18-4-2017 Gedruckt am 27-05-2017 aus www.monitor.co.at/index.cfm/storyid/17220

Datenschutz-Problemzonen - Jürgen Kolb, iQSol

Die EU-DSGVO und der Auftragsverarbeiter

Nicht einmal "gegendert" und trotzdem hat sie jedes Unternehmen: Im Kapitel 4 und speziell im Artikel 28 ist der alltägliche Vorgang der Auftragsverarbeitung genauer definiert. Im Grunde wird von jedem Dienstleister gefordert, dass die verarbeiteten Daten genauso zuverlässig, vertraulich und sicher gespeichert sind, wie beim Auftraggeber selbst.

(Bild: CC0 Public Domain - pixabay.com)

Daraus ergeben sich aber mehrere Forderungen, nämlich nach einer ausdrücklichen Dienstleister- und Datenschutzvereinbarung genauso wie nach der Verpflichtung, die EU-DSGVO einzuhalten. Hier erinnern wir uns wieder an den "IT-Security" Artikel 32: "...treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen" für den Schutz der persönlichen und sensiblen Daten. Aus praktischen Gesichtspunkten ist eine Trennung in Finanzdaten - gar geheime oder sensible – aber auch irrelevante Maschinendaten selten sinnvoll. Mit einer umfassenden Verschlüsselung hätte man dazu bereits eine Großbaustelle abgearbeitet.
 
Soweit die Theorie.
 
Denn bereits im dritten Absatz liest man, dass dieser Dienstleister-Vertrag ganz konkret jene Arten und Kategorien von personenbezogenen Daten aufzuzählen hat, die betroffen sind oder sein könnten. Im Falle eines "Data Breaches" und der Meldung an die Betroffenen sowie der Behörden sind diese auch zu benennen, was derzeit jedoch noch kaum jemand vermag.
 
Dieser Vertrag ist in unserer schnelllebigen Zeit der Apps & Clouds und der wechselnden Anbieter ein stets aktuell zu haltendes Dokument. Weiters haftet der Auftragsverarbeiter dem Verantwortlichen für alle (Sub-)Auftragnehmer nach diesem Regelwerk. Bitte um Vorsicht! Wir sprechen hier nicht nur von IT, Clouds und Hosting, sondern auch von Datenzugang und selbst illegaler Datenbeschaffung in Ihrem Umfeld. Ein Vertrag mit der Reinigungsfirma ist also genauso abzuschließen wie jener mit Handwerkern und anderen "eigentlich unverdächtigen" Geschäftspartnern, die ein und aus gehen.
 

Rechtliche Sicherheit "Made in Austria"

Die gute Nachricht soll nicht fehlen! Einen Vorteil haben vielfach zertifizierte und vertrauenswürdige Rechenzentren in Österreich oder Deutschland, da es dann genügt, sich vertraglich abzusichern. Ob dies bei multinationalen Konzernen in Drittländern, die sich auf das noch gültige "Privacy Shield" Feigenblättchen berufen, auch gilt, ist mehr als fraglich. Offshore Daten-Konstruktionen nach Asien sind datenschutzrechtlich immer mehrere skeptische Blicke wert. Auch günstige Start-Up-Angebote für Apps und Clouds, wo Geodaten, Gesundheitswerte und persönliche Eigenarten in neue Datenformate und Geschäftsmodelle gepresst werden, sind zu hinterfragen: Denn der Kunde bezahlt immer – ob in Euros, Dollars oder mit seinen Daten.
 
Vielleicht bekommen Sie aber als Cloud-Kunde dann die Möglichkeit, ein Amazon- oder Google Rechenzentrum von Innen zu sehen? Denn der Artikel sieht auch Inspektionen vor Ort vor. Und falls ein Datenverstoß passiert, sind Sie unverzüglich von Ihrem Auftragsverarbeiter zu informieren. Bei Verstößen werden dann gute Klagsgründe vorliegen, wenn Sie davon aus der Zeitung, durch Wikileaks oder erst nach Jahren erfahren. Man wird sehen, ob die Gerichtsstandorte Wien oder Frankfurt ähnlich hohe Summen zulassen, wie die in New York oder im Silicon Valley. Jedenfalls dann nicht, wenn dem Datenschutz genügend Aufmerksamkeit geschenkt wurde.
 
Jürgen Kolb, Managing Director des IT-Security-Anbieters iQSol, geht dieses Jahr in der Serie "Datenschutz-Problemzonen" regelmäßig kurz und prägnant auf einzelne Aspekte des Themas Datenschutz ein, die als Denkanstoß dienen sollen. Mehr zum Thema auch unter diedatenschuetzer.at.
 
Bisher veröffentlicht: