GDD-Praxishilfe DS-GVO V a - Verzeichnis von Verarbeitungstätigkeiten - EU Datenschutz ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Gesellschaft für Datenschutz und Datensicherheit e.V. GDD-Praxishilfe DS-GVO V a Verzeichnis von Verarbeitungstätigkeiten
INHALT 1. Verzeichnis von Verarbeitungstätigkeiten für Verantwortliche 1.1 Prämissen................................................................................................................. 4 1.2 Inhalte..................................................................................................................... 6 1.3 Muster...................................................................................................................... 6 2. Verzeichnis von Verarbeitungstätigkeiten für Auftragsverarbeiter 2.1 Prämissen............................................................................................................... 12 2.2 Inhalte................................................................................................................... 14 2.3 Aufbau................................................................................................................... 14 3. Verzeichnis von Verarbeitungstätigkeiten für Vertreter in der EU........... 16
Verzeichnis von Verarbeitungstätigkeiten Aus dem Verfahrensverzeichnis bzw. der Verarbeitungsübersicht gemäß der §§ 4e und 4g BDSG/Artt. 18, 19 RL 95/46/EG wird künftig das Verzeichnis Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO. Nach Erwägungsgrund 82 der DS-GVO soll der Verantwortliche „zum Nachweis der Einhaltung dieser Verordnung“ das Verzeichnis von Verarbeitungstätigkeiten führen. Weiterhin kann die zuständige Aufsichtsbehörde die Vorlage verlangen, um die be- treffenden Stellen hoheitlich zu kontrollieren. Bestehende Verarbeitungsübersichten nach den §§ 4e und 4g BDSG sind eine gute Grundlage für das VVT – müssen aber unter der DS-GVO angepasst werden.1 1 BayLDA, Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO, Positionspapier Nr. 5 vom 02.08.2016. GDD-Praxishilfe DS-GVO V a: Verzeichnis von Verarbeitungstätigkeiten / Stand: April 2017 3
1. Verzeichnis von Verarbeitungs ginären VVT nach Art. 30 Abs. 1 DS-GVO für die ei- tätigkeiten für Verantwortliche genen Geschäftsprozesse. In der Praxis erscheint es sinnvoll, gesonderte Vorlagen für die allgemeinen 1.1 Prämissen Verarbeitungen des Unternehmens sowie für den 1.1.1 Verpflichtete Bereich der Auftragsverarbeitung zu haben (jeweils In der Regel müssen alle Verantwortlichen (Unter- mit eigenem Aufbau und als gesonderte Formulare). nehmen/Legaleinheiten/Behörden etc.) ein VVT führen. Gem. Art. 30 Abs. 5 DS-GVO ist diese Pflicht 1.1.2 Formalien zwar beschränkt auf Unternehmen Das VVT darf in einem elektronischen Format ge- >> mit einer Größe ab 250 Mitarbeitern; oder führt werden. Wegen der Vorlagepflicht gegenüber >> mit einem besonderem Risiko bei der der Aufsichtsbehörde in Art. 30 Abs. 4 DS-GVO muss Verarbeitung; oder es in elektronischer oder gedruckter Form expor- >> mit Verarbeitung von sensiblen Daten tierbar sein. Damit ist eine einfache Zusammenstel- (Artt. 9 und 10 DS-GVO); oder lung von internen Hyperlinks nicht tauglich, wohl >> einer nicht nur gelegentlichen Verarbeitung. aber ein Dokument, das auf beigefügte Anlagen verweist. Allerdings geht diese Ausnahmeregelung ins Leere. Spätestens bei Zugrundelegung einer regelmäßigen Verarbeitung sind sämtliche Verantwortlichen un- Das VVT wird in einer der europäi- abhängig von ihrer Mitarbeiterstärke betroffen. schen Sprachen geführt. Dies kann eine Konzernsprache sein, da der Verantwortliche das VVT im Wesent- Trotz des verunglückten Wortlauts lichen zu eigenen Zwecken führt. des Art. 30 Abs. 5 DS-GVO in der Aus der DS-GVO ergibt sich keine ursprünglichen amtlichen deut- Pflicht, das VVT in der Amtssprache schen Übersetzung genügt es nicht, der jeweiligen Aufsichtsbehörde dass nur einer der privilegierenden vorzuhalten, insbesondere kann der Tatbestände vorliegt, um auf ein VVT Verantwortliche im Vorhinein nie verzichten zu dürfen.2 Die Überset- sicher wissen, welche Behörde zung wurde inzwischen korrigiert.3 eventuell federführend wird.4 Auftragsverarbeiter müssen gem. Art. 30 Abs. 2 DS- Die Trennung in ein internes und ein externes Ver- GVO explizit ein Verzeichnis im Hinblick auf ihre zeichnis „für Jedermann“ ist in der DS-GVO nicht