG schützt den Inhalt und die Umstände der über den Dienst ausgetauschten privaten Nachrichten und der mit einem begrenzten Nutzerkreis geteilten Inhalte. Der Diensteanbieter ist zur Geheimhaltung hinsichtlich der Inhalte der Telekommunikation und ihrer näheren Umstände, insbesondere der Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war, verpflichtet. Der Schutz des Telekommunikationsgeheimnisses dauert solange an, wie der Kommunikationsinhalt auf den Servern des Diensteanbieters bzw. Providers gespeichert ist.

§ 88 Abs. 3 TKG untersagt dem Diensteanbieter zudem sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen. Im Übrigen ist eine Weitergabe von Kommunikationsinhalten durch den Diensteanbieter nur bei Vorliegen einer gesetzlichen Erlaubnis zulässig, wobei sich die gesetzliche Regelung ausrücklich auf Kommunikationsvorgänge beziehen muss. Letztere Voraussetzung liegt bei § 1922 BGB, der den gesetzlichen Eintritt der Erben in die vermögensrechtliche Rechtsposition des Erblassers regelt, nicht vor. § 1922 BGB nimmt nicht auf Kommunikationsvorgänge Bezug, so dass eine Ausnahme vom Telekommunikationsgeheimnis nach Auffassung des KG nicht vorliegt.

Auch eine Einwilligung der Erblasserin in die Übermittlung der Kommunikationsdaten konnte das KG nicht erkennen, so dass sich auch hieraus kein Herausgabeanspruch der Erben ergab. Abschließend verneint das KG auch eine analog Anwendung des datenschutzrechtlichen Auskunftsanspruchs aus § 34 BDSG, da dessen Grundlage das Recht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts ist. Dieses Recht erlischt aber mit dem Tod des Erblassers.

Samstag, 23. September 2017

Das neue Recht auf Datenübertragbarkeit

Die neue Datenschutzgrundverordnung (DS-GVO) enthält hinsichtlich der Rechte des von einer Datenverarbeitung Betroffenen einige bereits mehr oder weniger in Deutschland bekannte Regelungen. Etwas Neues bietet allerdings Art. 20 DS-GVO. Dieser enthält das Recht auf Datenübertragbarkeit. Der Betroffene kann danach von der für die Datenverarbeitung verantwortlichen Stelle die Herausgabe der von ihm bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format verlangen. Daneben geht der Unionsgesetzgeber davon aus, dass es sich um ein interoperables Format handeln muss.
Durch die Regelung sollen etwa Nutzer von Sozialen Medien oder von E-Mail-Diensten eine Möglichkeit erhalten, ihre Daten zu einem anderen Anbieter mitzunehmen. Auch wenn die Regelung nach dem gesetzgeberischen Willen daher insbesondere auf Online-Diensteanbieter ausgerichtet ist, betrifft sie grundsätzlich jedes Unternehmen, welches personenbezogene Daten automatisiert verarbeitet.
Voraussetzung ist allerdings, dass die personenbezogenen Daten entweder auf Basis einer Einwilligung oder im Sinne von Art. 6 Abs. 1 lit. b. DS-GVO zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen erfolgt ist. Darüber hinaus ist allerdings bisher unklar, wie weitgehend der Begriff des Bereitstellens auszulegen sein wird. Bei einer engen Wortlautinterpretation wäre nur ein aktives und wissentliches Zurverfügungstellen der Daten durch den Betroffenen umfasst. Dies würde den Anwendungsbereich regelmäßig etwa auf die beim Anlegen des Profils übermittelten Stammdaten begrenzen. Keine Herausgabepflicht bestünde dagegen hinsichtlich solcher Daten, die der Onlineanbieter selbst aus den personenbezogenen Nutzungsdaten generiert hat. Also etwa Daten aus dem Nutzungsverhalten, wie Vorlieben, Interessen oder Empfehlungen. Die Art. 29-Gruppen erachtet dagegen Daten, die im Rahmen des Nutzertrackings vom Anbieter erhoben wurden, als „bereitgestellt“ im Sinne von Art. 20 DS-GVO und interpretiert den Wortlaut damit deutlich weiter.
Gerade im Fall eines Anbieterwechsels im Onlinebereich kann der Betroffene zudem verlangen, dass die Daten direkt vom Verantwortlichen an einen anderen Verantwortlichen übermittelt werden, sofern dies technisch möglich ist, Art. 20 Abs. 2 DS-GVO.

Eine Herausgabe der Daten nach Art. 20 DS-GVO wird jedoch gem. Art. 20 Abs. 4 DS-GVO durch Rechte und Freiheiten anderer begrenzt und scheidet aus, wenn diese beeinträchtigt würden. In Art. 20 Abs. 4 DS-GVO wird zwar lediglich auf Abs. 2, also das Recht eine Direktübermittlung an einen anderen Verantwortlichen zu verlangen, verwiesen. Hierbei handelt es sich aber wohl um ein redaktionelles Versehen.

Zudem wird sich zukünftig die Frage stellen, welche Rechte und Freiheiten einer anderen Person der Herausgabe der Daten entgegenstehen können. Würde man hierfür bereits ausreichen lassen, wenn Fotos in Sozialen Netzwerken von Dritten mit einem „Like“ versehen oder durch Dritte geteilt wurden oder auch Chats mit Dritten geführt wurden, würde das Recht aus Art. 20 DS-GVO gerade für den vom Gesetzgeber primäre als relevant erachteten Bereich der Sozialen Netzwerken, die von einer Interaktion mit Dritten leben, weitgehend leerlaufen. Dies kann nicht die Intention des Gesetzgebers gewesen sein. In erster Linie dürfte der Gesetzgeber vielmehr gewerbliche Schutzrechte bzw. Urheberrechte als entgegenstehende Rechte Dritter im Blick gehabt haben. Anderseits wird aber auch vertreten, dass grundsätzlich kein Recht auf Übertragung personenbezogener Daten anderer Personen besteht. Auch an dieser Stellen sollte genau beobachtet werden, wie die zuständigen Aufsichtsbehörden die Vorschrift handhaben.