Die Figur des Beauftragten ist keineswegs einfach einzuordnen und hat den Unternehmen und der Datenschutzbehörde einiges Kopfzerbrechen bereitet: Um zu verstehen, ob der Beauftragte als für die Datenverarbeitung Verantwortlicher oder als Datenverarbeiter handelt, muss von Zeit zu Zeit überprüft werden, wie die Beziehung von den Auftragnehmern tatsächlich durchgeführt wird (und werden soll).

Anpassung Datenschutz des Vertreters geht daher zwangsläufig mit einer "Einstufung" seiner Rolle in Bezug auf das oder die Unternehmen einher, für die er arbeitet.

 

1. Eigentümer, Geschäftsführer oder Beauftragter?

Die Stellung des Handelsvertreters unter dem Gesichtspunkt der Datenschutz ist seit jeher umstritten, was vor allem darauf zurückzuführen ist, dass der Handelsvertreter zwar nach den Weisungen des Auftraggebers handeln muss, diese Tätigkeit aber gleichzeitig selbständig und unabhängig ausübt und nicht der Leitungs- und Koordinierungsbefugnis des Auftraggebers unterworfen ist.

Einerseits hatten die Auftraggeber ein großes Interesse daran, die Aktivitäten und Methoden der Agenten zu ignorieren, und drängten daher auf deren Qualifizierung als autonome für die Datenverarbeitung Verantwortlicheauf der einen Seite, während sich die Garante auf der anderen Seite stets für eine Bevollmächtigung der Auftraggeber in Bezug auf die Tätigkeit der Beauftragten eingesetzt hat.

Nach der von den Auftraggebern vertretenen Auffassung gäbe es einerseits den Auftraggeber, einen autonomen für die Datenverarbeitung Verantwortlichen, und andererseits den Beauftragten, ebenfalls einen autonomen für die Datenverarbeitung Verantwortlichen, der auf die eine oder andere Weise Kontakte für eine mögliche Vertragsschließung mit dem Auftraggeber herstellt und diesem die Daten mitteilt.

Dieser Rahmen ist für den Auftraggeber besonders vorteilhaft, weil er sich dann nicht darum kümmern muss, "wie" die Beauftragten die Daten abrufen (indem sie vielleicht mit Kunden, die natürliche Personen sind, auf invasive Weise Kontakt aufnehmen, ohne sich z. B. die Mühe zu machen, das Widerspruchsregister zu konsultieren oder ihre Zustimmung zum Erhalt von Werbemitteilungen zu prüfen), da die Datenverarbeitung zwischen den beiden Parteien "getrennt" bleibt und jeder für das verantwortlich ist, was unter seiner Kontrolle geschieht.

Der italienische Datenschutzbeauftragte widerlegt diese These jedoch schon seit vielen Jahren und bestätigt, dass die Klassifizierung von Agenten, außer in Ausnahmefällen, nicht unter die Hypothese des autonomen Inhabers fälltsondern in dem des externen Controllers.

Nach einer Reihe von Maßnahmen gegen verschiedene Unternehmen (insbesondere Telefongesellschaften), die Agenten für die Werbung und Vermarktung ihrer Produkte einsetzten und behaupteten, für die Handlungen ihrer Agenten nicht verantwortlich zu sein, weil sie "autonome Datenverantwortliche" seien, hat die Garante eine allgemeine Vorschrift in dem es heißt, dass:

 "Alle Auftraggeber [...] benennen innerhalb von 60 Tagen nach Veröffentlichung dieser Bestimmung im Amtsblatt Unternehmen oder Dritte, die im Rahmen des Outsourcing als für die Verarbeitung Verantwortliche tätig sind".[1]

Nach dem Inkrafttreten der Datenschutzgrundverordnung (anwendbar ab 25.05.2018) hat sich die Situation nicht geändert, wie die jüngsten Stellungnahmen der Garante zu diesem Punkt zeigen.

