Fokusthemen Datenschutz

Whistleblowing: Der geschützte Hinweisgeber

Was durch das neue Hinweisgeberschutzgesetz auf Unternehmen zukommt

Obwohl dem Angestellten Klaus A. ein Rechtsverstoß in seinem Unternehmen auffällt, schreckt er davor zurück, diesen zu melden. Der Grund: Angst vor einer Abmahnung oder gar Kündigung. Dies ist ein alltägliches Szenario in Unternehmen, dem das deutsche „Hinweisgeberschutzgesetz“ (HinWeiG) nun Abhilfe schaffen will. Das Gesetz ist die Umsetzung einer EU-Richtlinie aus dem Jahr 2019, welche in nationales Recht umgewandelt und umgesetzt werden muss. Es soll Beschäftigte zur Meldung von Verstößen ermutigen. Im Rahmen dieser Verordnung entstehen dabei auf Unternehmensseite neue Pflichten.

So verpflichtet das Gesetz Unternehmen zur Einführung einer internen oder einer externen Meldestelle. Es wird wohl bereits im Juni 2023 in Kraft treten, da der Vermittlungsausschuss am 9. Mai nach langer Diskussion eine Einigung erzielen konnte. Unternehmen müssten demnach die Anforderungen zur Einrichtung einer Meldestelle bis September (ab 250 Beschäftigte) bzw. bis Dezember (ab 50-249 Beschäftigte) umsetzen. Vorgeschrieben ist dann, dass über diesen einzurichtenden internen oder externen Meldekanal Hinweise über mögliche Missstände oder Gesetzesverstöße, die das Unternehmen betreffen, entgegengenommen werden. Der externe Meldekanal wird zentral vom Bundesministerium der Justiz verwaltet, allerdings sollen vorrangig die internen Meldestellen genutzt werden.

Identität der Hinweisgeber wird geschützt

Das Hinweisgebersystem in Unternehmen hat dabei die Anonymität bzw. die Identität der meldenden Person, des sogenannten Whistleblowers, zu schützen. Das gilt auch für den Fall, dass die meldende Person bereit ist, ihre Identität preiszugeben. Der vertrauliche Umgang mit den erhaltenen Informationen – auch bezüglich der Identität – ist jederzeit einzuhalten.

Das Hinweisgeberschutzgesetz ist auch als Whistleblower-Richtlinie bekannt und dient dem Schutz von bestimmten Personen. Zum einen betrifft der Schutz die hinweisgebenden sowie die unterstützenden Personen, zum anderen diejenigen Personen, die Inhalt der Meldung sind. Das Hinweisgeberschutzgesetz bietet außerdem Schutz vor möglichen – selbstverständlich widerrechtlichen bzw. verbotenen – Repressalien. Der Arbeitgeber ist immer in der Pflicht, die nach Repressalien anmutenden Entscheidungen eindeutig zu begründen und zu belegen, um eine direkte Beziehung zwischen Repressalien und Hinweisgeber auszuschließen.

Anforderungen der Whistleblower-Richtlinie

Bei der Einführung des erforderlichen Whistleblowing-Managementsystems sind einige Punkte zu beachten. Die Person, welche die Meldungen entgegennimmt, muss unabhängig, integer und neutral sein, Fachkunde wäre wünschenswert. Die Vertraulichkeit der Identität der hinweisgebenden Person sowie aller sonstigen in der Meldung genannten Personen muss gewährleistet sein. Das gilt also auch für beschuldigte Personen. Für eine Meldung im Rahmen der Whistleblower-Richtlinie gilt daher strenge Zugriffskontrolle, die über die sogenannten technisch-organisatorischen Maßnahmen definiert und umgesetzt werden.