Dienstleistung führen (VVT-AV). Dies entbindet al- mehr vorgesehen. Das VVT steht nur für interne lerdings nicht von der Verpflichtung zu einem ori- Zwecken und auf Anfrage der zuständigen Auf- 2 Martini in: Paal/Pauly, DS-GVO, 2017, Art. 30 Rn. 30 f. 3 Drucksache vom 27.10.2016, http://data.consilium.europa.eu/doc/document/ST-12399-2016-INIT/en/pdf. 4 Das BayLDA geht derzeit davon aus, dass auf Anfrage der Behörde eine Übersetzung in der jeweiligen Amtssprache bereitzustellen sei (unveröffentlichte Stellungnahme). Diese Auffassung entbehrt jedoch einer gesetzlichen Grundlage, insbesondere ist in ErwGr 82 ausdrücklich nur von „dem“ (also einem einheitlichen) Verzeichnis die Rede. GDD-Praxishilfe DS-GVO V a: Verzeichnis von Verarbeitungstätigkeiten / Stand: April 2017 4
sichtsbehörde zur Verfügung. Ein „öffentliches Ver- Denkbar sind interne Erweiterungen des VVT fahrensverzeichnis“ wird nicht mehr benötigt. Seine durch Risikoabschätzungen bzw. eine zusätzliche Pflege und Bereithaltung kann ab 25.5.2018 einge- Strukturierung, die festhält, welche Verarbeitungen stellt werden. Die nach BDSG vorgesehene Trennung ggf. eine Datenschutz-Folgenabschätzung erfordern nach unterschiedlichen Informationen für den Da- und welche nicht. Daneben können die durchge- tenschutzbeauftragten und die Aufsichtsbehörden führten Prüfungen aufgenommen werden. (Übersicht zugriffsberechtigter Personen nach § 4g Aber: Das VVT darf nicht nicht überfrachtet wer- Abs. 2 Satz 1 BDSG) entfällt ebenfalls. den! Es wirkt kontraproduktiv, das VVT zu sehr auf- zublähen. Es sollte beispielsweise von der allgemei- 1.1.3 Zentrale Führung und weitergehende nen Informationssicherheit und ihren Übersichten Dokumentationspflichten klar getrennt sein. Besser ist es, die getroffenen Im Gegensatz zum Verfahrensverzeichnis nach technisch-organisatorischen Maßnahmen (TOMs) BDSG ist das VVT nicht an den Datenschutzbeauf- konkret dort aufzunehmen, wo ein Verweis auf die tragten zu übergeben, sondern unmittelbar vom von der IT geführte Dokumentation nicht ausreicht. Verantwortlichen zu führen. Es mag naheliegen, Da das VVT mit der Weitergabe an die Aufsichts- das Verzeichnis zentral führen zu wollen. Auch die behörde das Unternehmen verlässt, sollte es kei- Art.-29-Datenschutzgruppe erachtet es für zuläs- ne schutzbedürftigen, internen Informationen im sig, den DSB mit der Erstellung/Führung/Pflege zu Zusammenhang mit den IT-Sicherheitsmaßnahmen betrauen,5 doch es muss stets klar sein, dass das (z.B. Implementationsdetails technischer Sicher- Verzeichnis der Verantwortung des Unternehmens heitsmaßnahmen) enthalten. obliegt. Die Angaben zum Verzeichnis sind durch das Unternehmen bzw. – im Wege der Delegation – 1.1.4 Drittlandstransfers die Fachbereiche beizubringen. Die im Zusammenhang mit der Weitergabe von per- Im Sinne einer „best practice“ erscheint es dann sonenbezogenen Daten an Stellen in Drittländern sinnvoll, dass das Verzeichnis als Dreh- und Angel- geforderte Dokumentation der „Garantien“ ist in re- punkt des gesamten Datenschutzmanagements vom gulären Prozessen entbehrlich. Entsprechende Ga- DSB geführt wird. Mit Blick auf die weitergehenden rantien sind ausschließlich in den Fällen des Art. 49 Accountability-Pflichten der DS-GVO avanciert das Abs. 1 und 2 DS-GVO zu dokumentieren. Die auf die- VVT zum zentralen Bestandteil der Dokumentation. se Regelung gestützten Weitergaben erfolgen nicht Das VVT kann beispielsweise zur Grundlage für Ri- wiederholt. Die zu dokumentierenden Prozesse sind sikobewertungen durch den DSB für dessen risiko- hingegen gerade auf Wiederholung angelegt. orientierten Überwachungsauftrag werden (Art. 39 Abs. 2 DS-GVO). Ohne eine solche strukturierte Dokumentation sind die Beratungs- und Kontroll- pflichten des DSB kaum umsetzbar. 5 Artikel-29-Gruppe, WP 243 Guidelines on Data Protection Officers (rev. 1) vom 5.4.2017, http://ec.europa.eu/newsroom/document. cfm?doc_id=44100. GDD-Praxishilfe DS-GVO V a: Verzeichnis von Verarbeitungstätigkeiten / Stand: April 2017 5