2. Die Maßnahme vom 9.7.2020 gegen Wind Tre.

Ein interessantes Beispiel ist die jüngste Maßnahme der Garante against Wind Tre, in der die Behörde die Einstufung von Vertretern und Vermittlern im Lichte der Kategorien der Datenschutz-Grundverordnung klarstellt.

Die Maßnahme betrifft insbesondere die Tätigkeit eines Beauftragten von Wind, der zwar von Wind korrekt als externer Datenverarbeiter eingestuft wurde (indem er eine entsprechende Vereinbarung unterzeichnete und auch seinem externen Mitarbeiter eine Schulung zum Thema Datenschutz[2]), hatte letztere Richtlinien an ihre Bevollmächtigten gerichtet, die darauf abzielten, einen Konsens zu erreichen Datenschutz ausgesprochen "originell". Wie ein Beschaffer berichtet, ist es tatsächlich so:

"Nach den Angaben des Bereichsleiters Herr ... muss der Referenzbetreiber bei jeder Aktivierung der SIM-Karte alle darin vorgesehenen Zustimmungen kennzeichnen. Dieser Vorgang wird unter anderem durch eine spezielle Schaltfläche in der Verwaltungssoftware erleichtert [...]. Nur für den Fall, dass der Interessent bei der Unterzeichnung des vom System gedruckten Papierformulars, das ihm zur Annahme der Empfangsbestätigung der Informationen und zur Erteilung der Zustimmungen vorgelegt wird, Zweifel an den im Referenzformular enthaltenen Zustimmungen äußert, ändert der Betreiber diese entsprechend den Angaben, die der Interessent direkt macht".

Die Tätigkeit des Bevollmächtigten war eindeutig rechtswidrig, da die Zustimmung der Privatsphäre "durch eine eindeutige positive Handlung, mit der die betroffene Person aus freien Stücken, für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich zum Ausdruck bringt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist"[3] und kann weder erzwungen noch impliziert werden.

Nachdem somit die Rechtswidrigkeit des Verhaltens des Beauftragten von Wind geklärt war, blieb zu klären, wem diese Rechtswidrigkeit zuzurechnen war.

Im vorliegenden Fall machte Wind (der für die Datenverarbeitung Verantwortliche) zu seiner Verteidigung geltend, dass er nicht für das eigenständige und unabhängige Verhalten seines externen Managers (des Beauftragten) verantwortlich sei, der trotz korrekter Schulung und korrekter Anweisungen aus eigener Initiative gehandelt und damit gegen die Datenschutz-Grundverordnung verstoßen habe.

Diese These wurde jedoch vom Garanten entschieden zurückgewiesen, da der Vertreter offensichtlich kein eigenes Interesse daran hatte, im Namen von Wind Zustimmungen zu sammeln, indem er den Willen der Kunden erzwang.

Das Urteil bestätigt dann die korrekte Einstufung des Agenten als extern haftend und geht sogar so weit, dass es feststellt, dass:

"Diese Einschränkung des Rechtsverhältnisses zwischen den Parteien kann auch dann als gegeben angesehen werden, wenn die Partei, die physisch Kontakt aufnimmt, dem für die Verarbeitung Verantwortlichen zwar unbekannt bleibt, aber tatsächlich ein Vertragsverhältnis eingeht, das demjenigen mit direkten Vertragspartnern ähnelt.".

Das Auftraggeber/Auftraggeber-Verhältnis besteht also nicht nur dann, wenn der Auftraggeber das Bestehen eines Mandatsverhältnisses völlig außer Acht lässt, sondern auch dann, wenn er es außer Acht lässt.

