Gemeinden verarbeiten nicht alle Daten selbst. Sie arbeitenbeispielsweise mit Lohnverrechnungsfirmen zusammen oder nutzen Cloud-Dienste. Doch mit wem muss man nach dem Inkrafttreten der DSGVO sogenannte Datenverarbeitungsverträge abschließen? Und mit wem nicht?
FH-Prof. Mag. Dr. Peter Burgstaller beantwortete im Expertentalk alle Fragen zum Thema „Datenverarbeitung„. Im Video können Sie die Antworten im Wortlaut hören. Hier haben wir die Antworten nochmal für Sie schriftlich zusammengefasst.
Die Gemeinden sehen sich in vielerlei Hinsicht konfrontiert mit Situationen, die es erfordern, Daten notwendigerweise an Dritte weiterzugeben – ein Beispiel hierfür ist die Post: Braucht man eine schriftliche Zustimmung, oder Datenverarbeitungsvertrag, um Dinge mit der Post zu verschicken? Und wie sieht das bei elektronischen Systemen, zum Beispiel Newsletter-Anbietern, aus?
Peter Burgstaller betont, dass die Datenschutzgrundverordnung einen Datenverarbeitungs- bzw. Auftragsverarbeitervertrag vorsieht, wenn die verarbeitende Instanz im Kern ihrer Tätigkeit mit den Daten arbeitet. Das bedeutet, die DSGVO sieht einen schriftlichen Vertrag in solchen Situationen vor, in denen der Dritte tatsächlich etwas mit den weitergegebenen Daten tut bzw. sie in jeglicher Form verarbeitet. Sollten die Daten jedoch nur Mittel zum Zweck sein, im Beispiel der Post zum Mittel der Beförderung, so kann man von einem solchen Vertrag absehen. Die Post hat zwar Empfangsdaten und gegebenenfalls Absenderdaten, allerdings werden diese nicht in ihrem Kern verarbeitet, weswegen sie per Definition nicht als Auftragsverarbeiter gilt. Sollte die Post jedoch erweiterte Aufträge bekommen, wie das Speichern der Empfangsadressen oder auch das Kuvertieren, so muss ein solcher Vertrag sehr wohl eingegangen werden.
Anders sieht Peter Burgstaller das bei Anbietern von Newsletter-Diensten. Da bei Online-Diensten eine Speicherung von Daten unumgänglich ist, empfiehlt es sich hier mit den Anbietern einen Datenverarbeitungsvertrag in schriftlicher Form einzugehen.
Peter Burgstaller betont allerdings, dass die Definition, was als Auftragsverarbeiter und was als Verantwortlicher gilt und was nicht, eine umstrittene Thematik ist. Eine von der deutschen Datenschutzkonferenz veröffentlichte Liste typischer Auftragsverarbeiter kann hier als Leitfaden dienen. Beispielhaft sind hier Cloud-Dienste zu nennen, also Speicherkapazitäten im Internet. Diese zählen als Auftragsverarbeiter, da im Zuge der Speicherung die Daten an Dritte für die Weiterverarbeitung freigegeben werden. Rechtsanwälte oder Notare zählen beispielsweise nicht zur Kategorie der Auftragsverarbeiter, Lohnverrechner jedoch schon. Inkassobüros hingegen zählen dann zu Auftragsverarbeitern, wenn die Forderung, die eingetrieben werden soll, dem Inkassobüro nicht abgetreten wurde. Ansonsten sind Inkassobüros datenschutzrechtlich Verantwortliche.
Der Experte betont, dass die DSGVO einen solchen Vertrag in schriftlicher Form vorsieht – mündliche Vereinbarungen sind somit nicht ausreichend. Zu beachten ist jedoch, dass auch elektronische Vertragsdokumente dem Schriftlichkeitsgebot entsprechen.
Was ist zu beachten, wenn ein Cloud-Anbieter in einem Drittland ansässig ist – zum Beispiel „MyDrive“ in der Schweiz? Werden Unterschiede gemacht, ob der Server in Österreich oder in der EU, beziehungsweise in einem anderen Land?
Peter Burgstaller definiert als Einstieg, dass die Datenschutzgrundverordnung in der EU und den „Partnerstaaten“ Schweiz, Norwegen und Island anwendbar ist (Europäischer Wirtschaftsraum). Wenn man diesen Wirtschaftsraum jedoch verlässt, muss man darauf achten, dass das dort gültige Datenschutzgesetz dem europäischen entspricht (die EU-Kommission muss das feststellen) – als Beispiele nennt Peter Burgstaller Uruguay, Argentinien und Neuseeland.
Die USA, Kanada und Israel haben eine andere Legislative, genießen allerdings eine Sonderstellung. Das sogenannte „Safe Harbour Abkommen“ bzw. „US-EU-Privacy Shield“, sind Vereinbarungen zwischen den USA und der EU, namensgebende „sichere Hafen“ zu schaffen – in zuständigen öffentlichen Stellen haben Unternehmen die Möglichkeit, sich in Listen einzutragen. Diese Listen dienen als Einwilligung, sich an das in der EU gültige Datenschutzgesetz zu halten. Unabhängig von der (lockereren) Gesetzgebung in den USA garantieren die Eingetragenen so, dass sie sich an gültiges EU-Recht halten. Unter den eingetragenen Firmen befinden sich de facto alle großen Cloud-Dienste wie Amazon, Apple, Microsoft und viele weitere namhafte Unternehmen.
Peter Burgstaller empfiehlt hier, von Anbietern, die nicht in der EU oder einem sicheren Drittland ihren Sitz haben oder über ein „Safe Harbour“-Abkommen verfügen, abzusehen. Sollte trotz den genannten Faktoren der Wunsch bestehen, ein Unternehmen aus solchen Ländern zu wählen, muss insbesondere ein schriftlicher Vertrag abgeschlossen werden, der von der Datenschutzbehörde genehmigt werden muss, was mit bürokratischem Aufwand verbunden ist.
Ist ein Vertrag nach Art. 28 der DSGVO notwendig, wenn im Rahmen von Beratungen (Steuerberatung, Wirtschaftsprüfer, Rechtsanwälte etc.) personenbezogene Daten übermittelt werden? Muss mit solchen Firmen oder Personen ein Datenverarbeitungsvertrag abgeschlossen werden?
Prof. Burgstaller postuliert, dass ein Vertrag bei solchen Unternehmen nicht notwendig ist. Er verweist einmal mehr auf die Liste der deutschen Datenschutzkonferenz, wonach diese nicht Auftragsverarbeiter sind, sondern als Verantwortliche gelten.
Braucht man in der Personal- und Lohnverrechnung von bestehenden Mitarbeitern irgendwelche Zustimmungen, damit man die Daten verarbeiten darf?
Peter Burgstaller meint, dass die Weitergabe von Daten, die bereits bei der Gemeinde liegen und bei der Weiterverarbeitung etwa durch die Lohnverrechnung durch einen Datenverarbeitungsvertrag abgesichert sind, keiner weiteren Einwilligung erfordern. Sollten die Daten allerdings an Dritte weitergegeben werden, zum Beispiel an Vereine für Veranstaltungseinladungen, bedarf dies einer gesonderten Einwilligung der Betroffenen.
Die von Prof. Burgstaller angesprochenen Publikationen der Deutschen Datenschutzkonferenz finden sie unter dem in der nebenstehenden Box angeführten Link.