10
Übergang von "Sorgfaltspflicht" im Datenschutz
Hallo zusammen,
mir ist eine, zugegeben eher juristische, Frage in den Sinn gekommen. In unserer Branche arbeiten wir mit sensiblen, personenbezogenen Daten die natürlich der DSGVO unterliegen. Jetzt stellen wir auch schon mal berechtigten Dritten Daten zur Verfügung, soll vorkommen. Tue ich das selber mache ich das über eine Plattform und beachte natürlich die DSGVO. Die Plattform ist i.d.R. im Inland beheimatet und gehostet, ich habe einen AV Vertrag mit dem Dienstleister, etc.
Jetzt kommt der berechtigte Dritte auf mich zu mit seiner eigenen Plattform und möchte die Daten dort entgegen nehmen. Er hat einen AV Vertrag mit seiner Plattform, Inland, eigentlich gibt es keine Bedenken. Aber: Ich habe natürlich keinen AV Vertrag mit der Plattform, ist ja nicht mein Dienstleister. Wo und wann hört denn meine Verantwortung auf, wo fängt der Geltungsbereich des Dritten an? Hat jemand für mich eine Art juristische Grundlage, DSGVO, Telekommunikationsgesetz oder irgend ein Kommentar von jemandem der Ahnung hat?
mir ist eine, zugegeben eher juristische, Frage in den Sinn gekommen. In unserer Branche arbeiten wir mit sensiblen, personenbezogenen Daten die natürlich der DSGVO unterliegen. Jetzt stellen wir auch schon mal berechtigten Dritten Daten zur Verfügung, soll vorkommen. Tue ich das selber mache ich das über eine Plattform und beachte natürlich die DSGVO. Die Plattform ist i.d.R. im Inland beheimatet und gehostet, ich habe einen AV Vertrag mit dem Dienstleister, etc.
Jetzt kommt der berechtigte Dritte auf mich zu mit seiner eigenen Plattform und möchte die Daten dort entgegen nehmen. Er hat einen AV Vertrag mit seiner Plattform, Inland, eigentlich gibt es keine Bedenken. Aber: Ich habe natürlich keinen AV Vertrag mit der Plattform, ist ja nicht mein Dienstleister. Wo und wann hört denn meine Verantwortung auf, wo fängt der Geltungsbereich des Dritten an? Hat jemand für mich eine Art juristische Grundlage, DSGVO, Telekommunikationsgesetz oder irgend ein Kommentar von jemandem der Ahnung hat?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 656124
Url: https://administrator.de/contentid/656124
Ausgedruckt am: 17.11.2024 um 17:11 Uhr
10 Kommentare
Neuester Kommentar
Servus,
habt Ihr denn keinen (intern/extern) Datenschutzbeauftragten?
Ich würde dies ganz locker im Rahmen des bei uns bestehenden Vertrags zur Prüfung und Stellungnahme an unseren DSB weiter geben.
Gruß
VGem-e
habt Ihr denn keinen (intern/extern) Datenschutzbeauftragten?
Ich würde dies ganz locker im Rahmen des bei uns bestehenden Vertrags zur Prüfung und Stellungnahme an unseren DSB weiter geben.
Gruß
VGem-e
Extern, ja. Ich würde vermuten der kann mir dazu nichts näheres sagen ohne den Fall "genau" zu betrachten bzw. viel Zeit abzurechnen. Aber ich werde ihn bei nächster Gelegenheit fragen.
Ich bin selbst interessiert am Thema, habt ihr noch Ansatzpunkte?
Ich bin selbst interessiert am Thema, habt ihr noch Ansatzpunkte?
Hallo,
DU übermittelst dann also personenbezogene Daten an einen Dienstleister ohne jegliche vertragliche Vereinbarung?!
DU musst dann auch dafür gerade stehen!! Der Dritte, Vierte ... Vierundzwanzigste freuen sich!
Aber ich bin kein Rechtsanwalt ...