Eine weitere wichtige Klarstellung der Garante, die in der zu prüfenden Maßnahme enthalten ist, betrifft dieselben Beschaffungsunternehmen, die vom Vertreter von Wind beauftragt worden waren. Insbesondere hat der Beauftragte, der sie nicht als Verantwortliche für die Datenverarbeitung eingestuft und ihnen auch keine Genehmigung zur Durchführung der Verarbeitungen erteilt hat, in der (irrigen) Annahme, dass sie "selbstständig arbeiten". e "jeder Beschaffer ist frei und daher autonom in der Suche nach Parteien, an die er Geschäftsvorschläge richten kann".

Die Garante wies das Argument des Bevollmächtigten zurück und gab ihm "eine Ohrfeige", indem sie erklärte, dass dieser die Bevollmächtigten je nach Fall als externe Datenverarbeiter (Unterauftragsverarbeiter gegenüber Wind) und/oder als Auftragsverarbeiter (eine Kategorie, die Arbeitnehmer und ähnliche Personen zusammenfasst und daher eine umfassendere Weisungs- und Kontrollbeziehung seitens des Arbeitgebers voraussetzt) hätte ernennen müssen.

3. Die Rolle des Agenten: Eigentümer oder Manager?

Um zu beurteilen, ob der Beauftragte im Einzelfall als für die Verarbeitung Verantwortlicher oder als Auftragsverarbeiter einzustufen ist, muss man zunächst verstehen, wie die Beziehung von den Vertragsparteien tatsächlich durchgeführt wird (und werden soll). Zur Vereinfachung können wir drei typische Situationen unterscheiden:

  • der Vermittler findet und verwaltet Listen von Kunden auf eigene Rechnung, versorgt sie mit Informationen Datenschutz als Auftraggeber und wählt dann aus, welchem seiner Auftraggeber er den Abschluss des Geschäfts vorschlägt (wobei der "ausgewählte" Auftraggeber dem potenziellen Kunden seine Offenlegung übermittelt) Datenschutz zusammen mit dem Vertrag). In diesem Fall wird der Agent eigenständiger Datenverantwortlicher.

 

  • der Handelsvertreter findet im Auftrag des Auftraggebers Kunden und/oder bearbeitet Kontaktlisten, die ihm vom Auftraggeber vorgelegt werden. In diesem Fall wird der Agent externer Controller und der Auftraggeber wird der Eigentümer sein. Der Makler muss keine eigenen Angaben machen, sondern stellt dem Kunden lediglich die Formulare zur Verfügung Datenschutz vom Auftraggeber vorbereitet werden, außer in besonderen Situationen (z. B. wenn der Beauftragte die Kundendaten des Auftraggebers selbständig verwalten will, sofern der Auftrag dies zulässt, um informative Mitteilungen an die Kunden zu senden usw.; in diesem Fall muss er den Kunden ein zweites Informationsschreiben vorlegen und selbst die Zustimmung zu dieser Verarbeitung einholen). Die Datenverarbeitung findet unter dem Dach der Organisation des Auftraggebers statt, bei der der Beauftragte ein externes Anhängsel ist.

 

  • der Vertreter nicht nur im Namen des Auftraggebers handelt, sondern auch ausschließlich mit den Mitteln des Auftraggebers, in den vom Auftraggeber zur Verfügung gestellten Räumen, auf den Computern des Auftraggebers und nach dessen Anweisungen arbeitet. In diesem Fall ist für die Zwecke der Datenschutzwird der Agent zu einem Subjekt, das arbeitet unter der Aufsicht des Auftraggebers (ehemals 29 DSGVO), da es keinen Grund mehr gibt, von einem externen für die Verarbeitung Verantwortlichen zu sprechen, da der Beauftragte vollständig in die Struktur des für die Verarbeitung Verantwortlichen integriert ist und zumindest in Bezug auf die Datenverarbeitung nicht von einem Mitarbeiter unterschieden werden kann.

- Lesen Sie auch: Der Leiharbeitsvertrag und das Arbeitsverhältnis: Unterscheidungskriterien und Bewertungsparameter.

