Heute wollen wir den Fokus auf das Thema externe Dienstleister legen. Vielleicht waren einige von euch ja bei dem gestrigen Webinar von der Sophia Wester schon mit dabei, wo es um allgemeine Risikobetrachtung ging. Was sind die Risikoaussichten eurer Organisationen im Datenschutz? Und heute wollen wir eben den Fokus ganz besonders auf externe Dienstleister oder auch Tools allgemeiner richten.
Ich habe einiges an Themen mitgebracht. Ich habe ehrlich gesagt im Vorhinein versucht oder gedacht, den Vortrag könnte ich ein bisschen schlanker halten, hab dann aber im Rahmen eurer Fragen, die ihr schon bei der Anmeldung mit angegeben habt, oder Themenwünsche, Erwartungen dann gesehen, dass das doch ein recht breites Feld ist und das dahingehend dann auch noch mal etwas erweitert.
Genau. Ich hoffe, dass wir das zeitlich trotzdem gut hinbekommen. Ja, was habe ich heute mit euch vor? Ich möchte zum einen noch mal überhaupt eine kurze Einführung in den Datenschutz geben, eben erläutern, was die Datenschutzgrundverordnung von euch verlangt. Also die DSGVO, das Akronym fiel ja gerade schon mal: die Datenschutzgrundverordnung. Das ist eben das hauptsächliche Regelwerk, das für ganz viele Bereiche relevant ist, und euch damit so einen kurzen Überblick geben, was die Grundprinzipien sind. Und dann gehen wir aber auch tatsächlich konkreter rein in die Besonderheiten, die es eben beim Einsatz von externen Dienstleistern gibt. Da geht’s dann eben vor allem um die Frage: Wer ist eigentlich für was verantwortlich, ne? Also, wenn ihr einen externen Dienst nutzt, irgendeinen Cloudspeicher, ein Videokonferenz-Tool etc., dann ist natürlich schnell die Frage: Wer ist denn jetzt dafür verantwortlich, dass alles in geordneten Bahnen läuft? Was ist eure Aufgabe, was ist die Aufgabe des Dienstleisters, wie unterscheidet man das rechtlich? Und da müssen wir eben dann ein bisschen detaillierter mal reingehen.
Dann gibt’s noch das Thema mit internationalen Datentransfers. Das kommt vor allem in der Praxis dadurch zustande, dass viele Cloud-Tools, die man so geläufigerweise nutzt, eben aus den USA kommen oder zumindest amerikanische Firmen dahinterstecken. Und im Rahmen dessen, selbst wenn dann europäische Server genutzt werden, kann es doch immer mal auch zu internationalen Datentransfers kommen, und man deshalb dieses Thema einfach beim — ja, generell bei Cloud-Tools — nur schwer ausklammern kann.
Diese ersten drei Punkte sind zugegebenermaßen etwas theoretischer. Bei den anderen drei Punkten, die danach kommen, hoffe ich, dass wir dann etwas mehr in die Praxis gehen können. Da habe ich mir eben dann bestimmte Anwendungsfälle rausgesucht, die in der Vereinsarbeit einfach sehr praxisrelevant sind. Das ist zum einen das Feld Cloud, Webseite und andere Tools. Da spielt vor allem das Thema Auftragsverarbeitung eine Rolle. Da kommen wir dann später drauf, was das bedeutet. Und dann, rechtlich etwas anders gelagert, gibt’s dann noch Messenger und Videokonferenzen, so ein bisschen als ein Spezialfall. Und zu guter Letzt möchte ich dann auch noch auf soziale Netzwerke eingehen. Da gibt’s auch noch mal einige Besonderheiten zu beachten, weil es da eine gemeinsame Verantwortlichkeit gibt zwischen euch und der Social-Media-Plattform.
Ja, das erstmal so als Überblick, was heute inhaltlich geplant ist. Gehen wir also rein in die Themen, und zwar mit der Einführung in den Datenschutz, was eben die Datenschutzgrundverordnung von euch möchte. Und da habe ich versucht, die Grundsätze, die im Artikel 5 der Datenschutzgrundverordnung drin sind, in etwas alltagstauglicherer Sprache zu formulieren. Und das sind zum einen erstmal vier Punkte, die betreffen jede — was man dann Verarbeitungstätigkeit nennt — gesondert. Das heißt, wenn ihr z. B. eine Mitgliederverwaltung habt und ihr schickt Newsletter raus, dann sind das zwei getrennte Dinge, ne? Das eine ist die Mitgliederliste, das andere ist der Newsletter, den ihr rausschickt, der vielleicht an Mitglieder geht, aber vielleicht ja auch an externe Interessierte.
Und für jede dieser sogenannten Verarbeitungstätigkeiten — das nennt man dann so im Datenschutz — müsst ihr ein paar Punkte durchgehen. Und ein wichtiger Grundsatz ist eben, dass ihr vorab festlegen müsst, wofür ihr welche Daten braucht. Also nicht erstmal anfangt, Daten zu sammeln, und später entscheidet, was tut ihr eigentlich damit, sondern von vornherein ein klares Bild davon habt, welche Zwecke ihr damit verfolgt. Da ist der Grundsatz dann: so viel wie nötig, so wenig wie möglich, also nicht mehr erfassen, als man braucht. Und das impliziert dann auch schon den zweiten Punkt, den ich aufgeschrieben habe, nämlich dass ihr Daten löschen müsst, wenn ihr sie nicht mehr braucht.
Das sind zwei Grundsätze, die sind eher sehr allgemein. Die haben jetzt mit externen Dienstleistern wenig zu tun. Etwas wichtiger ist dann der Punkt — oder auch in der Praxis noch mal mehr so ein Arbeitsschritt für sich — sind die nächsten beiden Punkte: nämlich, dass ihr zum einen immer eine Rechtsgrundlage braucht. Das ist dann ganz praktisch die Frage, ob ihr eine Einwilligung einholen müsst, das heißt, ob ihr aktiv fragen müsst um Einverständnis, oder ob ihr die Daten auf einer anderen Grundlage verarbeiten dürft. Und wenn ihr das dann soweit alles geklärt habt, dann habt ihr auch noch Informationspflichten. Das heißt, ihr müsst im Rahmen von Datenschutzhinweisen darüber informieren, was ihr mit den Daten macht. Das heißt eben, wann die gelöscht werden, aber z. B. auch, ob die bei externen Dienstleistern gespeichert werden oder auf eigenen Systemen.
Ja, und diese vier Punkte, das sind eher Themen, wie ich schon sagte, die sind für jede Verarbeitungstätigkeit relevant. Da müsst ihr also dann bei verschiedenen Tätigkeiten, die ihr habt, wo ihr mit digitalen Werkzeugen arbeitet, wo ihr mit Daten in Berührung kommt, immer getrennt drauf schauen. Dann gibt’s aber auch noch ein paar Punkte, die betreffen dann eher so eure Arbeitsorganisation und die Tools, die ihr nutzt. Und da ist ein ganz wichtiger Grundsatz, dass ihr euch aktiv kümmern müsst und auch dokumentieren solltet, was ihr macht. Das ist die sogenannte Rechenschaftspflicht. Und dann ist eben ein großes Feld, das ist dann eher so der technische Datenschutz — da, wo man vielleicht auch beim Begriff Datenschutz erstmal dran denkt, ne, den Schutz von Daten. Da geht es dann eben darum, dass ihr mit den Daten sorgsam umgehen müsst und auch vertrauenswürdige Dienstleister in einem vertrauenswürdigen Land nutzen müsst. Das sind also jetzt die Themen, natürlich, wo wir dann später im Detail reingehen.
Mir ist es dennoch wichtig, das größere Bild von der Datenschutzumsetzung oder den Vorgaben auch einfach mitzunehmen, um das entsprechend in Kontext zu setzen. Das heißt eben, falls euch das noch nicht so bewusst ist: Beim Datenschutz geht’s gar nicht so sehr um den Schutz von Daten an sich als Selbstzweck, sondern es geht eigentlich um den Schutz von Menschen. Es geht um die Rechte der Personen, deren Daten ihr habt, und dass ihr eben gut mit den Daten umgeht, um auf Augenhöhe den Menschen, deren Daten ihr habt, zu begegnen. Das könnte man so in Kurzform sagen, ist die Idee hinterm Datenschutz. Und da ist eben ein Teil dessen dann, dass ihr auch sorgsam mit den Daten an sich umgehen müsst, technisch den Datenschutz sicherstellen müsst, und das ist dann vor allem dieses Feld, wo Dienstleister eine Rolle spielen, wo Dienstleister einem vieles einfacher machen können, aber man eben auch bestimmte Dinge beachten muss.