Die DSGVO ist da aber relativ eindeutig:
Artikel 5 Absatz 1
Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
Absatz 2 Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
Gruß
eisbein
Aber: Ich habe natürlich keinen AV Vertrag mit der Plattform, ist ja nicht mein Dienstleister
DU übermittelst dann also personenbezogene Daten an einen Dienstleister ohne jegliche vertragliche Vereinbarung?!
DU musst dann auch dafür gerade stehen!! Der Dritte, Vierte ... Vierundzwanzigste freuen sich!
Aber ich bin kein Rechtsanwalt ...
Die DSGVO ist da aber relativ eindeutig:
Artikel 5 Absatz 1
Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
Absatz 2 Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
Gruß
eisbein
Dann soll er die Daten doch auf Deiner Plattform abholen und was er damit macht kann Dir egal sein.
Man könnte nun argumentieren, dass seine Anweisung, die Daten an X zu übergeben, einer Übergabe an ihn entspricht.
Ob das juristisch haltbar ist kann ich Dir nicht sagen.
Stefan
Man könnte nun argumentieren, dass seine Anweisung, die Daten an X zu übergeben, einer Übergabe an ihn entspricht.
Ob das juristisch haltbar ist kann ich Dir nicht sagen.
Stefan
@eisbein
Ich sehe keinen Widerspruch zwischen Artikel 5 Absatz 1 a) und f) sowie Absatz 2 sowie meinem Handeln. Es handelt sich um einen berechtigten Dritten (könnte auch genauso gut der "Eigentümer" der Daten selbst sein) und der sagt mir hier, lade die Daten bitte da hoch, ich habe ein Vertrauensverhältnis / AV-Vertrag mit dieser Plattform.
Genauso habe ich Kunden denen ich sage du kannst hier Daten auf meiner sicheren Plattform hoch laden (AV Vertrag mit mir). Und das sind nicht nur seine Daten sondern ggf. auch die seiner Arbeitnehmer. Selber Fall nur aus einem anderen Standpunkt. Muss er jetzt einen AV-Vertrag mit meiner Plattform schließen oder sich einen eigenen Anbieter suchen, einen AV-Vertrag schließen, die Daten hoch laden und ich muss die von 20 verschiedenen Anbietern einsammeln?
@Stefan
Es geht in diesem Fall auch um Plattformen von Behörden, die nehmen keine Daten von meiner Plattform an, das zeigt meine Erfahrung. Jetzt kann ich mich natürlich bei der Behörde durch fragen, aber ich möchte eigentlich eine allgemeine Aussage finden wann und wie die Daten nicht mehr meiner Verantwortung unterliegen sondern unter der der Gegenseite. Ich glaube ich werde als nächstes mal dem Plattform-Betreiber schreiben.
Ich sehe keinen Widerspruch zwischen Artikel 5 Absatz 1 a) und f) sowie Absatz 2 sowie meinem Handeln. Es handelt sich um einen berechtigten Dritten (könnte auch genauso gut der "Eigentümer" der Daten selbst sein) und der sagt mir hier, lade die Daten bitte da hoch, ich habe ein Vertrauensverhältnis / AV-Vertrag mit dieser Plattform.
Genauso habe ich Kunden denen ich sage du kannst hier Daten auf meiner sicheren Plattform hoch laden (AV Vertrag mit mir). Und das sind nicht nur seine Daten sondern ggf. auch die seiner Arbeitnehmer. Selber Fall nur aus einem anderen Standpunkt. Muss er jetzt einen AV-Vertrag mit meiner Plattform schließen oder sich einen eigenen Anbieter suchen, einen AV-Vertrag schließen, die Daten hoch laden und ich muss die von 20 verschiedenen Anbietern einsammeln?
