ADV Compliance Audit. Fragenkatalog mit Erläuterungen Version 1.1 vom 14.Januar

Save this PDF as:
 WORD  PNG  TXT  JPG

Größe: px
Ab Seite anzeigen:

Download "ADV Compliance Audit. Fragenkatalog mit Erläuterungen Version 1.1 vom 14.Januar 2012. www.privacy-stiftung.de"

Transkript

1 ADV Compliance Audit Fragenkatalog mit Erläuterungen Version 1.1 vom 14.Januar

2 Erschienen Januar 2012 Herausgegeben von der Privacy Stiftung c/o Fa. Privacy Audit Bonner Logsweg Bonn Privacy Stiftung 2012

3 Einleitung Jeder Auftraggeber einer Auftragsdatenverarbeitung (ADV) hat gemäß 11 Bundesdatenschutzgesetz (BDSG) eine vorangehende, und hernach regelmäßige, unmittelbare Pflicht zur Prüfung der Zuverlässigkeit seines Auftragsnehmers im Sinne des Datenschutzes. Auszug BDSG: 11 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag (1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. (2) Der Auftragsnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragsnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. Bei Nichteinhaltung droht ein Ordnungsgeld von bis zu Euro. Auftragsdatenverarbeitung findet in der Praxis in vielfältiger Form statt. Vereinfachend kann man jedes Auftragsverhältnis der Datenhaltung, Pflege oder Nutzung als Auftragsdatenverarbeitung Seite 1

4 einordnen, bei dem eine rechtlich selbständige Stelle Daten im Namen ihres Auftraggebers behandelt. Dies ist regelmäßig bei Vertriebspartnern, Handelsvertretern, Callcenter- und Lettershop-Dienstleister, IT-Dienstleistern und Webhostern der Fall. Das ADV Compliance Audit ermöglicht es dem ADV Auftragsnehmer, sich von einem Datenschutz-Sachverständigen überprüfen zu lassen, und sich auf dieser Basis seine Zuverlässigkeit durch Privacy Audit als unabhängige Stelle bestätigen zu lassen. In diesem Handbuch finden Sie die der Prüfung zu Grunde liegenden Fragen, sowie eine Erläuterung der bei dieser Frage zu erfüllenden Erwartungen. Wir haben uns bemüht, die dabei angesprochenen rechtlichen Bestimmungen allgemein verständlich zu halten, wodurch es zwangsläufig zum Verlust der Genauigkeit kommt. Für eine konkrete Würdigung nehmen Sie bitte die Beratung Ihres Datenschutzbeauftragten oder eines zugelassenen Anwalts in Anspruch. Mathias Reinis Bonn, den 14.Januar 2012 Seite 2

5 Fragensegment 1 Transparenz über die Vertragslage Im ersten Segment des Fragenkatalogs soll der Auditor ein Bild darüber erhalten, in wieweit das zu prüfende Unternehmen für die im Auftrag durchgeführte Datenverarbeitung vertraglich hingewirkt hat. Frage 1.1 Kann das Unternehmen die im Auftrag durchgeführten Verarbeitungen benennen? Verfahren, die im Auftrag durchgeführt werden, sind nicht eigene Verfahren des Auftragsnehmers sondern Verfahren des Auftragsgebers. Sie sind nicht zwingend im Verfahrensverzeichnis aufzulisten. Es wird erwartet, dass die Verantwortlichen auch die im Auftrag ausgeführten Verarbeitungen vollständig benennen können. Frage Führt das Unternehmen eine Vertragsliste oder ein vergleichbares Verzeichnis? Es wird erwartet, dass im Unternehmen Transparenz zu den geltenden Verträgen insbesondere der Auftragsdatenverarbeitung herrscht. Seite 3

6 Frage 1.3 Ist das Verzeichnis der Verträge vollständig? Dabei wird neben dem reinen Vorhandensein des Verzeichnisses auch dessen Vollständigkeit erwartet. Frage 1.4 Ist das Verzeichnis der Verträge inhaltlich aktuell? Schließlich wird erwartet, dass Änderungen und Neuverträge zeitnah eingepflegt werden. Fragensegment 2 Die Datenschutz-Organisation des Auftragsnehmers Von einem Unternehmen, dass seine Zuverlässigkeit für die Verarbeitung von personenbezogenen Daten belegen möchte, darf erwartet werden, dass es im eigenen Verantwortungsbereich über seine Pflichten Bescheid weiss und diese angemessen erfüllt. Das zweite Segment widmet sich daher den Schlüsselfragen der Datenschutz-Organisation des Auftragsnehmers. Seite 4