Nur die für den Fall zuständigen Fallbearbeitenden dürfen über den Zugriff auf die Daten verfügen. Es besteht eine Informationspflicht  nach der DSGVO, da es sich hierbei um eine Verarbeitungstätigkeit handelt. Es sind Informationen über die meldende Person, wie Name und Kontaktdaten oder verantwortliche Stelle, der Zwecke der Verarbeitung, die Rechtsgrundlage sowie die Empfangenden der Daten zu berücksichtigen. Die Verarbeitung muss in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden. Gleiches gilt für die gemeldete Person, oder Personen, die Gegenstand einer Meldung sind. Aus Ermittlungs- oder Vertraulichkeitsgründen können allerdings Ausnahmen gemacht werden.

Die Meldung kann anonym (kein Muss) oder persönlich und in mündlicher oder textlicher Form über eine einzurichtende Meldestelle erfolgen. Bei dem Einsatz einer IT-Lösung zu diesem Zweck ist eine Datenschutz-Folgenabschätzung – kurz DSFA – erforderlich oder eine entsprechende Risikoanalyse. Die DSFA ist ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten. Sie ist eine Anforderung aus der EU-Datenschutz-Grundverordnung (DSGVO).

Des Weiteren sind zur Absicherung der Informationen technische und organisatorische Maßnahmen (TOMs) einzurichten. Diese beziehen sich auf den Datenverarbeitungsvorgang und bezeichnen alle Maßnahmen, die sich physisch umsetzen lassen, z.B. das passende Berechtigungskonzept, Schutz vor unerlaubter Kopie, etc.

Dokumentation zum richtigen Umgang mit Meldesystem

Für das im Unternehmen eingerichtete Meldesystem sollte eine entsprechende eigene betriebliche Richtlinie erstellt werden. Diese kann in reiner Textform oder als Frequently Asked Questions (FAQ) umgesetzt werden. In der Unternehmensrichtlinie sollte dokumentiert werden, welche Art von Meldungen von Mitarbeitenden abgesetzt werden können. Auch sollte festgelegt werden, welche Art der Meldung nicht über eine Meldestelle weitergegeben werden sollte, da sie beispielsweise über die Personalabteilung geklärt werden kann.

Gemäß HinWeiG ist bei einer eingegangenen Meldung eine Antwortfrist von 7 Tagen einzuhalten. Innerhalb dieser Zeitspanne sollte mit einem Hinweis reagiert werden, dass die Meldung eingegangen ist und weitergegeben wurde. Innerhalb von drei Monaten muss der Hinweisgeber über den Sachstand bzw. die getroffenen Ma0nahmen informiert werden.  Gemäß Richtlinie dürfen keine Datenschutzvorfälle über die Meldekanäle gemeldet werden. Für diese Vorfälle sollte es eine eigene Richtlinie im Unternehmen geben.

Sie möchten mehr über die Einführung eines Whistleblowing-Managementsystems in Ihrem Unternehmen erfahren oder benötigen Unterstützung? Sprechen Sie uns an!

Messenger-Dienste in Unternehmen

Wie Sie Messenger datenschutzkonform nutzen können

Die Nutzung von Messenger-Diensten in Unternehmen kann zu einer Datenschutzverletzung und im schlimmsten Fall sogar zu Bußgeldern führen. Daher ist es bei der Wahl eines Messenger-Dienstes wichtig, die datenschutzrechtlichen Aspekte im Auge zu behalten.

Dienste wie WhatsApp, Facebook Messenger oder Microsoft Teams sind in Unternehmen weit verbreitet und erleichtern die Kommunikation, sowohl zwischen Mitarbeitenden als auch mit Kund:innen. Doch es gibt auch potenzielle Risiken, die nicht außer Acht gelassen werden sollten. Mit unseren Hinweisen können Sie prüfen, ob ein Messenger-Dienst datenschutzkonform eingesetzt werden kann.

WhatsApp ist mit einem Marktanteil von über 90% der beliebteste Instant-Messenger. Daher ist es nahezu unausweichlich, dass ein Unternehmen früher oder später vor die Entscheidung gestellt wird, den Messenger zu nutzen oder ein Verbot für die Nutzung auszusprechen. Aus datenschutzrechtlicher Sicht gilt es einen Einsatz genau zu prüfen.