Ja, und zu guter Letzt dann noch der Punkt — hat jetzt mit Dienstleistern nicht so viel zu tun: Es kann aber immer mal wieder so Betroffenenanfragen geben. Das heißt, wenn jemand wissen möchte, was mit den Daten genauer passiert, welche Daten über ihn oder sie gespeichert sind, könnt ihr euch Fragen stellen und ihr müsst das beantworten. Das sind die Grundsätze der Datenschutzgrundverordnung oder Spielregeln, wie ich es hier genannt habe. Und da gehen wir jetzt eben etwas detaillierter rein und schauen uns da noch etwas gründlicher noch mal ein paar der Punkte an, die ich hier eben gerade markiert hatte, die für das heutige Thema auch relevanter sind.
Das ist zum einen das Thema Rechtsgrundlagen. Das hatte ich gerade in Kürze schon angesprochen. Es gibt Einwilligungen — das ist sicherlich das, was euch am bekanntesten ist: dass man eben aktiv fragt, dürfen wir diese Daten verarbeiten, ja oder nein? Daneben gibt’s aber auch noch den Vertrag und ein berechtigtes Interesse als Rechtsgrundlage. Das sind so die Wahlmöglichkeiten, die ihr habt, wenn ihr aus eigenen Stücken Daten verarbeiten wollt. Es gibt aber natürlich auch die Fälle wie bei der Buchhaltung, wo es gesetzliche Aufbewahrungspflichten gibt, dass man einfach gesetzlich dazu gezwungen ist. Dann ist das eh eine klare Sache. Dann muss man das natürlich auch machen. Aber ich will eben darauf hinaus: an den Stellen, wo ihr selber euch entscheidet, dass ihr was Bestimmtes mit Daten machen wollt — also z. B. eure Mitgliederverwaltung irgendwie organisieren möchtet, im Rahmen von dem Newsletter oder Social Media über eure Aktivitäten informiert —, da gibt’s dann eben diese verschiedenen Rechtsgrundlagen.
Ja, das ist ein Thema für sich. Das würde jetzt hier auch den Rahmen sprengen, da jetzt tiefer reinzugehen. Da möchte ich an der Stelle auch gerade schon mal drauf verweisen: Ich habe auf der allerletzten Folie, die ihr dann ja auch morgen zugesandt bekommt — die Präsentation —, weiterführende Links bei uns bei der Stiftung Datenschutz zu unseren eigenen Angeboten. Was wir als Stiftung Datenschutz machen, sage ich dann vielleicht gegen Ende noch kurz was.
Ja, das ist das eine Thema mit den Rechtsgrundlagen. Das andere Thema sind die Informationspflichten. Das sagte ich ja gerade auch schon kurz: Ihr müsst immer darüber auch informieren, was ihr mit Daten macht. Und da gehört auch eine ganze Menge rein, was in so Datenschutzhinweisen drinstehen muss. Da gehe ich jetzt auch nicht in die Tiefe, aber möchte euch zwei Punkte nennen, die jetzt für das heutige Thema auch besonders relevant sind, nämlich dass ihr zum einen mitteilen müsst, welche Empfänger es gibt — oder Kategorien von Empfängern zumindest. Das heißt eben, ihr müsst die Dienstleister benennen. Ja, das heißt, wenn eure Mitgliederverwaltung bei einem Cloud-Tool läuft, wo über so eine Online-Anwendung eure Mitgliederverwaltung macht, z. B., oder wenn ihr die Excel-Liste in den Cloudspeicher hochladet, dann müsst ihr euren Mitgliedern sagen: Hier, wir speichern eure Daten bei diesem Cloud-Tool oder bei diesem Anbieter.
Jetzt steht hier im Wortlaut drin „oder Kategorien von Empfängern“. Da ist dann eine Auslegung, dass man sagt: Na ja, man muss jetzt nicht den konkreten Anbieter benennen, sondern nur sagen, man nutzt einen Online-Cloudspeicher oder so. Die Datenschutzaufsichtsbehörden sagen allerdings: Na ja, wenn man den konkret kennt, dann muss man den auch konkret da reinschreiben. Aber da, worauf ich hinaus will, ist so ein bisschen Spielraum, ne, wenn man vielleicht da häufiger mal den Anbieter wechselt oder so, dass man dann auch sagen kann: Okay, wir fassen das so als Kategorie zusammen, ohne den jeweiligen Anbieter zu nennen. Das ist aber nicht so ganz im Detail geklärt, was das bedeutet.
Dann ist noch ein anderer wichtiger Punkt im Hinblick auf Dienstleister: Man muss eben auch Übermittlungen in Drittländer nennen. Und da kommt eben dieses Thema internationale Datentransfers mit rein, was ich gleich auch noch mal ausführlicher erläutere. Aber — das sagte ich ja eben schon — dadurch, dass viele Cloudanbieter aus dem internationalen Kontext kommen, vor allem eben sehr maßgeblich aus den USA, kann das eben schnell ein Thema werden. Ansonsten ist das natürlich auch ein Thema, wenn ihr im Rahmen von internationaler Zusammenarbeit mit Kooperationspartnern in anderen Ländern arbeitet. Das kann auch ein Thema sein, aber eben auch durch den Einsatz von Cloud-Tools oder anderen digitalen Werkzeugen.
Gut. Dabei möchte ich es jetzt auch belassen, was dieses Thema angeht mit Rechtsgrundlagen und Informationspflichten. Das ist, wenn man so möchte, wirklich der Kern in der Arbeit in der Datenschutzumsetzung, dass man sich mit diesen beiden Themenfeldern befasst — soll aber heute eben nicht zu sehr im Fokus stehen. Wichtig ist eben nur schon mal so fürs weitere Verständnis: Wenn ihr halt einen Cloudanbieter nutzt, dann ist zum einen die Frage, ist dieser Cloudanbieter sicher, vertrauenswürdig, habt ihr da alles geregelt, was ihr mit ihm regeln müsst? Aber ihr braucht auch immer für eure eigene Datenverarbeitung eine eigene Rechtsgrundlage. Ja, z. B. beim Thema Mitgliederverwaltung — da weiß ja, wenn ihr da nur eine Excel-Liste in allgemeinen Dateispeicher hochladet, der Anbieter gar nicht, dass das eure Mitgliederverwaltung ist, was das jetzt so konkret bedeutet. Sondern da ist eben eure Aufgabe, zu gucken, welche Rechtsgrundlage passt da. Das wäre bei der Mitgliederverwaltung z. B. der Vertrag, und ihr müsst dann auch im Rahmen von Informationspflichten eure Mitglieder informieren. Das sind jetzt alles keine Aufgaben, die der Cloudanbieter hat, sondern das bleiben eben eure Aufgaben.
Gut, das zu dem Themenfeld. Ansonsten möchte ich noch etwas ausführlicher auf die Rechenschaftspflicht und die technisch-organisatorischen Maßnahmen eingehen. Das ist eben dieser technische Datenschutz, den ich vorhin schon ansprach. Und da ist es eben zum einen so — das sagte ich ja gerade schon —, die Rechenschaftspflicht ist eben einer dieser Grundsätze von der Datenschutzgrundverordnung. Das heißt eben, ihr müsst proaktiv handeln, und jetzt gerade im Kontext von Dienstleistern: Man kann dann auch nicht die eigene Verantwortung auf den Dienstleister abschieben. Ja. Also ganz häufig ist so eine Sichtweise das — oder auch eine Frage, die gefragt wird: Ja, ist denn dieser oder jener Dienstleister datenschutzkonform? Da sage ich immer drauf: Es gibt keine datenschutzkonformen Dienstleister oder Tools, sondern es gibt nur datenschutzkonform nutzbare Tools. Worauf ich hinaus will, ist eben: Ihr habt einen eigenen Anteil da dran, ihr habt selber eigene Pflichten. Es gibt Anbieter, die machen es einem so gut wie — ja, quasi unmöglich, die datenschutzkonform zu nutzen, weil da auf deren Seite irgendwas nicht passt. Aber es ist in jedem Fall eben so, dass ihr einen eigenen Anteil dran habt. Das ist eben vor allem dieses Feld Rechtsgrundlagen und Informationspflichten, was ich gerade nannte. Aber ihr müsst z. B. auch je nachdem bestimmte Verträge mit den Dienstleistern schließen. Da kommen wir dann gleich im Folgenden drauf.
