Datenzugriff durch externe Dienstleister: Rechte und Pflichten

In unserer heutigen Welt werden Daten immer wichtiger. Unternehmen und Organisationen sammeln, verarbeiten und nutzen sie für verschiedene Zwecke, wie zum Beispiel zur Verbesserung von Geschäftsprozessen, der Entscheidungsfindung oder zur Identifikation neuer Geschäftschancen. Dabei verlassen sich viele Unternehmen auf externe Dienstleister, die spezielle Fähigkeiten und Expertisen im Umgang mit Daten bieten. In diesem Blog-Beitrag beleuchten wir das Thema „Datenzugriff durch externe Dienstleister“ und beschäftigen uns dabei ausführlich mit den Rechten und Pflichten, die Unternehmen und Dienstleister in dieser Hinsicht haben. Wir betrachten dabei, wie Datenzugriff und Datensicherheit gewährleistet werden können, welche gesetzlichen Anforderungen Unternehmen beim Umgang mit externen Dienstleistern beachten müssen und wie letztendlich auch die Haftung bei Verstößen gegen Datenschutz- und Sicherheitsvorgaben geregelt ist.

Inhaltsverzeichnis

• Datenschutz und Datensicherheit: Warum ist das Thema wichtig?
• Der rechtliche Rahmen für den Umgang mit personenbezogenen Daten
• Rechte und Pflichten von Unternehmen und externen Dienstleistern im Datenschutz
• Auftragsverarbeitung: Definition und rechtliche Anforderungen
• Datenschutz-Folgenabschätzung: Wann ist sie erforderlich und wie wird sie durchgeführt?
• Haftung bei Verstößen gegen Datenschutz- und Sicherheitsvorgaben
• Tips für Unternehmen und externe Dienstleister zur Einhaltung der Datenschutz- und Sicherheitsvorgaben
• FAQs

Datenschutz und Datensicherheit: Warum ist das Thema wichtig?

Der Schutz von personenbezogenen Daten und die Gewährleistung von Datensicherheit sind grundlegende Anforderungen an heutige Unternehmen. Dabei kann das Versäumnis, angemessene Datenschutzmaßnahmen umzusetzen und sich an gesetzliche Vorgaben zu halten, erhebliche Folgen haben. Diese können sein:

• Empfindliche Bußgelder
• Schadenersatzforderungen und Reputationsverlust
• Negativer Einfluss auf das Vertrauen von Kunden und Partnern
• Mögliche rechtliche Probleme bei grenzüberschreitenden Datenübermittlungen
• Verlust der Wettbewerbsfähigkeit und Knowhow-Verlust

Der rechtliche Rahmen für den Umgang mit personenbezogenen Daten

Weltweit gibt es verschiedene Gesetze und Regelungen zum Datenschutz, die Unternehmen und externe Dienstleister bei der Verarbeitung von personenbezogenen Daten beachten müssen. Im Folgenden präsentieren wir einige der wichtigsten Datenschutzgesetze und Regelungen, die für den Datenzugriff durch externe Dienstleister relevant sind:

• EU-Datenschutz-Grundverordnung (DSGVO): Die DSGVO ist das zentrale Datenschutzgesetz für alle Mitgliedsstaaten der Europäischen Union. Sie regelt die Verarbeitung von personenbezogenen Daten und gibt Unternehmen und Verantwortlichen – auch bei der Zusammenarbeit mit externen Dienstleistern – Pflichten und Verantwortlichkeiten vor. Insbesondere Artikel 28 DSGVO, der sich mit dem Thema Auftragsverarbeitung beschäftigt, ist hier relevant.
• Bundesdatenschutzgesetz (BDSG-neu): Für Unternehmen in Deutschland gelten neben der DSGVO auch nationale Regelungen. Das BDSG-neu enthält ergänzende Vorschriften zum Datenschutz, die ebenfalls beim Umgang mit externen Dienstleistern berücksichtigt werden müssen.
• Internationale Datenschutzabkommen und Regelungen: Unternehmen, die grenzüberschreitend tätig sind und Daten in Drittländer übermitteln, müssen unter Umständen auch internationale Datenschutzabkommen und Regelungen beachten. Dazu zählen beispielsweise die EU-US-Privacy Shield oder der APEC Cross-border Privacy Enforcement Arrangement (CPEA).