Es liegt auf der Hand, dass der Beauftragte in den meisten Fällen unter (2) fällt und dass er die Rolle des externen Kontrolleurs spielt.

4. Unterschiede in der EU

Zu diesem Punkt ist lediglich anzumerken, dass die Situation in anderen europäischen Rechtsordnungen anders sein kann, z. B. in einem Kommentar zur Datenschutz-Grundverordnung, der in England Bevollmächtigte gehören "in der Regel" zum Kreis der zur Bearbeitung befugten Personen (Annahme (3)):

"Die letztgenannte Kategorie von Personen, die keine Dritten sind, umfasst in der Regel die Angestellten, Beauftragten und Unterauftragnehmer des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters, die unter dessen direkter Aufsicht Daten für ihn verarbeiten"[4]

In die entgegengesetzte Richtung scheint sich die Deutsches Systemmit dem Oberlandesgericht München, das in einem Urteil aus dem Jahr 2019[5] bringt die Agenturbeziehung zurück zu den Datenschutz zu einer Beziehung zwischen autonomen für die Datenverarbeitung Verantwortlichen.

Insbesondere bei der Prüfung der Pflicht des Auftraggebers, dem Handelsvertreter einen Kontoauszug über die durch seine Vermittlungstätigkeit geschlossenen Verträge vorzulegen, stieß der Gerichtshof auf den Einwand des Auftraggebers, dass diese Daten nicht verwertbar seien. Übertragungweil eine solche Übermittlung nur mit Einwilligung der betroffenen Person erfolgen könnte (nach Ansicht des Kunden besteht in diesem Fall weder eine gesetzliche Verpflichtung zur Übermittlung der Daten noch ist diese Weitergabe zur Erfüllung des Vertrags zwischen Kunde und Kunde erforderlich).

Der Gerichtshof in München hat die Wiedereinsetzung in den vorigen Stand abgelehnt, sondern akzeptiert seine Prämissen und bestätigt die der Übertragung ("Übermittlung") der Daten ist[6]dann aber erklärt, dass diese Übermittlung aufgrund des berechtigten Interesses des Bevollmächtigten an der Kenntnis der Daten rechtmäßig erfolgen kann.

Die Rekonstruktion des bayerischen Gerichts geht also davon aus, dass eine gleichberechtigte und autonome Beziehung zwischen Vertreter und Auftraggeber besteht, ohne dass der Erstere für den Letzteren verantwortlich gemacht werden kann, weshalb das Gericht die Ausnahme dadurch löst, dass es das berechtigte Interesse als Legitimationsmittel dafür ansieht, dass der Vertreter Daten Dritter (Kunden des Auftraggebers, die er unter Vertrag genommen hat) kennt.

Ein italienischer Richter, der mit der gleichen Frage konfrontiert worden wäre, hätte die Rechtmäßigkeit der Datenübermittlung wahrscheinlich auf das Verhältnis zwischen Auftraggeber und Beauftragtem zurückgeführt, das die (wenn auch in ihrer Angemessenheit "überwachte") Übermittlung von Daten zwischen den Betroffenen auf der Grundlage des sie bindenden Auftragsvertrags legitimiert.

Eine Lesart wie die des deutschen Gerichts, die mit den EDPB-Richtlinien nur schwer zu vereinbaren ist, beruht aller Wahrscheinlichkeit nach auf dem Unabhängigkeitsverhältnis des Handelsvertreters, wie es in Artikel 1 Absatz 2 der europäischen Handelsvertreterrichtlinie (86/653/EWG) und durch §84 des deutschen Handelsgesetzbuchs umgesetzt, der wie folgt lautet:

"Ein Handelsvertreter ist jemand, der als selbständiger Gewerbetreibender ständig damit betraut ist, für einen anderen Unternehmer (Entrepreneur) Geschäfte zu vermitteln oder in dessen Namen abzuschließen. Ein Selbständiger ist jemand, der seine Tätigkeit im Wesentlichen frei gestalten und seine Arbeitszeit selbst bestimmen kann."[7]

