Eine der Fragen, die die meisten Zweifel in den Organisationen aufgeworfen hat, die sich mit der Umsetzung der EU DSGVO beschäftigt haben, bezog sich darauf, welches denn der Unterschied zwischen dem Datenverantwortlichen und dem Datenauftragsverarbeiter gemäß der DSGVO ist.
„Was sind unsere Zuständigkeiten im Rahmen der EU DSGVO (Datenschutz-Grundverordnung) in Bezug auf die personenbezogenen Daten im Umfang ihrer Geschäftstätigkeit? Ich meine, personenbezogene Daten werden von unseren Kunden gesammelt und verarbeitet und von uns lediglich gespeichert.“ ist etwas, das häufig in den Organisationen, mit denen ich zusammengearbeitet habe, als Frage aufgeworfen wurde.
Tatsächlich haben manche Organisationen keine Kontrolle über die Daten (sie speichern sie nur) ihrer Kunden. Die Frage ist: Was sind die Zuständigkeiten innerhalb der EU DSGVO dieser Organisationen, wenn sie personenbezogene Daten speichern? Sind sie von den neuen europäischen Vorschriften abgedeckt?
Europäische Datenschutz-Grundverordnung (EU DSGVO)
Diese neue Verordnung (EU DSGVO) wurde am 14. April 2016 vom Europäischen Parlament und vom Europarat verabschiedet. Sie wird direkt in jedem Land, in der EU oder außerhalb der EU, angewandt (in dem die personenbezogenen Daten der europäischen Bürger gespeichert sind), um eine einheitliche Regelung der in den Staaten geltenden Rechte der Bürger auf Privatsphäre zu ermöglichen. Lesen Sie diesen Artikel: Was ist die EU DSGVO und warum ist sie auf die ganze Welt anwendbar? um mehr herauszufinden..
Erstens sammeln und speichern alle Organisationen die personenbezogenen Daten ihrer eigenen Mitarbeiter, sofern sie europäische Bürger sind. Daher sind alle Organisationen, EU oder Nicht-EU, für die Verarbeitung dieser Daten in Übereinstimmung mit der EU DSGVO verantwortlich. Auf der anderen Seite können Organisationen personenbezogene Daten ihrer direkten Kunden oder personenbezogene Daten, die ihre Kunden über natürliche Personen erheben, speichern. Ist die Zuständigkeit der Organisation innerhalb der EU DSGVO unterschiedlich, je nachdem, ob sie Daten direkt von den betroffenen Personen erfasst oder nicht?
Verantwortlicher vs. Auftragsverarbeiter
Gemäß Artikel 4 der EU DSGVO werden verschiedene Rollen wie folgt angegeben:
- Verantwortlicher – „bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“
- Auftragsverarbeiter – „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“
Die Organisationen, die die Zwecke und Mittel zur Verarbeitung personenbezogener Daten bestimmen gelten als „Verantwortliche“ unabhängig davon ob sie die Daten von den betroffenen Personen direkt erfassen. Als Beispiel, eine Bank (Verantwortlicher) erhebt Daten ihrer Kunden, wenn sie ein Konto eröffnen, aber es ist eine andere Organisation (Auftragsverarbeiter), die alle von der Bank in Papierform erstellten Informationen speichert, digitalisiert und katalogisiert. Diese Unternehmen können Rechenzentren oder Dokumentenmanagement-Unternehmen sein. Beide Organisationen (Verantwortliche und Auftragsverarbeiter) sind für die Verarbeitung der personenbezogenen Daten dieser Kunden verantwortlich.
Was sind die Zuständigkeiten des Verantwortlichen?
Gemäß Artikel 5 der EU DSGVO ist der Verantwortliche für die Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten verantwortlich und muss dies nachweisen können. Diese Grundsätze sind: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz, Datenminimierung, Richtigkeit, Speicherbegrenzung und Integrität, sowie Vertraulichkeit von personenbezogenen Daten.
Gemäß Artikel 24 der EU DSGVO „setzt der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“
Beispiele für solche Maßnahmen können die Aufteilung der Zuständigkeiten für den Datenschutz, eine Folgenabschätzung des Datenschutzes und ein Risikominderungsplan oder die Durchführung von Pseudonymisierung (Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können) und Datenminimierung sein, um die Anforderungen dieser Verordnung zu erfüllen und die Rechte der betroffenen Personen zu schützen.
Wenn es mehrere Organisationen gibt, die die Verantwortung für die Verarbeitung personenbezogener Daten teilen, umfasst die DSGVO die Existenz von gemeinsam Verantwortlichen. Sie müssen ihre jeweiligen Zuständigkeiten durch Vereinbarung festlegen und den Betroffenen den Inhalt dieser Vereinbarung zur Verfügung stellen und Kommunikationsmittel mit Auftragsverarbeitern mit einem einzigen Ansprechpartner definieren.
Was sind die Zuständigkeiten des Auftragsverarbeiters?
Gemäß Artikel 28 der EU DSGVO: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsbearbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“
Dies bedeutet, dass Unternehmen in der EU oder außerhalb der EU, die als Verantwortliche oder Auftragsverarbeiter im Geschäft bleiben möchten, notwendige Kontrollen umsetzen müssen, um sicherzustellen, dass sie die EU DSGVO einhalten, da die Bußgelder sowohl für Verantwortliche als auch für Auftragsverarbeiter gelten. Gemäß Artikel 83 werden Bußgelder in Bezug auf „den Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen getroffenen technischen und organisatorischen Maßnahmen“ verhängt.
Erfüllt die ISO 27001 Umsetzung die Anforderungen der EU DSGVO?
Die Implementierung von ISO 27001 deckt die meisten Anforderungen der EU DSGVO ab; einige Kontrollen sollten jedoch angepasst werden, um personenbezogene Daten in das Informationssicherheits-Managementsystem aufzunehmen. Lesen Sie diesen Artikel Erfüllt die ISO 27001 Umsetzung die Anforderungen der EU DSGVO? um mehr zu erfahren.
Zusätzlich zu den geplanten Aktionen für die Implementierung von ISO 27001 müssen weitere Maßnahmen einbezogen werden, damit eine Organisation, ein Verantwortlicher oder ein Auftragsverarbeiter (beide müssen diese Tätigkeiten ausführen) mit der EU DSGVO konform ist, darunter:
- Verfahren zur Gewährleistung der Wahrnehmung der Rechte der betroffenen Personen
- Mechanismen für die Übertragung von Daten außerhalb der EU
- Mindestinhalt der Folgenabschätzung zum Datenschutz
- Verfahren für den Fall der Verletzung von personenbezogenen Daten
Alle diese Maßnahmen können in das Informationssicherheits-Managementsystem integriert werden, was die Gewährleistung der Einhaltung gesetzlicher Bestimmungen und eine kontinuierliche Verbesserung ermöglicht und dies umso mehr, wenn das ISMS und die EU DSGVO aufeinander abgestimmt sind.
Die Organisationen, die unter die EU DSGVO fallen, entweder Verantwortliche oder Auftragsverarbeiter, haben bis Mai 2018 eine Reihe von Maßnahmen umzusetzen, die ihre Arbeitsweise drastisch verändern können. Wenn man nicht weiß, wo man beginnen soll, kann der gesamte Prozess zu komplex werden. Die Implementierung eines ISMS kann die fehlende Unterstützung sein, die die Organisation zur Einhaltung der EU DSGVO benötigt.
Lesen Sie dieses kostenlose Whitepaper: Was ist EU DSGVO und wie kann ISO 27001 helfen? um mehr über Datenschutz zu erfahren.