Die Medien berichten täglich über Cybervorfälle, denn die Opfer werden prominenter und zahlreicher. In vielen Unternehmen wächst die Einsicht, mehr in IT-Security investieren zu müssen. Dabei verlassen sich viele auf ihr betreuendes Systemhaus, frei nach dem Motto „die werden schon dafür sorgen, dass bei uns nichts passiert“. Handeln Sie nach diesem Motto?
Dann würde den Verantwortlichen für die Datenverarbeitung im Unternehmen im Fall einer Datenschutzverletzung dennoch eine schmerzliche Geldbusse treffen können, wenn man feststellt, dass ein Auftragsverarbeitungsvertrag nicht vorliegt. Der Vertrag wird dem Datenrisiko gerecht, insbesondere mit der Beschreibung der technischen Schutzmassnahmen. Warum?
Nun, weil das Unternehmen, dass die IT-outgesourct, die gesetzlichen Vorgaben der Datenschutz-Grundverordnung bzw. des revidierten Datenschutzgesetzes nur dann ausreichend berücksichtigt.
Gemäss Art. 28 DSGVO/Art. 5 DSG liegt eine Auftragsverarbeitung vor, wenn eine Stelle im Auftrag und auf Weisung personenbezogene Daten verarbeitet. Das ist sicherlich der Fall bei dem externen IT-Dienstleister. Nur, warum muss dieser auch auf Weisung des Verantwortlichen handeln? Was bedeutet das? Aus datenschutzrechtlicher Sicht verarbeiten Spitäler, Industrieunternehmen, Banken, öffentliche Gemeinden oder auch Behörden personenbezogene Daten mit unterschiedlicher Sensibilität: personenbezogene Daten unterscheiden sich demzufolge auch in ihrem individuellen, technischen Schutzgrad. Der verantwortliche Entscheidungsträger muss die Risiken personenbezogener Daten von Patienten, Kunden, Lieferanten etc. auf Basis einer Risikoanalyse identifizieren, bewerten und mit zu bestimmenden organisatorischen und technischen Schutzmassnahmen vor Verlust, Missbrauch und Veränderung durch unbefugte Dritte schützen: für die Integrität der Daten kommen Schutzmassnahmen wie Verschlüsselung, Pseudonymisierung, Anonymisierung etc. in Frage, die Vertraulichkeit wird mit einem Rechte- und Rollenkonzept als Zugangskontrolle für Daten gewährleistet und die Verfügbarkeit mit Redundanzen von Datenträgern – um nur drei Beispiele zu nennen. Die Entscheidung über die Mittel der Massnahmen darf der verantwortliche Entscheider nicht delegieren an den externen IT-Dienstleister.
Was ist zu tun? Werden personenbezogene Daten im Auftrag durch andere Stellen verarbeitet, so ist der Auftraggeber für die Datenschutzvorschriften verantwortlich. Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten. Beide Seiten sind verpflichtet, in einem solchen Fall eine sogenannte Auftragsverarbeitungs-Vereinbarung abzuschliessen mit aufgelisteten Schutzmassnahmen in der Anlage. Auf Seiten der Systemhäuser müssen die richtigen Tools auch im Portfolio vorhanden sein; der IT-Dienstleister darf bei der Auswahl dieser beraten!
Beispiele für den Abschluss eines Auftragsverarbeitungs-Vertrages sind u.a. die externe Lohnbuchhaltung, die externe Buchhaltung aber auch die Verwendung von Multifunktionsdruckern im Netzwerk mit Speicherfunktion, aber nicht der Steuerberater oder der Rechtsanwalt!
Die Ausführungen sind nicht abschliessend und die Risikoanalyse und der Auftragsverarbeitungs-Vertrag sind auch nur zwei Aufgaben von vielen, die Ihr/e Datenschutzberater/in gern für Sie mit Ihrer Unterstützung ausführt.