Kriterien für die Prüfung eines DSGVO-konformen Einsatzes

Die Prüfung, ob ein Messenger-Dienst DSGVO-konform ist, hängt von vielerlei Faktoren ab. Zu Anfang sollten Sie sich bewusst machen, für welchen Zweck Sie den Messenger benutzen wollen. Daraus ergeben sich Art und  Umfang der Verarbeitung von Daten durch den Messenger.

Nachdem der Zweck für den Einsatz definiert ist, geht es darum, eine Rechtsgrundlage für die Verarbeitung zu finden. Eine Rechtsgrundlage ist zwingend notwendig, mögliche Beispiele hierfür sind Einwilligung, Kollektivvereinbarungen, berechtigte Interesse und mehr. Lassen Sie sich bei Fragen beraten, denn hier kommt es sehr stark auf den Einzelfall und die Details an.

Ist die Frage nach dem Zweck und der Rechtsgrundlage geklärt, können Sie die Anbieter vergleichen. Geben die Anbieter preis, welche Daten verarbeitet werden und für welchen Zweck? Anders gesagt, ist der Anbieter transparent, was die Verarbeitung von personenbezogenen Daten angeht? Sind die Anbieter nicht transparent, können Sie nicht einschätzen, ob die Grundsätze für die Verarbeitung von personenbezogenen Daten eingehalten werden, wie z.B. Datenminimierung.  Datenminimierung heißt, es werden nur die Daten erhoben, die zur Erfüllung des Zweckes der Verarbeitung notwendig sind. Dies ist häufig ein Knackpunkt. Auch muss z.B. die Speicherdauer der Daten geklärt werden. Werden diese gemäß der gesetzlichen Vorgaben der DSGVO gelöscht oder eventuell dauerhaft noch für andere Zwecke aufgehoben.

Neben der Einhaltung der Grundsätze für die Verarbeitung von personenbezogenen Daten müssen Sie sicherstellen, dass der Anbieter die Betroffenenrechte einhält und Sie bei einem entsprechenden Ersuchen unterstützt.

Stichwort Privacy by Design und Privacy by Default. Sind die Datenschutzvoreinstellungen benutzerfreundlich sowie auch die Bedienbarkeit? Der Dienst ist darauf zu prüfen, ob geeignete Maßnahmen getroffen wurden, um die personenbezogenen Daten dem Risiko angemessen zu schützen.

Spezialfälle: Drittstaaten und Auftragsverarbeitung

Des Weiteren ist zu prüfen, ob Daten in sogenannte Drittstaaten übermittelt werden. Hierzu zählen alle Staaten außerhalb des Europäischen Währungsraum bzw. der Europäischen Union. Sollten Daten in Drittstaaten übermittelt werden, müssen besondere Kriterien erfüllt werden, hierzu zählen z.B. sogenannte Transfergarantien. Bei Anbietern aus z.B. den USA ist dies häufig der Fall. 

Auch ist zu prüfen, ob der Tatbestand einer Auftragsverarbeitung erfüllt wird. In diesem Fall bleiben Sie Verantwortlicher. Das heißt, Sie müssen über Zwecke und Mittel der Verarbeitung bestimmen und der Auftragsverarbeiter darf lediglich auf Ihre Weisung Daten verarbeiten. In diesem Fall muss ein sogenannter Auftragsverarbeitungsvertrag geschlossen werden.

Wie man sieht, gilt es grundlegend zu prüfen, ob der vorgesehen Verwendungszweck in Verbindung mit dem Tool datenschutzkonform umgesetzt werden kann. Daher gibt es auch keine allgemeine Empfehlung. Jeder geplante Einsatz ist genau zu prüfen. Wir beraten Sie gerne!

