Einen B\u00e4rendienst hat sich der EU-Gesetzgeber mit der Definition, bzw. besser \u201eNichtdefinition\u201c des Begriffs der \u201eVerarbeitung\u201c erlaubt. Wieso ist das so wichtig? Sobald ein Verantwortlicher Daten in irgendeiner Form einem Dritten zur Verarbeitung \u00fcbergibt, muss er diesem die Pflichten \u00fcberbinden, die er selbst \u00fcbernommen hat. Das scheint plausibel, der Teufel steckt aber auch hier im Detail. Nachden meisten Datenschutzbeh\u00f6rden besteht eine Verarbeitung schon dann, wenn jemand hypothetisch auf die Daten zugreifen k\u00f6nnte.<\/p>\r\n\r\n\r\n\r\n
Die Speicherung verschl\u00fcsselter Daten bei einem Auftragnehmer\/Sourcing Unternehmen, deren Schl\u00fcssel nur der Verantwortliche kennt, gilt als Verarbeitung.<\/strong><\/p>\r\n\r\n\r\n\r\n Das ist identisch zur Anonymisierung von Daten.Doch anonymisierte Daten gelten nicht als Personendaten und fallen deshalb nicht unter die DS-GVO! Als Verarbeiter gelten auch nicht Anbieter von Telekomdiensten, die auf Grund der Telekomgesetzgebungen n\u00e4mlich bereits reguliert sind (und deshalb eine Aufzeichnungspflicht haben). Hier wird im Interesse der \u00dcberwachungsbeh\u00f6rden der Datenschutz konsequent ausgehebelt. F\u00fcr Beh\u00f6rden ist die Verarbeitung selbst dann gegeben, wenn nur ein tempor\u00e4rer Zugriff auf die Daten stattfindet.<\/p>\r\n\r\n\r\n\r\n Beispiel: In einem Rechenzentrum wird ein dedizierter Server-Stack betrieben, Admin-Rechte hat nur der Kunden, im Notfall kann der RZ Betreiber allerdings \u00fcber spezielle Verfahren die Server herunterfahren und Eingriffe t\u00e4tigen. Damit wird er aus Sicht der Beh\u00f6rden schon zum Verarbeiter. \u00a0<\/p>\r\n\r\n\r\n\r\n Die extensive Definition von \u201eVerarbeitung\u201c erh\u00f6ht die Risiken.<\/strong><\/p>\r\n\r\n\r\n\r\n Solche praxisfremden Regelungen sind nur absurd und werden dazu f\u00fchren, dass kreative L\u00f6sungen zur Umgehung gefunden werden. Man h\u00e4tte sich darauf beschr\u00e4nken sollen, m\u00f6gliche Vertraulichkeitsverluste im Rahmen der Auftragsverarbeitung zu adressieren.Beim Datenschutz geht es nicht in erster Linie um die Verf\u00fcgbarkeit, diese ist sekund\u00e4r. Auch die Verarbeitungsdefinition zeigt: Informationssicherheit als grundlegendes Prinzip wurde nicht verstanden (vgl. FK 6<\/a>). Es n\u00fctzt wenig, wenn man versucht, m\u00f6glichst viele Vertragspartner als Verarbeiter zu definieren. Denn damit wird die Kontrolle f\u00fcr den Verantwortlichen (oder Verarbeiter, denn die Kette ist grunds\u00e4tzlich endlos) unm\u00f6glich oder unwirtschaftlich \u2013 die Risiken nehmen zu statt ab. Zudem f\u00fchrt es zu absurden Verkettungen von Subunternehmern und zu Einverst\u00e4ndniserkl\u00e4rungen, die niemand mehr versteht. Ich bin sicher, es gibt Verarbeitungen, in welchen sich die Verarbeitungskette \u201ein den Schwanz beisst\u201c.<\/p>\r\n","protected":false},"excerpt":{"rendered":" Einen B\u00e4rendienst hat sich der EU-Gesetzgeber mit der Definition, bzw. besser \u201eNichtdefinition\u201c des Begriffs der \u201eVerarbeitung\u201c erlaubt. Wieso ist das …