Übergang von "Sorgfaltspflicht" im Datenschutz

Mitglied: ukulele-7

ukulele-7 (Level 2) - Jetzt verbinden

25.02.2021 um 16:16 Uhr, 1187 Aufrufe, 10 Kommentare, 1 Danke

Hallo zusammen,

mir ist eine, zugegeben eher juristische, Frage in den Sinn gekommen. In unserer Branche arbeiten wir mit sensiblen, personenbezogenen Daten die natürlich der DSGVO unterliegen. Jetzt stellen wir auch schon mal berechtigten Dritten Daten zur Verfügung, soll vorkommen. Tue ich das selber mache ich das über eine Plattform und beachte natürlich die DSGVO. Die Plattform ist i.d.R. im Inland beheimatet und gehostet, ich habe einen AV Vertrag mit dem Dienstleister, etc.

Jetzt kommt der berechtigte Dritte auf mich zu mit seiner eigenen Plattform und möchte die Daten dort entgegen nehmen. Er hat einen AV Vertrag mit seiner Plattform, Inland, eigentlich gibt es keine Bedenken. Aber: Ich habe natürlich keinen AV Vertrag mit der Plattform, ist ja nicht mein Dienstleister. Wo und wann hört denn meine Verantwortung auf, wo fängt der Geltungsbereich des Dritten an? Hat jemand für mich eine Art juristische Grundlage, DSGVO, Telekommunikationsgesetz oder irgend ein Kommentar von jemandem der Ahnung hat?
Mitglied: VGem-e
25.02.2021 um 16:33 Uhr
Servus,

habt Ihr denn keinen (intern/extern) Datenschutzbeauftragten?

Ich würde dies ganz locker im Rahmen des bei uns bestehenden Vertrags zur Prüfung und Stellungnahme an unseren DSB weiter geben.

Gruß
VGem-e
Bitte warten ..
Mitglied: ukulele-7
25.02.2021 um 16:37 Uhr
Extern, ja. Ich würde vermuten der kann mir dazu nichts näheres sagen ohne den Fall "genau" zu betrachten bzw. viel Zeit abzurechnen. Aber ich werde ihn bei nächster Gelegenheit fragen.

Ich bin selbst interessiert am Thema, habt ihr noch Ansatzpunkte?
Bitte warten ..
Mitglied: eisbein
25.02.2021, aktualisiert um 16:41 Uhr
Hallo,

Aber: Ich habe natürlich keinen AV Vertrag mit der Plattform, ist ja nicht mein Dienstleister

DU übermittelst dann also personenbezogene Daten an einen Dienstleister ohne jegliche vertragliche Vereinbarung?!
DU musst dann auch dafür gerade stehen!! Der Dritte, Vierte ... Vierundzwanzigste freuen sich!

Aber ich bin kein Rechtsanwalt ...

Die DSGVO ist da aber relativ eindeutig:

Artikel 5 Absatz 1
Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

.....

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

Absatz 2 Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).


Gruß
eisbein
Bitte warten ..
Mitglied: StefanKittel
25.02.2021 um 17:23 Uhr
Dann soll er die Daten doch auf Deiner Plattform abholen und was er damit macht kann Dir egal sein.

Man könnte nun argumentieren, dass seine Anweisung, die Daten an X zu übergeben, einer Übergabe an ihn entspricht.
Ob das juristisch haltbar ist kann ich Dir nicht sagen.

Stefan
Bitte warten ..
Mitglied: ukulele-7
26.02.2021 um 07:10 Uhr
@eisbein
Ich sehe keinen Widerspruch zwischen Artikel 5 Absatz 1 a) und f) sowie Absatz 2 sowie meinem Handeln. Es handelt sich um einen berechtigten Dritten (könnte auch genauso gut der "Eigentümer" der Daten selbst sein) und der sagt mir hier, lade die Daten bitte da hoch, ich habe ein Vertrauensverhältnis / AV-Vertrag mit dieser Plattform.

