Hallo zusammen,
gibt es eigentlich eine Verpflichtung für den Verantwortlichen, in seiner Datenschutzerklärung auf die Tatsache der Auftragsverarbeitung hinzuweisen und müssen die Namen der beauftragten Auftragsverarbeiter und die an an sie delegierten Arbeiten genannt werden?
Ich kann dazu nichts im Art. 13 DSGVO finden.
Gruß
Alterego
Hallo alterego,
nach meiner Kenntnis sind Auftragsverarbeiter als Empfänger von personenbezogenen Daten im Sinne von Artikel 13 Abs. 1 lit. e DSGVO anzusehen. Wenn dem Verantwortlichen der Auftragsverarbeiter konkret bekannt ist, muss dieser auch als konkreter Empfänger angegeben werden. In einem solchen Fall genügt es nicht, lediglich eine Empfänger-Kategorie anzugeben.
Genau so wie Tinka kenne ich es auch.
Die Auftragsverarbeiter sind die Empfänger. Das geht auch aus Art. 4 Nr 9 & 10 DSGVO hervor.
Danke für die Antworten!
Aber ganz so klar erscheint mir die Sache nicht, denn in Art. 13 I lit e) bezieht sich die Informationspflicht auf “Empfänger oder Kategorien von Empfängern” - dass auch Auftragsverarbeiter dazu gehören, trifft wohl zu. Wie detailliert die Information nach Art. 13 sein muss, kann aber eigentlich nicht vom Kenntnisstand des Verantwortlichen abhängen, sondern muss sich nach objektiven Kriterien richten. Wenn es möglich ist, die Aufgaben konkret zu beschreiben, sollte die Nennung von Kategorien von AV ausreichen.
Anders sieht es natürlich beim Drittlandtransfers aus. Hier müssen auch die Details incl. der Namen der AV genannt werden.
Für den AV-Vertrag würde ich erwarten, dass die konkreten Dienstleister genannt werden bzw. eine Liste zugänglich ist. Ebenso für die Auskunft an Betroffene.
Aber für die gesamte Öffentlichkeit in der Datenschutzerklärung sehe ich das eher nicht. Art. 13 gibt m.E. bewusst nur Kategorien vor (z.B. “Lettershop” statt “Druckerei Meier”, Druckerei Schulze" etc.). Zum einen soll die Information noch irgendwie lesbar bleiben (s.a. One-Pager-Ansatz), zum anderen können sich die Dienstleister der betroffenen Personen unterscheiden. Nicht zuletzt könnte ein Offenlegen der Lieferkette auch eine Verletzung der eigenen Informationssicherheit darstellen.
Es gibt noch ein Argument für eine differenzierte Betrachtungsweise: Die betroffene Person soll durch die Information in die Lage versetzt werden, ihre Rechte geltend zu machen. Bei der Datenübermittlung an Dritte (andere Verantwortliche) muss ich wissen, an wen meine Daten ggf. übermittelt werden, an den ich mein Auskunftsbegehren oder meine Löschungsforderung richten kann. Bei der Auftragsverarbeitung bleibt der Verantwortliche Ansprechpartner für die Datenschutzrechte der betroffenen Person (etwa auf Auskunft). Daraus folgt für mich, dass bei der AV grunds. die Nennung der Kategorien von Empfängern ausreicht, während bei Übermittlungen (an Dritte) auch der Name des E. zu nennen ist. Im AV-Vertrag müssen natürlich auch die Empfänger genannt werden.
Das Argument, man benötige diese Infos für eventuelle Auskunftsansprüche, zieht hier m.E. nicht, da man diese Infos im Wege der Auskunft eben auch noch beschaffen kann.
Aber dann müsste der Betroffene ja zweimal tätig werden, um die ihm zustehende Auskunft zu erlangen. Eine solche Erschwernis ist mit Sicherheit nicht intendiert
Ich wollte ihre Behauptung bezweifeln, dass Sinn der Informationen zur Datenverarbeitung u.a. sei, Betroffene in die Lage zu versetzen, ihre Rechte geltend zu machen. Letztlich ist diese Frage meines Wissens umstritten und bislang nicht entschieden.
S. z.B. hier: https://twitter.com/winfriedveil/status/1316669340721311744
Meines Wissens nach ist Stand der Auslegung, dass nur ersatzweise auf die Varianten “Empfängerkategorien” oder “Kriterien für die Speicherdauer” zurückgregriffen werden soll, nämlich dann, wenn für den Verantwortlichen selbst zum entscheidenden Zeitpunkt unklar ist, wohin z. B. die Daten letztlich gehen sollen. Plakativ: Der BfDI zum Beispiel weiß ja auch nicht im vornhinein sicher, ob jetzt eine bestimmte Beschwerde zum ULD oder zum LfD M-V geht.
Viel hängt dabei halt vom gewählten Abstraktionsgrad der Informationen insgesamt ab. Würde man jeden Beschwerdeprozess einzeln dort auflisten (Beschwerden von Einwohnern in NRW, Beschwerden von Einwohnern in Hamburg), dann könnte man das hinreichend sicher sagen. Wenn man die Informationen allerdings (zulässigerweise) vernünftig zusammengefasst präsentiert, dann ist es halt nicht von vornherein möglich und man kann nur sagen: Aufsichtsbehörden der Länder.
