Umstritten ist in der Auslegung der DSGVO, ob eine Auftragsverarbeitung auch dann vorliegt, wenn der Zugriff auf Daten nur in beiläufiger Weise erfolgen kann, wie dies zum Beispiel bei Reinigungskräften oder Kurierdiensten der Fall ist. [...]
Mit 25. Mai 2018 tritt sie in Kraft: die Datenschutzgrundverordnung (DSGVO). Sie hat weitreichende Auswirkungen auf das Datenschutzrecht der EU-Mitgliedstaaten. Für Unternehmen ist es ratsam sich noch rechtzeitig auf die Anforderungen vorzubereiten, denn andernfalls drohen drakonische Strafen. Diese können durchaus existenzgefährdend sein: Der Strafrahmen wird von bisher 10.000 bis 25.000 Euro auf bis zu vier Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro angehoben – je nachdem, welcher Betrag höher ist. Und wer auf Nachsicht durch Übergangsfristen hofft, wird enttäuscht: Der 25. Mai 2018 ist sozusagen das Ende dieser Übergangsfrist.
Ein wichtiger Teil dieser Vorbereitung liegt darin, eine Absicherung gegenüber Auftragsverarbeitern vorzunehmen. Wenn Sie bereits ein Verzeichnis über die Verwendung Ihrer Daten angelegt haben, so haben Sie gewiss schon dokumentiert, wem Sie personenbezogene Daten weitergeben, sodass dieser Auftragsverarbeiter – wie der Name sagt – in Ihrem Auftrag Dienstleistungen erfüllen kann.
Umstritten ist in der Auslegung der DSGVO, ob eine Auftragsverarbeitung auch dann vorliegt, wenn der Zugriff auf Daten nur in beiläufiger Weise erfolgen kann, wie dies zum Beispiel bei Reinigungskräften oder Kurierdiensten der Fall ist. Hier sollte eine Einzelfallprüfung erfolgen. Denn unklar ist, wie die Datenschutzbehörde in Zukunft hier vorgehen wird. Bleibt es bei einfachen Verwarnungen oder kommen gar gleich satte Strafen? Daher empfiehlt es sich, bis zur Etablierung einer absehbaren oder einschätzbaren Vorgehensweise der Behörde auf Nummer sicher zu gehen:
Denn es kann nicht ausgeschlossen werden, dass Reinigungskräfte mit Akten in Berührung kommen. Zum Beispiel ist Vorsicht bei Missachtung des Clear Desk-Prinzips geboten. Dabei handelt es sich um eine Vorschrift, die besagt, dass keine Akten frei zugänglich sein dürfen, Flipcharts bei Verlassen einer Besprechung gelöscht werden müssen und IT-Arbeitsplätze gesperrt sein müssen. Aus diesem Grund ist es sicherlich von Vorteil, jede Reinigungskraft persönlich eine Vereinbarung ähnlich der DSGVO-Mitarbeiter-Vereinbarung unterfertigen zu lassen.
In so einer Vereinbarung sollte die Reinigungskraft unterschreiben, dass sie im Falle der Kenntnis von personenbezogenen Daten diese weder lesen, kopieren oder entwenden, etc. darf. Diese Vereinbarung sollte mit der Reinigungsfirma abgestimmt sein und von dieser den Mitarbeitern in der jeweiligen Muttersprache zur Unterfertigung vorgelegt werden. Eine Kopie dieser Vereinbarung nimmt die Reinigungskraft dem Auftraggeber zur Ablage mit.
Der Digitalverband Deutschlands Bitkom, ein Zusammenschluss mehrere Berufsverbände in Deutschland, hat folgende Dienstleistungen aufgelistet, die keine speziellen Vereinbarungen zur Auftragsverarbeitung benötigen, auch wenn sie dabei Kenntnis von personenbezogenen Daten erhalten könnten:
- Installation und Wartung von Netzwerken, Hardware (inkl. Telekommunikationsanlagen)
- Pflege von Software und Ahnlichem (Betriebssysteme, Middleware, Anwendungen)
- Parametrisieren von Software
- Programmentwicklungen, Programmanpassungen bzw. -umstellungen, Fehlersuche und Tests
Insbesondere der letzte Punkt beinhaltet häufig die Fehlersuche in Produktivsystemen, also in Datenbanken mit Echtdaten, zum Beispiel bei der Abrechnung von Geschäftsfällen. Die lassen sich allerdings am einfachsten beim Durchspielen eines konkreten Geschäftsfalles, der unter Umständen personenbezogene Daten enthält, nachvollziehen. Die Software-Wartung ist daher jedenfalls mit Vorsicht zu genießen (siehe auch: Wartungsarbeiten: ist das eine Auftragsverarbeitung nach der DSGVO?).
* Wolfgang Fiala ist Datenschutz-Ziviltechniker und Inhaber des Unternehmens Fiala Informatik Ziviltechniker GmbH.
Die bisherigen Folgen:
(7) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (1)
(6) Webseiten DSGVO sicher machen
(5) Wie man bei Auskunftsbegehren Identität richtig feststellt
(4) So müssen Lösch-Begehren befolgt werden
(3) DSGVO in der Schule
(2) DSGVO: Was tun mit spitzfindigen Auskunftsbegehren?
(2) Videoüberwachung – wer darf das und wie?
(1) DSGVO: Wie Datenpannen zu melden sind
(0) Ist die Reinigungsfirma ein Auftragsdatenverarbeiter?
Ich bin selbstständig und mit meinem Unternehmen reinige ich Ordinationen in Österreich. Da ich ISO-zertifiziert bin, muss ich nun im Rahmen des Audits auch alles rund um das thema DSGVO abdecken. Ich habe zwar eine Verschwiegenheitserklärung für meine Reinigungskräfte aufgesetzt und diese ist unterschrieben, jedoch reicht diese aus, sofern ein Auftraggeber etwas beanstandet? ich habe sogar für mein Reinigungspersonal einen eigenen Ordner auf meiner Homepage https://www.manika.wien/ gestellt, damit dieser ersichtlich ist, um mich zu schützen. Ist in meinem Fall eine Rechtskonformität gewährleistet, oder sollte in Sachen Datenschutz noch etwas erledigt werden, um sicher zu gehen? Vielen Dank für die Rückmeldung. Lg Hadjiev Marian