Das Verzeichnis von Verarbeitungstätigkeiten

Warum diese Liste essenziell für den Datenschutz in Ihrem Unternehmen ist

Art. 30 DSGVO “Verzeichnis von Verarbeitungstätigkeiten” ist eine Grundsäule der EU-DSGVO. Das sogenannte VVT stellt zum einen sicher, dass die personenbezogenen Daten, die ein Unternehmen verarbeitet, verwendet und speichert, geschützt und sicher sind. Zum anderen sorgt es dafür, dass die Rechte des Einzelnen, dessen Daten betroffen sind, gewahrt werden und ihnen schneller entsprochen werden kann. Das VVT ist ein sehr „lebendiges“ Verzeichnis. Es ist in Form und Inhalt immer aktuell zu halten; wodurch eine transparente und schnelle Auskunftserteilung und eine Nachvollziehbarkeit der einzelnen Verarbeitungen von personenbezogenen Daten gewährleistet ist.

Die Führung eines Verzeichnisses von Verarbeitungstätigkeiten ist gesetzlich im Rahmen der europäischen Datenschutz-Grundverordnung verpflichtend vorgeschrieben. Verantwortliche für die Verarbeitung personenbezogener Daten sind verpflichtet, Verarbeitungstätigkeiten festzuhalten. Dies gilt für Unternehmen, Organisationen und öffentliche Stellen, die personenbezogene Daten sammeln, verarbeiten und speichern und es beinhaltet auch Auftragsverarbeiter, die im Namen und Auftrag eines Verantwortlichen personenbezogene Daten verarbeiten, wie beispielsweise Cloud-Service-Provider, Marketingagenturen und Datenanalytik-Unternehmen.  

Das VVT wird durch die einzelnen Fachabteilungen, in denen personenbezogene Daten verarbeitet werden, erstellt. Unterstützung erhält man dabei von den Datenschutzkoordinatoren bzw. dem Datenschutzbeauftragten. 

Keine Regel ohne Ausnahme 

Allgemein heißt es „keine Regel ohne Ausnahme“. Auch bei dem VVT gibt es eine Ausnahme, die allerdings viel Interpretationsspielraum lässt. Unternehmen mit weniger als 250 Mitarbeitenden, die keine komplexen Datenverarbeitungstätigkeiten ausführen, müssen im Prinzip kein VVT führen. Hierbei gibt es jedoch auch wieder Ausnahmen. Denn grundsätzlich sind auch kleinere Unternehmen verpflichtet, den geltenden Datenschutzgesetzen zu entsprechen und personenbezogene Daten angemessen zu schützen. In bestimmten Fällen, wie z. B. bei der Verarbeitung sensibler personenbezogener Daten, kann es also trotzdem erforderlich sein, ein VVT zu führen. Und in fast jedem Unternehmen werden Personalakten geführt, Kundendatenbanken verwaltet oder Newsletter versendet. Somit werden personenbezogene Daten verarbeitet, für die eine Verpflichtung zur Erfassung im Sinne des VVT besteht.  

Das Verzeichnis der Verarbeitungstätigkeiten muss über folgende Informationen Auskunft geben: 

  1. Art der verarbeiteten personenbezogenen Daten: z. B. Kontaktdaten, Finanzdaten usw.
  2. Zweck der Verarbeitung: Warum werden die Daten verarbeitet und wofür werden sie genutzt?
  3. Kategorien der betroffenen Personen: Wer sind die Personen, deren Daten verarbeitet werden? 
  4. Empfänger der personenbezogenen Daten: An wen werden die Daten weitergegeben? 
  5. Dauer der Aufbewahrung: Wie lange werden die Daten aufbewahrt? 
  6. Maßnahmen zum Schutz der Daten: Welche Sicherheitsmaßnahmen werden ergriffen, um die Daten vor Verlust oder Missbrauch zu schützen? 
  7. Rechtsgrundlagen: Auf welcher rechtlichen Grundlage werden die Daten verarbeitet? 

