Responsable et sous-traitant : qui engage sa responsabilité ?

Unternehmer und Subunternehmer: Wer haftet?

Legal Watch Nr. 39 – September 2021

Unternehmer und Subunternehmer: Wer haftet? Viele Datenverantwortliche nutzen Subunternehmer, sei es im Personalmanagement, bei der gezielten Werbung oder bei der Datensicherheit.

Der Einsatz eines Subunternehmers ist im Hinblick auf die DSGVO nicht unerheblich, da diese die jeweiligen Verantwortlichkeiten der verschiedenen Akteure konkretisiert und verstärkt.

Wann sprechen wir von Subunternehmern?

Die CNIL nennt zu Informationszwecken eine Reihe von Organisationen:

  • IT-Dienstleister (Hosting, Wartung etc.), Software-Integratoren, IT-Sicherheitsunternehmen, digitale Serviceunternehmen,
  • Marketing- oder Kommunikationsagenturen, die personenbezogene Daten im Auftrag von Kunden verarbeiten und
  • Allgemeiner ausgedrückt: jede Organisation (öffentlich oder privat), die einen Dienst oder eine Bereitstellung anbietet, bei der personenbezogene Daten im Auftrag einer anderen Organisation verarbeitet werden.

Softwareherausgeber oder Hardwarehersteller (Ausweisleser, biometrische Geräte, medizinische Geräte), die keinen Zugriff auf personenbezogene Daten haben und diese nicht verarbeiten, gelten nicht als Unterauftragnehmer.

Verantwortung des Subunternehmers durch die DSGVO gestärkt

Ziel der europäischen Verordnung ist es, alle an der Verarbeitung personenbezogener Daten beteiligten Akteure in ausgewogenerer Weise zur Verantwortung zu ziehen.

Insbesondere die Rolle von Subunternehmern entwickelt sich hin zu mehr Proaktivität: Sie befolgen nicht mehr einfach die Anweisungen des Verantwortlichen, sondern müssen diesen gemäß Artikel 28 der DSGVO bei seinem laufenden Compliance-Prozess unterstützen: Auswirkungsanalysen, Meldung von Verstößen, Sicherheit, Datenvernichtung, Mitwirkung bei Audits.

Wer haftet? Welche Risiken bestehen für den Verantwortlichen?

Vor Inkrafttreten der DSGVO musste der Verantwortliche für die Handlungen seines Subunternehmers Rechenschaft ablegen: Dieser musste ausreichende Garantien für die Umsetzung der Maßnahmen zur Datensicherheit und Vertraulichkeit bieten, es lag jedoch in der Verantwortung des Verantwortlichen, die Einhaltung dieser Verpflichtungen sicherzustellen: „Der Umstand, dass eine Datenschutzverletzung möglicherweise auf einen Fehler eines Subunternehmers zurückzuführen ist, hat keinen Einfluss auf die Verpflichtung des Verantwortlichen, eine strenge Überwachung der von diesem durchgeführten Handlungen sicherzustellen“, wie aus einer CNIL-Überlegung vom 6. September 2018 hervorgeht, in der dem Verantwortlichen eine Geldstrafe auferlegt wurde.

Zwar entbindet die DSGVO den Verantwortlichen nicht von seinen eigenen Pflichten, sieht jedoch eine erhöhte Haftung für den Subunternehmer vor.

Dies wurde von der CNIL in diesem Jahr in ihrer ersten Entscheidung vom Januar 2021 klargestellt.

In einem Fall von Credential Stuffing* benötigten der Manager und der Subunternehmer mehr als ein Jahr, um das Tool zur Erkennung und Blockierung von Angriffen auf die Website zu implementieren.

Gegen den Geschäftsführer wurde eine Geldstrafe von 150.000 Euro verhängt, gegen den Subunternehmer eine Geldstrafe von 75.000 Euro.

Die CNIL legt fest, dass „der Verantwortliche über die Umsetzung von Maßnahmen entscheiden und seinem Unterauftragnehmer dokumentierte Anweisungen erteilen muss. Der Unterauftragnehmer muss jedoch auch nach den am besten geeigneten technischen und organisatorischen Lösungen suchen, um die Sicherheit personenbezogener Daten zu gewährleisten, und diese dem Verantwortlichen vorschlagen.“

Zunächst einmal: Rollen und Verantwortlichkeiten in einem Vertrag klar festlegen

Dieser Vertrag kann ganz oder teilweise auf Standardvertragsklauseln (SCCs) basieren.