>> gegebenenfalls Übermittlungen von personen- Eine Dokumentation weiterer bezogenen Daten an ein Drittland oder an eine Garantien, wie zum Beispiel eines internationale Organisation Angemessenheitsbeschlusses > einschließlich der Angabe des betreffenden der Kommission oder durch Drittlands oder der betreffenden internatio- Standardvertragsklauseln kann nalen Organisation; sinnvoll sein, um den Account ability-Pflichten und Transparenz- > bei den in Art. 49 Abs. 1 UAbs. 2 DS-GVO pflichten ggü. Betroffenen nach- genannten Datenübermittlungen die Doku- kommen zu können. mentierung geeigneter Garantien; >> [wenn möglich,] die vorgesehenen Fristen für die Löschung der verschiedenen Datenkatego- 1.2 Inhalte rien; Das VVT ist – wie früher das Verfahrensverzeich- >> [wenn möglich,] eine allgemeine Beschreibung nis nach dem BDSG – nicht als Auflistung einzel- der technischen und organisatorischen Maß- ner Verarbeitungen, sondern als prozessorientierte nahmen gem. Art. 32 Abs. 1 DS-GVO. Übersicht der Verarbeitungen zu verstehen. Das Verständnis des Verfahrensbegriffs als Bündel von Vorsicht vor der Formulierung Verarbeitungsschritten, wie es in Art. 18 Abs. 1 „wenn möglich“ in Art. 30 Abs. 1 RL 95/46/EG niedergelegt war, lebt insoweit fort. litt. f und g DS-GVO: Es wird Entscheidend ist, dass über das VVT der einzelne erwartet, dass diese Informatio- Verarbeitungsprozess zu identifizieren ist. nen vorliegen. Die Inhalte des VVT für Verantwortliche ergeben sich aus Art. 30 Abs. 1 DS-GVO und umfassen: 1.3 Muster >> den Namen und die Kontaktdaten > des Verantwortlichen; Die optionalen Angaben werden > ggf. des gemeinsam mit ihm Verantwortlichen; gesetzlich nicht zur Dokumentation > ggf. des Vertreters in der EU; im VVT gefordert. Dennoch kann die > ggf. des Datenschutzbeauftragten beim Dokumentation der Angaben im VVT Verantwortlichen; geboten sein, da sie zur Erfüllung >> die Zwecke der Verarbeitung; der Nachweispflichten i. S. d. Art. 5, >> die Kategorien betroffener Personen; 24 DS-GVO beitragen. >> die Kategorien personenbezogener Daten; >> die Kategorien von Empfängern, gegenüber de- nen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden; GDD-Praxishilfe DS-GVO V a: Verzeichnis von Verarbeitungstätigkeiten / Stand: April 2017 6
1.3.1 Hauptblatt Meldung des/der Datenschutzbeauftragten erfolgt: Verzeichnis von Verarbeitungs Ja Nein tätigkeiten des Verantwortlichen Hauptblatt 6. Regelungen zur Datensicherheit Angaben zum Verantwortlichen Verweis auf übergreifende IT-Sicherheitskonzepte, die (Art. 30 Abs. 1 lit. a DS-GVO) grunds. für alle Verarbeitungstätigkeiten gelten 1. Verantwortlicher (=Firma /Legaleinheit) 7. Regelungen zur Datenlöschung Name/Ladungsfähige Anschrift Verweis auf übergreifende Löschkonzepte, die grunds. für alle Verarbeitungstätigkeiten gelten 2. Gesetzlicher Vertreter (= Geschäftsführung) Name/Kontaktdaten 8. Sachverhalte zu Drittstaatenübermittlungen 3. Vertreter in der EU (gemäß Art. 27 DS-GVO) Verweis auf übergreifende Punkte wie BCR, die grunds. für alle Verarbeitungstätigkeiten gelten Name / Ladungsfähige Anschrift Erläuterungen 4. Datenschutzbeauftragter Nr. 1 Name/Kontaktdaten Verantwortlicher ist jede Person oder Stelle, die al- lein oder gemeinsam mit anderen über die Zwecke Optionale Inhalte / Übergreifende und Mittel der Verarbeitung von personenbezoge- Regelungen und Sachverhalte nen Daten entscheidet (Art. 4 Nr. 7 DS-GVO) 5. Zuständige Aufsichtsbehörde Angaben: Name/Firma, ladungsfähige Anschrift Name Nr. 2 Inhaber, Vorstände, Geschäftsführer oder sonstige Die zuständige Aufsichtsbehörde aus gesetzliche oder nach der Verfassung des Unterneh- Sicht des verantwortlichen. Mitunter mens berufene Leiter kann eine andere Behörde federfüh- rend sein, auch dieser ist auf Anfra- ge das VVT zur Verfügung zu stellen. Angaben: Namen der geschäftsführenden Personen Ggf. kann hier einfach ein Link auf das Web-Impressum eingetragen werden. GDD-Praxishilfe DS-GVO V a: Verzeichnis von Verarbeitungstätigkeiten / Stand: April 2017 7
Nr. 3 1.3.2 Anlage Bei Unternehmen ohne Niederlassung in der Euro- päischen Union ist hier der benannte Vertreter des Verzeichnis von Verarbeitungs Verantwortlichen (Art. 4 Nr. 17 DS-GVO, Art. 27 Abs. 1 DS-GVO) anzugeben. tätigkeiten Anlage Nr. _____ Angaben zur Verarbeitungstätigkeit Nr. 4 und zur Verantwortlichkeit Vom Verantwortlichen bestellter Datenschutzbeauf- (Art. 30 Abs. 1 lit. b DS-GVO) tragter* [Name, Kontaktdaten 1. Bezeichnung der Verarbeitungstätigkeit Nr. 5 Die Meldung der Kontakt-Informationen des DSB – z.B. (Funktions-)e-mail-Adresse, Telefonnummer – 2. Verantwortlicher Fachbereich/verantwortliche ist verpflichtend. Führungskraft (optionaler Inhalt) Nr. 6 Gegebenenfalls Verweise auf