Mir geht’s aber eben jetzt gerade drum, einfach euch deutlich zu machen: Das ist nicht nur eine Frage der Auswahl des Dienstleisters — welchen nehme ich da, Firma A oder B —, sondern ihr müsst euch eben auch etwas detaillierter um eure eigenen Datenschutzpflichten kümmern, und die kann euch auch der Dienstleister nicht abnehmen, auch wenn die dann werbemäßig schön dran schreiben: „Alles DSGVO-konform bei uns.“ Das heißt nicht, ihr seid automatisch safe, sobald ihr die benutzt, sondern das heißt eben nur, ihr könnt das datenschutzkonform nutzen. Das ist natürlich in — sage ich mal — der vom Marketing aufpolierten Darstellung von solchen Online-Tools dann häufig nicht so detailliert erklärt. Aber deswegen gehen wir da ja heute eben durch.
Ja, das ist ein wichtiger Punkt. Der andere ist eben, dass dieser technische Datenschutz sichergestellt werden muss. Das heißt, es müssen dem Risiko angemessene geeignete technische und organisatorische Maßnahmen getroffen werden. Diese technisch-organisatorischen Maßnahmen sind auch ein relativ weites Feld. Da geht’s zum einen drum, wie ihr euch selbst organisiert: Wie sind eure Computersysteme konfiguriert, habt ihr, wenn es Papierdinge sind, einen abschließbaren Aktenschrank, wenn das ein öffentlich zugänglicher Raum ist? Aber eben auch „dem Risiko angemessen“. Das war ja gestern im Webinar von der Sophia Wester der große Fokus. Da gehe ich jetzt entsprechend auch nicht tiefer rein. Ich möchte aber heute eben darauf hinaus: Auch da wieder müsst ihr gucken, was ist euer Anteil in der eigenen Organisation, und was ist eben der Teil, den euch dann tatsächlich ein Dienstleister abnehmen kann — wo ihr dann eben durch eine sorgfältige Auswahl von so einem Dienstleister oder Auftragsverarbeiter, wie man das dann auch nennt, eben dafür sorgen müsst, dass das dann insgesamt als Gesamtpaket alles eine sinnvolle Zusammenstellung ist. Und da kommt’s, wie gesagt, etwas aufs Risiko dann auch an. Das heißt eben, wenn man jetzt relativ belanglose Daten hat von dem Ortsverein, wo eh alles quasi öffentlich stattfindet, dann ist das eine andere Nummer, als wenn man jetzt eine Selbsthilfegruppe ist für eine bestimmte psychische Erkrankung, z. B. Ja, also da kommt’s eben auf das Risiko an, wie viel Aufwand man da reinstecken muss — sowohl auf der eigenen Seite als auch beim Dienstleister. Und dadurch kann es eben sein, dass der eine Dienstleister für den einen Kunden geeignet ist und für den anderen aber auch nicht.
Ja, das ist so der eine Teil gewesen — die allgemeinen Datenschutzpflichten gerade erstmal im Überblick —, und jetzt gibt’s ja ein paar Themenfelder, wo ich jetzt mit spezifischerem Blick auf Dienstleister und Tools einfach detaillierter rein möchte. Und das eine ist eben dieses Thema der Verantwortlichkeit. Das wurde jetzt ja gerade schon deutlich. Es gibt immer einen eigenen Anteil, den ihr weiter an Verantwortlichkeit tragt. Ja, ihr könnt nicht die Datenschutzverantwortung zu dem Dienstleister komplett abgeben, aber die Dienstleister haben natürlich auch ihren eigenen Teil da dran, und da gibt’s unterschiedliche Konzepte für unterschiedliche Konstellationen oder Fallgruppen. Und das wird hier zugegebenermaßen etwas konzeptuell-technisch, aber da müssen wir jetzt leider einmal durch, weil eben diese verschiedenen Tools, die auch von euch schon genannt wurden — ne, bei der Anmeldung, bei den Erwartungen, was euch so interessiert —, in verschiedene Fallgruppen eingeteilt werden und man das dann eben nicht auf die gleiche Art behandeln kann.
Deswegen gehen wir das jetzt einmal durch, welche Fallgruppen es da gibt, und da komme ich so auf dreieinhalb verschiedene Konzepte. Warum das halbe, sage ich dann gleich am Ende natürlich was zu.
Ja, die eine Konstellation, die es gibt, ist: Da gibt’s euren Verein — also es kann Verein sein, kann aber auch eine andere Organisationsform sein, die ihr habt. Ich spreche jetzt hier heute immer von Vereinen, aber fühlt euch da als gGmbH oder sonstige Organisation gerne mitgemeint. Und dann ist eben eine häufige Konstellation, die es gibt: Ihr selber habt irgendwelche Daten, und ihr gebt die an eine andere Organisation, und diese andere Organisation — das könnte z. B. euer Dachverband sein — macht mit den Daten was für eigene Zwecke. Das heißt, ihr habt gar nichts davon, dass diese andere Organisation was mit den Daten macht, sondern die andere Organisation hat da ein Interesse dran, und diese Interessen, die ihr habt, die sind auch unterschiedlich gelagert. Ja, das ist wirklich quasi eine getrennte Sache, aber irgendwo gibt’s dann halt doch den Bedarf, dass man Daten austauscht, und dann ist es eben so, dass sowohl ihr als auch der Empfänger der Daten jeweils eine eigene Datenverarbeitung habt. Ihr braucht jeweils eine eigene Rechtsgrundlage, und ihr habt auch jeweils eigene Informationspflichten zu erfüllen.
Also das ist eine ganz häufige Konstellation. Das hat man z. B. dann — jetzt neben dem Beispiel mit dem Dachverband — auch in so Fällen, wenn man z. B. die Bank — wenn die Bank Zahlungsdaten verarbeitet. Da sagt man, das ist eben auch was, wo die Bank das für eigene Zwecke macht. Da könnte man jetzt schon fast sagen, da ist das nicht so ähnlich wie so ein Cloud-Tool? Nee, an der Stelle sagt man tatsächlich, nee, das ist anders gelagert. Die Bank macht was für eigene Zwecke mit den Daten. Das könnte aber auch z. B. dann der Fall sein, wenn ihr einen Fördermittelgeber habt, der als Nachweis eine Teilnehmerliste haben möchte. Da stellt sich natürlich die Frage: Dürft ihr diese Liste einfach rausgeben, oder braucht ihr da eine Einwilligung für? Aber das ist eben dieses Thema der Rechtsgrundlagen. Ihr müsst also für euch klären: Auf welcher Grundlage gebt ihr die Daten eigentlich weiter?
Dann gibt’s die Konstellation, dass der Empfänger die Daten für einen gemeinsam verfolgten Zweck nutzt. Das wäre z. B. viel so, wenn es wirklich ein Kooperationsprojekt gibt, wo beide Beteiligten in ähnlich gelagerten Formen Interesse haben, auf die Daten zuzugreifen, weil man z. B. eine Befragung gemacht hat, wo auch personalisierte Daten mit drin sind. Man hat für Rückfragen da vielleicht die E-Mail-Adresse mit drin bei der Befragung, die man gemacht hat, und beide Kooperationspartner kriegen Zugriff auf die Daten. Das wäre jetzt so ein klassisches Beispiel, wo man dann eine gemeinsame Verantwortlichkeit hat. Und da braucht ihr dann auch jeweils jeder eine Rechtsgrundlage, und auch Informationspflichten müssen erfüllt werden, aber man braucht zusätzlich dann noch eine Vereinbarung zur gemeinsamen Verantwortlichkeit. Und da geht’s darum im Kern, dass ihr drüber informieren müsst: Wer hat eigentlich bei euch welche Pflichten gegenüber den betroffenen Personen, sodass die nicht von A nach B geschickt werden? Das wird z. B. jetzt so im Dienstleisterbereich bei Social Media ein Thema sein. Und da geht’s dann eben drum, dass z. B. nicht, wenn ihr jetzt eine Facebook-Seite habt — zu dem Beispiel komme ich dann gegen Ende noch —, dass Facebook sagt: „Na ja, das ist ja die Facebook-Seite von dem Verein, wende dich doch bitte an den Verein.“ Und ihr sagt: „Na ja, aber das ist doch Facebook. Was wissen wir denn, was die für Technik dahinter haben?“ — und schickt die Person dann zu Facebook. Also, um dieses Szenario zu vermeiden, dass jemand hin- und hergeschickt wird, muss man eben eine Vereinbarung treffen: Wer ist denn für was zuständig in unserer Zusammenarbeit? Das ist die Idee dahinter.