@Stefan
Es geht in diesem Fall auch um Plattformen von Behörden, die nehmen keine Daten von meiner Plattform an, das zeigt meine Erfahrung. Jetzt kann ich mich natürlich bei der Behörde durch fragen, aber ich möchte eigentlich eine allgemeine Aussage finden wann und wie die Daten nicht mehr meiner Verantwortung unterliegen sondern unter der der Gegenseite. Ich glaube ich werde als nächstes mal dem Plattform-Betreiber schreiben.
Hallo,
Da sehe ich die Schwierigkeit - der Dritte hat ein Vertrauensverhältnis und nicht du, du hast gar nichts.
Du gibst die Daten ja auch nicht direkt an den Dritten weiter, sondern an einen "fremden" Dienstleister der die Daten dem Dritten zugänglich macht bzw. von diesem beauftragt wird. Somit ist da noch ein Vierter mit im Spiel.
Aber wenn dann auch noch Behörden mit im Spiel sind, solltest du auf alle Fälle euren Datenschutzbeauftragten konsultieren - auch wenn es was kostet.
Gruß
eisbein
und der sagt mir hier, lade die Daten bitte da hoch, ich habe ein Vertrauensverhältnis / AV-Vertrag mit dieser Plattform.
Da sehe ich die Schwierigkeit - der Dritte hat ein Vertrauensverhältnis und nicht du, du hast gar nichts.
Du gibst die Daten ja auch nicht direkt an den Dritten weiter, sondern an einen "fremden" Dienstleister der die Daten dem Dritten zugänglich macht bzw. von diesem beauftragt wird. Somit ist da noch ein Vierter mit im Spiel.
Aber wenn dann auch noch Behörden mit im Spiel sind, solltest du auf alle Fälle euren Datenschutzbeauftragten konsultieren - auch wenn es was kostet.
Gruß
eisbein
Das ist schwierig konkret zu beantworten. Mein erster Rat lautet: sofern bei Eurem Betrieb die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht, dann könnt Ihr Euch bei der für Euch zuständigen Aufsichtsbehörde beraten lassen.
Aus dem, was Du schilderst, würde ich folgern:
1) Du hast einen AVV mit dem Auftraggeber, der für die Daten verantwortlich ist. Der Auftraggeber "bestimmt", was wie wo wer mit den Daten zu machen ist. Wenn der Auftraggeber bestimmt, entweder direkt oder durch konkludentes Handeln, dass Du die Daten an einen weiteren Dienstleister weiterleiten sollst oder darfst, dann handelst Du im Auftrag und alles ist ok. Es ist Sache des Auftraggebers, mit dem anderen Dienstleister einen AVV abzuschliessen und sich darum zu kümmern, dass der die Daten im Sinne der DSGVO verarbeitet.
2) In allen anderen Fällen wäre ein weiterer Verarbeiter wohl ein Subunternehmer, der nicht direkt im Auftrag des Auftraggebers arbeitet, sondern in Deinem. Dann bist Du für den AVV verantwortlich. Außerdem muss der AVV, den Du mit dem Auftraggeber hast, erlauben, dass Du Subunternehmer einsetzen darfst.
3) Du sollest - zweckes eigener Rückendeckung - von Deinem Auftraggeber Unterlagen haben (mindestens in Textform), aus denen hervorgeht, dass der "berechtigte Dritte" tatsächlich berechtigt ist und Du damit die Daten im Auftrag des Auftraggebers weiterleiten sollst. Eventuell trifft Dich eine Pflicht, den Auftraggeber darüber zu informieren, wenn dir bekannt wird, dass der Dritte die Daten nicht im Sinne der DSGVO verarbeitet.
Zusammengefasst:
Es kommt aus meiner Sicht darauf an, ob der Auftraggeber Dir sagt, dass Du einem Dritten die Daten geben sollst oder ob die Weitergabe der Daten von Dir aus angeleiert wurde und der Dritte Dein Subunternehmer ist. Wie oben erwähnt: der Auftraggeber ist verantwortlich und bestimmt, was mit den Daten in welcher Form geschieht.