Mehr Sicherheit, weniger Risiko 

Das Verzeichnis von Verarbeitungstätigkeiten ist das Kernstück einer jeden Datenschutzdokumentation und gibt Auskunft darüber, welche Verarbeitungsvorgänge im Unternehmen stattfinden. Damit ergibt sich ein Überblick, der in einer ganzheitlichen Betrachtung von Unternehmensabläufen hilfreich sein kann. Denn wer kennt schon alle Verarbeitungen personenbezogener Daten innerhalb einer betrieblichen Organisation? Darüber hinaus kommen diese Prozesse und Aktivitäten immer wieder auf den Prüfstand: Sind sie noch zeitgemäß oder sind eventuell Anpassungen oder Ergänzungen notwendig? Müssen neue zusätzliche Verarbeitungstätigkeiten hinzugefügt werden?  

Durch die Dokumentation von Verarbeitungstätigkeiten kann das Unternehmen sicherstellen, dass es den geltenden Datenschutzgesetzen entspricht und dass personenbezogene Daten angemessen geschützt werden. Außerdem kann die Überwachung dabei helfen, Datenschutzrisiken zu identifizieren und zu minimieren. Dies geschieht durch die regelmäßige Überprüfung der sogenannten TOM`s (technisch-organisatorische Maßnahmen). 

Erst durch ein akkurat geführtes VVT ist es also möglich, die in einem Unternehmen stattfindenden Verarbeitungsvorgänge zu überschauen, zu kontrollieren, auf ihre Zulässigkeit hin zu überprüfen und damit alle verbundenen Risiken zu bewerten. So lässt sich Handlungsbedarf erkennen und in angemessener Art umsetzen. 

Sie erkennen, ein Verzeichnis der Verarbeitungstätigkeiten ist nicht nur ein wesentlicher Bestandteil der Datenschutz Compliance, sondern dient auch noch der Transparenz Ihrer Geschäftsprozesse und damit Ihrem Unternehmen in seiner Effektivität.

Das berechtigte Interesse in der DSGVO

Wann Sie Daten auch ohne explizite Einwilligung verarbeiten dürfen

Häufig trifft man innerhalb der DSGVO auf die Begrifflichkeit des “berechtigten Interesses” als Grundlage für die Erhebung, Speicherung und Verarbeitung personenbezogener Daten. Mit diesem Fachletter möchten wir die Begrifflichkeit und deren Einsatzmöglichkeit etwas genauer betrachten.

Die wichtigste Aussage der DSGVO ist die Einwilligung mit Erlaubnisvorbehalt. Dadurch wird jeder natürlichen Person das Recht auf die eigene Entscheidung hinsichtlich der Verwendung Ihrer personenbezogenen Daten gewährt.

Die DSGVO schreibt in Artikel 6 (a-f) detailliert vor, nach welchen Kriterien personenbezogene Daten verarbeitet werden dürfen. U.a. heißt es dort „Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich“.

Doch was ist überhaupt ein berechtigtes Interesse?

Artikel 6.1 (f) der DSGVO definiert genauer:

„Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“

Gemäß Erwägungsgrund 47 kann ein berechtigtes Interesse von Seiten des Verantwortlichen oder eines Dritten rechtmäßig sein, wenn das Interesse, die Grundrechte oder Grundfreiheiten der betroffenen Person nicht überwiegen. Vernünftige Erwartungen der betroffenen Personen sind zu berücksichtigen. Grundsätzlich gilt das “berechtigte Interesse” jedoch nicht für Behörden, da es hier eine besondere Rechtsgrundlage für die Verarbeitung personenbezogener Daten gibt.