7 Frage 2.1 Existiert das interne Verfahrensverzeichnis? Die Pflicht zur Aufstellung des Verfahrensverzeichnisses ergibt sich aus 4g Abs. 2 BDSG. Ist kein Datenschutzbeauftragter bestellt, tritt an die Stelle des Verfahrensverzeichnisses die Pflicht zur Meldung der Verfahren bei der zuständigen Aufsichtsbehörde nach 4d BDSG. Der Inhalt von Verfahrensverzeichnis bzw. Meldung ergibt sich aus 4e BDSG. Ausnahmen von der Meldepflicht ergeben sich für Unternehmen mit weniger als 10 Beschäftigten, sofern die Verarbeitung für eigene Zwecke und dabei mit Einwilligung des Betroffenen oder rein zur Vertragsabwicklung erfolgt. Frage 2.2 Ist ein angemessen fachkundiger Datenschutzbeauftragter bestellt? Ob ein Datenschutzbeauftragter bestellt sein muss ergibt sich zunächst aus der Größe des Unternehmens. Dies ist in der Regel ab 10 Beschäftigten der Fall. Daneben ist ein Datenschutz-beauftragter stets dann zu bestellen, wenn besondere Arten personenbezogener Daten verarbeitet werden. Hierauf geht das Fragensegment drei ein. Wenn ein Datenschutzbeauftragter bestellt ist, muss er zudem über die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Seite 5

8 Zuverlässigkeit verfügen. Dies ist in 4f Abs. 2 BDSG gefordert. Frage 2.3 Sind die Mitarbeiter auf den Datenschutz verpflichtet? Gemäß 5 BDSG gilt: Allen bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort. Es wird erwartet, dass diese Verpflichtung für alle Mitarbeiter ausnahmslos und schriftlich erfolgt ist. Seite 6

9 Fragensegment 3 Art und Umfang der personenbezogenen Daten Unter die besonderen Arten personenbezogener Daten gemäß 3 (9) BDSG fallen Angaben über: rassische und ethnische Herkunft; politische Meinungen; religiöse oder philosophische Überzeugungen; Gewerkschaftszugehörigkeit; Gesundheit oder Sexualleben. Frage 3.1 Werden besondere Arten personenbezogener Daten gemäß 3 (9) BDSG verarbeitet? Sofern besondere Arten personenbezogener Daten verarbeitet werden, müssen die Maßnahmen zum Schutz vor unbefugter Kenntnisnahme, Nutzung oder Manipulation besonders sicher ausgelegt werden. Der Auditor ist gehalten, beim Auffinden von Daten dieser Datenkategorien in den weiteren Segmenten auf deren besonderen Schutzbedarf zu achten. Seite 7

10 Fragensegment 4 Bei zusätzlich vorliegender Funktionsübertragung In Abgrenzung zur Auftragsdatenverarbeitung ist die Funktionsübertragung zu sehen, bei der auf Basis eines Auftrages Daten zur Ausübung einer Aufgabe übermittelt werden, die Aufgabe sodann durch den Empfänger der Daten im eigenen Namen für den beauftragten Zweck weiter genutzt werden. Dies ist zum Beispiel im Rahmen eines Inkasso-Auftrages der Fall. Das Fragensegment vier wendet sich dem Fall zu, dass neben der ADV auch Verarbeitungen aus einer Funktionsübertragung erfolgen. Die Funktionsübertragung ist ein eigenes Verfahren des Auftragsnehmers. Damit ist er selbst für die Einhaltung der Bedingungen verantwortlich, die an eine Übermittlung personenbezogener Daten gestellt sind. Das Verfahren soll auch im internen Verfahrensverzeichnis ausgewiesen sein. Frage 4.1 Ist der Zweck der Übertragung festgelegt? Grundbedingung für eine erlaubte Verarbeitung personenbezogener Daten ist stets, dass der Zweck der Verarbeitung vor Aufnahme hin- Seite 8