Rechte und Pflichten von Unternehmen und externen Dienstleistern im Datenschutz

Der gesetzliche Rahmen für den Umgang mit personenbezogenen Daten gibt Unternehmen und externen Dienstleistern bestimmte Rechte und Pflichten im Bereich Datenschutz. Insbesondere bei der Auftragsverarbeitung müssen Unternehmen und Dienstleister eng zusammenarbeiten, um die Einhaltung der Datenschutzvorgaben sicherzustellen. Zu den wichtigsten Rechten und Pflichten gehören:

• Informationspflicht: Unternehmen sind verpflichtet, betroffene Personen – also diejenigen, deren personenbezogene Daten verarbeitet werden – über den Umfang, den Zweck und die Rechtsgrundlage der Datenverarbeitung zu informieren.
• Auskunftsrecht: Betroffene Personen haben das Recht, von Unternehmen Auskunft über die von ihnen verarbeiteten personenbezogenen Daten zu verlangen.
• Recht auf Datenübertragbarkeit: Betroffene Personen haben das Recht, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen übertragen zu lassen.
• Recht auf Löschung, Berichtigung und Sperrung: Betroffene Personen können verlangen, dass ihre personenbezogenen Daten gelöscht, berichtigt oder gesperrt werden, wenn die Verarbeitung unrechtmäßig oder unzulässig ist.
• Technische und organisatorische Maßnahmen: Unternehmen und externe Dienstleister sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der Datenverarbeitung zu gewährleisten.

Auftragsverarbeitung: Definition und rechtliche Anforderungen

Wenn Unternehmen den Zugriff auf personenbezogene Daten externen Dienstleistern ermöglichen oder sie deren Dienste nutzen, ist häufig die sogenannte Auftragsverarbeitung gegeben. Dabei handelt es sich um eine Form der Datenverarbeitung, bei der ein Unternehmen (der Verantwortliche) einen externen Dienstleister (den Auftragsverarbeiter) beauftragt, personenbezogene Daten für bestimmte Zwecke und im vorgegebenen Rahmen zu verarbeiten. Die DSGVO stellt an die Auftragsverarbeitung bestimmte rechtliche Anforderungen:

• Schriftliche Vereinbarung: Unternehmen und externe Dienstleister müssen einen schriftlichen Vertrag oder eine andere rechtsverbindliche Vereinbarung schließen, in der die Auftragsverarbeitung und die entsprechenden Pflichten und Verantwortlichkeiten geregelt sind (Art. 28 Abs. 3 DSGVO).
• Geheimhaltung: Der externe Dienstleister hat sicherzustellen, dass die mit der Datenverarbeitung betrauten Mitarbeiter zur Geheimhaltung verpflichtet sind oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO).
• Sicherheit: Externe Dienstleister müssen alle erforderlichen technischen und organisatorischen Maßnahmen ergreifen, um ein angemessenes Schutzniveau für die personenbezogenen Daten zu gewährleisten (Art. 28 Abs. 3 lit. c DSGVO).
• Auskunft, Berichtigung, Löschung:Externe Dienstleister müssen bei Anfragen von betroffenen Personen unterstützen und sicherstellen, dass diese ihre Rechte auf Auskunft, Berichtigung und Löschung wahrnehmen können (Art. 28 Abs. 3 lit. e DSGVO).
• Unterstützung bei Datenschutz-Folgenabschätzungen und Konsultationen: Externe Dienstleister sind verpflichtet, Unternehmen bei der Durchführung von Datenschutz-Folgenabschätzungen und Konsultationen mit Datenschutzbehörden zu unterstützen, wenn dies erforderlich ist (Art. 28 Abs. 3 lit. f DSGVO).
• Dokumentations- und Nachweispflichten: Sowohl Unternehmen als auch externe Dienstleister müssen eine umfassende Dokumentation über die Auftragsverarbeitung führen und auf Anfrage den Datenschutzbehörden oder betroffenen Personen zur Verfügung stellen (Art. 28 Abs. 3 lit. g DSGVO).

Datenschutz-Folgenabschätzung: Wann ist sie erforderlich und wie wird sie durchgeführt?