Die Lektüre des "Auslegungsleitfadens" des Bayerischen Landesamtes für Datenschutzaufsicht zur DSGVO bestätigt dies und zeigt, dass das deutsche Rechtssystem die Einbeziehung des Handelsvertreters in den Kreis der Stellen, die (normalerweise) die Funktion des für die Datenverarbeitung Verantwortlichen und nicht die des Datenverarbeiters wahrnehmen, bevorzugt[8]die der Rolle des unabhängigen Marktteilnehmers, die dieser im Vertragsverhältnis spielt, einen besonderen Stellenwert einräumt.

- Lesen Sie auch: Der Vertreter der natürlichen Person, die untergeordnete Arbeit und der Arbeitsritus.

5. Die Einstellung der Privatsphäre des Agenten

Was muss der Bevollmächtigte also tun, um die Vorschriften aus Sicht der Datenschutz?

Das grundlegende Dokument für den Agenten, in der physiologischen Hypothese (2), die wir gesehen haben, wird die Ernennung zum externen Manager, ehemals Art. 28 DSGVO, d.h. ein tatsächlicher Vertrag, der die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen, die Pflichten und Rechte des für die Verarbeitung Verantwortlichen, die Dauer der Verarbeitung usw. regelt.

Dieses Dokument ist daher unerlässlich, damit der Bevollmächtigte weiß, welche Daten ihm anvertraut werden können, an wen er sie weitergeben darf und was er tun muss, wenn ein Kunde seine Rechte geltend machen will. Datenschutzwas im Falle einer Datenverletzung zu tun ist (z. B. wenn der Vertreter den Laptop verliert, auf dem er die Kundendaten des Auftraggebers gespeichert hat) usw.

Drei Dinge sind bei der Nominierung besonders wichtig:

  • was mit den im Auftrag des Kunden verarbeiteten Daten nach Beendigung des Vertrags geschieht, d. h. ob sie zurückgegeben, vernichtet oder aufbewahrt werden (natürlich kann der Vertreter die Daten noch aufbewahren, wenn er sie z. B. benötigt, um seine Leistung nachzuweisen und bezahlt zu werden);
  • ob der Bevollmächtigte bestellen kann Unterverantwortlich und die Verfahren, die in dem Fall anzuwenden sind. Einige Ernennungen sehen die Möglichkeit vor, Unterbevollmächtigte nur mit vorheriger Zustimmung des Auftraggebers zu ernennen, während andere dem Bevollmächtigten mehr Freiheit lassen, einige verlangen jedoch, dass der Bevollmächtigte den Auftraggeber über die Unterbevollmächtigten informiert, die er zur Verarbeitung seiner Daten einsetzt. Und es ist zu bedenken, dass Unterauftragsverarbeiter nicht nur die Unterauftragsverarbeiter sind, sondern alle Anbieter, die die Kundendaten des Auftraggebers verarbeiten (wenn ich z. B. - und das ist trivial - Daten auf Google Drive speichere, ist Google mein Unterauftragsverarbeiter, und wenn die Bestellung die vorherige Zustimmung des Auftraggebers zur Bestellung des Unterauftragsverarbeiters vorsieht, muss ich den Auftraggeber fragen, ob ich z. B. seine Daten bei Google speichern darf);
  • i Prüfungsgebühren des Eigentümers, der je nach Fall einfache Karten-Audits (Fragebögen über den Grad der Einhaltung der Vorschriften durch den Vertreter) oder sogar invasivere Inspektionen in den Büros des Vertreters vorschreiben kann (der in einigen Fällen, vielleicht wenn es sich um einen Vertreter mit mehreren Unternehmen handelt, überlegen muss, ob er eine solche Klausel ablehnt, weil sie im Widerspruch zu früheren Verpflichtungen stehen könnte Datenschutz mit anderen Auftraggebern getroffen).