11 reichend genug definiert ist. Vom Zweck leiten sich die Bedingungen ab, weswegen eine spätere Zweckänderung verboten ist. Frage 4.2 Sind die Betroffenen hinsichtlich der Übertragung vorab informiert worden und wurden erforderliche Zustimmungen eingeholt? Das Bundesdatenschutzgesetz sieht in 28 bis 32 eine Reihe von Bedingungen vor, die für eine Nutzung bzw. Übermittlung erfüllt sein müssen. Der Auftragsnehmer der Funktionsübertragung muss in der Lage sein, die Einhaltung der in seinem Fall gelten Bedingungen zu belegen. Frage 4.3 Werden Daten der Funktionsübertragung und der ADV strikt getrennt gehalten und verarbeitet? Im Datenschutz besteht das Gebot der Trennung von Daten, die zu unterschiedlichen Zwecken erhoben sind. Hierauf geht Fragensegment 7.8 noch speziell ein. Dieses Trennungsgebot gilt in besonderer Weise bei der Abgrenzung von eigenen Zwecken (Funktionsübertragung) und den Zwecken ihres Auftraggebers aus der ADV. Seite 9

12 Frage 4.4 Sind die erforderlichen Maßnahmen zur Wahrung der Betroffenenrechte getroffen? Wer Daten für eigene Zwecke verarbeitet, hat für die Rechte der Betroffenen aus 33 bis 35 BDSG Sorge zu tragen. Es wird erwartet, dass entsprechende Verfahren und Maßnahmen festgelegt wurden und im Tagesgeschäft auch Anwendung finden. Fragensegment 5 Ort der Verarbeitung Das Bundesdatenschutzgesetz geht grundsätzlich davon aus, dass der Auftraggeber einer ADV nur dann einen Einfluss auf den Schutz der Daten nehmen kann, wenn sich Speicherung und Verarbeitung im Hoheitsbereich des Deutschen Rechtes befindet. Nach enger Auslegung kann das Privileg der besonderen Behandlung von Auftragsdatenverarbeitung selbst im europäischen Ausland nicht gelten. Vielmehr ist dann von einer Funktionsübertragung auszugehen. Seite 10

13 Frage 5.1 Falls die personenbezogenen Daten oder ein Teil von Ihnen im Ausland verarbeitet werden, hat der Ort der Verarbeitung ein angemessenes Datenschutzniveau? Eine Verlagerung der Verarbeitung in andere Regionen darf nur erfolgen, sofern diese nach maßgeblicher Einschätzung über ein angemessenes Datenschutzniveau verfügen. Als maßgebliche Einschätzung ist insbesondere die Genehmigung einer zuständigen Datenschutz-Aufsichtsbehörde anzusehen. Frage 5.2 Sofern eine Verarbeitung im Ausland erfolgt, ist dies auch von den betroffenen Auftraggebern gewünscht oder mindestens gebilligt (muss im Vertrag stehen)? Von einem zuverlässigen Partner erwarten wir, dass er für den Auftraggeber Risiko trächtige Sachverhalte aktiv mitteilt und in den mit ihm geschlossenen Verträgen niederlegt. Seite 11

14 Fragensegment 6 Unterauftragsverhältnisse Der Einsatz von Unterauftragsnehmern im Rahmen einer ADV ist als besonders sensibel anzusehen, da er die Gefahr birgt, dass Personen Zugang zu den Daten erhalten, die dem für die Verarbeitung verantwortlichen Auftraggeber der ADV gegenüber Unbekannte sind. Frage 6.1 Werden Unterauftragsnehmer eingesetzt? Da der Auftraggeber für die Verarbeitung verantwortlich ist, muss er auch über Art und Umfang des Einsatzes von Unterauftragsnehmern informiert werden. Sofern seine Verarbeitung direkt betroffen ist, hat dies unter Nennung der Namen und der Adressen zu erfolgen. Der Auftragsnehmer der ADV muss selbst sicherstellen, dass er zur Nennung dieser Informationen berechtigt ist. Frage 6.2 Sind Unterauftragsnehmer mit den gleichen Pflichten gebunden wie der Auftragsnehmer selbst? Sollten Unterauftragsnehmer im Umfeld der ADV eingesetzt sein, so müssen für sie die gleichen Pflichten gelten wie für den Auftrags- Seite 12

15 nehmer selbst. Gegebenenfalls sind mit dem Unterauftragsnehmer hierfür projektspezifische Zusatzvereinbarungen zu treffen. Frage 6.3 Sind die durch den Unterauftragsnehmer eingesetzten Personen auf das Datengeheimnis verpflichtet? Es liegt in der Verantwortung des Auftragsnehmers, über die Verpflichtung der Mitarbeiter des Unterauftraggebers auf den Datenschutz selbst Nachweis führen zu können. Siehe auch Frage 2.3 Seite 13

