Auftragsdatenverarbeitung

Größe: px
Ab Seite anzeigen:

Download "Auftragsdatenverarbeitung"

Transkript

1 Auftragsdatenverarbeitung Orientierungshilfe Seite 1/43 München, Allgemeines Immer mehr Behörden und Kommunen stehen vor dem Problem, dass die zunehmende Vernetzung, die ständig steigende Leistungsfähigkeit der DV-Systeme sowie die immer komplexeren Verfahren und die Nutzung moderner Technologien einen immer höheren Betreuungsaufwand erfordern, den sich insbesondere kleinere Behörden und Kommunen nicht mehr leisten können oder wollen. Häufig mangelt es auch an entsprechend qualifiziertem Personal oder der nötigen Infrastruktur. Deshalb bieten externe Dienstleister, die sich auf eine bestimmte Dienstleistung spezialisiert haben und über ein kompetentes Expertenteam verfügen, vermehrt DV-Services der unterschiedlichsten Art an, um den Anwender bei schwierigen Spezialaufgaben zu entlasten. Dabei kann es sich sowohl um manuelle Datenverarbeitung als auch um die Verarbeitung personenbezogener Daten unter Einsatz der elektronischen Datenverarbeitung handeln. Diese Art der Datenverarbeitung kann (im Rahmen eines so genannten Outsourcings) sowohl innerhalb der Räume des Auftraggebers als auch außerhalb stattfinden. Wenn eine öffentliche Stelle personenbezogene Daten durch eine andere Stelle erheben, verarbeiten oder nutzen lässt, ohne dass dabei eine Funktionsübertragung stattfindet, so handelt es sich gemäß Art. 6 BayDSG um eine Datenverarbeitung im Auftrag. Bei einer Auftragsdatenverarbeitung werden der Auftraggeber und der Auftragnehmer rechtlich einheitlich als eine einzige verantwortliche

2 Seite 2/43 Stelle angesehen. Dies drückt sich beispielsweise in Art. 4 Abs. 10 Satz 2 BayDSG wie folgt aus: Dritte sind nicht die Betroffenen sowie diejenigen Personen und Stellen, die im Inland oder innerhalb der Mitgliedstaaten der Europäischen Union personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. Die Auftragsdatenverarbeitung ist somit gesetzlich privilegiert. Die rechtlichen Vorteile einer Auftragsdatenverarbeitung liegen insbesondere darin, dass für ihre Durchführung keine zusätzliche Prüfung der Zulässigkeitsvoraussetzungen für eine Verarbeitung personenbezogener Daten durch den Auftragnehmer erforderlich ist. Ist der Auftragnehmer eine bayerische öffentliche Stelle, hat er gemäß Art. 6 Abs. 3 Satz 1 BayDSG nur die Art. 5 (Datengeheimnis), 7 (Technische und organisatorische Maßnahmen), 25 (Sicherstellung des Datenschutzes), (Landesbeauftragter für den Datenschutz), 32 Abs. 1 3 (Unterstützung des Landesbeauftragten), 33 (Datenschutzkommission) und 37 (Ordnungswidrigkeiten, Strafvorschrift) BayDSG zu beachten. Sofern der Auftraggeber eine öffentliche Stelle des Bundes ist, sind die Vorgaben des 11 BDSG zu beachten. 2. Formen der Auftragsdatenverarbeitung Für eine Auftragsdatenverarbeitung kommen insbesondere folgende Aufgaben infrage: Konzeption von DV-Systemen und Netzwerken Entwicklung, Wartung und Pflege von Software Wartung von Hardware Bereitstellung, Administration und Betrieb einzelner Rechnersysteme (z.b. Firewall-Rechner) bzw. ganzer Netzwerke Bereitstellung und Betrieb des kompletten Rechenzentrums Beschaffung, Installation und Betreuung der Bürokommunikation (User-Help-Desk) Bereitstellung von Backup-Systemen

3 Seite 3/43 Abwicklung einzelner DV-Arbeiten (z.b. Programmierarbeiten, Datenerfassung, Datenpflege, Erledigung von Massenarbeiten wie Mailingaktionen, Erhebung und Auswertung von Daten) Vollständige Abwicklung aller DV-Tätigkeiten Transport von Informationen und Datenträgern Lagerung, Archivierung und Verfilmung von Unterlagen Vernichtung von Datenträgern Einige der wichtigsten Formen der Auftragsdatenverarbeitung sind: a) Datenerfassung Handelte es sich bei den an Außenstehende vergebenen Datenverarbeitungsaufgaben früher meist um Datenerfassungsarbeiten, so hat diese Art der Auftragsdatenverarbeitung heute eine geringe Bedeutung, weil sie regelmäßig im Rahmen der Sachbearbeitung erledigt wird. Lediglich wenn umfangreiches Datenmaterial (beispielsweise aus Erhebungen) erfasst werden soll, bedient man sich heutzutage noch eines Erfassungsbüros, das solche Auftragsspitzen schneller und effektiver als das eigene Personal abarbeiten kann. b) Outsourcing im klassischen Sinn Im Vordringen ist das Auslagern von Versandarbeiten (epost). Auch das Vorhalten von Backup-Kapazitäten für den Katastrophenfall ist heute noch ein klassisches Feld der Auftragsdatenverarbeitung. Viele Behörden und Kommunen bedienen sich für ihre DV-Aktivitäten eines einzigen Rechenzentrums oder Serverraums. Für den Katastrophenfall weicht man häufig auf ein (mobiles) Backup- Rechenzentrum eines Dienstleisters oder des Herstellers aus. Weiterhin häufig praktiziert wird die Auslagerung des Bereiches der Bürokommunikation. Die Beschaffung, Installation und Betreuung der entsprechenden Software (z. B. Textverarbeitung, - Kommunikation) und teilweise der eingesetzten Hardware wird von einem Auftragnehmer übernommen. Gründe dafür sind neben Wirtschaftlichkeitsüberlegungen das fehlende eigene Fachpersonal und

4 Seite 4/43 die Schaffung einheitlicher Standards für alle Arbeitsplätze. Bestandteil dieser Form der Auftragsdatenverarbeitung ist in der Regel auch die Einrichtung eines so genannten User-Help-Desks, den die firmeneigenen Anwender bei Auftreten von Problemen zu Rate ziehen können. c) Programmerstellung Gelegentlich werden auch Programmieraufträge an Dritte vergeben. Dabei sollte darauf geachtet werden, dass dem Auftragnehmer keine Echtdaten, insbesondere keine personenbezogenen Daten - auch nicht für Testzwecke - zur Verfügung gestellt werden. Da dem Auftraggeber in der Regel im Rahmen der Softwareüberlassung nicht der so genannte Quellcode (Programmlogik) sondern lediglich der maschinell erzeugte Objektcode überlassen wird, muss er sich Gedanken darüber machen, wie er im Notfall trotzdem Zugriff auf den Quellcode (Source Code) erhält. Dies bedeutet, dass die Programmlogik bei einer vertrauenswürdigen Person oder Instanz hinterlegt werden muss, die in vertraglich festgelegten Fällen den Zugriff gestattet. Diese Funktion wurde lange Zeit in erster Linie von Notaren oder Rechtsanwälten übernommen. In letzter Zeit wird allerdings immer mehr dazu übergegangen, den Quellcode bei anderen professionellen Stellen zu hinterlegen. d) Erledigung von Massenarbeiten Als Auftragsdatenverarbeitung weit verbreitet ist der Versand von Mitteilungsblättern, Informationsbroschüren, Beitragsrechnungen und sonstigen Drucksachen auf der Basis eines vom Auftraggeber zur Verfügung gestellten Adressenbestandes. e) Datenumsetzung In Bezug auf die Datenumsetzung sind insbesondere eine Verfilmung von Papier auf Mikrofilm bzw. Mikrofiches oder eine Konversion von magnetischen Datenträgern auf optische Speichermedien (Erstellen von CD-ROMs und DVDs) häufige Erscheinungsformen der Auftragsdatenverarbeitung.

5 Seite 5/43 f) Durchführung von Befragungen und Forschungsaufträgen Insbesondere im Forschungsbereich werden häufig Befragungsaktionen und deren Auswertungen an dafür spezialisierte Institute übergeben. g) Archivierung von Daten Bei der Archivierung von maschinenlesbaren Datenträgern sowie von Altakten, auf die nicht mehr ständig zugegriffen werden muss, wird häufig auf die Dienste von darauf spezialisierten Unternehmen zurückgegriffen. h) Löschung bzw. Vernichtung von Datenträgern Die Löschung von magnetischen und optischen Datenträgern (z. B. Magnetbändern, Disketten, CD, DVD, Sticks) bzw. die Vernichtung von Datenträgern aller Art, insbesondere von nicht mehr benötigten Papierunterlagen, kann durch Dritte im Haus oder außer Haus erfolgen. 3. Vor- und Nachteile Vorteile können beispielsweise sein: Kosteneinsparung zusätzliche Einnahmen aus dem Verkauf der vorhandenen Hardund Software Erhöhung der Planungssicherheit während der Dauer des Vertrages Beseitigung historisch gewachsener Probleme durch Neukonzeption Unabhängigkeit von Hard- und Softwareaufrüstungen bzw. wechseln Unabhängigkeit von Personalqualifikationsproblemen und Personalengpässen hohe Flexibilität Konzentration auf die eigentlichen Kernaufgaben der öffentlichen Verwaltung Steigerung der Qualität der Datenverarbeitung (Verbesserung von Arbeitsprozessen)

6 Seite 6/43 effektiverer Datenschutz durch geschultes Personal und örtliche Gegebenheiten Sicherstellung der Verfügbarkeit von Informationen und Diensten: 24 Stunden-Betrieb/365 Tage (Hochverfügbarkeit) Allerdings muss sich jede Behörde in jedem Einzelfall fragen, ob es nicht aus Datenschutzgründen besser wäre oder es notwendig ist, einzelne dieser Aufgaben durch eigene Kräfte zu erledigen. Soweit keine gesetzlichen Regelungen existieren, ist besondere Zurückhaltung geboten. Generell sollte eine Auftragsdatenverarbeitung bei der Verarbeitung sehr sensibler Daten gut überlegt sein, da das Ansehen der verantwortlichen Stelle bereits darunter leiden kann, wenn bekannt wird, dass Außenstehende Zugang zu empfindlichen Bürger- oder Mitarbeiterdaten erhalten. Aber auch bei dem Umgang mit weniger sensiblen Daten können große Schäden für den Auftraggeber (z. B. bei einer Löschung bzw. Beschädigung von Daten) durch eine unsachgemäße Datenverarbeitung durch einen (unzuverlässigen) Auftragnehmer entstehen. Ein weiterer Nachteil besteht darin, dass bei einer Auftragsdatenverarbeitung die Kontrolle der Einhaltung des Datenschutzes und der Datensicherheit nur im eingeschränkten Maße möglich ist. Somit kann in manchen Fällen sehr schnell der Zustand erreicht werden, dass die Erreichung der mit dem Outsourcing angestrebten Ziele (Einsparung von Ressourcen) aufgrund der zu ergreifenden Datenschutz- und Datensicherungsmaßnahmen in Frage gestellt oder gar verfehlt wird. Auch eine Wirtschaftlichkeitsbetrachtung der Outsourcingmaßnahme unter Berücksichtigung des Aufwandes für die erforderlichen Sicherheitsmaßnahmen ist hier dringend geboten. Zu bedenken ist auch, dass Outsourcing eine mittelfristig kaum widerrufbare Entscheidung ist, da es nach Aufgabe des eigenen IT-

