wir haben hier einen (wie alle Anderen auch ) einen recht eigenwilligen Fall.
Folgender Stand:
Wir haben Mitarbeiterrechner, die in unserer Domäne integriert sind, allerdings eigentlich ein Sicherheitsproblem darstellen … Adminrechte für Mitarbeiter, eigentlich aus Sicherheitsrechtlicher Sicht ein No-Go, aber hier so von Entscheidungsträgern dennoch genehmigt.
Um nun die Sicherheit für diese Geräte zu verbessern, ist die IT auf ein Tool gestoßen, dessen Anbieter in den USA sitzt und entsprechend benötigte Daten über die Geräte und auch Nutzer in die USA transferiert.
Die Verarbeitung der Daten erfolgt im Rahmen des Tools zur Überwachung der Geräte.
Jetzt meine Frage (da bin ich nicht tief genug drinnen):
Ist dafür ein Vertrag zur Auftragsverarbeitung nötig ?? Ich meine schon …
Oder langt eine Einwilligung des Mitarbeiters mit Verweis auf die Datenschutzerklärung des Anbieters in den USA ??
Nach meinem Verständnis wäre ein Vertrag wohl nötig.
Geht es um personenbezogene Daten? (Auch pseudonyme Nutzerkennung, Gerätename, IP-Adresse, noch unbekannter Inhalt ist immer potenziell personenbeziehbar…)
Ist das, was da verarbeitet werden soll an sich zulässig? Zwecke und Rechtsgrundlagen festgelegt, Grundsätze eingehalten. (Wenn man es selbst machen würde, mit einem auf dem eigenen Gerät /Server installierten Tool, angestellte Administratoren.)
Ist es Auftragsverarbeitung? Wenn der Dienstleister die Daten nur im Auftrag des Verantwortlichen verarbeitet. Dann AV-Vertrag schließen. (Dienstleistung festgelegt, TOM geeignet, keine eigenen Zwecke des Dienstleisters, keine weiteren unerwünschten Verarbeitungen, keine Dienste mit bedenklichen Interessen eingebunden, kein Schnickschnack…)
Ist der Verarbeitungsort sauber? EU/EWR, ansonsten Angemessenheitsbeschluss, Absicherungsinstrument Art. 44 ff. (SCC, BCR, Informationen über die Verhältnisse im Drittland, ggf. geeignete(!) zusätzliche Garantien.)
Einwilligung in was? Dass es in die USA gehen soll? (Wäre nach Art. 49 nur als Ausnahme, nicht als Regel denkbar.) Wenn der Dienst an Kunden in Europa interessiert ist, sollte er von sich aus EU-Standardklauseln anbieten und/oder sich DPFW-zertifizieren.
Einwilligungen im Beschäftigungsverhältnis haben höhere Anforderungen an die Freiwilligkeit. Sind also nicht immer zu kriegen. Bei Widerruf wird die Verarbeitung unzulässig und Daten müssen mangels anderer Rechtsgrundlage gelöscht werden.
In korrekt eingebundene Auftragsverarbeiter sollte nicht extra eingewilligt werden müssen, weil sie m. E. wie zuständige interne Stelle zu betrachten sind. Sondern in die Verarbeitungszwecke, die der Verantwortliche zulässig auslagert.
Meist muss es keine Einwilligung sein, weil die Verarbeitung bereits auf einer anderen Basis zulässig ist; z. B. berechtigten Interessen an der Sicherheit. Die “berechtigten” bestehen die nötige Abwägung aber nur, wenn sie nicht wegen dunkler Ziele, dubioser Dienstleister oder ungültiger Drittlandübermittlung ausscheiden.
Es wird nicht genügen, auf (englische) Informationen des Anbieters zu verweisen, weil “der Verantwortliche” die Information aus seiner Perspektive zu erteilen hat. Also in seinem Zusammenhang, in seinem Verhältnis zu den Betroffenen.
