Wie man Dienstleister aus Russland DSGVO-konform einbinden kann

Durch einen alternativen, technischen Lösungsansatz kann der Zugriff auf personenbezogene Daten durch Dienstleister aus unsicheren Drittländern verhindert werden und somit die DSGVO-Konformität der angebotenen Dienstleistungen gewährleistet werden. [...]

Dienstleister in Drittländern konform einbinden (c) CW
Dienstleister in Drittländern konform einbinden (c) CW

Im Zuge eines Vergabeverfahrens nach BvergG wurde einer unserer Kunden um Aufklärung gebeten, wie er die DSGVO-Konformität eines Subunternehmers aus Russland sicherstellt. Wahrlich eine Herausforderung!

Unser Kunde war Bieter in einem Vergabeverfahren nach BvergG. Er verfügt über eine schlagkräftige Mannschaft zum Customizen, Monitoren und Warten einer weltweit eingesetzten Software. Da unser Kunde die Chancen eines Zuschlags erhöhen wollte, hat er als einzusetzende Mannschaft neben seinen in Österreich ansässigen Mitarbeitern  auch die Mitarbeiter einer Schwesterfirma des Konzerns – mit Firmensitz Russland – als Subunternehmer angeführt. 

Fest steht, dass es bei den ausgeschriebenen Dienstleistungen erforderlich ist, auf die beim öffentlichen AG in Österreich gehostete Datenbank zuzugreifen. Da die Datenbank auch personenbezogene Daten von Kunden und Lieferanten des öffentlichen AG enthält, ist die DSGVO anzuwenden. Da SAP HCM (die „Personalverwaltung“ von SAP)  nicht Gegenstand der Ausschreibung war, handelt es sich vorwiegend um Kunden- und Lieferantendaten, die betroffen sind. Mitarbeiter sind nur im Rahmen ihrer Tätigkeit im System (vereinfacht als „User“) betroffen.

Internationaler Datenverkehr oder Datenexport ist die Weitergabe von personenbezogenen Daten in das Ausland oder an eine Internationale Organisation. Die diesbezüglichen Regelungen befinden sich in Art. 44-50 DSGVO. Gemäß den Bestimmungen der Datenschutz-Grundverordnung ist der internationale Datenverkehr bis auf wenige Sonderfälle genehmigungsfrei.

Was muss alles erfüllt sein, damit die Europäische Kommission einen Angemessenheitsbeschluss ausstellt?

  • ein Vorschlag durch die Europäische Kommission
  • ein Gutachten durch den Europäischen Datenschutzausschuss (European Data Protection Board)
  • Zustimmung durch Vertreter der EU-Mitgliedsländer
  • Umsetzung des Beschlusses durch die Europäische Kommission

Angemessenheitsbeschluss der EU

Ein Angemessenheitsbeschluss der Europäischen Kommission (engl. adequacy decision) liegt für folgende Länger vor:

  • Andorra,
  • Argentinien,
  • Kanada (nur kommerzielle Organisationen),
  • Färöer-Inseln,
  • Guernsey,
  • Israel,
  • Isle of Man,
  • Japan,
  • Jersey (Insel),
  • Neuseeland,
  • Schweiz,
  • Uruguay,
  • Vereinigtes Königreich (befristet bis 2025),

Weiters sind folgende Länder aufgrund ihres Status als Teil des Europäischen Wirtschaftsraums (EWR) automatisch sichere Länder beim Datenschutz:

  • Norwegen,
  • Liechtenstein,
  • Island

Für Russland liegt demnach kein Angemessenheitsbeschluss vor. Trotzdem gibt es einige Möglichkeiten, DSGVO-Konformität herzustellen:

Geeignete Garantien für den Datentransfer: Binding Corporate Rules (BCR)

Darunter werden verbindliche konzern-interne Datenschutzvorschriften verstanden, die von der zuständigen Aufsichtsbehörde genehmigt werden müssen. Der Konzern unseres Kunden hat seine BCR im Jahr 2019 aktualisiert.  Darüber hinaus können auch Standarddatenschutzklauseln oder auch Zertifizierungsmechanismen oder Verhaltensregeln als solche Lösungsstrategien genannt werden, die ja auch geeignete Garantien bieten können.