Ja, und dann gibt’s eigentlich die häufigste Konstellation so im Bereich von Dienstleistern und Tools — vor allem, wenn es Richtung Cloud geht —, dass der Empfänger die Daten nur nutzt, um eine Dienstleistung für euch zu erbringen. Das heißt, der Empfänger der Daten nutzt die gar nicht für eigene Zwecke, sondern der macht mit den Daten im Endeffekt nur das, was ihr auch wollt. Der ist dann euer Auftragsverarbeiter, so nennt man das. Und das ist eben eine ganz häufige Konstellation, z. B. ganz klassisch jetzt bei einem Dateispeicher, bei einer Online-Mitgliederverwaltung etc. Den Dienstleister interessiert nicht, dass Max Müller bei euch Mitglied ist, ne? Der hat einfach nur die Datenbank und die Software und kriegt dann auch von euch Geld dafür, dass der euch diese Software zur Verfügung stellt. Aber es ist eben auf den Servern des Anbieters gespeichert, und deswegen bekommt er die Daten rein technisch von euch. Und dann spricht man da eben von Auftragsverarbeitung, und da braucht ihr dann eine bestimmte Vereinbarung, einen sogenannten Auftragsverarbeitungsvertrag, und da gehen wir dann gleich auch noch mal ausführlicher drauf ein. Das ist eben ein sehr wichtiges Konzept bei der Zusammenarbeit mit Dienstleistern.
Ja, und jetzt gibt’s grob diese drei Fallgruppen: dass der Empfänger die Daten für einen eigenen Zweck nutzt, der unterschiedlich ist zu eurem; dass ihr mit dem Empfänger gemeinsame Zwecke verfolgt; oder dass der Empfänger eigentlich gar nichts mit den Daten macht, wo er selbst dran interessiert ist, sondern nur eine Dienstleistung für euch erbringt. Und dann gibt’s aber noch den Sonderfall, dass andere gesetzliche Regelungen greifen und die Verarbeitung nicht der Datenschutzgrundverordnung direkt unterliegt, sondern eben durch andere Gesetze geregelt wird. Und das ist vor allem im Bereich Tools relevant bei Messengern, Telefon und Videokonferenzen. Da ist es nämlich so, dass das Fernmeldegeheimnis dann gilt und dass dann die eigentliche Übertragung von Bild, Sprache, Nachrichten gar nicht Sache der DSGVO ist, sondern da gibt’s eben im Telekommunikationsgesetz und im — jetzt kommt sehr langer Name — Telekommunikations-Digitale-Dienste-Datenschutzgesetz spezielle Regeln dann für diesen Bereich, und dann gilt an den Stellen die Datenschutzgrundverordnung gar nicht, aber an vielen Stellen drumherum dann schon. Das ist noch mal so eine separate Geschichte, da komme ich dann auch beim Thema Videokonferenz später noch kurz zu.
Ja, nachdem wir jetzt diese verschiedenen Fallgruppen durch sind, möchte ich noch etwas ausführlicher was zur Auftragsverarbeitung sagen und auch zur gemeinsamen Verantwortlichkeit noch. Und zwar ist es in diesen beiden Fällen — sowohl wenn ihr mit dem Kooperationspartner gemeinsam verantwortlich seid, als auch wenn ihr einen Dienstleister habt, der ein Auftragsverarbeiter für euch ist — so, dass die Sachlage entscheidet. Manchmal ist da die Denke da: Na ja, wir haben ja nicht so einen Vertrag geschlossen, dann ist das ja auch nicht so. Das ist aber eben andersrum: Sobald diese Konstellation gegeben ist, seid ihr in der Pflicht, einen passenden Vertrag zu schließen. Ja, also nur weil ihr da sagt — vielleicht denkt: „Wir haben so Verträge nicht, dann ist das ja auch nicht so“ —, das hat nichts zu bedeuten erstmal, sondern ihr müsst eben gucken: Ist das so eine Konstellation? Und dann müsst ihr euch mit dem Dienstleister in Verbindung setzen und gucken, dass ihr so einen passenden Vertrag bekommt. So ist da die Logik in der Datenschutzgrundverordnung.
Ja, und bei der Auftragsverarbeitung — das ist wie gesagt das praxisrelevanteste Szenario —, das gilt eigentlich für alle Arten von Tools. Ich habe hier unten einige Beispiele aufgelistet: also ein klassischer Cloudspeicher für Dateien oder auch andere Inhalte wie Kalender, Adressbuch etc., eine Online-Mitgliederverwaltung — da gibt’s ja einige Softwareangebote für, wo man das halt nicht auf dem eigenen PC speichert, sondern die Daten bei einem Anbieter auf deren Servern gespeichert sind —, bei CRM-Systemen (Customer Relationship Management), in der Terminologie eher was für Unternehmen, aber wird ja auch im Vereinsbereich größerer Organisationen gerne benutzt; bei Newsletter-Anbietern, wo man dann über deren Software Newsletter verschickt; bei Webhosting, also wo eure Website technisch gespeichert wird; aber auch bei sonstigen Webanwendungen, die auch gerne kostenlos sein dürfen. Ja, also häufig denkt man ja: „Ach, das ist ja nur so ein kleines Tool“, wie z. B. Padlet, wo man dann neben der Videokonferenz ein bisschen Input von den Teilnehmenden sammelt, denkt man: „Das ist ja nur so ein kostenloses Online-Tool“, aber es ist halt ein Dienst, wo Daten auf dem Server des Anbieters landen und auch schon durch die Nutzung dieses Onlinedienstes Daten gesammelt werden. Und weil ihr das nutzt, das initiiert, seid ihr dann verantwortlich, und dieses Tool — oder der Dienstleister dahinter — ist euer Auftragsverarbeiter. Und das hat man vielleicht dann auch gerade bei so kostenlosen Angeboten manchmal gar nicht so auf dem Schirm, dass man da ja auch aufpassen muss. Aber auch das sind eben so Konstellationen, wo das entsprechend gilt.
Ja, und eben bei diesen Auftragsverarbeitungen, wo der Dienstleister was mit den Daten macht, weil ihr das gerne als Dienstleistung so haben möchtet, ist es eben so: Ihr müsst den Dienstleister auch sorgfältig auswählen, und ihr müsst einen Vertrag mit dem schließen, der den so an euch bindet, dass ihr die Kontrolle über die Daten habt. Dieser Auftragsverarbeitungsvertrag, wie ich den gerade schon mal benannt hatte, hat im Kern den Zweck, dass der Dienstleister nichts für eigene Zwecke mit den Daten machen darf, sondern dass der mit den Daten nur das macht, was ihr möchtet. Das ist eigentlich voll zu eurem Vorteil. Nichtsdestotrotz ist es rein praktisch natürlich eine Hürde, dass ihr so einen Auftragsverarbeitungsvertrag dann abschließen müsst und da eben so einen extra Schritt habt, ne, wo ihr erstmal das klären müsst, prüfen müsst, euch drum kümmern müsst. Aber — will ich eben drauf hinaus —: eigentlich voll zu eurem Vorteil. Der Dienstleister ist dann eben durch diesen Vertrag und diese Bindung, wenn man so möchte, wie euer verlängerter Arm. Ja, der macht mit den Daten nur das, was ihr quasi möchtet. Und damit kann man aber auch sagen — oder das ist dann die Regelung, wie das dann in der Datenschutzgrundverordnung umgesetzt ist —, dass es eben wie eine eigene Datenverarbeitung ist, nur dass es eben nicht auf eigenen Systemen stattfindet, sondern die Systeme des Dienstleisters genutzt werden. Und das bedeutet aber: Ihr braucht keine gesonderte Rechtsgrundlage für die Übermittlung der Daten zum Dienstleister. Ja, das heißt jetzt bei dem Beispiel Mitgliederverwaltung: Ihr müsst trotzdem sagen, okay, unsere Rechtsgrundlage ist der Vertrag über die Mitgliedschaft, aber ob die Mitgliederliste dann bei euch auf dem eigenen Computer liegt oder ob da ein Online-Tool zum Einsatz kommt, macht im Blick auf die Rechtsgrundlagen keinen Unterschied, weil ihr eben so einen Auftragsverarbeitungsvertrag geschlossen habt und der Dienstleister mit den Daten nur das machen darf, was ihr auch möchtet. Das ist also dann der große Vorteil von der Auftragsverarbeitung.
Wichtig ist aber trotzdem eben — das sagte ich ja gerade schon —: Ihr bleibt im Großen und Ganzen dafür verantwortlich, was mit den Daten passiert. Und der Dienstleister hat eben nur sehr eingeschränkte Pflichten im Rahmen dieser Rolle als Auftragsverarbeiter. Und für alle anderen Themen wie z. B. auch die Informationspflichten — das Drüber-Informieren: Was passiert mit den Daten, wo werden die gespeichert etc. —, da bleibt ihr weiter verantwortlich. Und wie ich ja gerade schon sagte: Ihr müsst dann die Dienstleister auch benennen im Rahmen von euren Datenschutzhinweisen.