Eine Datenschutz-Folgenabschätzung (DSFA) ist ein Verfahren, bei dem die möglichen Risiken und Auswirkungen einer Datenverarbeitung auf betroffene Personen bewertet und minimiert werden. Die DSGVO sieht vor, dass Unternehmen eine DSFA durchführen müssen, wenn die Datenverarbeitung – insbesondere bei der Zusammenarbeit mit externen Dienstleistern – ein hohes Risiko für die Rechte und Freiheiten betroffener Personen darstellt (Art. 35 DSGVO). Eine DSFA ist beispielsweise erforderlich:

• Bei der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten (z. B. Gesundheitsdaten, politische Meinungen, religiöse oder philosophische Überzeugungen)
• Bei einer systematischen und umfangreichen Überwachung von öffentlich zugänglichen Bereichen
• Bei der Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten
• Bei der Nutzung neuer Technologien oder Verfahren, die ein erhöhtes Risiko für betroffene Personen bergen

Die Durchführung einer DSFA umfasst folgende Schritte:

1. Identifizierung der Datenverarbeitung: Unternehmen müssen die Datenverarbeitung, die Gegenstand der DSFA sein soll, genau beschreiben, die Rechtsgrundlage dafür angeben und den Umfang abstecken.
2. Bewertung der Notwendigkeit und Verhältnismäßigkeit: Unternehmen müssen bewerten, ob die Datenverarbeitung notwendig und verhältnismäßig ist, um den beabsichtigten Zweck zu erreichen, und ob es weniger risikoreiche Alternativen gibt.
3. Einschätzung und Bewertung der Risiken: Unternehmen müssen die Risiken für die betroffenen Personen identifizieren und bewerten, um festzustellen, ob sie angemessen gemanagt werden.
4. Entwicklung von Datenschutzmaßnahmen: Auf der Grundlage der Risikobewertung müssen Unternehmen geeignete Datenschutzmaßnahmen entwickeln und dokumentieren, um die Risiken für betroffene Personen zu minimieren.
5. Konsultation und Genehmigung durch Datenschutzbehörden: In bestimmten Fällen müssen Unternehmen die Ergebnisse der DSFA und die geplanten Maßnahmen mit der zuständigen Datenschutzbehörde konsultieren und deren Genehmigung einholen.

Haftung bei Verstößen gegen Datenschutz- und Sicherheitsvorgaben

Im Falle von Verstößen gegen Datenschutz- und Sicherheitsvorgaben können sowohl Unternehmen als auch externe Dienstleister zur Verantwortung gezogen werden. Dabei unterscheidet die DSGVO zwischen der Haftung von Verantwortlichen (Unternehmen) und Auftragsverarbeitern (externen Dienstleistern):

• Haftung des Verantwortlichen: Unternehmen haften für Schäden, die betroffenen Personen durch eine rechtswidrige oder unzulässige Datenverarbeitung entstehen (Art. 82 Abs. 1 DSGVO). Bei einem Verstoß gegen Datenschutzvorschriften können darüber hinaus auch Bußgelder in Höhe von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist – verhängt werden (Art. 83 DSGVO).
• Haftung des Auftragsverarbeiters: Externe Dienstleister können ebenfalls für Schäden haften, die betroffenen Personen durch die von ihnen durchgeführte Datenverarbeitung entstehen, insbesondere wenn sie ihre Verpflichtungen aus der Auftragsverarbeitungsvereinbarung oder den Anweisungen des Verantwortlichen nicht nachgekommen sind oder gegen gesetzliche Datenschutzvorschriften verstoßen haben (Art. 82 Abs. 2 DSGVO). Auch hier können Bußgelder gemäß Art. 83 DSGVO verhängt werden.

Es ist jedoch wichtig zu beachten, dass die Haftung sowohl von Unternehmen als auch von externen Dienstleistern gemäß Art. 82 Abs. 3 DSGVO ausgeschlossen werden kann, wenn sie nachweisen können, dass sie in keiner Weise für den Schaden verantwortlich oder an der rechtswidrigen oder unzulässigen Datenverarbeitung beteiligt waren.