7 Seite 7/43 Know-Hows schwierig bis fast unmöglich wird, ein solches Know-How kurzfristig wieder aufzubauen. 4. Rechtliche Hinweise Die folgenden Ausführungen beziehen sich insbesondere auf Art. 6 BayDSG (Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag). Allerdings ist zu berücksichtigen, dass bereichsspezifische Vorschriften dem Bayerischen Datenschutzgesetz vorgehen und zum Teil eine Auftragsdatenverarbeitung aus Geheimhaltungspflichten verbieten. Bereichsspezifische Vorschriften sind beispielsweise: Art. 33 Gesetz über das Meldewesen (MeldeG) Verletzung von Privatgeheimnissen (Berufsgeheimnissen) gemäß 203 Abs. 1 StGB (z. B. für Ärzte), siehe auch Art. 2 Abs. 9 BayDSG 30 Abgabenordnung (Steuergeheimnis) 80 SGB X (Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag) Art. 27 Abs. 4-6 Bayerisches Krankenhausgesetz (Verarbeitung von Patientendaten im Auftrag) 4.1 Verantwortliche Stelle Eine Auftragsdatenverarbeitung liegt immer vor, wenn die Voraussetzungen des Art. 6 BayDSG erfüllt werden. Datenschutzrechtlich wird der externe Dienstleister in seiner Eigenschaft als Auftragnehmer so behandelt, als sei er eine interne Abteilung des Auftraggebers. Bei der Auftragsdatenverarbeitung wird lediglich eine Hilfsfunktion der eigentlichen Aufgabe ausgelagert, nicht jedoch die Aufgabe selbst. Es findet somit keine Datenübermittlung im Sinne der Art. 18 und 19 BayDSG statt. Der externe Dienstleister erhält keine Entscheidungsbefugnis bezüglich der Daten und wird weder Herr der Daten noch verantwortliche bzw. speichernde Stelle. Er darf die erhaltenen Daten nicht zu eigenen Zwecken nutzen und muss sich strikt an die schriftlichen Weisungen

8 Seite 8/43 des Auftraggebers halten. Der Auftragnehmer wird lediglich zum verlängerten Arm des Auftraggebers. 4.2 Rechte und Pflichten des Auftraggebers a) Allgemeines Der Auftraggeber bleibt gemäß Art. 6 Abs. 1 BayDSG für die Einhaltung der Vorschriften des Bayerischen Datenschutzgesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Dies betrifft insbesondere die Vorschriften über die Zulässigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten, die Wahrung der Rechte des Betroffenen sowie die Einhaltung der nach Art. 7 BayDSG erforderlichen Datensicherheitsmaßnahmen. Hierbei sind insbesondere Maßnahmen der Zutritts-, Datenträger-, Speicher-, Zugriffs-, Übermittlungs-, Auftrags- und der Transportkontrolle zu treffen. Der Auftraggeber ist sowohl gegenüber den Fachaufsichts- und Kontrollbehörden als auch gegenüber dem Betroffenen verantwortlich. Er kann sich dieser Pflichten und Verantwortlichkeiten nicht dadurch entledigen, dass er die Datenverarbeitung auslagert. Der Auftraggeber bleibt somit Adressat der Betroffenenrechte bezüglich Auskunft, Berichtigung, Löschung oder Sperrung und ist auch weiterhin bezüglich der Gewährleistung der Rechte des Betroffenen (z. B. bezüglich Auskunft der über ihn gespeicherten bzw. Berichtigung und Löschung seiner personenbezogenen Daten) verantwortlich. Die Frage der Haftung im Verhältnis zwischen Auftraggeber und Auftragnehmer ( Innenverhältnis ) sollte bei der Auftragserteilung vertraglich geregelt werden, ist jedoch keine originär datenschutzrechtliche Frage. Soweit im Rahmen der Auftragsdatenverarbeitung personenbezogene Daten in einem automatisierten Verfahren verarbeitet werden, hat der Auftraggeber die datenschutzrechtliche Freigabe, die Erstellung und Führung einer entsprechenden Verfahrensbeschreibung sowie die

9 Seite 9/43 Aufnahme des Verfahrens in sein öffentliches Verfahrensverzeichnis zu veranlassen. Bezüglich einer etwaigen Auskunftserteilung aus dem öffentlichen Verfahrensverzeichnis muss vertraglich abgesichert sein, dass der Auftraggeber in diesem Zusammenhang auch Zugriff auf die Datenverarbeitung des Auftragnehmers nehmen kann. b) Überprüfung der zu ergreifenden Sicherheitsmaßnahmen Gemäß Art. 6 Abs. 2 Satz 3 BayDSG hat sich der Auftraggeber soweit erforderlich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen beim Auftragnehmer zu überzeugen. Art und Umfang der zu ergreifenden Sicherungsmaßnahmen richten sich nach den Grundsätzen der Erforderlichkeit und Angemessenheit. Dabei gilt: je sensibler die verarbeiteten Daten sind, desto umfangreicher und wirkungsvoller müssen die Datensicherheitsmaßnahmen sein. Natürlich ist auch in diesem Rahmen die Kosten- Nutzen-Analyse zu berücksichtigen. Dies bedeutet, dass die zu ergreifenden Maßnahmen nicht außer Verhältnis zu dem angestrebten Zweck und den dabei entstehenden Kosten stehen dürfen. Bei der Überprüfung handelt es sich in der Regel insbesondere bei längerfristigen Auftragsdatenverarbeitungen nicht nur um eine einmalige Angelegenheit. Der Gesetzgeber hat aber bewusst auf die Festlegung eines starren Überprüfungsturnus verzichtet, da ein solcher der in der Praxis vorkommenden Bandbreite an Auftragsdatenverarbeitung nicht gerecht werden würde. Gesetzlich nicht ausdrücklich vorgeschrieben ist, dass sich der Auftraggeber unmittelbar beim Auftragnehmer vor Ort und persönlich überzeugt. Dies wäre nach Ansicht des Gesetzgebers regelmäßig nicht angemessen und mit einem Verlust an Flexibilität verbunden, z. B. wenn der Auftraggeber ein Testat eines Sachverständigen einholen möchte oder wenn eine schriftliche Auskunft des Auftragnehmers (z. B. in Form der Vorlage eines Sicherheitskonzeptes) genügt. In der Praxis

10 Seite 10/43 wird der Auftraggeber aber häufig nicht darum herumkommen, sich selbst von der Angemessenheit und Wirksamkeit der vom Auftragnehmer ergriffenen Sicherheitsmaßnahmen zu überzeugen. Eine Vorortprüfung kann insbesondere bei konkreten Anlässen (z. B. Hinweisen auf Fehlverhalten des Auftragnehmers) rechtlich geboten sein. Deshalb muss der Auftraggeber sich die Option einer Überprüfung vor Ort offenlassen und vertraglich ausbedingen. Das Ergebnis einer Überprüfung ist zu dokumentieren. Nur dadurch lässt sich die Durchführung einer Überprüfung gegenüber den Aufsichtsbehörden nachweisen. Eine nähere Beschreibung der Art und des Umfangs der Dokumentation hat der Gesetzgeber für entbehrlich gehalten, da z. B. der Umfang der Dokumentation je nach Größe und Komplexität der durchzuführenden Datenverarbeitung im Auftrag variieren kann Pflichten des Auftragnehmers Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen (Art. 6 Abs. 3 Satz 2 BayDSG). Die Speicherung von personenbezogenen Daten ist nur während der Durchführung des Auftrages gestattet. Eine Weitergabe von personenbezogenen Daten an Dritte ist nur im Rahmen des Vertrages zulässig. Auch eine Verarbeitung der personenbezogenen Daten zu anderen als den vertraglich geregelten Zwecken ist unzulässig. Im Rahmen der Auftragsdatenverarbeitung hat der Auftragnehmer die allgemeinen Sicherungsziele des Datenschutzes und der Datensicherheit zu gewährleisten, insbesondere die Gewährleistung der Vertraulichkeit der Daten, Sicherstellung der Integrität der Daten, Gewährleistung der Authentizität der Daten, Gewährleistung der Authentifikation der Benutzer, Sicherstellung der Verfügbarkeit und Sicherstellung der Revisionsfähigkeit.

11 Seite 11/43 Ist ein Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen das BayDSG oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen (Art. 6 Abs. 3 Satz 3 BayDSG). Verantwortlich bleibt aber immer der Auftraggeber. Außerdem besteht keine Verpflichtung des Auftragnehmers, jede einzelne Weisung sorgfältig auf die Vereinbarkeit mit den Datenschutzvorschriften hin zu überprüfen. Andererseits muss der Auftragnehmer erkannte Datenschutzmängel, für die er im Innenverhältnis die Verantwortung trägt, unverzüglich beseitigen. Von der Beseitigung dieser Mängel ist der Auftraggeber zu unterrichten. Der Auftragnehmer hat dafür Sorge zu tragen, dass mit der Datenverarbeitung im Rahmen der Auftragsdatenverarbeitung nur geeignetes Personal betraut wird, das auch Gewähr dafür bietet, die Vorschriften des Datenschutzes und der Datensicherheit zu beachten. Diese Personen sind gemäß 5 BDSG auf das Datengeheimnis zu verpflichten bzw., wenn es sich um eine bayerische öffentliche Stelle als Auftragnehmer handelt, auf das Datengeheimnis gemäß Art. 5 BayDSG hinzuweisen. Ihnen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. Sowie möglich sollte eine namentliche Festlegung der mit der Auftragsdatenverarbeitung betrauten Personen erfolgen. Außerdem muss im Regelfall vom Auftragnehmer ein Datenschutzbeauftragter bestellt werden, der über die notwendige Fach- und Sachkunde verfügt und alle charakterlichen Anforderungen an seine Stellung (z. B. Zuverlässigkeit) erfüllt. 4.4 Auswahlkriterien Soweit nicht in Ausnahmefällen entsprechende gesetzliche Regelungen bestehen, bleibt es grundsätzlich dem Auftraggeber überlassen,

12 Seite 12/43 wen er mit der Abwicklung der Auftragsdatenverarbeitung betraut. Allerdings sind Auftragnehmer gemäß Art. 6 Abs. 2 Satz 1 BayDSG unter besonderer Berücksichtigung der Eignung der von ihnen getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Damit soll der Auftraggeber in die Pflicht genommen werden, nur seriöse Partner mit der Auftragsdatenverarbeitung zu beauftragen. Wichtiges Auswahlkonzept ist somit das Datensicherheitskonzept des Auftragnehmers. Die Umsetzung dieses Konzeptes sollte durch den Datenschutzbeauftragten des Auftraggebers vor Ort in Augenschein genommen werden (siehe Art. 6 Abs. 2 Satz 3 BayDSG). Ein weiteres Indiz bezüglich der Eignung der vom Auftragnehmer zu treffenden technischen und organisatorischen Maßnahmen kann das Vorliegen eines entsprechenden Datenschutzaudits oder eines Datenschutzgütesiegels sein. Es besteht auch jederzeit die Möglichkeit, sich bei Fachverbänden oder anderen öffentlichen Stellen bezüglich geeigneter Auftragnehmer zu erkundigen. Das vom Auftraggeber überprüfte und für ausreichend befundene Datenschutzkonzept sollte dann Bestandteil des abzuschließenden Vertrages werden. Keine entscheidende Rolle bei der Auswahl des Auftragnehmers darf die Kostenfrage spielen. In erster Linie muss derjenige Bewerber den Zuschlag bekommen, der das schlüssigste Datenschutz- und - sicherheitskonzept vorweisen kann, und nicht derjenige, der zwar das günstigste Angebot abgibt, aber keine ausreichenden technischen und organisatorischen Sicherheitsmaßnahmen vorweisen kann. Die Auswahl eines geeigneten Auftragnehmers sollte dabei schon im eigenen Interesse erfolgen, denn jede Beeinträchtigung des Datenschutzes und der Datensicherheit durch den Auftragnehmer muss sich der Auftraggeber als Verantwortlicher zurechnen lassen,