übergreifende Regelun- 3. Bei gemeinsamer Verantwortlichkeit: Name gen (falls solche existieren, die grds. alle Verarbei- und Kontaktdaten des Leiters/der Leiter des/ tungen betreffen) – Der Verweis an dieser Stelle auf der weiteren Verantwortlichen übergreifende Regelungen entbindet nicht von der Dokumentation von ggf. erforderlichen Abweichun- gen zu den einzelnen Verarbeitungstätigkeiten. Angaben zur Verarbeitungstätigkeit Verweis z.B. auf ein IT-Sicherheitskonzept, das alle Verarbeitungstätigkeiten einschließt. Eventuell 4. Zwecke der Verarbeitungen/der Verarbei auch Verweise auf relevante Dokumente eines ISMS tungstätigkeit nach ISO27001. Nr. 7 5. Rechtsgrundlage der Verarbeitungen/der Verweis auf Löschkonzepte, die grds. für alle Verar- Verarbeitungstätigkeit beitungen gelten. Nr. 8 6. Beschreibung der Kategorien betroffener Per Ein Verweis Regelungen zur Drittstaatenübermitt- sonen und der Kategorien personenbezogener lung sind hier sinnvoll, wenn alle oder die Mehrzahl Daten (Art. 30 Abs. 1 lit. c DS-GVO) der Verarbeitungen hierdurch geregelt werden, z.B. durch BCR. 6.1 Betroffene 6.2 Kategorien personen Personengruppen bezogener Daten GDD-Praxishilfe DS-GVO V a: Verzeichnis von Verarbeitungstätigkeiten / Stand: April 2017 8
7. Kategorien von Empfängern, denen die Daten Garantien zum Schutz der personenbezogenen Da- offengelegt worden sind oder noch offengelegt ten im Drittland, soweit weder eine Anerkennung werden (Art. 30 Abs. 1 lit. d DS-GVO) des Datenschutzniveaus, EU-Standardverträge noch BCR vorliegen: interne, externe – auch im Konzern, eingebundene Dienstleister 9. Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien (Art. 30 Abs. 1 lit. f DS-GVO) Laut Gesetz sind nur die Kategorien von Empfängern anzugeben. Bei 10. Allgemeine Beschreibung der technischen genauerer Darstellung sind spätere und organisatorischen Maßnahmen (Art. 30 Änderungen zu berücksichtigen und Abs. 1 lit. g i.V.m. Art. 32 Abs. 1 DS-GVO) die regelmäßige Pflege der Angaben zu gewährleisten. 10.1 Art der eingesetzten DV-Anlagen und Software (optional) 8. Datenübermittlungen in Drittländer >> DV-Anlagen oder internationale Organisationen >> Software (und ggf. Unterprogramme) (Art. 30 Abs. 1 lit. e DS-GVO) >> Schnittstellen Übermittlung 10.2 Allgemeine Beschreibung der technischen Ja und organisatorischen Maßnahmen (Art. 30 Nein Abs. 1 lit. g i.V.m. Art. 32 Abs. 1 DS-GVO) >> Bezug zum IT-Sicherheitskonzept, Abweichun- Name des Drittlandes / der internationalen gen bzw. Ergänzungen Organisation (DS-GVO) > oder: Link auf TOM (Processor) hier anführen > oder: Verweis auf Datenschutz-Zertifizierung Optionale Angaben etc. Ggf. vereinbarte Garantien Anerkannter Drittstaat Optionale Angaben EU-Standardvertrag C/C >> Zu Informationspflichten EU-Standardvertrag C/P >> Zu Verträgen mit Dienstleistern Aufsichtsbehördlich genehmigter Vertrag >> Zu Vereinbarungen zur gemeinsamen BCR Verantwortung Andere: >> Zu durchgeführten Datenschutzfolgeabschät- Ende optionale Angaben zungen zur Verarbeitungstätigkeit oder einzel- nen Verarbeitungsschritten Ende optionale Angaben GDD-Praxishilfe DS-GVO V a: Verzeichnis von Verarbeitungstätigkeiten / Stand: April 2017 9
Erläuterungen Eine Verarbeitungstätigkeit (aus der Anwendung des BDSG als „Verfahren“ vertraut) kann mehrere Nr. 1 Teil-Geschäftsprozesse zusammenfassen. Dement- Eindeutige Bezeichnung der dokumentierten Verar- sprechend kann eine Verarbeitung auch mehrere beitung/der Verarbeitungstätigkeit auf Grundlage Zwecke umfassen, so dass auch mehrere Zweckbe- eines Fachprozesses. Es sollte eine im Unternehmen stimmungen angegeben werden können. geläufige Bezeichnung des Fachprozesses gewählt Die erforderliche Detailtiefe hängt von der Ge- werden. schäftstätigkeit des Verantwortlichen ab. Beispiele: Es können neben dem Fachprozess auch beglei- >> Allgemeine Kundenverwaltung tende mitarbeiterbezogene Unterstützungsprozesse >> Customer-Relationship-Management (CRM) vorliegen wie z.B. zur Personalführung/-einsatzpla- nung. Diese können entweder als Teil einer ande- Nr. 2 ren Verarbeitung, oder als eigene Verarbeitung be- Nach der Unternehmensorganisation für die konkre- schrieben sein. te Verarbeitungstätigkeit verantwortlicher Fachbe- reich/verantwortliche Führungskraft (sofern möglich Nr. 5 und sinnvoll, zumindest als Funktionsbezeichnung) Die Nennung der einschlägigen Rechtsgrundlage ist