Tipps für Unternehmen und externe Dienstleister zur Einhaltung der Datenschutz- und Sicherheitsvorgaben

Um die Einhaltung der Datenschutz- und Sicherheitsvorgaben bei der Zusammenarbeit von Unternehmen und externen Dienstleistern zu gewährleisten, sollten einige bewährte Vorgehensweisen und grundlegende Maßnahmen ergriffen werden:

• Klare Kommunikation und Transparenz: Unternehmen und externe Dienstleister sollten stets offen und transparent miteinander kommunizieren und ihre Datenschutz- und Sicherheitsanforderungen klar zum Ausdruck bringen.
• Dokumentation und Nachweise: Die gesamte Zusammenarbeit und alle datenschutzrelevanten Informationen sollten dokumentiert und nachweisbar gemacht werden, um im Falle von Fragen oder Kontrollen durch Datenschutzbehörden entsprechend reagieren zu können.
• Regelmäßige Überprüfung und Anpassung: Unternehmen und externe Dienstleister sollten ihre Datenschutz- und Sicherheitsvorkehrungen regelmäßig überprüfen und anpassen, um aktuellen Anforderungen und neuen Risiken Rechnung zu tragen.
• Schulungen und Sensibilisierung: Unternehmen sollten sicherstellen, dass ihre Mitarbeiter und auch die Mitarbeiter der externen Dienstleister ausreichend geschult und sensibilisiert sind für den Umgang mit personenbezogenen Daten und mögliche Gefahren.
• Datenschutz von Anfang an: Datenschutz und Datensicherheit sollten bereits bei der Planung von Projekten und der Auswahl von externen Dienstleistern berücksichtigt werden, um mögliche Risiken von vornherein zu minimieren („Privacy by Design“).

FAQs zum Datenzugriff durch externe Dienstleister

Im Folgenden beantworten wir einige häufig gestellte Fragen zum Thema „Datenzugriff durch externe Dienstleister“:

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu zählen beispielsweise Name, Adresse, E-Mail-Adresse, Telefonnummer oder IP-Adresse.

Was bedeutet Datenverarbeitung?

Datenverarbeitung umfasst alle Vorgänge im Umgang mit personenbezogenen Daten, wie das Erheben, Erfassen, Organisieren, Speichern, Anpassen, Verwenden, Offenlegen, Übermitteln, Löschen oder Vernichten von Daten, unabhängig davon, ob diese Vorgänge automatisiert oder manuell durchgeführt werden.

Wann ist die Beauftragung eines externen Datenschutzbeauftragten erforderlich?

Ein externer Datenschutzbeauftragter ist erforderlich, wenn das Unternehmen selbst keinen internen Datenschutzbeauftragten hat oder haben muss und die Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. In Deutschland besteht eine Pflicht zur Bestellung eines Datenschutzbeauftragten, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Wie kann ich sicherstellen, dass ein externer Dienstleister die Datenschutzvorgaben einhält?

Um die Einhaltung der Datenschutzvorgaben durch einen externen Dienstleister sicherzustellen, sollten Unternehmen die folgenden Maßnahmen ergreifen: Schließen einer schriftlichen oder elektronischen Auftragsverarbeitungsvereinbarung, Überprüfen der technischen und organisatorischen Maßnahmen des Dienstleisters, Durchführen regelmäßiger Audits oder Kontrollen, Abstimmung und Kommunikation in Bezug auf Datenschutzanforderungen und -maßnahmen.

Wann haftet ein externer Dienstleister für Datenschutzverstöße?

Ein externer Dienstleister haftet für Datenschutzverstöße, wenn er gegen seine vertraglichen oder gesetzlichen Pflichten im Rahmen der Auftragsverarbeitung verstoßen hat oder wenn er die Anweisungen des Verantwortlichen (Unternehmen) nicht befolgt hat. In solchen Fällen kann der Dienstleister sowohl für Schäden gegenüber betroffenen Personen als auch für Bußgelder seitens der Datenschutzbehörden haftbar gemacht werden.

Abschließende Gedanken

Das Thema „Datenzugriff durch externe Dienstleister“ ist sowohl für Unternehmen als auch für die Dienstleister selbst von großer Bedeutung, da es die Einhaltung von Datenschutz- und Datensicherheitsvorschriften betrifft. Es ist daher unerlässlich, sich mit den Rechten und Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten vertraut zu machen, um rechtlichen und finanziellen Risiken aktiv zu begegnen und Vertrauen bei Kunden und Geschäftspartnern aufzubauen. Die Zusammenarbeit von Unternehmen und externen Dienstleistern sollte stets gekennzeichnet sein von einer klaren Kommunikation, Transparenz, gegenseitiger Unterstützung und der Bereitschaft, laufend die eigenen Datenschutz- und Datensicherheitsmaßnahmen anzupassen und zu verbessern.