Wenn der Termin fehltEs ist angebracht, dass der Handelsvertreter den Unternehmer mit dieser Frage konfrontiert und im Falle der Trägheit des Unternehmers selbst die Initiative ergreift, indem er dem Unternehmer eine so genannte "Selbstbestellung" als externer Manager vorlegt, um die Beziehungen zwischen den Parteien wirksam zu regeln.

Der Bevollmächtigte sollte dann ein Verzeichnis der Behandlungen führen, ehemals Artikel 30 GDPR (obligatorisches Dokument nur für Unternehmen mit mehr als 250 Beschäftigten oder für Unternehmen, die risikobehaftete Datenverarbeitungen durchführen oder Daten besonderer Kategorien verarbeiten, aber immer sehr empfehlenswert weil sie es dem Vertreter auch ermöglicht, die Datenströme seiner beruflichen Tätigkeit zu identifizieren und zu überwachen).

Zusätzlich zu diesem Behandlungsregister (sehr empfehlenswert) geht dann (dieses Mal obligatorisch) ein Verzeichnis der Verarbeitungen der verantwortlichen Person zu führen. Dieses besondere Verzeichnis der Verarbeitungen muss für jeden Auftraggeber ausgefüllt werden, der den Bevollmächtigten als externen Verwalter bestellt. In der Regel wird in den einzelnen Ernennungen auf dieses Register und etwaige Anforderungen des Auftraggebers an dessen Führung verwiesen.

Auf der Website der Garante Datenschutz vorhanden ist, bei diese Seitesowohl ein Modellregister der Verarbeitungsvorgänge als auch ein Modellregister der Verarbeitungsvorgänge des Steuergeräts.

6. B2C und B2B

Auch wenn diese Bestellung sicherlich dringlicher ist, wenn der Vertreter im Namen des Auftraggebers mit natürlichen Personen in Kontakt treten muss, ist sie keine Formalität, die ausgeschlossen werden kann, auch wenn der Vertreter nur B2B-Geschäfte tätigt und im Namen des Auftraggebers überwiegend mit Unternehmen in Kontakt treten muss.

Auch in diesem Fall kann der Beauftragte nämlich Daten einzelner Personen innerhalb der Kundenunternehmen verarbeiten (auch, trivialerweise, Name, Telefonnummer, E-Mail usw.), d. h. Daten von Einzelunternehmern oder Freiberuflern, die in jeder Hinsicht personenbezogene Daten sind, so dass es in jedem Fall erforderlich ist, für die Zwecke der Datenschutz die Beziehung zum Auftraggeber.

7. Die

Nach Klärung des Verhältnisses zum Auftraggeber, das in der Regel im Mandatsvertrag geregelt ist, ist es angebracht, dass der Handelsvertreter seine eigenen Angaben macht.

In der Regel muss der Handelsvertreter den Kunden, mit denen er im Namen des Auftraggebers Kontakt aufnimmt, keine Informationen vorlegen (er muss höchstens die Informationen des Auftraggebers gemäß dem Auftrag vorlegen), was jedoch nichts an der Tatsache ändert, dass der Handelsvertreter dennoch Informationen vorlegen muss.

So wird der Beauftragte beispielsweise die Daten des Auftraggebers, seiner Lieferanten, Berater, Angestellten, Unterbeauftragten usw. verarbeiten.

Alle diese Datenverarbeitungen führt der Beauftragte nicht "im Auftrag" eines Auftraggebers durch, sondern tut dies unabhängig, und es ist erforderlich, den verschiedenen Parteien, mit denen er auf eigene Rechnung in Kontakt tritt, eine Mitteilung darüber vorzulegen, wie er die Daten dieser Parteien verarbeiten wird.