16 Fragensegment 7 Organisatorische und technische Schutzmaßnahmen Dieses Segment befasst sich mit den Anforderungen an die Sicherheit der datentechnischen Einrichtungen. Sie sind in der Anlage 2 zum BDSG erfasst. Die getroffenen Maßnahmen müssen angemessen sein, womit sie einer Abwägung aus Schutzbedarf, technischen Möglichkeiten und Aufwand unterworfen sind. Sofern im Einzelnen technische Lösungen Einsatz finden, haben sich diese zumindest am aktuellen Stand der Technik messen zu lassen. Hinter dem Stand der Technik zurückbleibende Lösungen lassen sich in der Interessenabwägung nicht aus Gründen der Wirtschaftlichkeit rechtfertigen. Wenn eine Verarbeitung der mit Frage 3 festgestellten besonderen Arten von Daten vorliegt, müssen sich die Maßnahmen technisch am bestmöglichen Schutz orientieren. Frage 7.1 Sind die Anlagen der Datenverarbeitung angemessen gegen unbefugten Zutritt gesichert? Das BDSG fordert Maßnahmen.., die geeignet sind Unbefugten den Seite 14

17 Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle). Konkret erwartet der Auditor, dass zentrale Datenverarbeitungsanlagen in zusätzlich verschlossenen Räumen untergebracht sind. Der Zutritt zu diesem Raum wird protokolliert. Büroräume werden nach dem Verlassen verschlossen. Das Gebäude ist nach Geschäftsschluss verschlossen, oder ein permanenter Wachdienst sichert den Zutritt rund um die Uhr ab. Besucher werden am Empfang registriert und innerhalb des Betriebes ständig von internen Mitarbeitern begleitet. Frage 7.2 Sind die Gerätschaften der Datenverarbeitung mit einer angemessenen Sicherung gegen unbefugten Zugang versehen, und wird diese angewendet? Das BDSG fordert Maßnahmen.., die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle). Konkret erwartet der Auditor, dass zentrale Datenverarbeitungsanlagen in einer 3 Ebenen IT-Architektur angelegt, mit Firewalls gesichert und nur mit Geheimnis basierten Zugangskennungen erreichbar sind. Arbeitsplatzsysteme sind mit einem Passwortschutz gesichert, der bei Verlassen des Platzes aktiviert wird. Mobile Daten- Seite 15

18 Verarbeitungsanlagen sind zudem mit einem Plattenpasswort verschlüsselt und haben eine lokale Firewall. Kommunikation über öffentliche Netze erfolgt nur verschlüsselt. Fragenuntersegment 7.3 Rollen- und Rechtekonzept (Authentisierungsverfahren) Das BDSG fordert Maßnahmen.., die geeignet sind zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle) Frage Liegt ein Konzept zur Zugriffsbeschränkung vor und wird es eingesetzt? Konkret erwartet der Auditor, dass ein Rechte- und Rollenmodell definiert ist, das auch konsequent eingesetzt wird. Zugriffe zu personenbezogenen Daten und zu Anwendungen, die diese verarbeiten, erfolgen nur Passwort basiert. Das Passwort folgt einer strengen Sicherheitsregel und wird regelmäßig geändert. Seite 16

19 Frage Folgt dieses Konzept dem "Need-to-Know" Prinzip? Konkret erwartet der Auditor, dass das Prinzip Daten nur den Nutzerkreisen bereitzustellen, die es für ihre Aufgaben brauchen, konsequent angewandt ist. Fragenuntersegment 7.4 Weitergabekontrolle Das BDSG fordert Maßnahmen.., die geeignet sind zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle). Frage Erfolgt die Weitergabe angemessen verschlüsselt? Konkret erwartet der Auditor, dass personenbezogene Daten, die das Unternehmen verlassen, konsequent verschlüsselt, oder behelfsweise nur über eine gesicherte Ende-zu-Ende Verbindung übertragen wer- Seite 17