Ja, und das zum Thema Auftragsverarbeitung und diesen verschiedenen Fallgruppen, die wir gerade hatten — also auch mit gemeinsamer Verantwortlichkeit und einem Empfänger, der was Eigenes mit den Daten macht. Kommen wir dann jetzt auf das dritte, etwas theoretischere Thema, nämlich die internationalen Datentransfers. Das spielt generell immer dann eine Rolle, wenn Daten außerhalb des Europäischen Wirtschaftsraums landen. Europäischer Wirtschaftsraum, das ist neben der EU auch Island, Liechtenstein und Norwegen. Und in diesen Ländern gilt die DSGVO direkt. Dann ist das eben einheitlich geregelt. Das ist ja auch die Idee der DSGVO: Da gibt’s einheitliche Regeln, wo man dann nicht je nach Land irgendwas unterschiedlich machen muss. Also, wenn es innerhalb des Europäischen Wirtschaftsraums bleibt, ist es sowieso kein Problem.
Und wenn jetzt aber Daten den Europäischen Wirtschaftsraum verlassen, dann gibt’s eben extra Regeln, die man noch mal beachten muss im Blick darauf: Ist das denn sicher genug in dem Land, wo die Daten hingehen, oder müssten da erhöhte Schutzmaßnahmen getroffen werden? Und das betrifft zum einen — sagte ich vorhin ja schon — internationale Zusammenarbeit, wo ihr wirklich bewusst Daten mit anderen Partnern in anderen Ländern austauscht, aber eben auch dann etwas verdeckter im Rahmen von so Auftragsverarbeitung oder Online-Tools — also Dienstleister, die international tätig sind.
Und da gibt es einige Drittländer, für die gibt es sogenannte Angemessenheitsbeschlüsse. Da hat die Europäische Kommission das geprüft, hat gesagt: „Ah ja, das Datenschutzrecht in den Ländern, das ist so vergleichbar zu unserem, das passt.“ Ja — Stempel drauf, ist in Ordnung. Ihr müsst trotzdem dann in den Datenschutzhinweisen diese Länder benennen. Das heißt, wenn ihr einen Schweizer Clouddienstleister z. B. habt, müsst ihr sagen: Die Daten werden in der Schweiz gespeichert. Aber ihr habt jetzt keine sonstigen extra Regelungen zu beachten, weil die Schweiz eben als ein angemessenes Drittland gilt, wo das Datenschutzniveau vergleichbar ist. Die Liste von den Ländern, die das aktuell sind, habe ich auf der Folie mit drauf. Ich gehe jetzt nicht alle durch — oder vielleicht neben der Schweiz noch, auch praxisrelevant: Vereinigtes Königreich; die sind nach dem Brexit dann entsprechend so anerkannt worden. Vorher galt dann ja auch die DSGVO. Genau. Und dann — das sind eben, glaube ich, so mit Schweiz und UK dann auch die praxisrelevantesten so im Bereich Cloud-Tools.
Dann gibt’s aber eben auch noch neben diesen einfachen Fällen einige Fälle, wo es leider kompliziert ist: nämlich es gibt sogenannte Angemessenheitsbeschlüsse auch für Kanada und die USA. In Kanada ist es allerdings so, dass da nur kommerzielle Organisationen quasi von abgedeckt sind, und in den USA ist es so, dass es nur kommerzielle Organisationen sind, die an einem bestimmten Selbstzertifizierungsprogramm teilnehmen. Also da ist es dann wirklich so ein bisschen auch ein Einzelfallthema: zu gucken, ist die jeweilige Organisation, mit der wir da zusammenarbeiten, überhaupt von des Angemessenheitsbeschlüssen abgedeckt oder nicht? Ansonsten gibt’s aber auch Mechanismen — unabhängig von dem Land —, wo man dann extra Regelungen trifft. Das sind zum einen sogenannte Standardvertragsklauseln, auf Englisch SCCs (Standard Contractual Clauses). Und das sind Verträge, die ihr dann mit dem jeweiligen Dienstleister abschließen müsst, wo noch mal extra Dinge drin geregelt sind, wie der euch zusichert, dass — unabhängig von dem Datenschutzniveau in dem Land — er so mit den Daten umgeht, dass das am Ende doch wieder alles seine Richtigkeit hat. Das kann aber durch Überwachungsmaßnahmen im jeweiligen Land auch unmöglich werden. Ja. Also das ist so ein bisschen der „Knick“ da dran, dass man vielleicht so einen Vertrag hat, den der Anbieter unterschreibt, aber ein Gericht nachher sagen könnte: „Na ja, da haben aber die Geheimdienste so krasse Aktivitäten und Zugriffe auf Daten — das geht ja eigentlich gar nicht. Das, was ihr da unterschrieben habt, könnt ihr gar nicht erfüllen.“
Und das ist gerade im Fall USA auch ein riesen Thema. Euch ist das vielleicht bekannt: Datentransfers in die USA sind im Laufe der letzten — ja, jetzt ist es schon 10 Jahre, muss man sagen — immer mal wieder in Diskussion gewesen. Es kam also vor allem nach den Snowden-Enthüllungen, die der Edward Snowden — wo er aufgedeckt hat, was die amerikanischen Geheimdienste mit den Techkonzernen zusammen machen dort —, dass dann der Europäische Gerichtshof mehrmals diese Angemessenheitsbeschlüsse für die USA gekippt hat und dann auch diese Standardvertragsklauseln zwischendurch eben auch fragwürdig waren, ob die überhaupt gültig sein können oder nicht. Also, deswegen sind die USA leider so ein Wackelkandidat. Die letzten Jahre war es jetzt eigentlich wieder zulässig. Es gab ein neues Abkommen mit zusätzlichen Maßnahmen auf US-Seite, die jetzt aber gerade von Donald Trump eben auch mit abgesägt werden — wie vieles andere, wo gerade Sparmaßnahmen angesetzt werden. Und da wurden jetzt Richter von so einem — ja, von dem Gericht, wo sich dann EU-Bürger hinwenden können — abgesetzt, und daher ist gerade unklar: Kann das eigentlich noch rechtens sein? Die Europäische Kommission hat es noch nicht widerrufen. Das könnte allerdings was sein, was in den nächsten Monaten passiert. Ja, das heißt: amerikanische Anbieter sind so ein bisschen eine wackelige Kiste. Und da sollte man sich eben überlegen: Ist das wirklich notwendig, tun wir uns damit einen Gefallen, oder gucken wir uns nicht besser nach Alternativen aus der EU um, wo wir dann auf der sicheren Seite sind?
Es gibt auch noch andere Mechanismen. Das ist jetzt eher sowas für konzerninterne Datentransfers — mit Binding Corporate Rules und Code of Conducts. Und man kann dann auch in manchen Sonderfällen sich von der Person, um deren Daten es geht, eine Einwilligung holen. Das ist allerdings nur für Sonderfälle gedacht. Und man muss dann auch über die Risiken aufklären. Also, das ist auch nicht gerade praxistauglich und auch die Frage, in welchen Fällen kann man das überhaupt nutzen. Deswegen gehe ich da jetzt nicht näher drauf ein.
Wenn keines dieser Instrumente möglich ist, dann ist die Folge aber tatsächlich auch, dass man einfach die Daten in dieses Drittland nicht übermitteln darf. Ja, das heißt eben — also es kann tatsächlich Fälle geben… Genau: Vertragserfüllung gibt’s auch noch. Das wäre jetzt so das Beispiel Hotelbuchung, ne? Ich will in die USA reisen, und dann braucht das Hotel natürlich meine Daten. So Fälle gibt’s auch. Aber ich will eben darauf hinaus: Es kann auch Fälle geben — da passen diese Mechanismen alle nicht — und dann dürft ihr eben den Dienstleister in dem Land einfach nicht nutzen. Oder es sind eben dann so Fälle jetzt mit den USA, wo das wackelig ist.
Wichtig ist mir noch an der Stelle zu erwähnen: Der Serverstandort reicht nicht aus. Also häufig wird dann von den Anbietern argumentiert: „Na ja, wir sind zwar ein amerikanisches Unternehmen, aber wir haben ja unsere Server in der EU.“ Das reicht aber nicht unbedingt, weil die sich häufig trotzdem das Recht rausnehmen, aus den USA auf die Daten zuzugreifen. Ja, das heißt, die Techniker greifen halt von ihren Arbeitsplätzen in den USA oder in anderen Ländern da drauf zu. Und deswegen: Serverstandort EU — auch wenn das marketingmäßig erstmal schön klingt — reicht eben in vielen Fällen leider dann auch nicht aus. Und — genau — ist ein komplexes Feld für sich. Habe ich jetzt gerade auch schon relativ ausführlich behandelt. Am einfachsten ist es, wie gesagt, wenn es im Europäischen Wirtschaftsraum bleibt. Dann gilt die DSGVO direkt, dann hat man dieses Thema nicht.