Die Information, die in der Regel nicht mit einer Bitte um Zustimmung verbunden ist Datenschutz sofern sie nur für die Abwicklung des Vertrags zwischen den Parteien bestimmt ist, muss sie dennoch vorgelegt werden, um zu dokumentieren, dass die betroffene Person darüber informiert wurde, wie der Beauftragte mit ihren personenbezogenen Daten umgehen wird. Der Nachweis für die Übermittlung der Informationen an die betroffene Person (eine Unterschrift auf dem Formular, die E-Mail, mit der die Informationen übermittelt wurden, die Kennzeichnung auf der Website des Beauftragten) muss so lange aufbewahrt werden, wie die Daten gespeichert sind.

Die Offenlegung muss vernünftig formuliert werden, ohne sich unkritisch auf Online-Formulare zu verlassen (man denke nur an den externen Google-Manager für die Unternehmens-Cloud), Google, außer bei bestimmten Verträgen, Daten in die USA überträgtDie Wahl eines Basisinformationsblatts, in dem geschrieben steht, dass die Daten unter keinen Umständen in Länder außerhalb der Europäischen Union übermittelt werden, ist bereits ein leicht zu erkennender Fehler im Falle einer Prüfung).

8. Ernennungen, Genehmigungen usw.

Zusätzlich zu diesen grundlegenden Dokumenten und Vorkehrungen ist die Architektur Datenschutz des Agenten wächst mit dem Wachstum der Struktur. Unterbeauftragte sollten als externe Manager ernannt werden, ebenso wie der Arbeitsberater, der Anbieter der Corporate Cloud (in diesem Fall wird es eher darum gehen, die Selbstverpflichtung zu finden, die diese großen Unternehmen fast immer vorbereiten, aber manchmal schwer zu finden ist) sowie alle Partner, die nicht in einer Position der Unterordnung gegenüber dem Beauftragten sind und die bei der Erbringung ihrer Dienstleistungen Daten verarbeiten im Namen von des Beauftragten (mit Ausnahme von Sonderfällen, wie z. B. Partner mit einer bestimmten beruflichen Qualifikation, z. B. Rechtsanwälte oder Buchhalter, die auch dann eigenständig für die Datenverarbeitung verantwortlich bleiben, wenn sie Daten im Auftrag des Beauftragten verarbeiten).

Die Beschäftigten (und ihre Mitarbeiter) müssen detailliertere Anweisungen erhalten, wie sie sowohl Papier- als auch Computerdaten verarbeiten sollen, und ihr Zugang zu den Systemen und Geräten des Unternehmens muss angemessen geschult werden.

Die Website sollte angepasst werden mit Datenschutz und Cookie-Richtlinie und mit zunehmender Bedeutung der Struktur ist es angebracht, Richtlinien zu verabschieden, die festlegen, wie mit Datenschutzverletzungen koordiniert umgegangen werden soll, wie auf Zugriffsanfragen reagiert werden soll, wie Software und IT-Tools verwaltet werden sollen, usw.

9. Anpassung als laufende Arbeit

Die europäische Gesetzgebung erfordert einen 360-Grad-Ansatz für dieses Phänomen Datenschutzfür jede Geschäftstätigkeit zu prüfen, ob sie personenbezogene Daten betreffen kann und wie diese in der Struktur angeordnet sind Datenschutz Unternehmen.

Die Anpassung muss also immer als eine in Arbeit befindliche Maßnahmen denn was zu einem bestimmten Zeitpunkt angemessen ist, kann später veraltet sein. Unsere Daten bewegen sich zunehmend auf Computersystemen und -netzen, die sich in rasantem Tempo weiterentwickeln, wenn bis gestern die Sicherheitsstandards eines Laptop mit Windows 7 ausreichend waren, ist dies heute nicht mehr der Fall, wenn bis letztes Jahr Schulungen zur Vermeidung von Angriffen Ransomware Bei einer Reihe von Beispielen verwenden die Angreifer keine dieser Methoden mehr, sondern haben neue, raffiniertere Methoden erfunden.