für Accountability-Pflichten und die Gewähr- Nr. 3 leistung von transparenzpflichten ggü. betroffenen Falls mehrere Verantwortliche gemeinsam für die Personen notwendig. Verarbeitungstätigkeiten verantwortlich sind, bspw. innerhalb einer Unternehmensgruppe, sind hier Nr. 6 Name und Kontaktdaten des/der weiteren Verant- Beschreibung der Kategorien betroffener Personen wortlichen anzugeben (Firma/ladungsfähige An- und der Kategorien personenbezogener Daten (Art. schrift; Art. 30 Abs. 1 Lit. a DS-GVO, Art. 26 Abs. 30 Abs. 1 lit. c DS-GVO) 1 DS-GVO) Nr. 6.1 Nr. 4 Als betroffene Personengruppen kommen bei- Beispiele: spielsweise Kunden, Interessenten, Arbeitnehmer, >> Verarbeitungstätigkeit: „Allgemeine Kundenver- Schuldner, Versicherungsnehmer usw. in Betracht. waltung“; verfolgte Zweckbestimmungen: „Auf- tragsbearbeitung, Buchhaltung und Inkasso“ Nr. 6.2 >> Verarbeitungstätigkeit: „Customer-Relationship- Den einzelnen Personengruppen sind die jeweils Management“; verfolgte Zweckbestimmungen: auf sie bezogenen verwendeten Daten oder Daten- „Dokumentation und Verwaltung von Kunden- kategorien zuzuordnen. Damit sind keine personen- beziehungen, Marketing, Neukundenakquise, bezogenen Daten, sondern „Datenbezeichnungen“/ Kundenbindungsmaßnahmen, Kundenberatung, Datenkategorien gemeint (z.B. „Adresse“, „Ge- Beschwerdemanagement, Kündigungsprozess“ burtsdatum“, „Bankverbindung“). Werden solche GDD-Praxishilfe DS-GVO V a: Verzeichnis von Verarbeitungstätigkeiten / Stand: April 2017 10
Datenkategorien angegeben, so müssen diese so DS-GVO durch verbindliche konkret wie möglich sein. Nicht ausreichend, da zu >> interne Datenschutzvorschriften (BCR) oder EU- allgemein, sind etwa Angaben wie „Kundendaten“ Standardverträge erbracht werden. oder Ähnliches. Liegt keine der genannten Garantien vor, sind hier Beispiele: andere getroffene Garantien zu dokumentieren (Art. >> Kunden: Adressdaten, Kontaktkoordinaten (ein 49 Abs. 1. UAbs. 2 DS-GVO) schl. Telefon-, Fax-und E-Mail-Daten), Geburtsda- tum, Vertragsdaten, Bonitätsdaten, Betreuungs- Nr. 9 informationen einschließl. Kundenentwicklung, Anzugeben sind hier die konkreten Aufbewah- Produkt- bzw. Vertragsinteresse, Statistikdaten, rungs-/Löschfristen, die in Verarbeitungstätigkei- Abrechnungs- und Leistungsdaten, Bankverbin- ten implementiert sind, bezogen auf einzelne Ver- dung arbeitungsschritte, falls unterschiedlich. >> Beschäftigtendaten (Lohn und Gehalt): Kon- Soweit diese in einem Löschkonzept dokumentiert taktdaten, Bankverbindung, Sozialversiche- sind, reicht der konkrete Verweis auf das vorhan- rungsdaten, etc. dene und in der Verarbeitungstätigkeit umgesetzte Löschkonzept aus. Nr. 7 Empfängerkategorien sind insbesondere am Prozess Nr. 10 beteiligte weitere Stellen des Unternehmens/Kon- Allgemeine Beschreibung der technischen und or- zerns oder andere Gruppen von Personen oder Stel- ganisatorischen Maßnahmen (Art. 30 Abs. 1 lit. g len, die Daten – ggf. über Schnittstellen – erhalten i.V.m. Art. 32 Abs. 1 DS-GVO) z.B. in den Prozess eingebundene weitere Fachab- teilungen, Vertragspartner, Kunden, Behörden, Ver- Nr. 10.1 sicherungen, Auftragsverarbeiter (z.B. Dienstleis- Optional kann an dieser Stelle eine knappe Be- tungsrechenzentrum, Call-Center, Datenvernichter, schreibung der technischen Infrastruktur wie der Anwendungsentwicklung, Cloud Service Provider) technischen und organisatorischen Sicherheits- usw. maßnahmen angegeben werden, um ein besse- Nr. 8 res Verständnis der allgemeinen Beschreibung der Drittländer sind solche außerhalb der EU/des EWR technischen und organisatorischen Maßnahmen Beispiele für internationale Organisationen: (siehe 10.2.) zu ermöglichen. Institutionen der UNO, der EU Nr. 10.2 >> Geeignete Garantien beim Empfänger sind grds. Soweit sich die technischen und organisatorischen erforderlich, falls für den kein Maßnahmen schon aus vorhandenen Sicherheits- >> Angemessenheitsbeschluss der EU-Kommission richtlinien/Konzepten/Zertifizierungen ergeben, ist gem. Art. 45 Abs. 3 DS-GVO ein konkreter Verweis hierauf ausreichend. Insbe- >> vorliegt. Solche Garantien können gem. Art. 46 sondere sind hier Abweichungen zu einem übergrei- GDD-Praxishilfe DS-GVO V a: Verzeichnis von Verarbeitungstätigkeiten / Stand: April 2017 11
