Mit Zustimmung die Verarbeitung auslagern


Auch bekannt als: Outsourcing With Consent

Kurzinfo

Die für die Verarbeitung verantwortliche Partei muss eine zusätzliche spezifische, informierte, ausdrückliche und frei gegebene Zustimmung einholen, bevor sie die Datenverarbeitung an eine dritte Partei auslagert.

STRATEGIEN: Kontrolle überlassen

Kontext

Für die Verarbeitung Verantwortliche haben oft nicht die Mittel, um die von ihnen gesammelten Daten in dem von ihnen gewünschten Umfang durchführbar oder ausreichend zu verarbeiten. In diesen Fällen beauftragen sie einen externen Dienstleistenden mit der Abwicklung der Verarbeitung. Dies steht typischerweise im Widerspruch zu den von ihnen bereits eingeholten Einwilligungen, da eine Weiterverarbeitung durch eine dritten Partei nicht unbedingt mit den vereinbarten Zwecken in Einklang steht. In diesen Fällen haben Verantwortliche keine rechtlich erteilte Einwilligung für diese Verarbeitung erhalten und sind haftbar, wenn sie diese dennoch durchführen.

Problem

Dritte haben keine inhärente Zustimmung von Nutzenden, da diese den eigentlichen Verantwortlichen erteilt wird, sondern benötigen erneut die explizite Zustimmung der Nutzenden, bevor sie ihre Daten verarbeiten dürfen. Auftragsverarbeitende können die Nutzenden jedoch nicht kontaktieren, da diese keinen rechtmäßigen Zugang zu Kontaktinformationen haben.

Einflüsse und Bedenken

  • Für die Verarbeitung Verantwortliche möchten die Verarbeitung auslagern, wenn sie dies nicht selbst bewerkstelligen können.
  • Drittverarbeitende wollen Informationen effizient verarbeiten, ohne sich mit anderen Überlegungen befassen zu müssen.
  • Für die Verarbeitung Verantwortliche möchten nicht haftbar sein oder ihren Ruf schädigen.
  • Outsourcing hat starke Auswirkungen auf die Sicherheits- und Datenschutzanforderungen von Organisationen. Ein Vertrag bindet beide Parteien.
  • Dritte, an die die Verarbeitung ausgelagert wird, unterliegen allen Datenschutzprinzipien, denen die Verantwortlichen unterliegen, zusätzlich zu den strengeren Maßnahmen, die ihnen auferlegt werden.

Lösung

Einholung einer zusätzlichen rechtmäßigen Zustimmung für die jeweils erforderlichen spezifischen Zwecke von Nutzenden, bevor Dritten die Verarbeitung ihrer Daten gestattet wird. Verarbeiten Sie nicht die Daten von Nutzenden, die nicht zustimmen.

Die Einwilligung kann als ein Vertrag angesehen werden, der festlegt, welche Daten in welcher Weise von einer dritten Partei verarbeitet werden. Verantwortliche müssen auch sicherstellen, vorzugsweise durch eine schriftliche Vereinbarung, dass die Verarbeitenden alle Bedingungen bezüglich der Datenverarbeitung, die ihnen auferlegt wurden, strikt befolgen.

Implementierung

Vor der Auslagerung der Datenverarbeitung ist es notwendig, die Zustimmung der Nutzenden einzuholen und eine Vereinbarung zwischen Verantwortlichen und Verarbeitenden zu schließen. Die Einwilligung selbst muss frei gegeben, informiert, spezifisch und explizit sein. Sie sollte die Zwecke und Mittel (physisch oder informativ) in Bezug auf die Verantwortlichen und die Verarbeitenden angeben. Es besteht außerdem eine Ausführungsabhängigkeit zwischen dem Dienstleistenden und den Nutzenden.

Beispiele

Das von Compagna et al. (2007) beschriebene Szenario sieht ein Gesundheitszentrum (Dienstleistender) und einen Nutzenden (Datensubjekt), Bob, vor, der ständiger Überwachung bedarf. Ein Unterauftragnehmender, ein Sensor-Netzwerkprovider (Dritt-Dienstleistender), installiert und wartet das Netzwerk, das für die automatisierte Überwachung von Bobs Gesundheit verantwortlich ist. Dieser Unterauftragnehmende benötigt zusätzlich eine spezifische, informierte, ausdrückliche und frei gegebene Einwilligung von Bob.

Auswirkungen

Vorteile

Das Pattern löst das Problem der Erteilung der Zustimmung, die erforderlich ist, um eine ausgelagerte Datenverarbeitung durchzuführen, indem es Nutzenden versichert, dass ihre Informationen vertragsgemäß verarbeitet werden.

Lizenz:

Die textuelle Pattern-Beschreibung auf dieser Seite steht unter der Lizenz Creative Commons Namensnennung Uported (CC BY 3.0). Wenn Sie diese Beschreibung teilen, weiterverbreiten oder bearbeiten, so müssen Sie die Lizenzbestimmungen beachten, und als Namensnennung angeben „Privacy Patterns basierend auf den Sammlungen unter PrivacybyDesign.Digital und Privacy Patterns.org“ mit jeweiliger Verlinkung.
Die vorliegende Pattern-Beschreibung entstand durch Übersetzung der auf privacypatterns.org veröffentlichten Privacy Patterns.

Quellen:

L. Compagna, P. El Khoury, F. Massacci, R. Thomas, and N. Zannone, “How to capture, model, and verify the knowledge of legal, security, and privacy experts : a pattern-based approach,” ICAIL ’07, 2007.