13 Seite 13/43 auch wenn er unter Umständen vom Auftragnehmer Regress für entstandene Schäden verlangen kann. Gemäß Nr. 1 der Vollzugsbekanntmachung zum Bayerischen Datenschutzgesetz gelten das Landesamt für Statistik und Datenverarbeitung und die Anstalt für Kommunale Datenverarbeitung (AKDB) als sorgfältig ausgewählte Auftragnehmer im Sinne des Art. 6 Abs. 2 Satz 1 BayDSG. Somit bleibt einem Auftraggeber eine Prüfung der Eignung der von diesen Stellen getroffenen technischen und organisatorischen Maßnahmen erspart. 4.5 Vertragsgestaltung Der Auftrag ist schriftlich zu erteilen (Art. 6 Abs. 2 Satz 2 BayDSG), wobei detailliert festzulegen sind: die Beschreibung des Vertragsgegenstandes, die Dauer des Auftrags und der Realisierungszeitraum, die Art, der Umfang und der Zweck der Datenerhebung, - verarbeitung oder -nutzung, die Art der Daten, der Kreis der Betroffenen, das Verbot der Nutzung der Daten zu anderen Zwecken und der unerlaubten Weitergabe der Daten, die Berichtigung, Löschung und Sperrung von Daten, die vom Auftragnehmer einzuhaltenden technischen und organisatorischen Maßnahmen (inklusive deren Fortschreibung), die bestehenden Rechte und Pflichten des Auftraggebers, insbesondere die von ihm vorzunehmenden Kontrollen sowie die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, die vom Auftragnehmer zu beachtenden Pflichten, die mitzuteilenden Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, die Festlegung der Örtlichkeit der Datenverarbeitung, die Modalitäten einer vorzeitigen Kündigung, die Eigentumsrechte an Hard- und Software,

14 Seite 14/43 die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags, die System- und Benutzerdokumentation, die Aufbewahrungspflichten, die Gewährleistungsansprüche, die Haftung, der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält und die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen. Dabei ist insbesondere zu regeln: die Beschreibung der organisatorischen, räumlichen und personellen Maßnahmen zur Gewährleistung der Datensicherheit die Verpflichtung der Mitarbeiter des Auftragnehmers zur Wahrung des Datengeheimnisses gemäß 5 BDSG bzw. der Hinweis gemäß Art. 5 BayDSG die Versendungs- und Aufbewahrungsrichtlinien für Datenträger der Zeitpunkt und die Art der Löschung bzw. Vernichtung von Datenträgern die Kontroll- und Weisungsrechte des Auftraggebers (auch gegenüber etwaigen Subunternehmern). Bei einer Auftragsdatenverarbeitung, die sehr sensible Daten betrifft, sollte der Auftragnehmer vertraglich dazu verpflichtet werden, das von ihm im Rahmen der Auftragsdatenverarbeitung eingesetzte Personal namentlich zu benennen. Es sollten auch Klauseln in den Vertrag aufgenommen werden, die den Schutz des Eigentums und der personenbezogenen Daten des Auftraggebers vor Zugriffen Dritter (z.b. bezüglich Pfändung, Beschlagnahme, Zwangsvollstreckung oder Insolvenz des Auftragnehmers) dokumentieren. Dem Auftragnehmer ist diesbezüglich die Pflicht auferlegen, in einem derartigen Falle den Auftraggeber unverzüglich davon in Kenntnis zu setzen.

15 Seite 15/43 Die Einrede des Zurückbehaltungsrechts nach 273 BGB hinsichtlich der verarbeiteten Daten und der dazugehörigen Datenträger ist vertraglich ebenfalls auszuschließen. Außerdem sind die Eigentumsverhältnisse an den im Rahmen der Auftragsdatenverarbeitung zu erhebenden, verarbeitenden oder zu nutzenden personenbezogenen Daten vertraglich zu regeln. Im Vertrag oder in einer Anlage dazu sollte detailliert aufgeführt werden, welche Maßnahmen der Auftraggeber und der Auftragnehmer ergreifen müssen, damit der Datenschutz und die Datensicherheit im Rahmen der Auftragsdatenverarbeitung gewährleistet sind. Dazu zählen beispielsweise die Gestaltung des physikalischen Schutzes der genutzten Server und Serverräume, die revisionsfähige Berechtigungsvergabe für den Zugriff auf die zu erhebenden, zu verarbeitenden oder zu nutzenden Daten, welche Maßnahmen im Katastrophenfall und welche Maßnahmen zur Gewährleistung der Revisionsfähigkeit zu ergreifen sind. Als Richtlinie für die zu ergreifenden Maßnahmen können die IT-Grundschutzanforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) dienen (nachzulesen unter Sollte es für einzelne Tätigkeitsbereiche der Datenerhebung, -verarbeitung bzw. -nutzung notwendig sein, Subunternehmer zu beschäftigen (z. B. für den Transport oder die Vernichtung von Akten und sonstigen Datenträgern, die Mikroverfilmung von Daten), muss dies vertraglich abgesichert sein. Soweit möglich, sollte der Subunternehmer gleich im Vertrag benannt oder festgelegt werden. Ansonsten sind Name und Anschrift des Subunternehmens mitzuteilen, sobald das Unternehmen feststeht. Der Auftragsdatenverarbeitungsvertrag sollte auch Auskunft darüber geben, ob und in welcher Höhe Vertragsstrafen bezüglich Vertrags-

16 Seite 16/43 verletzungen vereinbart wurden. Ebenso sind eine vorzeitige Vertragskündigung bei schwerwiegenden Verstößen und eventuelle Schadensersatzansprüche in den Vertrag aufzunehmen. Vertragsänderungen bedürfen grundsätzlich der Schriftform. Ist die Einhaltung der Schriftform aufgrund von Eilbedürftigkeit nicht möglich, muss eine schriftliche Fixierung sobald wie möglich nachgeholt werden. 5. Überprüfung der Einhaltung der Regelungen Der Auftraggeber muss wie erwähnt die Einhaltung der getroffenen Regelungen (insbesondere hinsichtlich der zu ergreifenden Datensicherheitsmaßnahmen) überprüfen (Art. 6 Abs. 2 Satz 3 BayDSG), um zu gewährleisten, dass die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch den Auftragnehmer nur entsprechend seinen Weisungen erfolgt. Der Auftraggeber darf sich dabei nicht mit der bloßen Erklärung des Auftragnehmers zufrieden geben, dass dieser die Vorschriften der Datenschutzgesetze beachten werde. Stattdessen ist häufig eine fortdauernde Kontrolle (zumindest einmal jährlich) durch den Auftraggeber hinsichtlich der Einhaltung der vertraglichen Bestimmungen und der Datenschutzgrundsätze erforderlich. 5.1 Durchführung von Überprüfungen durch den Auftraggeber Schwerpunkt dieser Überprüfung wird natürlich die Frage sein, ob und inwieweit die Sicherheitsmaßnahmen des vorzulegenden Sicherheitskonzeptes umgesetzt wurden. Stellt sich im Rahmen der Kontrolle heraus, dass das vorgelegte Sicherheitskonzept nicht ausreichend ist, sind ergänzende Maßnahmen zu vereinbaren, deren Umsetzung wiederum überwacht werden muss. Allerdings ist darauf zu achten, dass dem Auftraggeber im Rahmen seiner Überprüfungstätigkeit nicht personenbezogene Daten unzulässigerweise bekannt werden, die der Auftragnehmer zu anderen Zwecken erhebt, verarbeitet oder nutzt (z. B. Daten eines anderen Auftraggebers). Eine Misch-Datenverarbeitung ist daher zu untersagen.

17 Seite 17/43 Zur Ermöglichung der Überprüfung bedarf es der Einräumung eines jederzeitigen Betretungsrechtes hinsichtlich der Betriebs- oder Geschäftsräume des Auftragnehmers sowie der Privaträume eines etwaigen Telearbeiters. Dazu muss der Auftraggeber natürlich auch die Örtlichkeit der Datenverarbeitung kennen. Daher sollte im Rahmen des Vertrages diese Örtlichkeit so detailliert wie möglich festgeschrieben werden. Jede Veränderung dieser Örtlichkeit muss dem Auftraggeber schriftlich mitgeteilt werden, damit dieser sich auch davon überzeugen kann, dass der Datenschutz und die Datensicherheit im Rahmen der Auftragsdatenverarbeitung auch an dem neuen Ort gewährleistet sind. Ebenso ist eine umfassende Zugriffsberechtigung des Auftraggebers auf die im Rahmen der Auftragsdatenverarbeitung durchgeführte elektronische Datenverarbeitung des Auftragnehmers vertraglich abzusichern. Der Inhalt und der Umfang der Kontrollmaßnahmen sowie die Modalitäten der Durchführung und die hiermit korrespondierenden Unterstützungs- und Duldungsverpflichtungen des Auftragnehmers sind ebenfalls vertraglich festzulegen (siehe Nr. 4.5). Zur Durchführung der Kontrollen muss der Auftraggeber über entsprechend fachkundiges Personal verfügen. Während bei vielen Behörden und Kommunen diese Kontrollen vom behördlichen Datenschutzbeauftragten oder IT-Sicherheitsbeauftragten vorgenommen werden (soweit diese über das nötige Fachwissen verfügen), beauftragen andere öffentliche Stellen soweit dies rechtlich möglich ist Wirtschaftsprüfungsgesellschaften oder Sicherheitsberater damit zu prüfen, ob der Auftragnehmer alle Sicherheitsvorkehrungen einhält. Wesentliche Änderungen des Datensicherheitskonzeptes des Auftragnehmers müssen dem Auftraggeber unverzüglich mitgeteilt werden. Dies gilt auch für Störungen, Mängel oder andere Unregelmäßigkeiten im Verarbeitungsablauf.