So bürokratisch und dokumentarisch es auch erscheinen mag, der in diesen Zeilen beschriebene Ansatz soll lediglich Verfahren schaffen, die es dem Beauftragten erleichtern, wesentliche Anpassungen vorzunehmen, damit er sich mit einem organisierten Aufbau auf das Wesentliche konzentrieren kann, d. h. eine leichtfertige und daher sehr riskante Verarbeitung personenbezogener Daten zu vermeiden, über den Computerschutz der Systeme, auf denen der Beauftragte arbeitet, nachzudenken (die Verschlüsselung eines tragbaren Geräts ist heute wirklich trivial und kostenlos und kann bei Verlust des Geräts lebensverändernd sein) und den Datenschutz im Laufe der Zeit an die sich ändernde Unternehmensstruktur sowie an die rechtlichen und technologischen Entwicklungen anzupassen.

Rechtsanwalt Riccardo Berti


[1] Eigentum an der Verarbeitung personenbezogener Daten durch Personen, die Agenten für Werbemaßnahmen einsetzen - 15. Juni 2011, veröffentlicht im Amtsblatt Nr. 153 vom 4. Juli 2011, Register der Maßnahmen, Nr. 230 vom 15. Juni 2011.

[2] Die Schriftform für die Ernennung eines externen für die Verarbeitung Verantwortlichen ist keine bloße Empfehlung, sondern eine echte rechtliche Verpflichtung, die in Artikel 29 Absatz 9 der Datenschutz-Grundverordnung (DSGVO) vorgesehen ist (beachten Sie, dass "Schriftform" in der Sprache der DSGVO nicht nur die Papierform bedeutet, im Gegenteil, die europäischen Rechtsvorschriften fördern die Digitalisierung der Datenschutzdokumentation).

Was hingegen die Verpflichtung zur Schulung betrifft, so schreibt die Gesetzgebung vor, dass der Verantwortliche die Daten auf dokumentierte Anweisung des Eigentümers verarbeiten darf, so dass in einem "einfachen" Agenturverhältnis die bloße Anweisung an den Agenten ausreichen kann, während im Fall von Wind, das den Agenten die Nutzung seiner eigenen Verwaltungssoftware anbietet, diese Anweisungspflicht in eine Verpflichtung zur Schulung der externen Mitarbeiter umgewandelt wird, um sicherzustellen, dass sie die ihnen vom Unternehmen zur Verfügung gestellten Instrumente sicher und bewusst nutzen.

[3] Erwägungsgrund 32 der EU-Verordnung Nr. 679/2016 (GDPR)

[4] Die EU-Datenschutzgrundverordnung (DSGVO): Ein Kommentar" C. Kuner, L. A. Bygrave, C. Docksey, L. Drechsler. Oxford University Press (2020).

[5] Verfahren 7 U 4012/17 vom 31.07.2019   

[6] Gemäß Art. 4 Punkt 2) DSGVO ist die Übermittlung eine Form der Datenübermittlung, die wiederum gemäß Art. 14 Abs. 3 lit. c) DSGVO eine Tätigkeit ist, an der zwei oder mehr für die Verarbeitung Verantwortliche beteiligt sind (wobei die für die Verarbeitung Verantwortlichen und die befugten Personen keine übermittelten Daten sind, sondern im Auftrag des für die Verarbeitung Verantwortlichen Daten verarbeiten, während der Außenstehende eigentlich eine einzige Einheit ist).

[7] §. 84 HGB "Handelsvertreter ist, wer als selbständiger Gewerbetreibender ständig damit betraut ist, für einen anderen Unternehmer (Unternehmer) Geschäfte zu vermitteln oder in dessen Namen abzuschließen. Selbständig ist, wer im Wesentlichen frei seine Tätigkeit gestalten und seine Arbeitszeit bestimmen kann".

[8] Auslegungshilfe | Bayerisches Landesamt für Datenschutzaufsicht.