Auch m.W. ist das noch nicht entschieden.
Deshalb halte ich es für vertretbar, nur die Kategorie der Empfänger anzugeben. Manche Dienstleister bestehen allerdings darauf, als AVer genannt zu werden. Vermutlich ist es für sie auch eine gute Werbung, von namhaften Unternehmen oder wichtigen Behörden beauftragt worden zu sein.
Für den Verantwortlichen wäre es ein immenser Pflegeaufwand bzgl. der
Aktualität der Dokumente/Veröffentlichungen.
Eine solche Pflicht wäre unverhältnismäßig angesichts der geringen Zahl der Betroffenen, die das wirklich wissen wollen und zur Geltendmachung ihrer Rechte brauchen.
Bei großen Unternehmen bzw. Behörden wären das lange Listen von Unternehmen, die der Kunde bzw. Bürger gar nicht erwartet bzw. benötigt.
Es gibt ja auch die andere Seite, die klagt, sie würden immer mehr unverständliche Bürokratie geschickt bekommen.
Es stellt sich auch die Frage, wie vorzugehen ist, wenn der Dienstleister wechselt. Das kann bei bestimmten Diensten jährlich der Fall sein. Es gibt jedoch keine Pflicht, die Informationen nach Art 13/14 zu erneuern. Art 13 (4) und 14 (5a) geben das so nicht her. Der Betroffene würde dann über veraltete Details verfügen.
Insgesamt sprechen mehr Argumente gegen die konkrete Benennung der AVer.
Was soll die namentliche Benennung der AVer denn Sinnvolles bewirken? Die Betroffenen haben denen ggü sowieso keine Auskunftsrechte, weil der Verantwortliche diese ja vollständig gewährleisten muss. Und wo soll die Kette der Benennungen den aufhören? Beim RZ-Housing-Partner, beim Entsorgungsdienstleister für die Papier-Kundenpost? Ich denke, dass “Empfänger” präzisiert ausgelegt werden muss - im Sinne “anderer/neuer Verantwortlicher”. Alle “Dritten” sind selbstverständlich zu benennen, damit Betroffene denen ggü ebenfalls ihre Rechte wahrnehmen können. Dass aber die Aufzählung aller ggf. beteiligter AVer irgendetwas Sinnvolles zur Transparenz beitragen würde, halte ich für ein Gerücht. Da reicht wirklich die Benennung der Kategorien, damit die Betroffenen ein ungefähres Bild von der Struktur der Datenverarbeitung erahnen können. Klar, die Benennung konkreter AVer kann auch ein zusätzliches vertrauensbildendes Unterscheidungsmerkmal von Konkurrenten sein - das kommt auf die AVer an…
Danke dsbsbe. Sehe ich auch so - und wohl auch der BfDI. Er benennt seine Auftragsverarbeiter in seinen Datenschutzhinweisen auch nicht namentlich.
(…) die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (…)
Art. 13 (1) lit. e) DSGVO sagt uns: Empfänger oder Kategorien von Empfängern. Die Kategorien stehen also als Alternative neben einer konkreten Empfängerangabe. Also entweder oder…
Im Gegensatz dazu wird in Art 19 DSGVO Satz 2 deutlich, dass konkrete Empfänger zu benennen sind:
(…). Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt.
Bitte nicht Sätze aus ihrem Zusammenhang rausnehmen und daraus unabhängige und übergreifende Pflichten ableiten. Im Art.19 geht es um benannte besondere Umstände der Verarbeitung. Für einen AV kann/darf das nicht relevant sein. A priori ist ja ausgeschlossen, dass ein AVer derartige (Hinderungs)Gründe in seiner Verarbeitung haben könnte, die derartige Auswirkungen auf die Tätigkeit der Verantwortlichen haben - sonst wäre es ja keine rechtmäßige AV gem. Art.28, oder? Wenn ich hingegen tatsächlich eine Benachrichtigung gem. Art.19 unter Nennung eines AVer vorzunehmen hätte, dann wäre dies wohl gleichbedeutend mit einem Datenschutzverstoß. Das wären die einzigen denkbaren Umstände, dass ich eine Änderung, Einschränkung, Löschung etc. bei einem AVer NICHT durchsetzen könnte - und, dies würde den AVer zum Verantwortlichen machen - sprich: zu einem Dritten, den ich sowieso benennen müsste.
Hmm, ich habe nichts dergleichen geschrieben. Meine Aussage war, in Übereinstimmung mit dem Titel des Beitrages und den Beiträgen darin, dass Art. 13 (1) lit. e) DSGVO Empfänger oder Empfängerkategorien alternativ verwendet. Dies ist keineswegs ein Zufall, da der Verordnungsgeber es in Art. 19 Satz 2 DSGVO, im Gegensatz zu Art. 13 (1) lit. e) DSGVO, bewusst anders regelt - ich leite aus dem Wortlaut nichts ab oder setze irgendetwas inhaltlich in einen Zusammenhang. Ich vergleiche lediglich den Wortlaut beider Artikel und komme zu dem Schluss, dass nach Art. 13 (1) lit. e) DSGVO Empfänger oder Empfängerkategorien (entweder oder) zu nennen sind, während in Art. 19 Satz 2 DSGVO konkrete Empfänger (spezifisch) gefordert werden.
Dies war meine Aussage, nicht mehr und nicht weniger.