Gastkommentar: Ist die Reinigungsfirma ein Auftragsdatenverarbeiter?

Umstritten ist in der Auslegung der DSGVO, ob eine Auftragsverarbeitung auch dann vorliegt, wenn der Zugriff auf Daten nur in beiläufiger Weise erfolgen kann, wie dies zum Beispiel bei Reinigungskräften oder Kurierdiensten der Fall ist. [...]

Ein wichtiger Teil der Vorbereitung auf die DSGVO liegt darin, eine Absicherung gegenüber Auftragsverarbeitern vorzunehmen. (c) Stockwerk-Fotodesign/Fotolia
Ein wichtiger Teil der Vorbereitung auf die DSGVO liegt darin, eine Absicherung gegenüber Auftragsverarbeitern vorzunehmen. (c) Stockwerk-Fotodesign/Fotolia

Mit 25. Mai 2018 tritt sie in Kraft: die Datenschutzgrundverordnung (DSGVO). Sie hat weitreichende Auswirkungen auf das Datenschutzrecht der EU-Mitgliedstaaten. Für Unternehmen ist es ratsam sich noch rechtzeitig auf die Anforderungen vorzubereiten, denn andernfalls drohen drakonische Strafen. Diese können durchaus existenzgefährdend sein: Der Strafrahmen wird von bisher 10.000 bis 25.000 Euro auf bis zu vier Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro angehoben – je nachdem, welcher Betrag höher ist. Und wer auf Nachsicht durch Übergangsfristen hofft, wird enttäuscht: Der 25. Mai 2018 ist sozusagen das Ende dieser Übergangsfrist.

Ein wichtiger Teil dieser Vorbereitung liegt darin, eine Absicherung gegenüber Auftragsverarbeitern vorzunehmen. Wenn Sie bereits ein Verzeichnis über die Verwendung Ihrer Daten angelegt haben, so haben Sie gewiss schon dokumentiert, wem Sie personenbezogene Daten weitergeben, sodass dieser Auftragsverarbeiter – wie der Name sagt – in Ihrem Auftrag Dienstleistungen erfüllen kann.

Umstritten ist in der Auslegung der DSGVO, ob eine Auftragsverarbeitung auch dann vorliegt, wenn der Zugriff auf Daten nur in beiläufiger Weise erfolgen kann, wie dies zum Beispiel bei Reinigungskräften oder Kurierdiensten der Fall ist. Hier sollte eine Einzelfallprüfung erfolgen. Denn unklar ist, wie die Datenschutzbehörde in Zukunft hier vorgehen wird. Bleibt es bei einfachen Verwarnungen oder kommen gar gleich satte Strafen? Daher empfiehlt es sich, bis zur Etablierung einer absehbaren oder einschätzbaren Vorgehensweise der Behörde auf Nummer sicher zu gehen:

Denn es kann nicht ausgeschlossen werden, dass Reinigungskräfte mit Akten in Berührung kommen. Zum Beispiel ist Vorsicht bei Missachtung des Clear Desk-Prinzips geboten. Dabei handelt es sich um eine Vorschrift, die besagt, dass keine Akten frei zugänglich sein dürfen, Flipcharts bei Verlassen einer Besprechung gelöscht werden müssen und IT-Arbeitsplätze gesperrt sein müssen. Aus diesem Grund ist es sicherlich von Vorteil, jede Reinigungskraft persönlich eine Vereinbarung ähnlich der DSGVO-Mitarbeiter-Vereinbarung unterfertigen zu lassen.

In so einer Vereinbarung sollte die Reinigungskraft unterschreiben, dass sie im Falle der Kenntnis von personenbezogenen Daten diese weder lesen, kopieren oder entwenden, etc. darf. Diese Vereinbarung sollte mit der Reinigungsfirma abgestimmt sein und von dieser den Mitarbeitern in der jeweiligen Muttersprache zur Unterfertigung vorgelegt werden. Eine Kopie dieser Vereinbarung nimmt die Reinigungskraft dem Auftraggeber zur Ablage mit.

Der Digitalverband Deutschlands Bitkom, ein Zusammenschluss mehrere Berufsverbände in Deutschland, hat folgende Dienstleistungen aufgelistet, die keine speziellen Vereinbarungen zur Auftragsverarbeitung benötigen, auch wenn sie dabei Kenntnis von personenbezogenen Daten erhalten könnten:

  • Installation und Wartung von Netzwerken, Hardware (inkl. Telekommunikationsanlagen)
  • Pflege von Software und Ahnlichem (Betriebssysteme, Middleware, Anwendungen)
  • Parametrisieren von Software
  • Programmentwicklungen, Programmanpassungen bzw. -umstellungen, Fehlersuche und Tests

Insbesondere der letzte Punkt beinhaltet häufig die Fehlersuche in Produktivsystemen, also in Datenbanken mit Echtdaten, zum Beispiel bei der Abrechnung von Geschäftsfällen. Die lassen sich allerdings am einfachsten beim Durchspielen eines konkreten Geschäftsfalles, der unter Umständen personenbezogene Daten enthält, nachvollziehen. Die Software-Wartung ist daher jedenfalls mit Vorsicht zu genießen (siehe auch: Wartungsarbeiten: ist das eine Auftragsverarbeitung nach der DSGVO?).

 

* Wolfgang Fiala ist Datenschutz-Ziviltechniker und Inhaber des Unternehmens Fiala Informatik Ziviltechniker GmbH.

 

Die bisherigen Folgen:

(7) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (1)
(6) Webseiten DSGVO sicher machen
(5) Wie man bei Auskunftsbegehren Identität richtig feststellt
(4) So müssen Lösch-Begehren befolgt werden
(3) DSGVO in der Schule
(2) DSGVO: Was tun mit spitzfindigen Auskunftsbegehren?
(2) Videoüberwachung – wer darf das und wie?
(1) DSGVO: Wie Datenpannen zu melden sind
(0) Ist die Reinigungsfirma ein Auftragsdatenverarbeiter?


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

1 Comment

  1. Ich bin selbstständig und mit meinem Unternehmen reinige ich Ordinationen in Österreich. Da ich ISO-zertifiziert bin, muss ich nun im Rahmen des Audits auch alles rund um das thema DSGVO abdecken. Ich habe zwar eine Verschwiegenheitserklärung für meine Reinigungskräfte aufgesetzt und diese ist unterschrieben, jedoch reicht diese aus, sofern ein Auftraggeber etwas beanstandet? ich habe sogar für mein Reinigungspersonal einen eigenen Ordner auf meiner Homepage https://www.manika.wien/ gestellt, damit dieser ersichtlich ist, um mich zu schützen. Ist in meinem Fall eine Rechtskonformität gewährleistet, oder sollte in Sachen Datenschutz noch etwas erledigt werden, um sicher zu gehen? Vielen Dank für die Rückmeldung. Lg Hadjiev Marian

Leave a Reply

Your email address will not be published.


*