Gastkommentar: Ist die Reinigungsfirma ein Auftragsdatenverarbeiter?

Umstritten ist in der Auslegung der DSGVO, ob eine Auftragsverarbeitung auch dann vorliegt, wenn der Zugriff auf Daten nur in beiläufiger Weise erfolgen kann, wie dies zum Beispiel bei Reinigungskräften oder Kurierdiensten der Fall ist. [...]

Ein wichtiger Teil der Vorbereitung auf die DSGVO liegt darin, eine Absicherung gegenüber Auftragsverarbeitern vorzunehmen. (c) Stockwerk-Fotodesign/Fotolia
Ein wichtiger Teil der Vorbereitung auf die DSGVO liegt darin, eine Absicherung gegenüber Auftragsverarbeitern vorzunehmen. (c) Stockwerk-Fotodesign/Fotolia

Mit 25. Mai 2018 tritt sie in Kraft: die Datenschutzgrundverordnung (DSGVO). Sie hat weitreichende Auswirkungen auf das Datenschutzrecht der EU-Mitgliedstaaten. Für Unternehmen ist es ratsam sich noch rechtzeitig auf die Anforderungen vorzubereiten, denn andernfalls drohen drakonische Strafen. Diese können durchaus existenzgefährdend sein: Der Strafrahmen wird von bisher 10.000 bis 25.000 Euro auf bis zu vier Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro angehoben – je nachdem, welcher Betrag höher ist. Und wer auf Nachsicht durch Übergangsfristen hofft, wird enttäuscht: Der 25. Mai 2018 ist sozusagen das Ende dieser Übergangsfrist.

Ein wichtiger Teil dieser Vorbereitung liegt darin, eine Absicherung gegenüber Auftragsverarbeitern vorzunehmen. Wenn Sie bereits ein Verzeichnis über die Verwendung Ihrer Daten angelegt haben, so haben Sie gewiss schon dokumentiert, wem Sie personenbezogene Daten weitergeben, sodass dieser Auftragsverarbeiter – wie der Name sagt – in Ihrem Auftrag Dienstleistungen erfüllen kann.

Umstritten ist in der Auslegung der DSGVO, ob eine Auftragsverarbeitung auch dann vorliegt, wenn der Zugriff auf Daten nur in beiläufiger Weise erfolgen kann, wie dies zum Beispiel bei Reinigungskräften oder Kurierdiensten der Fall ist. Hier sollte eine Einzelfallprüfung erfolgen. Denn unklar ist, wie die Datenschutzbehörde in Zukunft hier vorgehen wird. Bleibt es bei einfachen Verwarnungen oder kommen gar gleich satte Strafen? Daher empfiehlt es sich, bis zur Etablierung einer absehbaren oder einschätzbaren Vorgehensweise der Behörde auf Nummer sicher zu gehen:

Denn es kann nicht ausgeschlossen werden, dass Reinigungskräfte mit Akten in Berührung kommen. Zum Beispiel ist Vorsicht bei Missachtung des Clear Desk-Prinzips geboten. Dabei handelt es sich um eine Vorschrift, die besagt, dass keine Akten frei zugänglich sein dürfen, Flipcharts bei Verlassen einer Besprechung gelöscht werden müssen und IT-Arbeitsplätze gesperrt sein müssen. Aus diesem Grund ist es sicherlich von Vorteil, jede Reinigungskraft persönlich eine Vereinbarung ähnlich der DSGVO-Mitarbeiter-Vereinbarung unterfertigen zu lassen.

In so einer Vereinbarung sollte die Reinigungskraft unterschreiben, dass sie im Falle der Kenntnis von personenbezogenen Daten diese weder lesen, kopieren oder entwenden, etc. darf. Diese Vereinbarung sollte mit der Reinigungsfirma abgestimmt sein und von dieser den Mitarbeitern in der jeweiligen Muttersprache zur Unterfertigung vorgelegt werden. Eine Kopie dieser Vereinbarung nimmt die Reinigungskraft dem Auftraggeber zur Ablage mit.

Der Digitalverband Deutschlands Bitkom, ein Zusammenschluss mehrere Berufsverbände in Deutschland, hat folgende Dienstleistungen aufgelistet, die keine speziellen Vereinbarungen zur Auftragsverarbeitung benötigen, auch wenn sie dabei Kenntnis von personenbezogenen Daten erhalten könnten:

  • Installation und Wartung von Netzwerken, Hardware (inkl. Telekommunikationsanlagen)
  • Pflege von Software und Ahnlichem (Betriebssysteme, Middleware, Anwendungen)
  • Parametrisieren von Software
  • Programmentwicklungen, Programmanpassungen bzw. -umstellungen, Fehlersuche und Tests

Insbesondere der letzte Punkt beinhaltet häufig die Fehlersuche in Produktivsystemen, also in Datenbanken mit Echtdaten, zum Beispiel bei der Abrechnung von Geschäftsfällen. Die lassen sich allerdings am einfachsten beim Durchspielen eines konkreten Geschäftsfalles, der unter Umständen personenbezogene Daten enthält, nachvollziehen. Die Software-Wartung ist daher jedenfalls mit Vorsicht zu genießen (siehe auch: Wartungsarbeiten: ist das eine Auftragsverarbeitung nach der DSGVO?).

 

* Wolfgang Fiala ist Datenschutz-Ziviltechniker und Inhaber des Unternehmens Fiala Informatik Ziviltechniker GmbH.

 

Die bisherigen Folgen:

(7) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (1)
(6) Webseiten DSGVO sicher machen
(5) Wie man bei Auskunftsbegehren Identität richtig feststellt
(4) So müssen Lösch-Begehren befolgt werden
(3) DSGVO in der Schule
(2) DSGVO: Was tun mit spitzfindigen Auskunftsbegehren?
(2) Videoüberwachung – wer darf das und wie?
(1) DSGVO: Wie Datenpannen zu melden sind
(0) Ist die Reinigungsfirma ein Auftragsdatenverarbeiter?


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

1 Comment

  1. Ich bin selbstständig und mit meinem Unternehmen reinige ich Ordinationen in Österreich. Da ich ISO-zertifiziert bin, muss ich nun im Rahmen des Audits auch alles rund um das thema DSGVO abdecken. Ich habe zwar eine Verschwiegenheitserklärung für meine Reinigungskräfte aufgesetzt und diese ist unterschrieben, jedoch reicht diese aus, sofern ein Auftraggeber etwas beanstandet? ich habe sogar für mein Reinigungspersonal einen eigenen Ordner auf meiner Homepage https://www.manika.wien/ gestellt, damit dieser ersichtlich ist, um mich zu schützen. Ist in meinem Fall eine Rechtskonformität gewährleistet, oder sollte in Sachen Datenschutz noch etwas erledigt werden, um sicher zu gehen? Vielen Dank für die Rückmeldung. Lg Hadjiev Marian

Leave a Reply

Your email address will not be published.


*