Ein paar Beispiele

  • Ein berechtigtes Interesse kann vorliegen, wenn die betroffenen Personen und der Verantwortliche in einer maßgeblichen und angemessenen Beziehung zueinanderstehen. Als Kunde und Lieferant z.B., oder die betroffene Person steht sogar in Diensten des Verantwortlichen.
  • Ein berechtigtes Interesse des Verantwortlichen liegt auch beim Einsatz von Antivirenscannern oder geeigneten Maßnahmen zur Schadensabwehr vor. Dort werden möglicherweise personenbezogene Daten innerhalber einer E-Mail auf mögliche Schadsoftware hin gescannt. Der Verantwortliche ist jedoch verpflichtet Schaden von seinem Unternehmen abzuwenden und zu verhindern.
  • Auch beim Versuch einen Betrug zu verhindern, stellt die Verarbeitung von personenbezogenen Daten im unbedingt erforderlichen Umfang ein berechtigtes Interesse des jeweiligen Verantwortlichen dar.
  • Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung gilt ebenfalls als eine einem berechtigten Interesse dienende Verarbeitung.

Die Interessen einer betroffenen Person könnten dem Interesse eines Verantwortlichen überwiegen, wenn die betroffene Person nicht mit einer weiteren Verarbeitung rechnen kann. Es gilt also genau abzuwägen, in welchem Fall wessen Interesse überwiegt.

Checkliste zur Prüfung eines berechtigten Interesses

Eine weitere Hilfestellung kann die nachfolgende Checkliste sein. Sofern Sie mehrere oder einen einzelnen dieser Punkte positiv beantworten können, kann das “berechtigte Interesse” Anwendung finden. In jedem Fall gilt es, diese Begründungen genaustens zu beschreiben und zu erläutern.

  • Ist das berechtigte Interesse durch geltendes Recht abgedeckt?
  • Ist das Interesse so hinreichend und eindeutig beschrieben, dass eine Abwägung mit den Interessen und Grundrechten der betroffenen Person möglich ist?
  • Kann der Betroffene erwarten, dass seine Daten verarbeitet werden, und kann er transparent nachvollziehen, welche Daten zu welchem Zweck wie verarbeitet werden? Werden im Sinne der Datenminimierung wirklich nur die erforderlichen Daten verarbeitet?
  • Steht kein anderes effektives, eventuell sogar milderes Mittel zur Verarbeitung der Daten zur Verfügung?

Datentransfer in Drittländer

Was tun, wenn der Dienstleister nicht in der EU ansässig ist?

Wir bewegen uns wirtschaftlich, als Unternehmen oder auch als Privatpersonen in einem regen weltweiten Datenaustausch. Dabei werden tagtäglich unermesslich viele unserer personenbezogenen Daten verarbeitet z.B. bei Hotelbuchungen, bei Flugreisen, Onlinebestellungen, Banking etc. Die DSGVO hat dafür eindeutige Kriterien festgelegt – sowohl für die Verarbeitung im einzelnen Unternehmen als auch für die eventuell notwendige Weiterleitung an Dienstleister (zu den Grundlagen für Auftragsverarbeitungsverträge s. unseren letzten Fachletter).
Auch die Verarbeitung bzw. Weiterleitung dieser Daten innerhalb der EU oder des EWR ist unproblematisch, da in diesem Bereich die DSGVO angewendet bzw. umgesetzt wird. Doch wie verhält es sich bei einem notwendigen Datentransfer in ein sogenanntes Drittland, d.h. in ein Land außerhalb der EU/des EWR? Gilt die DSGVO oder wie werden die Daten dort geschützt?