Seit 2019 haben drei europäische Datenschutzbehörden (dänisch, slowenisch und litauisch) Standardvertragsklauseln für Auftragsverarbeiter verabschiedet, zu denen der Europäische Datenschutzausschuss (EDSA) eine Stellungnahme abgegeben hat. Am 4. Juni 2021 veröffentlichte die Europäische Kommission ihre Standardvertragsklauseln (SCCs) zwischen Verantwortlichen und Auftragsverarbeitern gemäß der DSGVO und der Verordnung (EU) 2018/1725.

Die CNIL stellt in ihrem Leitfaden für Subunternehmer auch Beispiele für Vertragsklauseln zur Verfügung.

Der Vertrag muss Folgendes definieren:

  • Zweck und Dauer der Dienstleistung
  • Art und Zweck der Verarbeitung
  • Die Art der verarbeiteten personenbezogenen Daten
  • Kategorien betroffener Personen
  • Pflichten und Rechte des Kunden als Verantwortlicher
  • Die Pflichten und Rechte des Unterauftragnehmers gemäß Artikel 28 der DSGVO

Dem Subunternehmer obliegen insbesondere folgende Pflichten:

  • Einen Datenschutzbeauftragten zu ernennen, wenn es sich um eine Behörde oder öffentliche Stelle handelt, wenn diese in großem Umfang regelmäßig und systematisch Einzelpersonen überwacht oder in großem Umfang sogenannte „sensible“ Daten oder Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet.
  • Dokumentieren Sie Ihre Unterauftragstätigkeiten und führen Sie ein Verzeichnis der Verarbeitungsvorgänge
  • Bieten Sie Tools an, die personenbezogene Daten respektieren (z. B. eine Schnittstelle für persönliche Informationen, einen Link zum Abbestellen).
  • Helfen Sie dem Datenverantwortlichen, auf Anfragen zur Ausübung der Rechte von Einzelpersonen zu reagieren
  • Sorgen Sie für die Sicherheit der erfassten Daten.

Sicherheitsprobleme gehören zu den häufigsten Ursachen für Verstöße und Streitigkeiten. Dem Verantwortlichen wird daher Folgendes empfohlen:

  • Den Dienstanbieter zu verpflichten, seine Sicherheitsrichtlinien für Informationssysteme mitzuteilen;
  • Sicherstellung und Dokumentation der Wirksamkeit der vom Unterauftragnehmer angebotenen Garantien im Hinblick auf den Datenschutz.
  • Um die Wirksamkeit der Maßnahmen zu überprüfen, beispielsweise durch Sicherheitsaudits oder einen Besuch der Einrichtungen.

* Credential Stuffing ist eine Art von Cyberangriff, bei dem gestohlene Kontoinformationen, die in der Regel aus Listen von Benutzer-IDs und zugehörigen Passwörtern bestehen (oft durch betrügerische Absicht erlangt), verwendet werden, um durch groß angelegte automatisierte Anmeldeanforderungen für Webanwendungen unbefugten Zugriff auf Benutzerkonten zu erlangen.

Und auch

Frankreich:

Dort Datenleck bei den öffentlichen Krankenhäusern von Paris (AP-HP) Der CNIL wurden 1,4 Millionen Fälle gemeldet, die Mitte 2020 auf COVID-19 getestet wurden. Die Kommission und die Regierung haben eine Informationsmitteilung für die Betroffenen veröffentlicht.

ANSSI veröffentlicht Empfehlungen zur Sicherheit verbundener Objekte.

A Überwachungs- und Schutzdienst gegen ausländische digitale Eingriffe (Viginum) wurde per Dekret vom 13. Juli gegründet. Seine Aufgabe besteht darin, vom Ausland orchestrierte, frankreichfeindliche Inhalte auf digitalen Plattformen zu erkennen und zu analysieren.

Instant Messaging ist private Korrespondenz : In einem Urteil vom 23. Juli entschied das Arbeitsgericht Meaux, dass das Unternehmen Eurodisney einen Mitarbeiter nicht aufgrund einer Konversation im Messenger entlassen könne, zu deren Zugriff es keine Berechtigung habe, selbst wenn dieser Messaging-Dienst nicht passwortgeschützt sei.

