This post is also available in: English (Englisch)
Einen Bärendienst hat sich der EU-Gesetzgeber mit der Definition, bzw. besser „Nichtdefinition“ des Begriffs der „Verarbeitung“ erlaubt. Wieso ist das so wichtig? Sobald ein Verantwortlicher Daten in irgendeiner Form einem Dritten zur Verarbeitung übergibt, muss er diesem die Pflichten überbinden, die er selbst übernommen hat. Das scheint plausibel, der Teufel steckt aber auch hier im Detail. Nachden meisten Datenschutzbehörden besteht eine Verarbeitung schon dann, wenn jemand hypothetisch auf die Daten zugreifen könnte.
Die Speicherung verschlüsselter Daten bei einem Auftragnehmer/Sourcing Unternehmen, deren Schlüssel nur der Verantwortliche kennt, gilt als Verarbeitung.
Das ist identisch zur Anonymisierung von Daten.Doch anonymisierte Daten gelten nicht als Personendaten und fallen deshalb nicht unter die DS-GVO! Als Verarbeiter gelten auch nicht Anbieter von Telekomdiensten, die auf Grund der Telekomgesetzgebungen nämlich bereits reguliert sind (und deshalb eine Aufzeichnungspflicht haben). Hier wird im Interesse der Überwachungsbehörden der Datenschutz konsequent ausgehebelt. Für Behörden ist die Verarbeitung selbst dann gegeben, wenn nur ein temporärer Zugriff auf die Daten stattfindet.
Beispiel: In einem Rechenzentrum wird ein dedizierter Server-Stack betrieben, Admin-Rechte hat nur der Kunden, im Notfall kann der RZ Betreiber allerdings über spezielle Verfahren die Server herunterfahren und Eingriffe tätigen. Damit wird er aus Sicht der Behörden schon zum Verarbeiter.
Die extensive Definition von „Verarbeitung“ erhöht die Risiken.
Solche praxisfremden Regelungen sind nur absurd und werden dazu führen, dass kreative Lösungen zur Umgehung gefunden werden. Man hätte sich darauf beschränken sollen, mögliche Vertraulichkeitsverluste im Rahmen der Auftragsverarbeitung zu adressieren.Beim Datenschutz geht es nicht in erster Linie um die Verfügbarkeit, diese ist sekundär. Auch die Verarbeitungsdefinition zeigt: Informationssicherheit als grundlegendes Prinzip wurde nicht verstanden (vgl. FK 6). Es nützt wenig, wenn man versucht, möglichst viele Vertragspartner als Verarbeiter zu definieren. Denn damit wird die Kontrolle für den Verantwortlichen (oder Verarbeiter, denn die Kette ist grundsätzlich endlos) unmöglich oder unwirtschaftlich – die Risiken nehmen zu statt ab. Zudem führt es zu absurden Verkettungen von Subunternehmern und zu Einverständniserklärungen, die niemand mehr versteht. Ich bin sicher, es gibt Verarbeitungen, in welchen sich die Verarbeitungskette „in den Schwanz beisst“.