fenden Sicherheitskonzept (siehe Hauptblatt Nr. 6) 2. Verzeichnis von Verarbeitungs zu dokumentieren. Wenn eine Datenschutz-Folgen- tätigkeiten für Auftragsverarbeiter abschätzung für die Verarbeitung hohe Risiken aus- weist, so sind die zur Bewältigung dieser Risiken 2.1 Prämissen getroffenen Sicherheitsvorkehrungen für die Verar- Das Verzeichnis der Verarbeitungstätigkeiten, das beitung in der Datenschutz-Folgenabschätzung zu ein Auftragsverarbeiter zu erstellen hat (VVT-AV, dokumentieren. (Art. 35 Abs. 7 lit. d DS-GVO). Ein Art. 30 Abs. 2 DS-GVO) dient primär dazu, eine ers- Verweis auf das Vorhandensein einer Datenschutz- te Übersicht darüber zu erhalten, welche Leistun- Folgenabschätzung ist eine sinnvolle optionale An- gen für welchen Auftraggeber erbracht werden. gabe (siehe unten). Im Gegensatz zu den heutigen Regelungen des BDSG treffen den Auftragsverarbeiter für seine Leis- Nr. 11 tungen eigene Verantwortlichkeiten. So ist er zum Im Hinblick auf die vielfältigen Nachweispflichten, Beispiel dafür verantwortlich, dass hinreichende denen das Unternehmen im Datenschutz unterliegt, Sicherheitskonzepte (siehe Art. 32 DS-GVO) oder kann es sinnvoll sein, weitere Aspekte zur Verar- auch die Aspekte des Privacy by Design und Default beitungstätigkeit zu dokumentieren. Diese sind nur umgesetzt werden. intern zu verwenden. Zu diesen zusätzlichen Do- Die Erstellung eines VVT-AV sollte sich grund- kumentationen, die sinnvollerweise hier erfolgen, sätzlich aus Sicht des Dienstleisters und damit an gehören z. B. seinen Standardleistungen (Produkten) orientie- >> Angaben zur Zusammenstellung der Informati- ren. Hieraus lassen sich die „Kategorien von Ver- onspflichten (insbes. Artt. 13,14 DS-GVO) arbeitungen, die im Auftrag jedes Verantwortlichen >> Verträge mit Dienstleistern (Art. 28 DS-GVO) durchgeführt werden“ ableiten.6 >> Vereinbarungen zur gemeinsamen Verantwor- Bei der Bestimmung der Leistung - insbesondere tung (Art. 26 DS-GVO) bei der vertraglichen Gestaltung - sollte darauf ge- >> Eine Bewertung der Risiken der Verarbeitungs- achtet werden, was in den Verantwortungsbereich tätigkeit für die Rechte und Freiheiten natürli- des Auftragsverarbeiters bzw. des Auftraggebers cher Personen fällt. So ist zum Beispiel die Weitergabe personen- >> durchgeführte Datenschutzfolgeabschätzungen bezogener Daten an einen vom Auftragsverarbeiter zur Verarbeitungstätigkeit oder einzelnen Ver- eingesetzten Unterauftragnehmer im Drittland Be- arbeitungsschritten (Art. 35 DS-GVO) standteil der vom Auftragsverarbeiter angebotenen Leistungskette. Insoweit fällt diese Weitergabe in die Sphäre des Auftragsverarbeiters und ist von ihm in seinem VVT-AV zu dokumentieren. Dagegen fällt eine vom Auftraggeber angewiesene Weiter gabe seiner Daten an eine Stelle im Drittland in 6 Z ur Bestimmung, was eine Standarddienstleistung ausmacht, siehe zum Beispiel den bisherigen Standard „Anforderungen an Auftragnehmer nach § 11 BDSG“ - DS-BVD-GDD-01von GDD und BvD, http://www.dsz-audit.de/wp-content/uploads/GDD-BvD- DATENSCHUTZSTANDARD-DS-BVD-GDD-01-V1-0.pdf. GDD-Praxishilfe DS-GVO V a: Verzeichnis von Verarbeitungstätigkeiten / Stand: April 2017 12
die Sphäre des Auftraggebers. Die entsprechende en ausschließlich in den Fällen des Art. 49 Abs. 1 Weisung ist zwar zu dokumentieren, nicht aber Ge- und 2 DS-GVO zu dokumentieren sind. Die auf diese genstand des VVT-AV. Regelung gestützten weitergaben dürfen allerdings Die Dokumentation von Weisungen ist nicht Ge- nicht „wiederholt“ erfolgen. Die Geschäftsprozes- genstand des VVT-AV. Dies betrifft die allgemeinen se eines Dienstleisters sind jedoch gerade auf eine Weisungen sowie insbesondere die Weisungen zur Wiederholung angelegt. Insofern kommt diese Re- Weitergabe von personenbezogenen Daten in ein gelung regelmäßig nicht zur Anwendung. Eine Do- Drittland. Hier ist der Auftragsverarbeiter frei, wie kumentation anderer Garantien, wie zum Beispiel er eine entsprechende Dokumentation führt. Bei ei- eines Angemessenheitsbeschlusses der Kommission ner Reihe von Dienstleistern bietet sich an, hierzu oder durch Standardvertragsklauseln zur Drittlands- in der Kommunikation mit den Auftraggebern ge- weitergabe ist nicht gefordert. nutzte Ticketsysteme zu nutzen. Wichtig ist aller- Die Ausnahmeregelungen des Art. 30 Abs. 5 dings dabei, dass die entsprechenden Weisungen DS-GVO finden auf das VVT-AV regelmäßig keine quasi auf „Knopfdruck“ aus einem solchen System Anwendung. Dies ergibt sich insbesondere schon