Sichere Drittländer

Eine Datenübermittlung in ein Drittland darf erfolgen, sofern die Kommission beschlossen hat, dass dort ein angemessenes Schutzniveau garantiert ist. D.h. hier können weitgehend die gleichen Auftragsverarbeitungsverträge Anwendung finden wie bei Dienstleistern in Deutschland und in der EU. Kriterien der Kommission für die Einordnung sind u.a. Rechtstaatlichkeit, Achtung der Menschenrechte und der Grundfreiheit sowie Existenz und Wirksamkeit von Aufsichtsbehörden im Datenschutz.
Folgende Staaten gehören zu den sogenannten sicheren Drittländern, die derzeit über ein angemessenes Datenschutzniveau verfügen, d.h. über eines, das dem der DSGVO vergleichbar ist:
• Schweiz
• Kanada (kommerzielle Organisationen)
• Argentinien
• Andorra
• Färöer
• Guernsey
• Isle Of Man
• Jersey
• Neuseeland
• Uruguay
• Südkorea
• Japan
• Das Vereinigte Königreich

Neue Standardvertragsklauseln zum 27.12.2022

Artikel 47 DSGVO regelt die Datenübermittlung in Drittländer vorbehaltlich geeigneter Garantien. Dazu zählen unter anderem die durch die Kommission erlassenen Standardvertragsklauseln. In jedem Auftragsverarbeitungsvertrag ist der Hinweis auf die Einhaltung der Standardvertragsklauseln notwendig.
Wichtig und daher unbedingt zu beachten: Es gibt neue Standardvertragsklauseln und deren Einbindung in neue bzw. bestehende Auftragsverarbeitungsverträge muss bis zum 27.12.2022 erfolgen. Lassen Sie dies ggf. dringend von Ihrem Datenschutzbeauftragten prüfen!

Artikel 49 DSGVO regelt die Ausnahme für bestimmte Fälle beim Datentransfer in Drittländer. Hier gilt die ausdrückliche Einwilligung der betroffenen Person bei der Datenübertragung in Drittländer als Zustimmung. Die Übermittlung muss dabei für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder für vorvertragliche Maßnahmen auf Antrag der betroffenen Person erforderlich sein. Ebenso gilt eine Übermittlung als erforderlich für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. (Weitere Details entnehmen Sie bitte den einzelnen Artikeln der DSGVO.)

Sonderfall USA

Die USA gehören derzeit nicht zu den sicheren Drittländern. Vereinbarungen über den Datenschutz zwischen der EU und den USA aus dem sogenannten Privacy-Shield-Abkommen wurden mit dem Urteil Schrems II vom 16.07.2020 (Az.: C-322/18) durch den EuGH für ungültig erklärt.
Es gibt mittlerweile einen neuen Vorschlag der USA, um sich im Datenschutzthema mit der EU auf entsprechende Datenschutzniveaus zu einigen. Dieser Vorschlag wird derzeit diskutiert und wurde durch die EU-Kommission positiv aufgenommen. Allerdings steht das abschließende Statement der EU-Mitgliedsstaaten noch aus.

Fazit

Abschließend ist anzumerken, dass immer sorgsam abgewogen werden muss, welche Daten zu welchem Zweck verarbeitet werden sollen. Und letztendlich müssen Sie genauestens abwägen, ob eine uneingeschränkte Erlaubnis zur Verarbeitung erforderlich ist.

Auftragsverarbeitung

Wann Sie einen Auftragsverarbeitungsvertrag auf jeden Fall abschließen müssen und was dabei zu berücksichtigen ist

Wahrscheinlich können auch Sie nicht alle Aufgaben, die eine Verarbeitung personenbezogener Daten beinhalten, innerhalb Ihres Unternehmens durchführen. Zu den typischen Prozessen, die ausgelagert werden, gehören z.B.:
• Ausgliederung Ihrer IT-Infrastruktur zu einem externen Cloud-Anbieter
• fachgerechte und datenschutzkonforme Entsorgung Ihrer Datenspeicher (Festplatten oder Akten)
• gezielte Marketingaktionen durch ein externes Marketingunternehmen
Häufig muss in solchen Fällen ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden. Doch wann ist er wirklich nötig und wann kann man auf ihn verzichten?

