Schlagwort: Verfahrensverzeichnis

Auswirkungen der DSGVO auf Cloud Service Provider

12. Juli 2017

Lagert ein Unternehmen personenbezogene Daten von Kunden, Mitarbeitern oder anderen denkbaren Betroffenen-Gruppen in „die Cloud“ aus, handelt es sich dabei um einen klassischen Fall der Auftragsdatenverarbeitung (unter der Datenschutz-Grundverordnung „Auftragsverarbeitung“). Wie in den vielen weiteren Bereichen des Datenschutzrechts treten durch die neue EU-Verordnung auch beim Daten-Outsourcing zum 25.05.2018 Änderungen in Kraft. Grund genug, zwei dieser Änderungen im Hinblick auf ihre praktischen Auswirkungen einmal genauer zu beleuchten.

Eine der Neuerungen verbirgt sich in Art. 30 Abs. 2 DSGVO: Anders als bislang muss künftig auch der Auftragsverarbeiter ein Verfahrensverzeichnis führen. Diese Aufgabe zur Schaffung von Verarbeitungstransparenz lag bislang allein bei der verantwortlichen Stelle (Auftraggeber im Rahmen der ADV). Dadurch stehen Cloud-Anbieter künftig vielfach in der Pflicht, für jede ihrer Geschäftsbeziehungen ein Verfahrensverzeichnis anzulegen. Zwar verlangt die Verordnung im Hinblick auf die darzulegenden Informationen inhaltlich nichts „Unmögliches“ (eigene Bezeichnung, Name der verantwortlichen Stelle, ggf. bestellter Datenschutzbeauftragter etc.), je nach Größe des Cloud-Anbieters kann es sich aber um eine ganze Bandbreite von dokumentationspflichtigen Verfahren handeln. Diese sind zusätzlich im Zeitverlauf aktuell zu halten. In jedem Fall sollten sich Cloud-Provider (aber auch andere Vielfach-Auftragsverarbeiter) bereits jetzt um einen standardisierten Prozess bemühen, der ihnen die Abfrage der Verzeichnisinhalte erleichtert.

Für die Erbringung von Cloud-Services arbeiten Provider häufig zusammen, z.B. um eine noch bessere Rechenleistung oder größeren Speicherplatz anbieten zu können. Datenschutzrechtlich handelt es sich hierbei um eine „Unterbeauftragung“. Interessant ist in diesem Zusammenhang das neue Widerspruchsrecht des verantwortlichen Auftraggebers, das ihm aus Art. 28 Abs. 2 der Datenschutz-Grundverordnung zukommt. Sollte ein Auftraggeber (=Daten-outsourcendes Unternehmen) der Kooperation mit einem bestimmten Cloud-Unterauftragnehmer widersprechen, muss sein ADV-Vertragspartner hierauf verzichten. Die Möglichkeit zur praktischen Umsetzung von Widersprüchen ist an dieser Stelle jedoch höchst fraglich: Schließlich ist die Rücksichtnahme auf individuelle Kundenwünsche im Falle einer Public Cloud (offener Nutzerkreis, keine Lokalisierung der verarbeiteten Daten) technisch nur äußerst schwer zu realisieren.

BITKOM: Praxisleitfaden für Verfahrensverzeichnisse

17. Mai 2016

Der Digitalverband BITKOM hat eine Neuauflage des Praxisleitfadens „Das Verfahrensverzeichnis“ veröffentlicht.

Das Verfahrensverzeichnis dient der Transparenz über die Verarbeitung personenbezogener Daten und der rechtlichen Absicherung des Unternehmens. Es dient dem betrieblichen Datenschutzbeauftragten sowie der Aufsichtsbehörde zur Erfüllung ihrer Aufgaben. Dabei muss der betriebliche Datenschutzbeauftragte nach § 4g Abs. 2 Bundesdatenschutzgesetz das Verfahrensverzeichnis auf Antrag jedermann verfügbar machen. Außenstehende und Betroffene sollen die Verarbeitung personenbezogener Daten innerhalb der verantwortlichen Stelle abschätzen können.

Der Leitfaden gibt Datenschutzbeauftragten von Unternehmen und anderen Organisationen Hinweise, wie sie den gesetzlichen Anforderungen gerecht werden können. Neben Erläuterungen und Praxisbeispielen zu den gesetzlichen Vorgaben werden die einzelnen Schritte bei der Führung des Verfahrensverzeichnisses dargestellt. Auch enthalten sind Hinweise zur Aufsichtspraxis der Datenschutzbehörden und zur aktuellen Rechtsprechung.