Europa:

Die Europäische Kommission gab am 15. September bekannt, Gesetzesinitiative zur Cybersicherheit vernetzter ObjekteDies wird die vorgeschlagene NIS2-Richtlinie zur Netzwerksicherheit ergänzen.

Nach mehr als einem Jahr Verhandlungen Die Vereinigten Staaten und Europa haben noch keine Einigung über transatlantische Datentransfers erzieltZiel dieser Gespräche ist es, das Rechtsvakuum zu schließen, das durch das Schrems-II-Urteil des Europäischen Gerichtshofs zur Aufhebung des Privacy Shield entstanden ist.

Es gibt jedoch Bemühungen zur Zusammenarbeit, beispielsweise im Bereich der künstlichen Intelligenz und der Regulierung von Plattformen, die illegale Inhalte online verbreiten.

Dies geht aus dem Eröffnungskommuniqué des Handels- und Technologierats EU-USA vom 29. September hervor.

Seit dem 27. September müssen Datenübermittlungen in Länder außerhalb der Europäischen Union, die kein angemessenes Schutzniveau bieten, auf der Grundlage der modernisierte Fassung der Standardvertragsklauseln der Europäischen Kommission, veröffentlicht am 4. Juni.

Der Europäische Datenschutzbeauftragte veröffentlichte am 24. September eine Stellungnahme zum Vorschlag der Europäischen Kommission bezüglich der Kampf gegen Geldwäsche, in dem er die Grundsätze der Notwendigkeit und Verhältnismäßigkeit der erhobenen personenbezogenen Daten hervorhebt.

Die belgische Behörde veröffentlichte am 23. September eine Mitteilung über die Ausweitung der Nutzung der Covid-sicher Eintrittskarte zu Orten und Ereignissen des täglichen Lebens.

Es wird an die Verpflichtung erinnert, die Notwendigkeit und Verhältnismäßigkeit dieses „Gesundheitspasses“ und den damit verbundenen Eingriff in das Privatleben nachzuweisen.

Die irische Behörde gilt in Datenschutzkreisen noch immer als Flaschenhals in Sachen DSGVO-Compliance..

Beachten wir dennoch seine Mitteilung vom 17. September, gemeinsam mit die italienische Behörde, bezüglich derAuswirkungen der Video- und Fotofunktionen der Facebook-Brille in Sachen Privatsphäre.

Gleichzeitig, Die norwegische Behörde gab ihre Entscheidung bekannt, Facebook nicht mehr für ihre Kommunikation zu nutzen. nach einer Datenschutz-Folgenabschätzung.

DER Verteidigungsministerium Litauens empfahl in einer Mitteilung vom 21. September, die Chinesische Telefone wie beispielsweise Xiaomi Corp, das Software zur Erkennung und Zensur bestimmter Nachrichten integriert.

Internationales:

Die erste G7 der Datenschutzbehörden Am 7. und 8. September kamen unter dem Vorsitz des Vereinigten Königreichs die Behörden Frankreichs, Italiens, Kanadas, Großbritanniens, Deutschlands, Japans und der Vereinigten Staaten zusammen.

Die Behörden erörterten internationale Datenschutzfragen, darunter grenzüberschreitende Datenströme, Fragen im Zusammenhang mit der Pandemie und die Entwicklung künstlicher Intelligenz.

Uruguay, wird von der Europäischen Union als ein Land angesehen, das ein angemessenes Schutzniveau für personenbezogene Daten gewährleistethat seine eigene Einschätzung der Länder aktualisiert, in die eine Datenübermittlung rechtlich möglich ist.

Diese Einschätzung schließt die Vereinigten Staaten aus Länder mit einem angemessenen Schutzniveau.

Für den Datentransfer zwischen Uruguay und den USA müssen künftig bestimmte Garantien wie etwa die Einhaltung entsprechender Vertragsklauseln vorgesehen werden.

Anne Christine Lacoste

Anne Christine Lacoste, Partnerin bei Olivier Weber Avocat, ist Anwältin mit Spezialgebiet Datenschutz. Sie war Leiterin für internationale Beziehungen beim Europäischen Datenschutzbeauftragten und arbeitete an der Umsetzung der DSGVO in der Europäischen Union.

Entdecken Sie Viqtor®
de_ATDE_AT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL de_ATDE_AT