Der Auftragsverarbeitungsvertrag (AVV) regelt die Zusammenarbeit zweier Parteien, wobei eine Partei (Auftragsgeber und Verantwortlicher im Sinne der DSGVO) einer anderen Partei (Auftragsverarbeiter) die Aufgabe überträgt, personenbezogene Daten in ihrem Auftrag und ihrer Weisung entsprechend zu verarbeiten. Dabei kann sich der Auftragsverarbeiter auch im europäischen Ausland (EU oder EWR) oder einem sogenannten Drittland befinden. Letzteres muss besonders genau geprüft werden, weil die DSGVO in diesen Fällen sehr strenge Regularien vorsieht .
Unterschied Auftragsverarbeitung und Funktionsübertragung

Nicht jede Datenverarbeitung durch einen Dritten bedarf einer Auftragsverarbeitungsvereinbarung. Wie immer gibt es Ausnahmen und Graubereiche. Grundsätzlich unterscheiden wir zwischen Auftragsverarbeitung und Funktionsübertragung, wobei der wesentliche Unterschied in den Rechten des Auftragnehmers liegt, die unterschiedliche vertragliche Regelungen notwendig machen:

Auftragsverarbeitung:
• Auftragnehmer verfügt über keinerlei Entscheidungsbefugnis
• Umgang nur mit den Daten, die der Auftraggeber zur Verfügung stellt
• der AVV muss in der Liste der Verarbeitungstätigkeiten aufgeführt werden

Funktionsübertragung
• Überlassung von Nutzungsrechten an den verwendeten Daten, diese können z.B. durch eigene Recherchen angereichert werden
• eigenverantwortliche Sicherstellung von Zulässigkeit und Richtigkeit der Daten durch den Dienstleister sowie der Rechte von Betroffenen (Benachrichtigungspflicht, Auskunftsanspruch)

Oft ist eine Unterscheidung zwischen beiden nur schwer möglich. Im Zweifelsfall ist es daher ratsam einen Experten einzubeziehen.

Es gibt keinen allgemeingültigen AVV, sondern es muss jeder Einzelfall geprüft werden.

Nachstehende Auflistung kann als Anhaltspunkt für die Notwendigkeit eines AVV angesehen werden . Zwingend erforderlich ist ein AVV immer, wenn personenbezogene Daten durch externe Parteien bearbeitet werden, wie
• Externe Buchhalter oder Lohnbüros
• Marketingdienstleister
• Webhoster sowie Anbieter von Clouddiensten oder SaaS-Lösungen
• Datacenterbetreiber, die einen Userhelpdesk anbieten oder die Archivierung und Löschung von Daten verwalten
• Entsorgungsunternehmen zur Datenträgerlöschung
• Einsatz von Lösungen zu automatisierten Bewerbungsauswertungen
• Prüfung oder Wartung (z.B. Fernwartung, externer Support), sofern der Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann
Bei IT-Dienstleistern, die sich nur um den reibungslosen Ablauf der Hardware kümmern und keinerlei Zugriffsberechtigungen auf personenbezogene Daten haben, wird ein AVV beispielsweise nicht benötigt.

Wegen der Besonderheiten des geltenden Berufsgeheimnisses nach § 203 StGB bei der Zusammenarbeit mit u.a. Steuerberater/Steuerberatungsbüro, Anwälte, Ärzte/Betriebsärzte oder unabhängige Gutachten kein AVV nötig. Doch selbstverständlich gelten auch ohne Vertrag für entsprechende Dienstleistungsunternehmen sämtliche Rechte und Pflichten der DSGVO, die sich aus dem Umgang mit personenbezogenen Daten ergeben.

Fazit

Ein Auftragsverarbeitungsvertrag ist ein grundlegender Baustein der DSGVO und daher sollte jeder Einzelfall bei der Verarbeitung von personenbezogenen Daten durch Dritte genauestens auf die Notwendigkeit hin geprüft werden. Diese Prüfung und eine ggf. notwendige Vertragserstellung sind aufwendig, verschaffen Ihnen jedoch Klarheit in der weiteren Geschäftsbeziehung.