Aus dem, was Du schilderst, würde ich folgern:
1) Du hast einen AVV mit dem Auftraggeber, der für die Daten verantwortlich ist. Der Auftraggeber "bestimmt", was wie wo wer mit den Daten zu machen ist. Wenn der Auftraggeber bestimmt, entweder direkt oder durch konkludentes Handeln, dass Du die Daten an einen weiteren Dienstleister weiterleiten sollst oder darfst, dann handelst Du im Auftrag und alles ist ok. Es ist Sache des Auftraggebers, mit dem anderen Dienstleister einen AVV abzuschliessen und sich darum zu kümmern, dass der die Daten im Sinne der DSGVO verarbeitet.
2) In allen anderen Fällen wäre ein weiterer Verarbeiter wohl ein Subunternehmer, der nicht direkt im Auftrag des Auftraggebers arbeitet, sondern in Deinem. Dann bist Du für den AVV verantwortlich. Außerdem muss der AVV, den Du mit dem Auftraggeber hast, erlauben, dass Du Subunternehmer einsetzen darfst.
3) Du sollest - zweckes eigener Rückendeckung - von Deinem Auftraggeber Unterlagen haben (mindestens in Textform), aus denen hervorgeht, dass der "berechtigte Dritte" tatsächlich berechtigt ist und Du damit die Daten im Auftrag des Auftraggebers weiterleiten sollst. Eventuell trifft Dich eine Pflicht, den Auftraggeber darüber zu informieren, wenn dir bekannt wird, dass der Dritte die Daten nicht im Sinne der DSGVO verarbeitet.
Zusammengefasst:
Es kommt aus meiner Sicht darauf an, ob der Auftraggeber Dir sagt, dass Du einem Dritten die Daten geben sollst oder ob die Weitergabe der Daten von Dir aus angeleiert wurde und der Dritte Dein Subunternehmer ist. Wie oben erwähnt: der Auftraggeber ist verantwortlich und bestimmt, was mit den Daten in welcher Form geschieht.
1
Das klingt hilfreich - eine Subunternehmer-Beziehung könnte den Umstand tatsächlich am besten beschreiben. Ein AVV darf Subunternehmer beauftragen, dann darf das eventuell auch die berechtigte Behörde.
Ich konkretisiere das nochmal etwas, an sich trifft es dein Punkt 1) am besten aber mit ein paar Unterschieden.
Es handelt sich um Arbeitnehmerdaten (Arbeitnehmer = Betroffener/Dateninhaber), die der Arbeitgeber uns übermittelt bzw. die wir im Auftrag des Arbeitgebers erstellen (z.B. Lohnabrechnungen). Wir sind dabei als Berufsgeheimnisträger nicht! AVV des Arbeitgebers (siehe Kurzpapier Nr. 13 der DSK, ist aber schon vergleichbar) und geben die Daten zur Prüfung an die Deutsche Rentenversicherung Bund (DRV - Behörde) die per Gesetz berechtigt ist, diese Daten anzufordern und sich an ihnen zu erfreuen... Diese Behörde hat jetzt ihrerseits einen Subunternehmer beauftragt, die Daten zu "transportieren".
Ich konkretisiere das nochmal etwas, an sich trifft es dein Punkt 1) am besten aber mit ein paar Unterschieden.
Es handelt sich um Arbeitnehmerdaten (Arbeitnehmer = Betroffener/Dateninhaber), die der Arbeitgeber uns übermittelt bzw. die wir im Auftrag des Arbeitgebers erstellen (z.B. Lohnabrechnungen). Wir sind dabei als Berufsgeheimnisträger nicht! AVV des Arbeitgebers (siehe Kurzpapier Nr. 13 der DSK, ist aber schon vergleichbar) und geben die Daten zur Prüfung an die Deutsche Rentenversicherung Bund (DRV - Behörde) die per Gesetz berechtigt ist, diese Daten anzufordern und sich an ihnen zu erfreuen... Diese Behörde hat jetzt ihrerseits einen Subunternehmer beauftragt, die Daten zu "transportieren".