20 den. Sofern ein synchrones Passwortverfahren genutzt wird, wird das Passwort über einen getrennten Kommunikationsweg ausgetauscht. Frage Wird die Weitergabe administriert und der ordnungsgemäße Empfang geprüft? Konkret erwartet der Auditor, dass eine Liste geführt wird, aus der alle Datenweitergaben mit Personenbezug nach Übermittlungsweg, Ausgangsdatum und Zeit, Bereitsteller, ggf. Einschreiben-Referenz, Empfangsdatum und Empfänger durchgehend aufgezeichnet werden. Ersatzweise kann die elektronische und die physische Übermittlung in getrennten Listen geführt werden. Frage 7.5 Kann nachträglich festgestellt werden, von wem personenbezogene Daten in der Verarbeitung eingegeben, verändert oder entfernt wurden? Das BDSG fordert Maßnahmen.., die geeignet sind zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle). Konkret erwartet der Auditor, dass sofern personenbezogen Daten Seite 18

21 mit besonderem Schutzbedarf erfasst oder genutzt werden, jede Änderung am Datensatz mit Angabe des geänderten Feldes, des Ändernden und dem Zeitstempel dokumentiert werden. In allen anderen Fällen ist mindestens eine durchgängige Änderungshistorie durch vom Ändernden abgezeichnete Erfassungsbelege nachweisbar. Eine Erleichterung gilt hier, wenn eine eigene Änderung an personenbezogenen Daten aus den Umständen der Nutzung ausgeschlossen werden kann. Dies ist zum Beispiel der Fall, wenn der Nutzer die Datensätze lediglich mit Leseberechtigung bezieht und keine eigenen Kopien anlegt. Frage 7.6 Ist gewährleistet, dass personenbezogene Daten im Rahmen der ADV nur im Rahmen der Weisungen des Auftraggebers verarbeitet werden können? Das BDSG fordert Maßnahmen.., die geeignet sind zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle). Konkret erwartet der Auditor, dass eine fachliche Weisung hinsichtlich der Verarbeitung stets schriftlich erfolgt oder vor Ausführung schriftlich rückbestätigt wird oder die mündliche Anweisung Seite 19

22 schriftlich hinreichend dokumentiert wird. Unangewiesene Verarbeitungen finden nicht statt. Frage 7.7 Sind die personenbezogenen Daten im Rahmen der ADV angemessen vor Zerstörung oder Verlust geschützt? Das BDSG fordert Maßnahmen.., die geeignet sind zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle). Konkret erwartet der Auditor, dass zum Schutz der Daten in den produktiven Systemen durchgängig Virenscanner eingesetzt werden. Regelmäßige Datensicherungen werden durchgeführt, und es erfolgen regelmäßige Tests zur Wiederherstellbarkeit der Sicherungen. Fragenuntersegment 7.8 Trennungsgebot Das BDSG fordert Maßnahmen.., die geeignet sind zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Seite 20

23 Frage Wird die getrennte Verarbeitung von zu unterschiedlichen Zwecken erhobenen Daten sichergestellt? Konkret erwartet der Auditor, dass für unterschiedliche Zwecke erhobene Daten in getrennten Datenpools gehalten werden. Eine gelegentliche Kontrolle von Datenverbundlisten (Tabellenverarbeitungsdokumente) auf den Datenverarbeitungs-Systemen ist dokumentiert und hat keine Auffälligkeiten hinsichtlich eines Zweckübergangs erbracht. Frage Wird die getrennte Verarbeitung von personenbezogenen Daten unterschiedlicher Auftraggeber sichergestellt? Konkret erwartet der Auditor, dass die Daten verschiedener Auftraggeber konsequent in nach Mandanten getrennten Verarbeitungsinstanzen der eingesetzten Programme verarbeitet werden. Wenn Programme keine Mandantentrennung bieten, erfolgt die Bearbeitung entweder durch verschiedene Bearbeiter oder sequentielle Bearbeitung durch einen Benutzer, oder die Daten werden konsequent auf getrennten Maschinen oder Maschinen- Seite 21

24 Partitionen gehalten. Fragensegment 8 Eigenkontrolle Neben den getroffenen Maßnahmen hat der Auftragnehmer auch für deren Wirksamkeit Sorge zu tragen. Dies erfolgt zumindest in Form von eigener Kontrolle, die unterjährig durchgeführt und mindestens rudimentär dokumentiert ist. Frage 8.1 Wird die Einhaltung und Wirksamkeit der organisatorischen und technischen Maßnahmen durch den Auftragsnehmer selbst regelmäßig kontrolliert? Seite 22