Genauso habe ich Kunden denen ich sage du kannst hier Daten auf meiner sicheren Plattform hoch laden (AV Vertrag mit mir). Und das sind nicht nur seine Daten sondern ggf. auch die seiner Arbeitnehmer. Selber Fall nur aus einem anderen Standpunkt. Muss er jetzt einen AV-Vertrag mit meiner Plattform schließen oder sich einen eigenen Anbieter suchen, einen AV-Vertrag schließen, die Daten hoch laden und ich muss die von 20 verschiedenen Anbietern einsammeln?

@Stefan
Es geht in diesem Fall auch um Plattformen von Behörden, die nehmen keine Daten von meiner Plattform an, das zeigt meine Erfahrung. Jetzt kann ich mich natürlich bei der Behörde durch fragen, aber ich möchte eigentlich eine allgemeine Aussage finden wann und wie die Daten nicht mehr meiner Verantwortung unterliegen sondern unter der der Gegenseite. Ich glaube ich werde als nächstes mal dem Plattform-Betreiber schreiben.
Bitte warten ..
Mitglied: eisbein
26.02.2021 um 09:08 Uhr
Hallo,

und der sagt mir hier, lade die Daten bitte da hoch, ich habe ein Vertrauensverhältnis / AV-Vertrag mit dieser Plattform.

Da sehe ich die Schwierigkeit - der Dritte hat ein Vertrauensverhältnis und nicht du, du hast gar nichts.
Du gibst die Daten ja auch nicht direkt an den Dritten weiter, sondern an einen "fremden" Dienstleister der die Daten dem Dritten zugänglich macht bzw. von diesem beauftragt wird. Somit ist da noch ein Vierter mit im Spiel.

Aber wenn dann auch noch Behörden mit im Spiel sind, solltest du auf alle Fälle euren Datenschutzbeauftragten konsultieren - auch wenn es was kostet.

Gruß
eisbein
Bitte warten ..
Mitglied: yoppi1
26.02.2021 um 19:24 Uhr
Das ist schwierig konkret zu beantworten. Mein erster Rat lautet: sofern bei Eurem Betrieb die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht, dann könnt Ihr Euch bei der für Euch zuständigen Aufsichtsbehörde beraten lassen.

Aus dem, was Du schilderst, würde ich folgern:

1) Du hast einen AVV mit dem Auftraggeber, der für die Daten verantwortlich ist. Der Auftraggeber "bestimmt", was wie wo wer mit den Daten zu machen ist. Wenn der Auftraggeber bestimmt, entweder direkt oder durch konkludentes Handeln, dass Du die Daten an einen weiteren Dienstleister weiterleiten sollst oder darfst, dann handelst Du im Auftrag und alles ist ok. Es ist Sache des Auftraggebers, mit dem anderen Dienstleister einen AVV abzuschliessen und sich darum zu kümmern, dass der die Daten im Sinne der DSGVO verarbeitet.

2) In allen anderen Fällen wäre ein weiterer Verarbeiter wohl ein Subunternehmer, der nicht direkt im Auftrag des Auftraggebers arbeitet, sondern in Deinem. Dann bist Du für den AVV verantwortlich. Außerdem muss der AVV, den Du mit dem Auftraggeber hast, erlauben, dass Du Subunternehmer einsetzen darfst.

3) Du sollest - zweckes eigener Rückendeckung - von Deinem Auftraggeber Unterlagen haben (mindestens in Textform), aus denen hervorgeht, dass der "berechtigte Dritte" tatsächlich berechtigt ist und Du damit die Daten im Auftrag des Auftraggebers weiterleiten sollst. Eventuell trifft Dich eine Pflicht, den Auftraggeber darüber zu informieren, wenn dir bekannt wird, dass der Dritte die Daten nicht im Sinne der DSGVO verarbeitet.

Zusammengefasst:
Es kommt aus meiner Sicht darauf an, ob der Auftraggeber Dir sagt, dass Du einem Dritten die Daten geben sollst oder ob die Weitergabe der Daten von Dir aus angeleiert wurde und der Dritte Dein Subunternehmer ist. Wie oben erwähnt: der Auftraggeber ist verantwortlich und bestimmt, was mit den Daten in welcher Form geschieht.
Bitte warten ..
Mitglied: ukulele-7
01.03.2021 um 16:27 Uhr
Das klingt hilfreich - eine Subunternehmer-Beziehung könnte den Umstand tatsächlich am besten beschreiben. Ein AVV darf Subunternehmer beauftragen, dann darf das eventuell auch die berechtigte Behörde.