18 Seite 18/ Zuständigkeit der Aufsichtsbehörden Unberührt bleiben die Kontrollrechte der jeweils zuständigen Datenschutzaufsichtsbehörden. Während der Bayerische Landesbeauftragte für den Datenschutz für die Datenschutzkontrolle bei einer bayerischen öffentlichen Stelle als Auftraggeber zuständig ist, sind im Hinblick auf denkbare Auftragnehmer verschiedene Varianten möglich. Der Bayerische Landesbeauftragte für den Datenschutz prüft als für den Auftraggeber zuständige Kontrollbehörde auch, ob der Umfang der Beauftragung den Datenschutzvorschriften entspricht, ob die schriftliche Vereinbarung alle notwendigen formellen und materiellen Anforderungen erfüllt und ob der Auftraggeber die gesetzlich vorgesehenen Weisungs- und Kontrollrechte ausübt. Ebenso kann sich der Bayerische Landesbeauftragte für den Datenschutz jederzeit vom Auftraggeber die Dokumentationen (z. B. hinsichtlich der Durchführung von Überprüfungen beim Auftragnehmer) aushändigen lassen, um sich davon zu überzeugen, dass der Auftragnehmer die notwendigen technischen und organisatorischen Maßnahmen einhält, die Weisungen des Auftraggebers umsetzt und sich auch sonst an die schriftlichen Vereinbarungen hält. Hinsichtlich der Kontrollbefugnis beim Auftragnehmer ist entscheidend, ob es sich dabei um eine öffentliche oder eine nicht-öffentliche Stelle handelt und ob der Auftragnehmer seinen Sitz im gleichen Bundesland wie der Auftraggeber hat. Im Regelfall ist für die Kontrolle des Auftragnehmers die Kontroll- bzw. Aufsichtsbehörde zuständig, die für die Datenverarbeitung des Auftragnehmers zu eigenen Zwecken originär zuständig ist. 6. Abgrenzung zur Funktionsübertragung Um keine Form der Auftragsdatenverarbeitung im Sinne des Bayerischen Datenschutzgesetzes handelt es sich bei der so

19 Seite 19/43 genannten Funktionsübertragung. Bei einer Funktionsübertragung wird nicht nur eine genau definierte Dienstleistung, sondern (zumindest wesentliche Teile) einer bestimmten Aufgabe (z.b. die Lohn- und Gehaltsabrechnung) übertragen. Bei einer Funktionsübertragung findet im Gegensatz zu einer Auftragsdatenverarbeitung eine Datenübermittlung im rechtlichen Sinne statt. Der Auftragnehmer wird damit zur speichernden Stelle. Er erhält die Nutzungsrechte an den Daten und ist für die Zulässigkeit und Richtigkeit der Datenverarbeitung verantwortlich. Außerdem ist bei einer Funktionsübertragung der Auftragnehmer für die Gewährleistung des Datenschutzes und der Datensicherheit im Rahmen der übertragenen Aufgabe verantwortlich. Als Rechtsgrundlage für eine Datenübermittlung im Rahmen einer Funktionsübertragung kann der Art. 6 BayDSG somit nicht dienen. Fehlen gesetzliche Spezialregelungen, kann die Weitergabe personenbezogener Daten lediglich unter den Voraussetzungen der Art. 18 und 19 BayDSG oder auf der Grundlage einer wirksamen Einwilligung aller Betroffenen erfolgen. Danach ist beispielsweise gemäß Art. 19 Abs. 1 BayDSG die Übermittlung personenbezogener Daten an nichtöffentliche Stellen zulässig, wenn 1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Nutzung nach Art. 17 Abs. 1 Nr. 2, Abs. 2 bis 4 zulassen würden oder 2. die nicht-öffentliche Stelle ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegt und der Betroffene kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. Abgrenzungskriterien zwischen Auftragsdatenverarbeitung und Funktionsübertragung: Eine Auftragsdatenverarbeitung liegt in der Regel bei folgenden Kriterien vor:

20 Seite 20/43 Der Auftragnehmer besitzt keine Entscheidungsbefugnis über die Daten, er wird lediglich unselbstständig tätig. Der Auftragnehmer ist den Weisungen des Auftraggebers unterworfen. Die Daten werden dem Auftragnehmer vom Auftraggeber lediglich zur Verfügung gestellt. Dieser darf keine eigenen Daten erheben oder verarbeiten. Der Vertrag beinhaltet nur Angaben bezüglich der Art und des Umfangs der durchzuführenden Datenverarbeitung, gewährt aber keine eigenen Nutzungsrechte. Ein besteht somit ein vertragliches Nutzungsverbot. Der Auftraggeber bleibt für die Zulässigkeit der Datenverarbeitung verantwortlich und gewährleistet die Rechte des Betroffenen. Es fehlt eine eigenständige rechtliche Beziehung des Auftragnehmers zum Betroffenen. Eine Funktionsübertragung ist dementsprechend bei folgenden Kriterien anzunehmen: Die Daten empfangende Stelle erhält das Recht zur Nutzung der personenbezogenen Daten zu eigenen Zwecken. Es findet somit eine Übertragung der zugrunde liegenden Aufgabe auf den Dienstleister statt. Der Auftraggeber besitzt keinen entscheidenden Einfluss auf die Datenerhebung, -verarbeitung und -nutzung durch die beauftragte Stelle. Der Auftragnehmer entscheidet selbst darüber, auf welche Weise, wann und welche Daten erhoben oder verarbeitet werden. Es wird eine Dienstleistung erbracht, die über die weisungsabhängige technische Datenverarbeitung hinausgeht. Der Auftragnehmer übernimmt die volle Verantwortung für die Zulässigkeit der Datenverarbeitung und die Ergreifung der erforderlichen Sicherheitsmaßnahmen.

21 Seite 21/43 7. Nähere Erläuterungen zu einzelnen Formen der Auftragsdatenverarbeitung 7.1 Vernichtung von Datenträgern a) Allgemeines Gemäß Art. 12 Abs. 1 BayDSG sind personenbezogene Daten in Dateien zu löschen, wenn ihre Speicherung unzulässig ist oder ihre Kenntnis für die speichernde Stelle zur Erfüllung der in ihrer Zuständigkeit liegenden Aufgaben nicht mehr erforderlich ist Das Löschen stellt gemäß Art. 4 Abs. 6 Satz 1 Nr. 5 BayDSG eine Form der Verarbeitung dar und bedeutet das Unkenntlichmachen gespeicherter personenbezogener Daten. Eine Löschung von Daten kann auch durch die Vernichtung von Datenträgern erfolgen. Dabei ist zu beachten, dass die Anforderungen an technische und organisatorische Maßnahmen bei der Vernichtung von Datenträgern umso höher sein müssen, je höher die Sensibilität der Daten ist. Hierbei können die Festlegungen zur Informationsdatenträgervernichtung bei unterschiedlichen Sicherheitsstufen in der 1985 erstmals veröffentlichten DIN-Norm Teil I und Teil II als Anhaltswert herangezogen werden. Teil 1 der DIN beschreibt die Anforderungen an Maschinen und Einrichtungen zum Vernichten von Datenträgern durch Stoffumwandlung oder Verkleinerung (z. B. durch Aktenvernichter) sowie an Prüfmaterial, -verfahren und -zeugnisse. In Teil 2 werden die Mindestanforderungen für derartige Maschinen und Einrichtungen festgelegt. Abhängig vom Reproduktionsaufwand der zu vernichtenden Daten legt die Norm dazu fünf Sicherheitsstufen (S1 S5) fest. Diese werden zur Klassifizierung der Maschinen und Einrichtungen verwendet und liefern somit eine Aussage über den Vernichtungsgrad in Abhängigkeit von der Art der zu vernichtenden Datenträger. Dabei sind die Anforderungen an die Schriftgutvernichtung ab der Sicherheitsstufe 3 (vertrauliches Schriftgut) bereits derart hoch, dass

22 Seite 22/43 sie die meisten Aktenvernichter nicht mehr erfüllen. Ab der Sicherheitsstufe 4 (geheimes Schriftgut) sind herkömmliche Aktenvernichter nicht mehr einsetzbar, da sie nicht den erforderlichen Partikelschnitt bieten können. Für die Sicherheitsstufen 4 und 5 sind somit nur so genannte Cross Cutter geeignet, die allerdings nicht für die Massenvernichtung dienen können. Verpressung, Verbreiung oder Brikettierung führen in Kombination mit Aktenvernichtern zu einer Erhöhung der bei einem isolierten Einsatz des Aktenvernichters erreichbaren Sicherheitsstufe. Die Sicherheitsstufen der DIN bieten einer speichernden Stelle eine geeignete Hilfe, um das Schutzbedürfnis ihrer Daten nach ihrer Bedeutung und den jeweiligen Umgebungsbedingungen zu beurteilen und daraus eine geeignete Sicherheitsstufe abzuleiten. b) Vernichtung in Form einer Auftragsdatenverarbeitung Schon so manche Behörde, die ihre Datenträger in Form einer Auftragsdatenverarbeitung entsorgen lassen wollte, erlebte dabei eine unangenehme Überraschung. So kann leider immer wieder den Medien entnommen werden, dass personenbezogene Unterlagen einer öffentlichen Stelle ungeschützt in dem Hof eines Auftragnehmers gelagert waren bzw. auf einer Straße gefunden wurden. Es kann daher nicht oft genug betont werden: Der Auftraggeber trägt auch dann die Verantwortung für die Einhaltung der Datenschutzvorschriften, wenn er einen Auftragnehmer mit der Vernichtung der Datenträger mit personenbezogenen Daten beauftragt (Art. 6 Abs. 1 Satz 1 BayDSG). Der Auftraggeber muss gerade bei dieser Form der Auftragsdatenverarbeitung den Auftragnehmer unter Berücksichtigung seiner Eignung und der von ihm getroffenen technischen und organisatorischen Maßnahmen auswählen. Der Auftraggeber sollte sich deshalb bereits vor Vertragsunterzeichnung vor Ort davon überzeugen, dass der Auftragnehmer auch tatsächlich dazu in der Lage ist, die datenschutzgerechte Entsorgung sicherzustellen. Auch die ordnungsgemäße Durchführung der Vernichtung der Datenträger ist zumindest stichprobenartig zu überprüfen. Ein Recht auf unange-

23 Seite 23/43 meldete Kontrollen bei der Entsorgung ist im Rahmen der Beauftragung des Entsorgungsunternehmens zu vereinbaren. Ein Entsorgungskonzept darf sich aber nicht auf Maßnahmen zur Vernichtung der Datenträger beschränken, sondern muss auch die Sammlung und Lagerung (einschließlich einer etwaigen Zwischenlagerung), den Transport, die Organisation sowie die mit externen Entsorgungsunternehmen zu vereinbarenden vertraglichen Regelungen einbeziehen und damit den gesamten Entsorgungsvorgang und seine Vorphasen entsprechend berücksichtigen. Maßnahmen für den Fall menschlichen Versagens sind ebenso zu berücksichtigen wie solche für den Fall von Funktionsstörungen technischer Systeme. Das Ziel muss sein, von der Sammlung des Vernichtungsgutes bis zur endgültigen Entsorgung ein gleichmäßig hohes Sicherheitsniveau zu erreichen, das der festgelegten Sicherheitsstufe entspricht. Der Auftraggeber kann sich auch vertraglich gegen etwaige Unregelmäßigkeiten absichern und durch Vereinbarung einer Vertragsstrafe einen etwaig entstehenden Schaden abdecken, aber in einem Schadensfall bleibt zumindest trotzdem die Rufschädigung. Besonders groß kann das Risiko bei einem Auftragnehmer sein, dessen Unternehmensgegenstand weniger die datenschutzgerechte Entsorgung von Datenträgern, sondern in erster Linie die Wiederverwendung von Rohstoffen ist. Bei der Vernichtung von personenbezogenen Daten im Auftrag ist insbesondere folgendes zu regeln: Festlegung der Art und Menge der zu entsorgenden Datenträger und der dabei zu berücksichtigenden Schutzstufe Auswahl eines geeigneten Vernichtungsverfahrens Bestimmung des Ortes und des Zeitpunktes der Vernichtung (z. B. vor Ort beim Auftraggeber oder in der Betriebsstätte des Auftragnehmers) und der dabei zu ergreifenden Maßnahmen der Zugangskontrolle (z. B. Maßnahmen zur Gebäudesicherung) Festlegung der Verantwortlichkeiten für die Aufbewahrung und den Transport der Datenträger (evtl. durch Subunternehmer) und der