Gut, kommen wir dann aber auch — weil es zeitlich auch schon etwas fortgeschrittener ist — zu den praktischen Anwendungsfällen, wo ich diese Prinzipien, die ich jetzt gerade etwas abstrakter durchgegangen bin, dann auch mal versuche, etwas praxisnäher anzuwenden. Das eine Themenfeld ist eben dann, wenn Auftragsverarbeiter eine Rolle spielen — und das ist eben beim Thema Cloud, aber z. B. auch bei Webhosting oder bei anderen technischen Tools Thema. Da ist eben grundsätzlich — vielleicht für euch eine hilfreiche Denkweise —: Es gibt diesen Spruch „Es gibt keine Cloud, es gibt nur die Computer anderer Leute“. Dass ihr euch klarmacht: Die Daten liegen halt wirklich auf den Computern von anderen, von der Organisation, von dem Dienstleister. Und da ist natürlich dann die Frage: Vertraue ich dem Dienstleister überhaupt? Und das ist — neben so einer, sage ich mal, jetzt etwas abstrakteren Vertrauensfrage — was, was man dann eben in formalisierter Form über diesen Auftragsverarbeitungsvertrag macht.
Und wie gesagt, die Maßnahmen des Anbieters müssen den Risiken der Datenverarbeitung angemessen sein. Das heißt eben, ihr müsst den Anbieter sorgfältig auswählen, ihr müsst diesen Auftragsverarbeitungsvertrag anfragen, ihr müsst den auch inhaltlich in gewissem Rahmen zumindest prüfen. Und ganz wichtig: Dieser Vertrag muss im Namen des Vereins abgeschlossen werden. Was man bei ehrenamtlich Engagierten ja häufig sieht, ist, dass die private Computer benutzen. Da kann man auch im Rahmen von so Verpflichtungserklärungen — auch da hatte die Sophia Wester in ihrem Vortrag gestern was zu gesagt — drauf hinwirken, dass private IT-Nutzung auch möglich ist. Aber was halt nicht geht, ist, wenn private Cloud-Accounts genutzt werden, weil dann laufen die Verträge gar nicht auf euren Verein, sondern auf die Einzelpersonen. Ja, und ihr braucht diesen Vertrag im Namen eures Vereins. Das ist eben ganz wichtig.
Ja, und wie wählt man jetzt einen Anbieter aus? Da ist zum einen natürlich die Frage: Ist der im Europäischen Wirtschaftsraum, oder gibt’s zumindest für das Land einen Angemessenheitsbeschluss oder alternativ sonst diese Standard Contractual Clauses, die ich vorhin genannt hatte — auf die internationalen Datentransfers, ne, dass ihr das Thema eben klärt. Dann solltet ihr gucken: Was sind denn eigentlich die Leistungen, die angeboten werden? Also, das sollte auch in dem Auftragsverarbeitungsvertrag drinstehen, und das sollte einfach auch zu dem passen, was ihr braucht, ja. Wenn es z. B. ein Dienst ist, wo man keine verschiedenen Benutzer mit verschiedenen Rollen anlegen kann, dann kann das für manche Nutzungsszenarien passend sein, für andere aber auch nicht. Das heißt eben so Thema Benutzer- und Rechteverwaltung, Backup — einfach auch zu gucken: Sind die Funktionen überhaupt passend für das, was wir damit vorhaben?
Und dann ist eben auch ein Thema, dass ihr gucken solltet, dass die allgemeinen Geschäftsbedingungen des Anbieters auch zu dem passen, was ihr damit vorhabt. Das ist eben gerade auch wieder ein Thema mit so kostenlosen Accounts, die man aus dem privaten Kontext kennt. Es gibt viele Anbieter, die bieten für private Nutzung kostenlose Accounts, sagen aber: Für gewerbliche Nutzung — wo dann auch in den Definitionen, die in diesen Verträgen häufig drin sind, Vereine dazuzählen —, da braucht ihr andere Verträge, kostenpflichtige Abos, die dann häufig auch schnell teuer werden. Also dieses scheinbar Kostenlose, was man aus dem Privatumfeld kennt, das geht häufig in so einem Kontext nicht. Und meistens kriegt man eben diesen Auftragsverarbeitungsvertrag dann auch nur bei den Firmenaccounts und nicht bei den kostenlosen Privatkunden-Accounts. Also, das ist eben auch so ein Thema, wo ihr einfach gucken müsst: Passt das von dem Produkt her, was ihr da vorhabt, zu dem, was wir vorhaben?
Ja, dieser Auftragsverarbeitungsvertrag an sich — der ist bei manchen Anbietern in den allgemeinen Geschäftsbedingungen mit integriert. Das ist z. B. bei IONOS seit einigen Jahren so. Es gibt aber viele Anbieter, da muss man das separat abschließen. Das ist häufig dann irgendwo im Hilfebereich des Anbieters mit untergebracht, dass man das teilweise auch online direkt dann klicken kann. Manchmal muss man auch über wirklich einen Papiervertrag beim Support anfragen und den zurückschicken. Das kann also verschiedene Formen haben, aber ihr müsst da eben dann mal auf die Suche gehen. Und bei der Suche kann es dann auch noch hilfreich sein zu wissen, dass sich das auf Englisch meistens „Data Processing Addendum“, kurz DPA, nennt.
Ja, dann solltet ihr — sagte ich ja vorhin auch schon — in diesem Vertrag inhaltlich tatsächlich auch mal reinschauen. Da ist jetzt zugegebenermaßen — wenn man nicht sehr tief in der Technik und im Datenschutzrecht drin ist — schwierig, das wirklich formell zu prüfen. Aber wichtig ist natürlich schon mal der Punkt: Passt das überhaupt zu dem, was ihr da im Vertrag abschließt — das, was in diesem Auftragsverarbeitungsvertrag drinsteht? Dann ist ein Thema, dass die technisch-organisatorischen Maßnahmen eben ausreichend sein müssen und auch beschrieben werden müssen. Also, der Anbieter muss sagen, wie sorgt er dafür, dass das technisch sicher ist? Das wird teilweise über Zertifizierungen gemacht, dass die dann anerkannte internationale Zertifizierungen haben. Da ist z. B. ein Schlagwort ISO 27001. Aber bei diesen Zertifizierungen sind auch immer so Geltungsbereiche mit angegeben, und da muss man dann auch mal gucken: Passen die Geltungsbereiche überhaupt zu dem, was da passiert? Und da ist z. B. ein Thema häufig, dass kleinere Anbieter dann die Büroumgebung nicht mit zertifiziert haben. Die sagen dann: „Unsere Daten liegen in dem Rechenzentrum“, aber dass da eben auch Leute vom Büro aus drauf zugreifen, bedeutet ja eben — ja, auch da gibt’s Risiken, und dann muss zumindest beschrieben sein: Wie wird dann im Rahmen von der Büroumgebung sichergestellt, dass technisch sicher mit den Daten gearbeitet wird? Also das so als ein paar Anhaltspunkte, wo man mal drauf achten kann. Das wird dann aber — wie gesagt — ein sehr komplexes Feld.
Ansonsten ist auch ein Thema Subdienstleister. Das gibt’s häufig, dass dann gerade kleinere Firmen gar keine eigenen Rechenzentren haben, sondern die sind dann bei einem Rechenzentrum als Subdienstleister. Auch das muss beschrieben werden und auch da können eben wieder internationale Datentransfers auftreten. Ja, das hat man eben ganz häufig die Konstellation: Dann hat man eine deutsche Firma, die sagt „deutscher Serverstandort“, und dann sind die aber bei Amazon Web Services, bei einem amerikanischen Anbieter, der halt nur ein Rechenzentrum in Deutschland betreibt. Und damit hat man aber das Thema internationale Datentransfers je nach Konstellation trotzdem wieder.
Ja, und formell gibt’s dann im Artikel 28 Absatz 3 der Datenschutzgrundverordnung so eine Reihe von Kriterien, die geregelt sein müssen. Das ist aber eigentlich in allen Vertragsmustern, die da üblich sind, dann immer drin. Aber auch das sollte man, wenn man es formell prüfen will, da mal angeschaut haben. Mir ist klar, dass so eine detaillierte Prüfung, wie ich das hier gerade beschrieben habe, schnell das übersteigt, was ihr sinnvoll leisten könnt. Ich will nur darauf hinaus: Ihr schließt den Vertrag ab, ihr habt die Pflicht, das zu prüfen. Und ich will euch eben hier ein paar Anhaltspunkte geben, wie ihr da zumindest mal grob reingucken könnt und dann vielleicht ein Gefühl entwickelt, ob das ein tauglicher Anbieter ist oder ob der Anbieter, wenn ihr den nach so einem Vertrag fragt, mit den Achseln zuckt und sagt: „Hm, haben wir noch nie gehört.“ Dann wisst ihr: Ah, die haben vielleicht vom Datenschutz selber nicht so viel Ahnung. Das gibt’s tatsächlich auch in der Praxis manchmal.