25 Fragensegment 9 Prüfungsabschluss Der Auditor hat eine besondere Sachverständigenfunktion. Es ist daher unerlässlich, dass er sich den aus der Befragung gewonnen Eindruck teilweise durch eigene in Augenscheinnahme bestätigen lässt. Frage 9.1 Sind ungewöhnliche Datenkategorien aufgefallen, und wurden diese angemessen behandelt? Neben der Verarbeitung von besonderen personenbezogenen Daten gemäß Fragesegment 3 gibt es eine Reihe von Anwendungen, für die besondere Anforderungen an die Datensicherheit gelten. Hierzu zählen Informationen aus dem elektronischen Zahlungsverkehr und Systeme, die geeignet sind von Nutzern Bewegungsprofile zu erstellen. Beispiele hierfür sind Customer Loyalty Karten, Kantinenkarten, Videoüberwachung, Satellitenortung oder netzbasierte Standortbestimmung, Produktkennzeichnung mit RFID oder Soziale Netzwerke. Seite 23

26 Frage 9.2 Konnte sich der Auditor durch in Augenscheinnahme einen persönlichen Eindruck von der Datenverarbeitung des Auftragnehmers verschaffen? Eine in Augenscheinnahme kann nur aus Verfügbarkeitsgründen oder den rechtlich besonders unterlegten Gründen von Geheimschutz oder Amtsträger-Geheimnis verwehrt werden. Jede nicht hinreichend begründete Verweigerung stellt eine Einschränkung der Offenheit des geprüften Unternehmens und damit eine Störung des Prüfverfahrens dar. Seite 24

27 Seite 25

28 Treuhänderische Stiftung zur Förderung der informationellen Selbstbestimmung und der Datenschutz konformen Gestaltung in der Informationsgesellschaft. Privacy Audit Inhaber Mathias Reinis Bonner Logsweg Bonn Telefon: (0228) Telefax: (0228)

Technische und organisatorische Maßnahmen der

Technische und organisatorische Maßnahmen der Seite 1 von 8 der Inhaltsverzeichnis: 1. Einleitung 2. Gesetzliche Grundlage 3. zur Umsetzung 3.1 Zutrittskontrolle 3.2 Zugangskontrolle 3.3 Zugriffskontrolle 3.4 Weitergabekontrolle 3.5 Eingabekontrolle

Mehr

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Erstprüfung und Folgeprüfung Seite 1 von 12 1 Gesetzliche Grundlagen zu technisch organisatorischen Maßnahmen 1.1 9

Mehr

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN Annika Selzer Vortrag an der Fachhochschule Frankfurt am 10. Oktober 2013 AGENDA Begriffsbestimmungen Definition Datenschutz Definition

Mehr

Prüfliste zu 9 Bundesdatenschutzgesetz (BDSG)

Prüfliste zu 9 Bundesdatenschutzgesetz (BDSG) Felix-Dahn-Str. 43 70597 Stuttgart Telefon: 07 11 / 97 63 90 Telefax: 07 11 / 97 63 98 info@rationelle-arztpraxis.de www.rationelle-arztpraxis.de Prüfliste zu 9 Bundesdatenschutzgesetz (BDSG) Stand: 10.02.2014

Mehr

Auftragsdatenverarbeitung

Auftragsdatenverarbeitung Auftragsdatenverarbeitung Inhaltsverzeichnis Präambel 1 1 Definitionen 1 2 Anwendungsbereich und Verantwortlichkeit 1 3 Pflichten des Auftragnehmers 2 4 Pflichten des Auftraggebers 3 5 Anfragen Betroffener

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7

Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7 Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7 Zertifizierungssystem Die Zertifizierungsstelle der TÜV Informationstechnik GmbH führt Zertifizierungen auf der Basis des folgenden Produktzertifizierungssystems

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Leseprobe zum Download

Leseprobe zum Download Leseprobe zum Download Eisenhans / fotolia.com Sven Vietense / fotlia.com Picture-Factory / fotolia.com Liebe Besucherinnen und Besucher unserer Homepage, tagtäglich müssen Sie wichtige Entscheidungen

Mehr

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010 Lutz Grammann Datenschutz für Administratoren St. Pius-Stift Cloppenburg 13. Oktober 2010 06. Oktober 2010 Datenschutz für Administratoren 1 Erwartungen an Administratoren Mitwirkung bei der Gestaltung

Mehr

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des

Mehr

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle... Stabsstelle Datenschutz Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle... Anlage zu 5 Abs. 5 der Vereinbarung Technische und organisatorische ( 9 /