herausgefiltert werden können. daraus, dass eine Befreiung von der Führung des Kundenspezifische Abweichungen von der an- VVT nur dann erfolgen kann, wenn die Verarbeitung gebotenen Standardleistung ergeben sich regelmä- nur gelegentlich erfolgt. Die Verarbeitungsprozesse ßig aus den konkreten vertraglichen Vereinbarun- eines Dienstleisters sind jedoch schon allein aus gen, insbesondere aus dem Vertrag nach Art. 28 dem Geschäftszweck auf eine regelmäßige und dau- DS-GVO. Zur Dokumentation dieser vertraglichen erhafte Durchführung angelegt. Abweichungen von der Standardleistung kann auf Der Auftragsverarbeiter bestimmt nicht die den entsprechenden Vertrag verlinkt werden. Dabei Zwecke und Mittel der (Kategorien von) Verarbei- können Anpassungen insbesondere Änderungen der tungen. Daher steht das VVT-AV des Auftragsver- Standardleistung, zum Beispiel durch Customizing, arbeiters nach Art. 30 Abs. 2 DS-GVO auch nicht oder der vereinbarten technischen und organisato- im Mittelpunkt des gesamten Datenschutz-Manage- rischen Maßnahmen betreffen. Allerdings ist durch ment-Systems. Es erscheint sinnvoll, dass das VVT- die Dokumentationsbeschränkung auf „Kategorien AV durch die dienstleistenden Fachbereiche beim von Verarbeitungen“ die Dokumentation der kon- Auftragsverarbeiter geführt wird oder durch die Be- kreten (angepassten) Leistung nicht erforderlich. reiche Vertrieb/Vertragsmanagement. Durch eine Verlinkung auf den jeweiligen Vertrag Der Datenschutzbeauftragte des Auftragsverar- könnte jedoch die Abweichung von der Standard- beiters kann im Rahmen seines Beratungsauftrags dienstleistung hinreichend nachvollziehbar ge- Vorschläge für Vorgaben zum VVT-AV machen und macht werden. im Rahmen seines Überwachungsauftrags die Füh- Die im Zusammenhang mit der Weitergabe von rung und Pflege dieses VVT-AV überprüfen. personenbezogenen Daten an Stellen in Drittlän- dern geforderte Dokumentation der „Garantien“ ist in normalen Dienstleistungsprozessen regelmäßig entbehrlich. Dies ergibt sich daraus, dass Garanti- GDD-Praxishilfe DS-GVO V a: Verzeichnis von Verarbeitungstätigkeiten / Stand: April 2017 13
2.2 Inhalte 2.3 Aufbau Die Inhalte des VVT für Auftragsverarbeiter ergeben Für den Aufbau des VVT wird ein 3-stufiger Aufbau sich aus Art. 30 Abs. 2 DS-GVO: empfohlen: >> den Namen und die Kontaktdaten: > des Auftragsverarbeiters oder der Auftrags- 1. Vorblatt 1 mit den Angaben zum verarbeiter; Auftragsverarbeiter: > jedes Verantwortlichen, in dessen Auftrag >> Auftragsverarbeiter: Name, ladungsfähige der Auftragsverarbeiter tätig ist; Adresse und Geschäftsleitung > gegebenenfalls des Vertreters des Verant- >> Vertreter des Auftragsverarbeiters: Name, wortlichen; ladungsfähige Adresse Geschäftsleitung > gegebenenfalls des Vertreters des Auftrags- (soweit erforderlich) verarbeiters; >> Datenschutzbeauftragter7: > eines etwaigen Datenschutzbeauftragten des Name, Telefonnummer / E-Mail-Adresse Auftragsverarbeiters; >> d ie Kategorien von Verarbeitungen, die im 2. Vorblatt 2 mit Angaben zu den Auftrag jedes Verantwortlichen durchgeführt Dienstleistungen: werden; >> Allgemeine Beschreibung der technischen und >> g gf. Übermittlungen von personenbezogenen organisatorischen Maßnahmen gem. Art. 32 Daten an ein Drittland oder an eine internatio- (z.B. Sicherheitskonzepte bzw. Verweise darauf, nale Organisation; Zertifizierungen) > einschließlich der Angabe des betreffenden >> Datenweitergabe in ein Drittland (soweit sie Drittlands oder der betreffenden internatio- z. B. im Rahmen der Lieferkette in der in der nalen Organisation; Sphäre des Auftragsverarbeiters liegt) > bei den in Art. 49 Abs. 1 UAbs. 2 genannten >> Kategorien der Dienstleistungen: Datenübermittlungen die Dokumentierung > Dienstleistung 1: geeigneter Garantien; • Bezeichnung, „Kategorisierung“, Anhalt: >> w enn möglich, eine allgemeine Beschreibung „Leistung“ i.S.d. BvD-GDD-ADV-Standards der technischen und organisatorischen Maß- • ggf. Abweichungen von der zuvor be- nahmen gem. Art. 32 Abs. 1 DS-GVO. schriebenen Datenweitergabe in ein Dritt- land • ggf. Anpassungen des Sicherheitskon- zepts] > Dienstleistung … : • … 7 H ier ist nur der Datenschutzbeauftragte des Auftragsverarbeiters, der das Verzeichnis führt, aufzunehmen (analog zu Art. 30 Abs. 1 DS- GVO). Es bedarf keiner gesonderten zusätzlichen Datenerhebung bezüglich des Namens und der Kontaktdaten der Datenschutzbeauftrag- ten der jeweiligen Auftraggeber. Diese Angaben sind auch nach Art. 28 DS-GVO nicht zur Weitergabe an den Auftragnehmer vorgesehen. GDD-Praxishilfe DS-GVO V a: Verzeichnis von Verarbeitungstätigkeiten / Stand: April 2017 14