24 Seite 24/43 dabei zu ergreifenden Maßnahmen der Transportkontrolle (z. B. Beschreibung der Transportwege und von Transportbehältnissen) Verpflichtung/Hinweis des Personals des Auftragnehmers auf das Datengeheimnis Gewährleistung durch den Auftragnehmer, dass Unbefugte keine Kenntnis der auf den Datenträgern gespeicherten Daten erhalten können Informationspflicht des Auftragnehmers in bestimmten Ausnahmefällen (beispielsweise bei Betriebsstörungen, im Fehlerfalle, bei Verstößen) Haftungsregelung Regelung von Unterauftragsverhältnissen Berechtigung des Auftraggebers zur Durchführung von Kontrollen bei der Aufbewahrung, dem Transport und bei der Vernichtung der Datenträger Festlegung von Art und Form der zu übergebenden Bescheinigungen bei Abholung bzw. nach der ordnungsgemäßen Vernichtung durch den Auftragnehmer bei jedem Entsorgungsvorgang c) Zwischenlagerung des Entsorgungsgutes Eine zusätzliche Schwachstelle stellt gelegentlich auch die ungesicherte Lagerung des Entsorgungsgutes bis zu seiner Abholung durch den Auftragnehmer dar. Datenträger mit personenbezogenen Daten sind bis zu ihrer endgültigen Vernichtung unter Verschluss in abschließbaren Räumen oder Containern zu bewahren. 7.2 (Fern-)Wartung In Behörden und Kommunen wird heute eine Vielzahl von speziellen Rechnern und Verfahren eingesetzt, deren alleinige Wartung durch das eigene Personal wegen der dafür benötigten Spezialkenntnisse vielfach nicht mehr möglich ist, so dass bei Störungen sowie bei in der Hardoder Software auftretenden Fehlern oft der Hersteller oder ein anderer Sachverständiger eingeschaltet werden muss. Das kann vor Ort geschehen, meist jedoch im Rahmen des Teleservice, also in Form einer Ferndiagnose und -wartung. Bei der Hardwarewartung wird in der Regel nur auf bestimmte Statusinformationen in eigens dafür

25 Seite 25/43 eingerichteten Diagnosedateien zugegriffen, die keine personenbezogenen Daten enthalten. Bei vielen DV-Systemen kann aber die Fehlerdiagnose und -behebung mit einer Offenbarung geschützter personenbezogener Daten verbunden sein. Aber selbst für den Fall, dass im Rahmen der Wartung grundsätzlich keine personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ist diese Wartung datenschutzrechtlich einer Auftragsdatenverarbeitung gleichgestellt. Dabei ist eine Fernwartung datenschutzrechtlich besonders problematisch. Bei einer Wartung vor Ort sind die Kontroll- und Eingriffsmöglichkeiten des eigenen Personals im Regelfall größer. Es ist dann eher erkennbar und prüfbar, welche konkreten Personen in Erscheinung treten; zudem ist ein Entfernen, Verändern, unzulässiges Lesen oder Übertragen von Daten durch die Kontrolle erschwert. Bei Einsatz einer Fernwartung ist daher insbesondere auf die Einhaltung folgender Regeln zu achten: Der Auftraggeber definiert Art und Umfang der Fernwartung sowie die Abgrenzung der Kompetenzen und Pflichten zwischen Wartungs- und Kundenpersonal im Wartungsvertrag. Für Zuwiderhandlungen sind empfindliche Vertragsstrafen vorzusehen. Das Wartungspersonal muss auf das Datengeheimnis verpflichtet/hingewiesen sein. Eine Weitergabe der im Rahmen der Fernwartung anfallenden Daten ist zu untersagen. Für die Durchführung der Fernwartung muss eine eigene Benutzerkennung eingerichtet werden. Das dazugehörige Passwort ist nach jedem Wartungsvorgang zu ändern. Bei der Fernwartung ist die Verbindung oder die Freischaltung (nach einem Authentifikationsprozess) stets vom Auftraggeber aus aufzubauen (z. B. mittels Call-Back-Verfahren) oder frei zu geben, damit sichergestellt ist, dass keine unbefugten Einwählversuche stattfinden können. Nach Abschluss der Wartungsarbeiten ist diese Verbindung wieder zu deaktivieren. Eine Benutzung des Internets für die Datenübertragung sollte nur dann erfolgen, wenn sowohl Auftragnehmer als auch Auftraggeber

26 Seite 26/43 durch geeignete Firewall-Systeme vom offenen Netz abgeschottet sind. Vom Auftraggeber sind der Wartung/Fernwartung nur solche Zugriffsmöglichkeiten zu eröffnen, die für die Fehlerbehebung unbedingt erforderlich sind (Prinzip der geringsten Rechtevergabe). Es ist ferner darauf zu achten, dass im Rahmen der Wartung bzw. Fernwartung soweit möglich keine Funktionen frei geschaltet werden, die eine Übertragung oder Auswertung von Auftragggeberdatenbeständen zulassen. Falls eine Übertragung personenbezogener Daten unbedingt erforderlich ist, dürfen diese Daten in der Fernwartungszentrale nur temporär gespeichert werden. Ein zweckwidriger Zugriff auf andere Rechner im Netz ist zu unterbinden. Soweit möglich müssen alle Aktivitäten im Rahmen der Fernwartung vom Auftraggeber online mitverfolgt werden. Im Zweifelsfalle muss dieser auch die Aktivitäten abbrechen können. Außerdem sind alle Aktivitäten der Fernwartung aufzuzeichnen und die entsprechenden Protokolle auszuwerten. Bei besonders kritischen Aktionen ist der gesamte Dialog zu protokollieren, damit später erkennbar wird, auf welche Daten zugegriffen wurde. Zur Sicherung der Vertraulichkeit der übertragenen Daten auf dem Übertragungswege kann es erforderlich sein, dass die Daten verschlüsselt werden. Es ist in diesem Falle jedoch darauf zu achten, dass die Protokollierung vor Ort unverschlüsselt erfolgt. Nur so ist eine effektive Kontrolle durch den Auftraggeber gewährleistet. 7.3 Outsourcing im klassischen Sinn Eine pauschale Bewertung und Aussage, welche Datenschutz- und Datensicherungsmaßnahmen bei welchem Umfang von Outsourcing notwendig und angemessen sind, lässt sich selten treffen. Es ist stets eine Einzelfallprüfung erforderlich. Hinzu kommt, dass natürlich die Art der gespeicherten, be- und verarbeiteten Daten hinsichtlich ihrer besonderen Schutzbedürftigkeit berücksichtigt werden muss, so dass schon aus diesen Gründen das Outsourcing vielfach ausscheiden wird. Im Übrigen kann gerade in solchen Fällen sehr schnell der Zustand erreicht werden, dass die mit dem Outsourcing angestrebten Ziele (Kosteneinsparung) aufgrund der zu ergreifenden Datenschutz- und Datensicherungsmaßnahmen nur schwer oder gar nicht erreicht

27 Seite 27/43 werden. Auch eine Wirtschaftlichkeitsbetrachtung der Outsourcingmaßnahme unter Berücksichtigung des Aufwandes für die erforderlichen Sicherheitsmaßnahmen ist hier dringend zu empfehlen. a) Auslagerung der Systemadministration Eine Übernahme der Systemadministration der Server und der Überwachung des lokalen Netzwerkes einer öffentlichen Stelle mittels Fernwartung durch eine andere damit beauftragte Stelle ist nicht als Teilaspekt der Speicherung und sonstigen Verarbeitung von personenbezogenen Daten anzusehen, weil Aufgabe der Systemadministration die Herstellung und Aufrechterhaltung des ordnungsgemäßen Betriebs der DV-Anlagen, nicht aber die fachspezifische Verarbeitung personenbezogener Daten ist. Die beauftragte Stelle wird daher in der Regel nicht Auftragnehmer einer Auftragsdatenverarbeitung. Zur ausreichenden Wahrung der datenschutzrechtlichen Belange der Betroffenen sieht Art. 6 Abs. 4 BayDSG wegen der ähnlich gelagerten Interessenlage jedoch die entsprechende Geltung der Absätze 1 bis 3 dieser Vorschrift vor, wenn ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Damit ist gemäß Art. 6 Abs. 2 Satz 2 BayDSG beispielsweise der Auftrag schriftlich zu erteilen, wobei u. a. die technischen und organisatorischen Maßnahmen festzulegen sind. Unbedingt erforderlich sind insbesondere Maßnahmen zur: Zugangskontrolle (z. B. Identifikation und Authentisierung, sicherer Verbindungsaufbau mittels Call Back-Verfahren über eine Firewall, dezidierte Vergabe von Zugriffsrechten und Wartungsprivilegien, Protokollierung aller Zugriffe, Ergreifung von Maßnahmen beim unberechtigten Datenzugriff) Wahrung der Vertraulichkeit (z. B. Einsatz von Datenverschlüsselungskomponenten bei der Datenspeicherung und der Datenübertragung, Errichtung von Virtuellen Privaten Netzen ) Kontrollmaßnahmen des Auftraggebers (z. B. Kontrolle der Wartungsaktivitäten online oder mittels ausgewerteter Wartungsprotokolle, ggf. Unterbrechungsmöglichkeit der Fernwartung)

28 Seite 28/43 Organisatorische Maßnahmen des Auftragnehmers (z. B. Einhaltung der Verschwiegenheitsvorschriften, schriftliche Festlegung der Wartungsaktivitäten, Kontrolle der Protokolle) Da im Gegensatz zu einer reinen Hard- bzw. Softwarefernwartung auch die Systemadministrierung durch den Auftragnehmer erfolgt, ist neben einer Datenverschlüsselung soweit möglich insbesondere Wert auf eine umfassende Protokollierung aller Systemaktivitäten und Fernwartungszugriffe zu legen. Aus den Protokollen muss sich die Frage beantworten lassen: Wer hat wann mit welchen Mitteln was veranlasst bzw. worauf zugegriffen? Außerdem müssen sich Systemzustände ableiten lassen: Wer hatte von wann bis wann welche Zugriffsrechte? Folgende Aktivitäten sind zur Überwachung der Systemadministrationsund Fernwartungsaktivitäten vollständig zu protokollieren: Systemgenerierung und Modifikation von Systemparametern Einrichten von Benutzern Verwaltung von Befugnistabellen Änderungen an der Dateiorganisation Durchführung von Backup-, Restore- und sonstigen Datensicherungsmaßnahmen Aufruf von Administrations-Tools Versuche des unbefugten Einloggens sowie der Überschreitung von Befugnissen Datenübermittlungen Benutzung von automatisierten Abrufverfahren Eingabe, Veränderung und Löschung von Daten durch den Auftragnehmer Aufruf von besonders sensiblen Programmen Die Zwangsläufigkeit und damit die Vollständigkeit der Protokolle muss gewährleistet werden. Das Gleiche gilt für die Manipulationssicherheit der Einträge in den Protokolldateien. Die Protokolle müssen durch den Auftraggeber ausgewertet werden. Dazu sind sie so zu gestalten, dass eine effektive Überprüfung möglich ist.