Ja, und weil es häufig dann eben aufgrund dieser formellen Kriterien mit manchen Anbietern schwierig wird, ist natürlich dann die Frage, die man sich stellt: Was sind denn jetzt unsere Alternativen? Und da sagte ich ja schon, dass so kostenlose, aus dem Privatbereich bekannte Anbieter häufig eben formelle Kriterien als Verein nicht erfüllen oder man dann sehr schnell in sehr teuren Firmenkundentarifen landet. Und deswegen lohnt es sich, mal nach Alternativen umzuschauen. Das können dann eben andere Produkte sein, und da sind aber häufig auch tatsächlich die Webhoster, die so klassische Webhosting-Pakete anbieten für Webseiten. Die bieten häufig auch andere Produkte mit an, wo man sich dann mal umschauen kann, ob es da nicht passende Angebote gibt.
Das wäre zum einen für Dateispeicher. Z. B. ist Nextcloud ein sehr interessantes Produkt. Das ist eine Open-Source-Software, so wie BigBlueButton, was wir jetzt hier gerade nutzen. Und das kann von verschiedenen Anbietern eben benutzt werden, um euch das als fertigen sogenannten Managed Service anzubieten. Und „Managed Service“ heißt in dem Kontext, dass ihr nicht die Software selbst installiert auf einem Server und dann selber auch warten müsst, sondern dass die Wartung von dem Anbieter übernommen wird. Und das ist dadurch dann eben eine ganz interessante Geschichte. Und da gibt’s z. B. eben für so klassische Dateispeicher, Kalender, Adressbuch und ein paar andere Erweiterungen — ist z. B. Nextcloud dann eine interessante Option. Da gibt’s einige Anbieter, die das als Managed Service bieten, und das geht bei manchen Anbietern auch schon bei 5 € im Monat los, wo man dann beliebig viele Benutzerkonten anlegen kann. Das ist eigentlich dann für Vereine eine ganz nette Geschichte.
Bei Newslettern gibt’s auch einige deutsche und EU-Anbieter, die aber teils recht teuer werden. Aber als Alternative kann es dann auch interessant sein, mal zu gucken: Manche Webhoster bieten als Teil ihrer E-Mail-Pakete auch so etwas einfachere Newsletter-Tools an. Aber das ist manchmal nicht so ganz passend. Das ist ein bisschen ein komplexeres Feld für sich dann auch wieder.
Gut. Das soweit zu den — sage ich mal — klassischen Cloud-Tools. Jetzt möchte ich noch kurz auf zum einen Messenger, Videokonferenzen, aber auch auf Social Media noch eingehen. Ich will das jetzt aber wirklich sehr kurz halten, weil wir zeitlich jetzt eigentlich auch schon bei dem angesetzten Zeitpunkt sind, wo ich mit dem Vortrag durch sein sollte. Ich hoffe, ihr seht mir das nach, dass ich da jetzt noch kurz ein paar Minuten in die Felder reingehe. Das sind aber eben Themen, die ihr auch bei den Wünschen vorab genannt hattet. Von daher möchte ich das nicht so ganz ausklammern.
Ja, bei Messengern und Videokonferenzen hatte ich vorhin schon angerissen: Da gibt es dieses sogenannte Fernmeldegeheimnis, wo die eigentliche Übertragung von den Daten dann auch gesetzlich anders geschützt ist. Das sind dann sogenannte interpersonelle Kommunikationsdienste, und das sind eben alle Dienste, die interaktiven Austausch in geschlossenen Gruppen ermöglichen. Ja, also in der Videokonferenz, wo wir jetzt drin sind — das ist ja nicht öffentlich gestreamt, ne, sondern diejenigen, die sich angemeldet haben, die haben den Link bekommen, die sind jetzt hier drin. Aber auch bei Messengergruppen ist das ja z. B. so oder auch bei der 1:1-Kommunikation via E-Mail, via Messenger. Da ist immer das eine geschlossene Gruppe. Und da ist es eben so, dass das Fernmeldegeheimnis — was es schon beim Telefon früher gab — jetzt eben auch für solche Dienste gilt. Eigentlich eine gute Idee. Und das bedeutet aber andersrum eben, dass — weil das dann eine spezialgesetzliche Regelung ist — in diesen Fällen die Datenschutzgrundverordnung gar nicht gilt, sondern dass eben diese speziellen Regelungen aus dem Telekommunikationsgesetz gelten. Und damit könnte man sich eigentlich an manchen Stellen so ein bisschen zurücklehnen und sagen: „Ah ja, dann gilt ja da die DSGVO gar nicht, dann ist ja egal, welchen Messenger wir nehmen, dann hat der Anbieter einfach die Pflicht, das Fernmeldegeheimnis zu erfüllen.“ So ganz einfach ist es aber nicht, weil es häufig bei diesen digitalen Tools Funktionen drumherum gibt. Ja, beim E-Mail-Paket hat man dann noch das Adressbuch mit dabei, was auch auf dem Server gespeichert wird. Das Adressbuch ist dann nicht Teil von der eigentlichen E-Mail-Übertragung, die eigentliche E-Mail-Speicherung auch nicht. Und bei Videokonferenzen kann man dann Videokonferenzräume erstellen, man kann Einladungen rausschicken, man kann Teilnehmende einladen bei vielen Videokonferenztools. Also, ich will drauf hinaus: Da gibt’s meistens so ein Servicepaket drumrum, was dann doch wieder Datenschutzgrundverordnung ist. Also das ist das eine große Aber. Und das andere ist, dass tatsächlich — obwohl das jetzt seit 2021 schon so ist — viele Anbieter und Aufsichtsbehörden sich noch nicht so wirklich auf die veränderte Gesetzeslage eingestellt haben. Und daher würde ich eigentlich empfehlen, immer so einen Auftragsverarbeitungsvertrag trotzdem abzuschließen. Also, diese Anbieter bieten das in der Regel auch an, und dann ist so ein bisschen unklar im Detail: Für was gilt jetzt die DSGVO und für was gilt das Telekommunikationsgesetz? Aber man schließt dann einfach den Auftragsverarbeitungsvertrag ab und ist quasi auf der sicheren Seite. Das wäre so die Praxisempfehlung.
Ansonsten noch etwas praktischer bezüglich Videokonferenzen: Auch da ist wieder das Thema, viele der bekannten Anbieter haben ihren Sitz in den USA. Diese internationalen Datentransfers sind schnell ein Thema. Dann gibt’s eben BigBlueButton, was wir jetzt hier heute benutzen, oder Jitsi als Open-Source-Alternativen, die man als Managed Service bei verschiedenen europäischen Anbietern bekommt, oder auch OpenTalk — das wird von einer deutschen Firma entwickelt, ist aber auch Open Source und könnte auch von anderen dann quasi als Dienst angeboten werden. Ansonsten ist mir noch wichtig, bei Videokonferenzen zu erwähnen, dass eine Aufzeichnung nicht heimlich erfolgt. Das ist tatsächlich was, was im Strafgesetzbuch geregelt ist und dann auch auf Videokonferenzen angewandt werden kann. Und das heißt eben, man sollte auch mit Transkription oder anderen Zusatzfunktionen aufpassen. Also, auch beim gesprochenen Wort gilt Ähnliches: Das darf man nicht einfach so aufzeichnen. Das heißt, mit so Zusatzfunktionen, die die Anbieter anbieten, muss man insofern aufpassen, als dass man das auch mit den Menschen, die in der Videokonferenz drin sind, abklärt.