3. Hauptblatt mit den Angaben zu den Kunden: > Gebuchte Dienstleistungen: > Verweise auf Vorblatt 2, ggf. Verlinkung auf >> Kunde 1: Vertrag – insbesondere bei Abweichungen > Verantwortlicher8 von der Standarddienstleistung • Name, ladungsfähige Adresse > … > Vertreter des Verantwortlichen: [ • Name, ladungsfähige Adresse >> Kunde 2: (soweit erforderlich) • … Alternativ kann sich auch die Führung des Hauptblattes in Tabellenform anbieten VORBLATT 1 VORBLATT 2 HAUPTBLATT Angaben zum Angaben zu Angaben zu Auftragsverarbeiter: Dienstleistungen: Kunden: Auftragsverarbeiter: Allgemeine Beschreibung Kunde 1: • Name, ladungsfähige der technischen und orga Verantwortlicher: Adresse und Geschäfts nisatorischen Maßnahmen • Name, ladungsfähige leitung gem. Art 32. Adresse Vertreter des • Sicherheitskonzepte bzw. Vertreter des Auftragsverarbeiter: Verweise darauf, Zertifizie- Verantwortlichen: • Name, ladungsfähige rungen • Name, ladungsfähige Adresse und Geschäfts Drittlandübermittlung Adresse leitung • Namen Gebuchte Dienstleistung: Datenschutzbeauftragter: Kategorien der Dienst 1.) … • Name, ladungsfähige leistungen Verweis auf Vorblatt 2 Adresse und Geschäfts >> Dienstleistung 1 leitung 2.) … • Bezeichnung, „Kate- gorisierung“, Anhalt: „Leistung“ i.S.d. BvD- Kunde 2: GDD-ADV-Standards … • ggf. Anpassungen des Sicherheitskonzepts >> Dienstleistung 2 … 8 V erantwortlicher in diesem Sinne ist – auch in einer Leistungskette – immer der direkte Auftraggeber. Die DS-GVO sieht im Bereich der ADV eine gestufte Verantwortung vor, im Gegensatz zum BDSG, das von der „Durchgriffsverantwortung“ des Auftraggebers ausgeht. Von daher sind die Auftraggeber der „weiteren Auftragsverarbeiter“ (Unterauftragnehmer) die „Verantwortlichen“ in diesem Zusammenhang. GDD-Praxishilfe DS-GVO V a: Verzeichnis von Verarbeitungstätigkeiten / Stand: April 2017 15
HAUPTBLATT Angaben zu Kunden (alternative Darstellung einer Beziehungs-Matrix 1 2 N t u ng tung t u ng Leistungs- eis tleis eis n stl n s n stl beziehungen Die Die … Die Kunde 1: Kunde 1 >> Verantwortlicher: • Name, ladungsfähige Adresse >> Vertreter des Verantwortlichen: Kunde 2 • Name, ladungsfähige Adresse … Kunde 2: … Kunde N 3. Verzeichnis von Verarbeitungs werden zu können, trifft diese gem. Art. 27 Abs. tätigkeiten für Vertreter in der EU 1 DS-GVO die Pflicht, schriftlich einen Vertreter zu bestellen, der innerhalb der Union niedergelassen Entsprechend dem in Art. 3 Abs. 2 DS-GVO nieder- sein muss. gelegten Marktortprinzip findet die DS-GVO selbst Gem. Art. 27 Abs. 4 DS-GVO hat der Vertreter in dann Anwendung auf die Verarbeitung personen- der Union die Aufgabe, für Aufsichtsbehörden und bezogener Daten, wenn sie durch einen nicht in betroffene Personen bei sämtlichen Fragen im Zu- der Union niedergelassenen Verantwortlichen oder sammenhang mit der Verarbeitung zur Gewährleis- Auftragsverarbeiter vorgenommen wird. Dies gilt, tung der Einhaltung dieser Verordnung als Anlauf- wenn die Datenverarbeitung im Zusammenhang da- stelle zu dienen. mit steht, betroffenen Personen in der Union Waren Aus diesem Grunde hat der Vertreter in der Uni- oder Dienstleistungen anzubieten oder das Verhal- on das VVT vorzuhalten oder, sofern er für einen ten betroffener Personen zu beobachten, soweit ihr Auftragsverarbeiter benannt ist, das jeweilige VVT- Verhalten in der Union erfolgt. AV. Hierbei handelt es sich um inhaltsgleiche Dupli- Um des Verantwortlichen oder Auftragsverarbei- kate, sodass insoweit auf die obigen Ausführungen ters außerhalb der Union jedoch überhaupt habhaft verwiesen werden kann. GDD-Praxishilfe DS-GVO V a: Verzeichnis von Verarbeitungstätigkeiten / Stand: April 2017 16
Gesellschaft für Datenschutz und Datensicherheit e.V. Die Inhalte dieser Praxishilfe wurden im Rahmen des GDD-Erfakreises Köln, Unterarbeitsgruppe „VVT“ erstellt. Mit freundlicher Unterstützung des GDD-Arbeitskreises „DS-GVO Praxis“. Herausgeber: Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.) Heinrich-Böll-Ring 10 53119 Bonn Tel.: +49 2 28 96 96 75-00 Fax: +49 2 28 96 96 75-25 www.gdd.de info@gdd.de Stand: Version 1.0 (April 2017)
Sie können auch lesen