Datenschutz und Schule

Datenschutz und Schule Datenschutz und Schule - erste Impulse zum Themenbereich - Referent: Ingo Nebe Staatliches Schulamt Nordthüringen, Bahnhofstraße 18, 37339 Leinefelde-Worbis www.schulamt-nordthueringen.de Datenschutz und

Mehr

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken in der Regierung von Mittelfranken 2 Wesentliche Elemente des Datenschutzes im Unternehmen 3 Teil A Datenschutz im Unternehmen Teil A Allgemeines zum Datenschutz 4 I. Schutz der personenbezogenen Daten

Mehr

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000 Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000 Version November 2013 1. Anwendungsbereich Dieses Dokument regelt die Überlassung von Daten zum Zweck der Verarbeitung als Dienstleistung

Mehr

Vernichtung von Datenträgern mit personenbezogenen Daten

Vernichtung von Datenträgern mit personenbezogenen Daten Der Landesbeauftragte für den Datenschutz Niedersachsen Vernichtung von Datenträgern mit personenbezogenen Daten Vernichtung von Datenträgern mit personenbezogenen Daten Öffentliche und nicht-öffentliche

Mehr

für gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten www.wdr.de

für gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten www.wdr.de Rundfunkgebühren für gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten www.wdr.de 1. Rechtsgrundlage Personenbezogene Daten von Rundfunkteilnehmerinnen und Rundfunkteilnehmern z. B. Namen

Mehr

Nutzung dieser Internetseite

Nutzung dieser Internetseite Nutzung dieser Internetseite Wenn Sie unseren Internetauftritt besuchen, dann erheben wir nur statistische Daten über unsere Besucher. In einer statistischen Zusammenfassung erfahren wir lediglich, welcher

Mehr

Anlage zur Auftragsdatenverarbeitung

Anlage zur Auftragsdatenverarbeitung Anlage zur Auftragsdatenverarbeitung Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Hauptvertrag in ihren Einzelheiten beschriebenen Auftragsdatenverarbeitung

Mehr

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH Basis der Vereinbarung Folgende Datenschutz & Geheimhaltungsvereinbarung (NDA) ist gültig für alle mit der FLUXS GmbH (nachfolgend FLUXS

Mehr

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) Anlage zur Beauftragung vom ##.##.2016 Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) zwischen der Verbraucherzentrale Nordrhein-Westfalen e.v., Mintropstr. 27, 40215

Mehr

Erläuterungen zum Abschluss der Datenschutzvereinbarung

Erläuterungen zum Abschluss der Datenschutzvereinbarung Erläuterungen zum Abschluss der Datenschutzvereinbarung Bei der Nutzung von 365FarmNet erfolgt die Datenverarbeitung durch die365farmnet GmbH im Auftrag und nach Weisung des Kunden. Die die365farmnet GmbH

Mehr

vom 15. Januar 1991 (ABl. 1991 S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis

vom 15. Januar 1991 (ABl. 1991 S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis Verordnung zum Schutz von Patientendaten DSVO KH-Pfalz 50.02 Verordnung der Evangelischen Kirche der Pfalz (Protestantische Landeskirche) zum Schutz von Patientendaten in kirchlichen Krankenhäusern (DSVO

Mehr

Vereinbarung Auftrag gemäß 11 BDSG

Vereinbarung Auftrag gemäß 11 BDSG Vereinbarung Auftrag gemäß 11 BDSG Schuster & Walther Schwabacher Str. 3 D-90439 Nürnberg Folgende allgemeinen Regelungen gelten bezüglich der Verarbeitung von Daten zwischen den jeweiligen Auftraggebern

Mehr

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort Anlage 1 Erstes Anschreiben an den/die Beschäftigte/ -n Frau/Herrn Vorname Name Straße PLZ Ort Betriebliches Eingliederungsmanagement (BEM) Sehr geehrte(r) Frau/Herr, wir möchten Sie über Hintergrunde

Mehr

Bestandskauf und Datenschutz?

Bestandskauf und Datenschutz? Bestandskauf und Datenschutz? von Rechtsanwältin Christine Loest Fachanwältin für Familienrecht/Mediatorin Kanzlei Michaelis Rechtsanwälte Die Bestandsübertragungen aller Versicherungsverträge (oder z.b.

Mehr

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen. www.ddv.de www.ddv.de

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen. www.ddv.de www.ddv.de Sicherheit, Transparenz und Datenschutz Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen Setzen Sie auf Nummer Sicher Die Qualitätssiegel des DDV Die Adressdienstleister in den drei DDV-

Mehr

Vereinbarung. über elektronische Schließanlagen und Zutrittskontrollsysteme. zwischen dem Vorstand und dem Betriebs/Personalrat

Vereinbarung. über elektronische Schließanlagen und Zutrittskontrollsysteme. zwischen dem Vorstand und dem Betriebs/Personalrat Vereinbarung über elektronische Schließanlagen und Zutrittskontrollsysteme bei den XXXXXX XXXXXXXXXXXXXX zwischen dem Vorstand und dem Betriebs/Personalrat Präambel Zwischen dem Vorstand und der Arbeitnehmervertretung

Mehr

Datenverarbeitung im Auftrag

Datenverarbeitung im Auftrag Die Kehrseite der Einschaltung von Dienstleistern: Datenverarbeitung im Auftrag ZENDAS Breitscheidstr. 2 70174 Stuttgart Datum: 10.05.11 1 Datenverarbeitung im Auftrag Daten ZENDAS Breitscheidstr. 2 70174

Mehr

17.11.2011. Datenschutz (Info-Veranstaltung f. Administratoren) 17.11.2011 H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

17.11.2011. Datenschutz (Info-Veranstaltung f. Administratoren) 17.11.2011 H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz? 17.11.2011 H. Löbner Der Datenschutzbeauftragte Volkszählungsurteil Grundsatzentscheidung des Bundesverfassungsgerichts (1983) Schutz des Grundrechts auf informationelle Selbstbestimmung als fachspezifische

Mehr

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des

Mehr

Gut geregelt oder Baustelle Datenschutz bei der Hard- und Softwarewartung

Gut geregelt oder Baustelle Datenschutz bei der Hard- und Softwarewartung Gut geregelt oder Baustelle Datenschutz bei der Hard- und Softwarewartung 4. DFN-Konferenz Datenschutz RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Einordnung Hard- und Softwarewartung

Mehr

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg Ohne Dienstleister geht es nicht? Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg Referent Tim Hoffmann Wirtschaftswissenschaften an der Universität-GH Essen

Mehr

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller Datenschutz im Jobcenter Ihre Rechte als Antragsteller Wieso braucht das Jobcenter Ihre persönlichen Daten? Arbeitsuchende erhalten Leistungen, wie zum Beispiel Geldleistungen, die ihren Unterhalt sichern

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Brands Consulting D A T E N S C H U T Z & B E R A T U N G

Brands Consulting D A T E N S C H U T Z & B E R A T U N G Datenschutzauditor (Datenschutzaudit) Autor & Herausgeber: Brands Consulting Bernhard Brands Brückenstr. 3 D- 56412 Niedererbach Telefon: + (0) 6485-6 92 90 70 Telefax: +49 (0) 6485-6 92 91 12 E- Mail:

Mehr

Auftragsdatenverarbeitung

Auftragsdatenverarbeitung Auftragsdatenverarbeitung Wenn Sie als Unternehmer personenbezogene Daten Ihrer Firma (z. B. die Lohn- und Gehaltsdaten Ihrer Mitarbeiter) durch ein fremdes Dienstleistungsunternehmen (Auftragnehmer) verarbeiten

Mehr

DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen - Frau Bettina Ilgner - August-Schanz-Straße 21 60433 Frankfurt am Main

DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen - Frau Bettina Ilgner - August-Schanz-Straße 21 60433 Frankfurt am Main DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen - Frau Bettina Ilgner - August-Schanz-Straße 21 60433 Frankfurt am Main Achtung! Auftragsdatenverarbeitung Datenschutz-Kurzcheck

Mehr

Allgemeine Geschäftsbedingungen. der

Allgemeine Geschäftsbedingungen. der Seite: Seite 1 von 5 Allgemeine Geschäftsbedingungen der Seite: Seite 2 von 5 Inhaltsverzeichnis 1. Allgemeines... 3 2. Abschluss eines Vertrages... 3 3. Art und Umfang der Leistungen... 3 3.1 Industrielle

Mehr

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden Dienstleistungen Externer Datenschutz Beschreibung der Leistungen, die von strauss esolutions erbracht werden Markus Strauss 14.11.2011 1 Dienstleistungen Externer Datenschutz Inhalt 1. Einleitung... 2

Mehr

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle... Stabsstelle Datenschutz Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle... Anlage zu 5 Abs. 5 der Vereinbarung Technische und organisatorische ( 9 /

Mehr

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund Muster (Ausschnitt) Datenschutzkonzept Informationsverbund.. Dokumentinformationen BSI-Konformität und gesetzliche Grundlagen Bausteine Gesetzliche Grundlagen verantwortlich für den Inhalt Name Telefon

Mehr

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene

Mehr

Überblick. Zugriffskontrolle. Protokollierung. Archivierung. Löschung

Überblick. Zugriffskontrolle. Protokollierung. Archivierung. Löschung Archivierung & Löschung von Unternehmensdaten 1 Überblick Zugriffskontrolle Protokollierung Archivierung Löschung 2 Zugriffskontrolle 14 Z 5 DSG verlangt:..die Zugriffsberechtigung auf Daten und Programme

Mehr

Die neue Datenträgervernichter DIN 66399

Die neue Datenträgervernichter DIN 66399 AUSGABE 07 Die neue Datenträgervernichter DIN 66399 Núria i JC; www.piqs.de Nicht alles Gute kommt von oben. Das mussten auch einige New Yorker feststellen, als es auf der jährlichen Thanksgiving-Parade

Mehr

- durch die Pax-Familienfürsorge Krankenversicherung AG im Raum der Kirchen selbst (unter 2.1.),

- durch die Pax-Familienfürsorge Krankenversicherung AG im Raum der Kirchen selbst (unter 2.1.), 2. Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und eventuellen Angaben zu Ihrer Religionszugehörigkeit sowie Schweigepflichtentbindungserklärung Die Regelungen des Versicherungsvertragsgesetzes,

Mehr

Nutzungsbedingungen und Datenschutzrichtlinie der Website

Nutzungsbedingungen und Datenschutzrichtlinie der Website Nutzungsbedingungen und Datenschutzrichtlinie der Website Besucher unserer Website müssen die folgenden Bestimmungen akzeptieren, um Informationen über uns, unser Unternehmen und die von uns mittels unserer

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de CAU - Praktischer Datenschutz 1 Überblick Behördlicher und betrieblicher

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten Joachim Frost, Berater für Datenschutz Stellung des Datenschutzbeauftragten -Berater der Geschäftsleitung -weisungsfrei in Fachfragen -nur

Mehr

Internet- und E-Mail-Überwachung in Unternehmen und Organisationen

Internet- und E-Mail-Überwachung in Unternehmen und Organisationen Publiziert in SWITCHjournal 1/2004 Internet- und E-Mail-Überwachung in Unternehmen und Organisationen Dr. Ursula Widmer, Rechtsanwältin, Bern ursula.widmer@widmerpartners-lawyers.ch Die Nutzung von Internet

Mehr

Kirchlicher Datenschutz

Kirchlicher Datenschutz Kirchlicher Datenschutz Religionsgemeinschaften können in ihrem Zuständigkeitsbereich ihre Angelegenheit frei von staatlicher Aufsicht selbst regeln. Dieses verfassungsrechtlich verbriefte Recht umfasst