Im gegenständlichen Fall war Schrems II in den letztgültigen BCR noch nicht berücksichtigt. Deshalb wurden die BCR unseres Kunden vom öffentlichen AG nicht als geeignetes Argument für die DSGVO-Konformität der angebotenen Dienstleistungen anerkannt. 

Alternative Lösungsstrategien:

Der alternative Lösungsansatz von uns DSGVO-Beratern war, den Zugang der Mitarbeiter der russischen Schwesterfirma zur Produktiv-Datenbank zu unterbinden und dafür den Zugang zu einer anonymisierten synchronen Kopie der Produktiv-Datenbank zu ermöglichen. Nachfolgende Abbildung skizziert die Anonymisierung der Kopie der Produktiv-Datenbank mittels eines Tools und den Zugriff der Mitarbeiter der russischen Schwesterfirma

Auf dieser anonymisierten DB-Kopie finden allfällige Fehlersuchen, Parametrisieren usw. durch Russland statt. Die Eingriffe werden protokolliert und den österreichischen Kollegen übermittelt, die die Eingriffe am Produktivsystem nachziehen. Wie das Nachziehen der Änderungen genau organisiert wird, ist im Einzelfall zu klären. Der dargestellte Weg ist technisch möglich, aber schränkt die kommerziellen Vorteile der gewählten Delivery Struktur deutlich ein und ist fehleranfällig.

Sinnvollerweise sollten die Aktivitäten aus Russland wie beschrieben auf der anonymisierten Test-DB erfolgen und anschließend von derselben Person am Entwicklungssystem umgesetzt werden, wo sich nur eine geringe Menge an Testdaten befinden sowie keine Echtdaten vorhanden sind. Transport (auf Test- und mglw. Produktivsystem) und Test der Lösung finden im Anschluss durch das Team in Österreich statt.

Damit ist sichergestellt, dass kein Transfer personenbezogener Daten in ein unsicheres Drittland stattfindet, somit ist die DSGVO-Konformität zwangsläufig gegeben.

Der von uns DSGVO-Beratern vorgeschlagene Lösungsansatz kann dann bei einer Ausschreibung ins Treffen geführt werden, wenn die Verwendung des Tools mit den Ausschreibungsbedingungen in Einklang zu bringen ist – bei einem vergaberechtlichen Verhandlungsverfahren kann er beispielsweise in der Verhandlung mit dem Kunden diskutiert werden.

Hardliner unter den Juristen vertreten den Standpunkt, dass die o.a. Strategie keine „absolute Anonymisierung“ darstellt. Begründet wird dies damit, dass über die Datensatznummer in der Produktivdatenbank jederzeit die personenbezogenen Daten eingesehen werden können. Das ist korrekt.

Andere Juristen sehen das nicht so streng, da die Frage der Anonymisierung vom Betrachtungswinkel abhängt. Aus Sicht des Dienstleisters ist die Anonymisierung gegeben, da er über den „Schlüssel“ zu den Produktivdaten nicht verfügt.

Durch einen alternativen, technischen Lösungsansatz kann der Zugriff auf personenbezogene Daten durch Dienstleister aus unsicheren Drittländern verhindert werden und somit die DSGVO-Konformität der angebotenen Dienstleistungen gewährleistet werden.

Hinweis: Das Tool wurde im Rahmen des Strategieforums PriSec 2021 – Privacy & Security (Business Circle) vom 5./6.10.2021 in Rust vorgestellt. Hitzige Debatten über die juristischen Aspekte (s.o.) waren die Folge.

Das Tagebuch wird zur Verfügung gestellt von 

DSGVO Datenschutz Ziviltechniker GmbH

www.dsgvo-zt.at


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*