Bei Messengern ist es so, dass die noch so als Sonderthemen… Man einfach ganz praktisch gesehen mal klären sollte bei Messengergruppen: Wer ist denn eigentlich verantwortlich bei uns? Ja, häufig ist das so: Der Verein richtet so eine Gruppe ein, und dann entwickelt die Gruppe so ein gewisses Eigenleben. Die Leute posten da irgendwelche Inhalte drin, die eigentlich mit dem Verein gar nicht mehr viel zu tun haben. Und da kommen dann natürlich schnell Fragen auf: Wer ist denn jetzt dafür was verantwortlich? Also, das sollte man vielleicht einfach in geregelten Bahnen halten. Und bei Messengern ist auch noch so ein Thema, dass die Teilnehmenden sich ja gegenseitig sehen — in der Regel auch mit Telefonnummern — und gerade bei größeren Gruppen sich ja vielleicht sonst gar nicht kennen würden. Also dieses gegenseitig Sichtbarmachen kann dann auch eine Übermittlung von Daten an Dritte sein, wo man wieder eine Rechtsgrundlage für bräuchte und im Zweifel dann fragen muss: Ist dir das überhaupt recht, wenn du gegenüber all diesen anderen Menschen bekannt wirst? Also, man stellt sich jetzt mal vor, eine Organisation von einer Selbsthilfegruppe für eine bestimmte Erkrankung, wo die so einen Infokanal einrichten wollen, und dann wird da die Messengergruppe mit hunderten Betroffenen eingerichtet, die sich vielleicht vorher noch gar nicht in der Größenordnung kannten. Also, das sind einfach so die Risiken, auf die ich da gerade hinaus will.
Ja, und weil das häufig gefragt wird mit WhatsApp im Speziellen — das ist ja doch einfach der größte gemeinsame Nenner unter den Messengern. Da hat man immer das Problem: Wenn man dann einen datenschutzfreundlicheren Messenger nimmt, den haben dann aber halt nicht alle. Und deswegen landet man ja doch meistens bei WhatsApp. Da ist es leider so, dass WhatsApp auf gleich mehreren Ebenen problematisch ist. Die haben zum einen das große Thema: also US-Anbieter. Sind aber auch — was das ganz große Problem ist —: Die analysieren die Adressbücher. Also, wenn man sich die Software installiert, wird das Adressbuch hochgeladen, und in den Nutzungsbedingungen steht drin, man hat alle Leute, die man in seinem Adressbuch gespeichert hat, mit denen geklärt, dass man die Daten an WhatsApp weitergeben darf. Das kann man als Privatperson sich überlegen, ob man das cool findet oder nicht. Meta, die Betreiberin von WhatsApp, nutzt das eben dann tatsächlich für die Werbeprofile auch, die sie auf Facebook und Instagram haben, wo sie mit Werbung ihr Geld verdienen. Da kann man im Privatbereich das so oder so finden. Nur wenn man als Verein quasi dann andere dazu anstiftet, sich die Software zu installieren, um am Vereinsleben teilzunehmen, dann rutscht man da halt in so eine Verantwortlichkeit mit rein, wo man sich zweimal fragen sollte: Will man das? Das ist bei WhatsApp einfach der große Knackpunkt. Und jetzt neu — auch noch mit diesen KI-Funktionen, die sie eingebaut haben, wo so ein bisschen unklar ist, inwiefern dann nicht doch Gesprächsinhalte in diese KI-Tools mit reinfließen — ist das halt auch von der Verschlüsselung und Sicherheit her jetzt gerade auch etwas fragwürdiger, als es vielleicht vorher war. Also, das einfach vielleicht kurz zum Thema Messenger. Aber auch dazu habe ich bei den weiterführenden Links in den Folien was drin.
Ja, und jetzt noch ganz kurz zu sozialen Netzwerken. Da ist das Thema, dass ihr in eine gemeinsame Verantwortlichkeit mit dem Betreiber von dem sozialen Netzwerk reinrutschen könnt. Das ist im Fall von Facebook-Seiten gerichtlich geklärt, dass es so ist. Da bietet einem dann Facebook auch einen entsprechenden Vertrag für an, oder der ist in den AGBs mit drin, wenn ihr eine Facebook-Seite einrichtet. Den habt ihr also schon abgeschlossen, ohne es vermutlich zu wissen. Und das heißt aber, ihr seid gemeinsam verantwortlich mit Facebook. Und bei anderen Plattformen ist das vermutlich auch so, sagen zumindest die Aufsichtsbehörden in Deutschland für den Datenschutz. Aber andere Plattformen bieten eigentlich nicht unbedingt so eine Vereinbarung an. Ja, im Fall von Facebook-Seiten hat man so eine Vereinbarung, da sagen dann die Aufsichtsbehörden: „Ja, die ist aber nicht detailliert genug.“ Also, wie man es dreht und wendet: Bei den gängigen kommerziellen Plattformen müsstet ihr nach Meinung der deutschen Datenschutzaufsichtsbehörden diese Social-Media-Profile abschalten und dürftet die gar nicht betreiben. Nichtsdestotrotz gibt’s das ja weiter am Markt. Die Anbieter machen das. Da ist es in der Praxis so, dass die Aufsichtsbehörden gerade erstmal gegen öffentliche Stellen vorgehen. Das wird gerade gerichtlich geklärt, und in ein paar Jahren, wenn die entsprechenden Social-Media-Plattformen gar nicht mehr gängig und relevant sind, dann habt ihr quasi Rechtssicherheit, ob das vor ein paar Jahren den Regeln entsprach oder nicht. Ist also eine bisschen absurde Lage.
Ich will aber darauf hinaus: Da besteht einfach ein Risiko. Rein praktisch gehen meines Wissens nach die Aufsichtsbehörden gerade im Kontext von Unternehmen, aber vor allem bei Vereinen, dann nicht aktiv dagegen vor, sondern die gehen erstmal bei den Behörden dagegen vor. Aber wenn es halt Beschwerden gibt, dann könnte es sein, dass auch ihr als Verein in den Fokus geratet und da ein entsprechendes Risiko habt. Deswegen — ganz praktisch gedacht — solltet ihr es bei Social Media so handhaben, dass ihr zumindest euch dieser Risiken bewusst seid und, wenn ihr euch entscheidet, das weiter zu betreiben, dann aber nicht den Kopf in den Sand stecken, sondern dann das tun, was einfach eine klare Sache ist, was ihr machen müsst. Zum einen braucht jede Social-Media-Präsenz — ähnlich wie eine Webseite — ein Impressum. Ihr müsst sagen: Wer seid ihr? Dann solltet ihr euch drüber im Klaren sein, dass die Posts und Direktnachrichten — also die eigentliche Kommunikationsebene — Datenverarbeitung ist, für die ihr wieder Rechtsgrundlagen und Informationspflichten erfüllen müsst. Ja. Also, wenn ihr z. B. dann was vom Vereinsfest postet, die Leute, die dann namentlich genannt werden und auf dem Foto drauf sind, darüber informiert und vorher um eine Einwilligung bittet. Und dann ist eben so: Wenn euch der jeweilige Anbieter der Social-Media-Plattform so eine Vereinbarung zur gemeinsamen Verantwortlichkeit gegeben hat — das ist z. B. bei Facebook-Seiten eben der Fall —, dann braucht ihr auch eigene Hinweise, weil ihr neben Facebook eben selber auch verantwortlich für die Datenverarbeitung seid. Und das heißt, ihr müsst Datenschutzhinweise haben, die ihr mit einbindet in dem Social-Media-Profil, wo ihr selber dann quasi das erklärt und für alles Weitere auf Facebook verweist. Aber so dieses „Wir sind auch mit verantwortlich“ muss eben kenntlich werden. Und rein praktisch kann es auch tatsächlich sein, dass, wenn ein Besucher eurer Facebook-Seite euch so eine Betroffenenanfrage schickt, ihr eben sagen müsst: „Ja, okay, nehmen wir, und wir leiten die jetzt an Facebook weiter.“ Da gibt’s auch Kontaktformulare von Facebook dann für. Das steht alles in diesen Vereinbarungen drin, die ihr beim Anlegen der Facebook-Seite mit abgeschlossen habt, aber ihr habt sie vermutlich nicht gelesen — wie das halt so ist bei den langen allgemeinen Geschäftsbedingungen und Verträgen.
Gut. Damit bin ich mit meinem Vortrag durch. Ich habe hier, wie gesagt, einige weiterführende Links. Ich arbeite eben für die Stiftung Datenschutz. Wir sind selber eine Stiftung, die der Bund gegründet hat und auch fördert, ähnlich wie die DSEE. Und wir haben eben als einen unserer Arbeitsbereiche das Programm „Datenschutz im Ehrenamt“, was ich betreue. Und da haben wir eben im Laufe der letzten Jahre einiges an Materialien und Arbeitshilfen zusammengestellt, und da habe ich euch jetzt nur mal das rausgesucht, was für die heutige Veranstaltung passend ist. Da gibt’s noch mehr. Besonders interessant vielleicht für euch, wenn ihr gerade erst frisch einsteigt: Wir haben so ein Kartenset. Das ist so eine Box mit 12 Themenkarten drin zu verschiedenen Praxisthemen. Das könnt ihr euch gerne auch bestellen, wenn ihr möchtet, oder als PDF auf unserer Website runterladen.