Mehr

Verordnung zum Schutz von Patientendaten in kirchlichen Krankenhäusern, Vorsorge- und Rehabilitationseinrichtungen (DSVO-KH)

Verordnung zum Schutz von Patientendaten in kirchlichen Krankenhäusern, Vorsorge- und Rehabilitationseinrichtungen (DSVO-KH) Verordnung zum Schutz von Patientendaten DSVO-KH 858-1 Archiv Verordnung zum Schutz von Patientendaten in kirchlichen Krankenhäusern, Vorsorge- und Rehabilitationseinrichtungen (DSVO-KH) vom 10. Oktober

Mehr

Verjährungsfalle Gewährleistungsbürgschaft. -Unterschiedliche Verjährungsfristen für Mängelansprüche und Ansprüche aus der Gewährleistungsbürgschaft

Verjährungsfalle Gewährleistungsbürgschaft. -Unterschiedliche Verjährungsfristen für Mängelansprüche und Ansprüche aus der Gewährleistungsbürgschaft Verjährungsfalle Gewährleistungsbürgschaft -Unterschiedliche Verjährungsfristen für Mängelansprüche und Ansprüche aus der Gewährleistungsbürgschaft Üblicherweise legen Generalunternehmer in den Verträgen

Mehr

Datenschutz ist Persönlichkeitsschutz

Datenschutz ist Persönlichkeitsschutz Was ist Datenschutz? Personen sollen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten geschützt werden. Datenschutz ist Persönlichkeitsschutz Verpflichtung auf das Datengeheimnis Was

Mehr

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung Checkliste 2006 Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung Nach 4 Abs. 3 BDSG Bitte lesen Sie vorab die Ausführungen zu dem Thema Datenschutz/Datenerhebung. So kommen Sie durch

Mehr

Datenschutz. Öffentliches Verfahrensverzeichnis der Indanet GmbH nach 4e Bundesdatenschutz (BDSG)

Datenschutz. Öffentliches Verfahrensverzeichnis der Indanet GmbH nach 4e Bundesdatenschutz (BDSG) Datenschutz. Öffentliches Verfahrensverzeichnis der Indanet GmbH nach 4e Bundesdatenschutz (BDSG) Inhalt Öffentliches Verfahrensverzeichnis... 3 1.1 Angaben zu der Verantwortlichen Stelle ( 4e Satz 1 Nrn.

Mehr

Vollzug des Bayerischen Datenschutzgesetzes (BayDSG)

Vollzug des Bayerischen Datenschutzgesetzes (BayDSG) Vollzug des Bayerischen Datenschutzgesetzes (BayDSG) Hinweis zum Widerspruchsrecht nach Art. 30 Abs. 2 des Bayerischen Datenschutzgesetzes bezüglich der Kontrolle von Personalakten durch den Landesbeauftragten

Mehr

Zentrales Verfahren: Dokumentationspflichten für die zentrale Stelle und für die beteiligten Stellen

Zentrales Verfahren: Dokumentationspflichten für die zentrale Stelle und für die beteiligten Stellen Anlage 1 Zur Vereinbarung zur Übertragung der Verantwortung für die Gewährleistung der Ordnungsmäßigkeit des automatisierten Verfahrens Koordination Personaldienste Kommunal (KoPers-Kommunal) Stand: November

Mehr

Kirchengesetz über den Einsatz von Informationstechnologie (IT) in der kirchlichen Verwaltung (IT-Gesetz EKvW ITG )

Kirchengesetz über den Einsatz von Informationstechnologie (IT) in der kirchlichen Verwaltung (IT-Gesetz EKvW ITG ) IT-Gesetz EKvW ITG 858 Kirchengesetz über den Einsatz von Informationstechnologie (IT) in der kirchlichen Verwaltung (IT-Gesetz EKvW ITG ) Vom 17. November 2006 (KABl. 2006 S. 292) Inhaltsübersicht 1 1

Mehr

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an

Mehr

Befragung zum Migrationshintergrund

Befragung zum Migrationshintergrund Befragung zum Migrationshintergrund Ziel der Befragung ist es, Statistiken zum Arbeitsmarkt und zur Grundsicherung für Personen mit und ohne Migrationshintergrund darzustellen. Hierfür bitten wir um Ihre

Mehr

Mustervorlage Verpflichtung auf das Datengeheimnis - Stand: 1. März 2013 -

Mustervorlage Verpflichtung auf das Datengeheimnis - Stand: 1. März 2013 - DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ Mustervorlage Verpflichtung auf das Datengeheimnis - Stand: 1. März 2013 - Seite 2 Der Landesbeauftragte für den Datenschutz Baden-Württemberg Königstraße 10a

Mehr

Quelle: Kirchliches Amtsblatt 2005 / Stück 10

Quelle: Kirchliches Amtsblatt 2005 / Stück 10 Quelle: Kirchliches Amtsblatt 2005 / Stück 10 Nr.147. Gesetz zum Schutz von Patientendaten in katholischen Krankenhäusern und Einrichtungen im Erzbistum Paderborn - PatDSG Zum Schutz von personenbezogenen

Mehr

3 HmbDSG - Datenverarbeitung im Auftrag

3 HmbDSG - Datenverarbeitung im Auftrag Stabsstelle Recht / R16 05.01.2015 Datenschutzbeauftragter 42838-2957 Hamburgisches Datenschutzgesetz (HmbDSG) mit Kommentierung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit

Mehr

Der Schutz von Patientendaten

Der Schutz von Patientendaten Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert

Mehr

Fachanwältin für Familienrecht. Mietverhältnis

Fachanwältin für Familienrecht. Mietverhältnis Friederike Ley Fachanwältin für Familienrecht Ihr Recht im Mietverhältnis Auch wenn der Anteil derer, die Eigentum erwerben und selbst nutzen, wächst, sind doch immer noch die meisten Bürger in unserem

Mehr

Welche Vorteile bietet die Anmeldung eines Kindes mit dem kita finder+?

Welche Vorteile bietet die Anmeldung eines Kindes mit dem kita finder+? Sehr geehrte Damen und Herren, liebe Eltern, Sie möchten Ihr Kind mit der Online-Anwendung kita finder+ in einer Kindertageseinrichtung oder einem Tagesheim anmelden. Hier erhalten Sie die wichtigsten

Mehr

Tag des Datenschutzes

Tag des Datenschutzes Tag des Datenschutzes Datenschutz und Software: Vertrauen ist gut, Kontrolle ist besser Dr. Michael Stehmann Zur Person Rechtsanwalt Dr. Michael Stehmann Studium der Rechtswissenschaft an der Universität

Mehr

Neue Rechtslage zur digitalen Archivierung Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen GDPdU vom 16.07.

Neue Rechtslage zur digitalen Archivierung Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen GDPdU vom 16.07. Neue Rechtslage zur digitalen Archivierung Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen GDPdU vom 16.07.2001 ELO Digital Office GmbH - Leitzstraße 54-70469 Stuttgart 1 Ziel der

Mehr

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Erstprüfung und Folgeprüfung Seite 1 von 12 1 Gesetzliche Grundlagen zu technisch organisatorischen Maßnahmen 1.1 9

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit und der IT-Sicherheit Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit 9.1 Vergleich Sicherheitsziele & Aufgabe: Kontrollbereiche Ordnen Sie die im BDSG genannten Kontrollbereiche

Mehr

Datenschutz. Praktische Datenschutz-Maßnahmen in der WfbM. Werkstätten:Messe 2015

Datenschutz. Praktische Datenschutz-Maßnahmen in der WfbM. Werkstätten:Messe 2015 Datenschutz Praktische Datenschutz-Maßnahmen in der WfbM Werkstätten:Messe 2015 Referentin: Dipl.-Math. Ilse Römer, Datenschutzauditorin (TÜV) Qualitätsmanagementbeauftragte (TÜV) Herzlich Willkommen Datenschutz

Mehr

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen Zentrale Erläuterungen zur Untervergabe von Instandhaltungsfunktionen Gemäß Artikel 4 der Verordnung (EU) 445/2011 umfasst das Instandhaltungssystem der ECM die a) Managementfunktion b) Instandhaltungsentwicklungsfunktion

Mehr

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist. IMMANUEL DIAKONIE Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist. Sehr geehrte Damen und Herren, der Datenschutz ist uns in der Immanuel Diakonie wichtig! Patienten, Bewohner

Mehr

Auftragsdatenverarbeitung i.s.d. 11 Abs. 2 Bundesdatenschutzgesetz (BDSG)

Auftragsdatenverarbeitung i.s.d. 11 Abs. 2 Bundesdatenschutzgesetz (BDSG) Auftragsdatenverarbeitung i.s.d. 11 Abs. 2 Bundesdatenschutzgesetz (BDSG) zwischen dem Teilnehmer am Abschlepp Manager - Auftraggeber - und Eucon GmbH Martin-Luther-King-Weg 2, 48155 Münster -Auftragnehmer-

Mehr

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am 13.01.2016

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am 13.01.2016 Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz Seminar am 13.01.2016 Prof. Dr. Stephan König, Robin Ziert, Anke Hirte, 13.01.2016 Die Datenschutzbeauftragten der

Mehr

Bericht des Gleichbehandlungsbeauftragten für das Geschäftsjahr 2012 gemäß 80 Tiroler Elektrizitätsgesetz 2012

Bericht des Gleichbehandlungsbeauftragten für das Geschäftsjahr 2012 gemäß 80 Tiroler Elektrizitätsgesetz 2012 Bericht des Gleichbehandlungsbeauftragten für das Geschäftsjahr 2012 gemäß 80 Tiroler Elektrizitätsgesetz 2012 TIWAG-Netz AG Bert-Köllensperger-Straße 7 6065 Thaur FN 216507v Seite 1 Inhaltsverzeichnis

Mehr

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante ISO 9001:2015 Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante Prozesse. Die ISO 9001 wurde grundlegend überarbeitet und modernisiert. Die neue Fassung ist seit dem

Mehr

Informationen zum Begleiteten Fahren ab 17

Informationen zum Begleiteten Fahren ab 17 Informationen zum Begleiteten Fahren ab 17 Ausbildung Darf auch ein Bewerber ausgebildet werden, der in einem Bundesland seinen ersten Wohnsitz hat, wenn dieses Bundesland das Begleitete Fahren nicht eingeführt

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

1. Vertragsgegenstand

1. Vertragsgegenstand 1. Vertragsgegenstand Der Auftraggeber bietet dem Auftragnehmer an, Leistungen im Bereich Konstruktion und Zeichnungen an ihn zu vergeben. Je nach Sachlage handelt es sich um komplette in sich geschlossene

Mehr

Erläuterung zur Anordnung über das kirchliche Meldewesen Kirchenmeldewesenanordnung (KMAO) - Neufassung

Erläuterung zur Anordnung über das kirchliche Meldewesen Kirchenmeldewesenanordnung (KMAO) - Neufassung Erläuterung zur Anordnung über das kirchliche Meldewesen Kirchenmeldewesenanordnung (KMAO) - Neufassung Die bisher geltende Anordnung über das kirchliche Meldewesen (KMAO) war (in den westdeutschen Diözesen)

Mehr

Mustervertrag für Forschungs- und Entwicklungsaufträge der Technischen Universität Clausthal. Vom 10. März 2004 (Mitt. TUC 2004, Seite 165)