Ich konkretisiere das nochmal etwas, an sich trifft es dein Punkt 1) am besten aber mit ein paar Unterschieden.

Es handelt sich um Arbeitnehmerdaten (Arbeitnehmer = Betroffener/Dateninhaber), die der Arbeitgeber uns übermittelt bzw. die wir im Auftrag des Arbeitgebers erstellen (z.B. Lohnabrechnungen). Wir sind dabei als Berufsgeheimnisträger nicht! AVV des Arbeitgebers (siehe Kurzpapier Nr. 13 der DSK, ist aber schon vergleichbar) und geben die Daten zur Prüfung an die Deutsche Rentenversicherung Bund (DRV - Behörde) die per Gesetz berechtigt ist, diese Daten anzufordern und sich an ihnen zu erfreuen... Diese Behörde hat jetzt ihrerseits einen Subunternehmer beauftragt, die Daten zu "transportieren".
Bitte warten ..
Mitglied: Webie1971
16.03.2021 um 13:46 Uhr
Hallo

vielleicht ist notwendig die Stichpunkte der Datenschutz noch mal zu überprüfen: https://www.anwalt.org/datenschutz-datenschutzrichtlinie/?highlight=date ...

Schöne Grüße!
Bitte warten ..
Mitglied: yoppi1
17.03.2021, aktualisiert um 12:20 Uhr
Nach Deiner Schilderung würde ich als Datenschutzbeauftragter nur noch prüfen, aufgrund welcher Rechtsnorm genau die DRV die Daten anfordern darf. Steht wahrscheinlich irgendwo in den 3 laufenden Metern des SGB vergraben ;) Vielleicht kann die DRV bei der Beantwortung der Frage viel schneller behilflich sein.
Ich sehe da keine Probleme für Euch. Was die Behörde macht, ist quasi deren Problem. Natürlich nutzen Behörden im großen Stil Auftragnehmer, z.B. für die Verwaltung ihrer IT, für die Datenspeicherung, die Datenübertragung, Datenvernichtung, etc. - für Euch ist das alles egal, weil die Behörde allerhöchstwahrscheinlich per Gesetz alles darf.

Es gibt ja im weitesten Sinne ähnliche Konstrukte in anderen Bereichen, z.B. bei einer Sicherheitsüberprüfung, wo Deine Daten werweissbeiwelcher Behörde landen (BMWi, Innenministerium, BND, MAD, CIA ;-) face-wink). Oder nimm einfach mal Banken, wo die quasi für Dich hingehen und eine Meldung an die Behörden machen, wenn Du 50000 Euro in kleinen Scheinen einzahlst. Ist alles durch entsprechende Gesetze und Verordnungen OK. Oder halt der Zugriff der Finanzverwaltung auf die Infos, wer wo welche Konten hat. Alles OK. Genau dafür gibt es in DSGVO und BDSG n.F. die sogenannten Öffnungsklauseln.

Eventuell trifft dich nur eine Informationspflicht, wo Du Deinen Auftraggeber darüber informieren musst, dass Ihr von Gesetz wegen verpflichtet seid, Daten an dire DRV weiterzuleiten. Ich würde das der Transparenz wegen machen. Widersprechen kann der Auftraggeber sowieso nicht, weil der Widerspruch von einem Gesetz gehemmt wird ;-) face-wink
Bitte warten ..
Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
gelöst 1nCoreVor 1 TagFrageFestplatten, SSD, Raid15 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 18 StundenTippErkennung und -Abwehr3 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...

Drucker und Scanner
Epson WF-6590 druckt nur cyan und gelb
gelöst ITCrowdSupporterVor 1 TagFrageDrucker und Scanner15 Kommentare

Guten Tag :-) Es geht um einen Epson Workforce Pro WF-6590. Er druckt nur cyan und gelb obwohl neue Originalpatronen für schwarz und magenta ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 1 TagFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...