Hallo
vielleicht ist notwendig die Stichpunkte der Datenschutz noch mal zu überprüfen: https://www.anwalt.org/datenschutz-datenschutzrichtlinie/?highlight=date ...
Schöne Grüße!
vielleicht ist notwendig die Stichpunkte der Datenschutz noch mal zu überprüfen: https://www.anwalt.org/datenschutz-datenschutzrichtlinie/?highlight=date ...
Schöne Grüße!
Nach Deiner Schilderung würde ich als Datenschutzbeauftragter nur noch prüfen, aufgrund welcher Rechtsnorm genau die DRV die Daten anfordern darf. Steht wahrscheinlich irgendwo in den 3 laufenden Metern des SGB vergraben ;) Vielleicht kann die DRV bei der Beantwortung der Frage viel schneller behilflich sein.
Ich sehe da keine Probleme für Euch. Was die Behörde macht, ist quasi deren Problem. Natürlich nutzen Behörden im großen Stil Auftragnehmer, z.B. für die Verwaltung ihrer IT, für die Datenspeicherung, die Datenübertragung, Datenvernichtung, etc. - für Euch ist das alles egal, weil die Behörde allerhöchstwahrscheinlich per Gesetz alles darf.
Es gibt ja im weitesten Sinne ähnliche Konstrukte in anderen Bereichen, z.B. bei einer Sicherheitsüberprüfung, wo Deine Daten werweissbeiwelcher Behörde landen (BMWi, Innenministerium, BND, MAD, CIA
). Oder nimm einfach mal Banken, wo die quasi für Dich hingehen und eine Meldung an die Behörden machen, wenn Du 50000 Euro in kleinen Scheinen einzahlst. Ist alles durch entsprechende Gesetze und Verordnungen OK. Oder halt der Zugriff der Finanzverwaltung auf die Infos, wer wo welche Konten hat. Alles OK. Genau dafür gibt es in DSGVO und BDSG n.F. die sogenannten Öffnungsklauseln.
Eventuell trifft dich nur eine Informationspflicht, wo Du Deinen Auftraggeber darüber informieren musst, dass Ihr von Gesetz wegen verpflichtet seid, Daten an dire DRV weiterzuleiten. Ich würde das der Transparenz wegen machen. Widersprechen kann der Auftraggeber sowieso nicht, weil der Widerspruch von einem Gesetz gehemmt wird
Ich sehe da keine Probleme für Euch. Was die Behörde macht, ist quasi deren Problem. Natürlich nutzen Behörden im großen Stil Auftragnehmer, z.B. für die Verwaltung ihrer IT, für die Datenspeicherung, die Datenübertragung, Datenvernichtung, etc. - für Euch ist das alles egal, weil die Behörde allerhöchstwahrscheinlich per Gesetz alles darf.
Es gibt ja im weitesten Sinne ähnliche Konstrukte in anderen Bereichen, z.B. bei einer Sicherheitsüberprüfung, wo Deine Daten werweissbeiwelcher Behörde landen (BMWi, Innenministerium, BND, MAD, CIA
). Oder nimm einfach mal Banken, wo die quasi für Dich hingehen und eine Meldung an die Behörden machen, wenn Du 50000 Euro in kleinen Scheinen einzahlst. Ist alles durch entsprechende Gesetze und Verordnungen OK. Oder halt der Zugriff der Finanzverwaltung auf die Infos, wer wo welche Konten hat. Alles OK. Genau dafür gibt es in DSGVO und BDSG n.F. die sogenannten Öffnungsklauseln.Eventuell trifft dich nur eine Informationspflicht, wo Du Deinen Auftraggeber darüber informieren musst, dass Ihr von Gesetz wegen verpflichtet seid, Daten an dire DRV weiterzuleiten. Ich würde das der Transparenz wegen machen. Widersprechen kann der Auftraggeber sowieso nicht, weil der Widerspruch von einem Gesetz gehemmt wird