Mustervertrag für Forschungs- und Entwicklungsaufträge der Technischen Universität Clausthal. Vom 10. März 2004 (Mitt. TUC 2004, Seite 165) Verwaltungshandbuch Mustervertrag für Forschungs- und Entwicklungsaufträge der Technischen Universität Clausthal. Vom 10. März 2004 (Mitt. TUC 2004, Seite 165) Der folgende Vertrag soll der Vertragsgestaltung

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

2 Grundsätze der Datenbeschaffung im Bewerbungsverfahren

2 Grundsätze der Datenbeschaffung im Bewerbungsverfahren M erkblatt O nline-recherchen über Stellenbewerber 1 Ziel und Adressaten des Merkblatts Dieses Merkblatt informiert darüber, in welchen Fällen ein öffentliches Organ als Arbeitgeberin im Bewerbungsverfahren

Mehr

Rundschreiben Nr. 41/96 Sicherung der notariellen Verschwiegenheitspflicht bei EDV-Installation

Rundschreiben Nr. 41/96 Sicherung der notariellen Verschwiegenheitspflicht bei EDV-Installation 30.10.1996 R 46/E 22 er An alle Notarkammern nachrichtlich: An das Präsidium der Bundesnotarkammer An den Badischen Notarverein An den Württembergischen Notarverein An die Notarkasse An die Ländernotarkasse

Mehr

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom 21.10.2013b

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom 21.10.2013b AGROPLUS Buchhaltung Daten-Server und Sicherheitskopie Version vom 21.10.2013b 3a) Der Daten-Server Modus und der Tresor Der Daten-Server ist eine Betriebsart welche dem Nutzer eine grosse Flexibilität

Mehr

ENTWURF. Neue Fassung des Beherrschungs- und Gewinnabführungsvertrages

ENTWURF. Neue Fassung des Beherrschungs- und Gewinnabführungsvertrages ENTWURF Neue Fassung des Beherrschungs- und Gewinnabführungsvertrages vom 12. September 2007 unter Berücksichtigung der der Hauptversammlung der Drillisch AG vom 21. Mai 2014 zur Zustimmung vorgelegten

Mehr

VfW-Sachverständigenordnung

VfW-Sachverständigenordnung VfW-Sachverständigenordnung Stand: Januar 2013 Herausgegeben vom VfW VfW-Sachverständigenordnung 2/5 VfW-Sachverständigenordnung VfW-Sachverständige für Energiedienstleistungen Im Folgenden möchten wir

Mehr

Widerrufrecht bei außerhalb von Geschäftsräumen geschlossenen Verträgen

Widerrufrecht bei außerhalb von Geschäftsräumen geschlossenen Verträgen Widerrufrecht bei außerhalb von Geschäftsräumen geschlossenen Verträgen Häufig werden Handwerker von Verbrauchern nach Hause bestellt, um vor Ort die Leistungen zu besprechen. Unterbreitet der Handwerker

Mehr

Zwischen. 1. der Firma KUBON Immobilien GmbH, Stau 144, 26122 Oldenburg (Auftragnehmer) und. 2. xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx (Auftraggeber)

Zwischen. 1. der Firma KUBON Immobilien GmbH, Stau 144, 26122 Oldenburg (Auftragnehmer) und. 2. xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx (Auftraggeber) Verwaltervertrag Zwischen 1. der Firma KUBON Immobilien GmbH, Stau 144, 26122 Oldenburg (Auftragnehmer) und 2. xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx (Auftraggeber) wird folgender Vertrag abgeschlossen:

Mehr

Allgemeine Geschäftsbedingungen der Witteborn Videoproduktion

Allgemeine Geschäftsbedingungen der Witteborn Videoproduktion Allgemeine Geschäftsbedingungen der Witteborn Videoproduktion 1 Geltungsbereich 1. Nachfolgende Allgemeine Geschäftsbedingungen sind Bestandteil aller elektronischen und schriftlichen Verträge mit Witteborn

Mehr

Sicherheitshinweise für Administratoren. - Beispiel -

Sicherheitshinweise für Administratoren. - Beispiel - Sicherheitshinweise für Administratoren - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 VERANTWORTUNGSBEREICH... 2 3 VERWALTUNG DER IT-DIENSTE... 3 3.1 KONFIGURATION DER IT-DIENSTE...

Mehr

Fakultätsname Informatik Institut für Systemarchitektur, Professur Datenschutz und Datensicherheit. Datenschutz-Schutzziele

Fakultätsname Informatik Institut für Systemarchitektur, Professur Datenschutz und Datensicherheit. Datenschutz-Schutzziele Fakultätsname Informatik Institut für Systemarchitektur, Professur Datenschutz und Datensicherheit Datenschutz-Schutzziele Dresden, 30.05.2013 Tamara Flemisch Gliederung 1. Was sind Schutzziele? 2. Datenschutz-Schutzziele

Mehr

Selbstständig als Immobilienmakler interna

Selbstständig als Immobilienmakler interna Selbstständig als Immobilienmakler interna Ihr persönlicher Experte Inhalt Vorwort... 7 Persönliche Voraussetzungen... 8 Berufsbild... 9 Ausbildung... 10 Voraussetzung für die Tätigkeit als Immobilienmakler...

Mehr

Datenschutz der große Bruder der IT-Sicherheit

Datenschutz der große Bruder der IT-Sicherheit Datenschutz der große Bruder der IT-Sicherheit Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Telefon 0611 / 1408-0 E-mail: Poststelle@datenschutz.hessen.de Der Hessische Datenschutzbeauftragte

Mehr

Auftrag gemäß 11 BDSG

Auftrag gemäß 11 BDSG Auftrag gemäß 11 BDSG Vereinbarung zwischen der xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxx - nachstehend Auftraggeber genannt - und der Koch Data GmbH Schlagbaumstraße 200, 44289 Dortmund - nachstehend

Mehr

Beherrschungs- und Gewinnabführungsvertrag

Beherrschungs- und Gewinnabführungsvertrag Beherrschungs- und Gewinnabführungsvertrag zwischen der euromicron Aktiengesellschaft communication & control technology mit Sitz in Frankfurt am Main und der - nachfolgend "Organträgerin" - euromicron

Mehr

Auftrag gemäß 11 BDSG zur Vernichtung von Datenträgern nach DIN 66399:2012

Auftrag gemäß 11 BDSG zur Vernichtung von Datenträgern nach DIN 66399:2012 - Vorlage - Auftrag gemäß 11 BDSG zur Vernichtung von Datenträgern nach DIN 66399:2012 Version Stand: 1.0 07.08.2014 Ansprechpartner: RA Sebastian Schulz sebastian.schulz@bevh.org 030-2061385-14 Zu den

Mehr

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1.

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1. Datenschutz DLGI Dienstleistungsgesellschaft für Informatik Am Bonner Bogen 6 53227 Bonn Tel.: 0228-688-448-0 Fax: 0228-688-448-99 E-Mail: info@dlgi.de, URL: www.dlgi.de Dieser Syllabus darf nur in Zusammenhang

Mehr

Begriffe. Rechtliche Grundlagen des Datenschutzes

Begriffe. Rechtliche Grundlagen des Datenschutzes Begriffe Datenschutz Daten werden vor unberechtigtem Zugriff geschützt. Datensicherheit Daten werden vor Verlust oder unberechtigten Änderungen oder unberechtigtem Zugriff geschützt. Datensicherung Methode,

Mehr

Wir entsorgen Ihre sensiblen Daten Zertifiziert, sicher und umweltgerecht

Wir entsorgen Ihre sensiblen Daten Zertifiziert, sicher und umweltgerecht Wir entsorgen Ihre sensiblen Daten Zertifiziert, sicher und umweltgerecht Verantwortungsvoll für Medizin, Wirtschaft und Industrie Als zertifizierter Entsorgungsfachbetrieb verfügen wir über die notwendigen

Mehr

Markenvertrag. zwischen der. Gebäudereiniger-Innung Berlin. - Innung - und. dem Innungsmitglied. - Markenmitglied - 1 Zweck der Kollektivmarke

Markenvertrag. zwischen der. Gebäudereiniger-Innung Berlin. - Innung - und. dem Innungsmitglied. - Markenmitglied - 1 Zweck der Kollektivmarke Markenvertrag zwischen der Gebäudereiniger-Innung Berlin und - Innung - dem Innungsmitglied - Markenmitglied - 1 Zweck der Kollektivmarke 1. Die Gebäudereiniger-Innung Berlin ist Lizenznehmerin der vom

Mehr

6. Fall Geschäftsführung ohne Auftrag???

6. Fall Geschäftsführung ohne Auftrag??? 6. Fall Geschäftsführung ohne Auftrag??? Nach diesem Vorfall beschließt F auch anderweitig tätig zu werden. Inspiriert von der RTL Sendung Peter Zwegat, beschließt er eine Schuldnerberatung zu gründen,

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

SATZUNG. des Vereins. zuletzt geändert laut Beschluss der Mitgliederversammlung 04.11.2014 gültig ab 14.01.2015. 1 Name und Sitz

SATZUNG. des Vereins. zuletzt geändert laut Beschluss der Mitgliederversammlung 04.11.2014 gültig ab 14.01.2015. 1 Name und Sitz Die Kinderkrippe Spielkreis e.v. Pestalozzistraße 4a 64823 Groß-Umstadt 06078 / 21 53 E-Mail: info@spielkreis-umstadt.de SATZUNG des Vereins Die Kinderkrippe Spielkreis e.v." zuletzt geändert laut Beschluss

Mehr

Die elektronische Rechnung als Fortsetzung der elektronischen Beauftragung so einfach geht es:

Die elektronische Rechnung als Fortsetzung der elektronischen Beauftragung so einfach geht es: Bei Rückfragen erreichen Sie uns unter 0571-805474 Anleitung Die elektronische Rechnung als Fortsetzung der elektronischen Beauftragung so einfach geht es: Inhalt 1 Hintergrund zur elektronischen Rechnung

Mehr

Grundsätze für die Überprüfung der besonderen Sachkunde von Sachverständigen

Grundsätze für die Überprüfung der besonderen Sachkunde von Sachverständigen Hrsg. Institut für Sachverständigenwesen e.v. Seite 1/5 Grundsätze für die Überprüfung der besonderen Sachkunde von Sachverständigen Grundsätze.doc Erstmals: 01/2000 Stand: 01/2000 Rev.: 0 Hrsg. Institut

Mehr

Öffentliche Ausschreibung Nr. 132/2015/003 des Statistischen Landesamtes Rheinland-Pfalz über die Innenreinigung der Dienstgebäude

Öffentliche Ausschreibung Nr. 132/2015/003 des Statistischen Landesamtes Rheinland-Pfalz über die Innenreinigung der Dienstgebäude STATISTISCHES LANDESAMT MAINZER STRASSE 14-16 56130 BAD EMS Öffentliche Ausschreibung Nr. 132/2015/003 des Statistischen Landesamtes Rheinland-Pfalz über die Innenreinigung der Dienstgebäude Ausschreibungsbestimmungen

Mehr

Selbstständigkeit und Existenzgründung von drittstaatsangehörige Personen

Selbstständigkeit und Existenzgründung von drittstaatsangehörige Personen Selbstständigkeit und Existenzgründung von drittstaatsangehörige Personen Fallstricke in der Praxis Das Netzwerk IQ wird gefördert durch das Bundesministerium für Arbeit und Soziales, das Bundesministerium

Mehr