D., der empfiehlt, sich auf 1. zu konzentrieren und von Dienstleistern die Finger zu lassen, bei denen Zweifel bestehen bzw. die nicht auf EU-Datenschutz vorbereitet sind.
Ja, es geht auch um personenbezogene Daten.
Die Daten sind für die zuordnung einer Person auf das Gerät notwendig und werden an den Dienstleister des Tools übermittelt, leider so laut deren notwendig … gefällt mir auch nicht.
Laut den Datenschutzerklärungen der US-Firma ist das notwendig. Leider kann das Tool nicht bei uns gehostet und verwaltet werden. Das würde das Thema natürlich vereinfachen.
Das Tool gibt es in der EU icht, sonst würden wir auf dieses zugreifen.
Da wir für die Nutzung des Tools die Daten in die USA schicken und dort verarbeitet werden (zur Verarbeitung unserer Nutzung) gehe ich hier von einer Auftragsverarbeitung aus … ohne die Daten geht das Tool nicht → Gerätzuordnung zum User …
das müsste dann gemacht werden …
Einwilligung in den Versand der Daten in die USA, ja … aber die Erklärung hat mir super weiter geholfen … DANKE
Generell vielen Dank für die gesamte Antwort … das hilft mir extrem weiter … TOP
Bevor ich Geld für einen Dienst ausgebe, bei dem ich auch noch Datenschutzprobleme wegen Drittlandtransfer bekomme, würde ich doch nochmal genauer überlegen, warum man heutzutage noch Adminrechte auf dem PC braucht. Seit Windows 7 sollte das eigentlich nicht mehr notwendig sein, weil es Mechanismen wie UAC oder LAPS gibt, mit denen man auch kurzzeitig (z. B. um etwas zu installieren) Adminrechte erteilen kann.
Wenn sich die Geschäftsleitung von solchen sachlichen Argumenten nicht überzeugen lässt, würde ich lieber ein Risiko in den Datenschutzbericht bzw. das ISMS schreiben, bevor ich nach einem (ggf. dubiosen) Tool suchen würde.
“Ohne… geht das Tool nicht” würde ich als möglichen Selbstzweck nicht gelten lassen.
Stattdessen käme es mir an auf “ohne … lässt sich mein (legitimer) Zweck nicht verfolgen.”
Wenn der Datenumfang für 1. nötig ist und das isoliert betrachtet zulässig wäre, dann OK.
wäre die Tauglichkeit des Dienstleisters. Besonders, dass er sich auf meine(!) Zwecke beschränkt und einen akzeptablen Vertrag bietet.
das Erfüllen der Drittlandanforderungen. Die grundsätzliche Zulässigkeit (1.) und die Auftragsverarbetiung (2.) wären da schon abgehakt.
D., der die Zulässigkeitskette unterbrochen sieht, wenn 1., 2. oder 3. nicht passt. Dann ist das jeweilige Element mit etwas Unbedenklichem auszutauschen. (1. Verarbeitung anders konzeptionieren, 2. unverdächtiger Dienstleister oder selber machen, 3. anderes Land bzw. Absicherungsinstrument.)
Wenn es denn um Windows-Rechner geht: man kann z.B. einen eigenen User mit Admin-Rechten auf dem Rechner einrichten, dem man keinen Zugriff in die Domäne gibt. Und dem regulären User die Admin-Rechte entziehen. Oder gar über eine remote Administration nachdenken.
@bdsb
Ja, genau, das ist leider unser Problem … wir wollen die rechner mit Adminrechten nicht, aber leider …
Daher sind wir auf der Suche nach einer Verbesserung der Sicherheit auf dies Tool gestoßen. Damit können bestimmte Dinge auf entsprechenden Rechnern sicherer gestaltet werden (in diesem Fall den Adminrechnern, die wir ja eigentlich auch nicht wollen … die aber leider von anderen Stellen genehmigt wurden)
) einen recht eigenwilligen Fall.