Mehr

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers Anlage zum Vertrag zur Auftragsdatenverarbeitung Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers im Rahmen der Auftragsdatenverarbeitung? Wir helfen: www.activemind.de

Mehr

Datenschutz und Systemsicherheit

Datenschutz und Systemsicherheit Datenschutz und Systemsicherheit Gesetze kennen! Regelungen anwenden! Dipl.-Informatiker Michael Westermann, Gesundheitsinformatik GmbH, Mannheim 21.04.2005 Gesetze (Auszug) Bundesdatenschutzgesetz Landesdatenschutzgesetz

Mehr

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) Anlage zur Beauftragung vom ##.##.2016 Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) zwischen der Verbraucherzentrale Nordrhein-Westfalen e.v., Mintropstr. 27, 40215

Mehr

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197)

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197) Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197) I. Zu 3 a KDO (Meldung von Verfahren automatisierter Verarbeitung) (1) Sofern Verfahren

Mehr

Aufstellung der techn. und organ. Maßnahmen

Aufstellung der techn. und organ. Maßnahmen Aufstellung der techn. und organ. Maßnahmen (Anlage 9 BSDG) AFI - P.M. Belz Agentur für Informatik GmbH Stuttgart Stand: 30.11.2015 1 Grundsätzliches Das Bundesdatenschutzgesetz (BDSG) schreibt mit 9

Mehr

Guter Datenschutz schafft Vertrauen

Guter Datenschutz schafft Vertrauen Oktober 2009 Guter Datenschutz schafft Vertrauen 27.10.2009 ruhr networker e.v. in Mettmann K.H. Erkens Inhalt Handlungsbedarf, Aktualität Grundlagen oder was bedeutet Datenschutz Pflichten des Unternehmens

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ Auszug aus dem Bundesdatenschutzgesetz in der Fassung vom 14.01.2003, zuletzt geändert am 14.08.2009 1 Allgemeine und gemeinsame Bestimmungen (1) Zweck dieses Gesetzes

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim Kirchlicher Anzeiger für das Bistum Hildesheim vom 31.10.2003, Nr. 10, Seite 233 ff. I. Zu

Mehr

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße

Mehr

1.2 Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des SaaS-Rahmenvertrag.

1.2 Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des SaaS-Rahmenvertrag. Auftrag zur Datenverarbeitung gemäß $11 BDSG / Art. 17 EG-Datenschutzrichtlinie für Kunden der EU Stand 1.Quartal 2016 Zwischen [..] - Auftraggeber - und crowdhouse GmbH -Auftragnehmer- Dieses Dokument

Mehr

Vernetzung ohne Nebenwirkung, das Wie entscheidet

Vernetzung ohne Nebenwirkung, das Wie entscheidet Vernetzung ohne Nebenwirkung, das Wie entscheidet Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Gustav-Stresemann-Ring 1, 65189 Wiesbaden Telefon 0611 / 14 08-137 E-Mail: r.wehrmann@datenschutz.hessen.de

Mehr

Anlage zur AGB von isaac10 vom [28.05.2015] Auftragsdatenverarbeitung. Präambel

Anlage zur AGB von isaac10 vom [28.05.2015] Auftragsdatenverarbeitung. Präambel Anlage zur AGB von isaac10 vom [28.05.2015] Auftragsdatenverarbeitung Präambel Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Hauptvertrag

Mehr

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten Jan Goebel, DIW Berlin / SOEP Idealvorstellung Idealvorstellung Idealvorstellung Skripte (GitHub, Bitbucket, Codeplane,...) Daten (Dropbox,

Mehr

BYOD Bring Your Own Device

BYOD Bring Your Own Device BYOD Bring Your Own Device Was ist das Problem? So könnt ihr es regeln. Bruno Schierbaum Berater bei der BTQ Niedersachsen GmbH BTQ Niedersachsen GmbH Donnerschweer Straße 84; 26123 Oldenburg Fon 0441/8

Mehr

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Zweck und Zielsetzung Die Anforderungen nach Bundesdatenschutzgesetz (BDSG) sowie der anderen Datenschutzgesetze

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Anlage zur Auftragsdatenverarbeitung

Anlage zur Auftragsdatenverarbeitung Anlage zur Auftragsdatenverarbeitung Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Hauptvertrag in ihren Einzelheiten beschriebenen Auftragsdatenverarbeitung

Mehr

Unbefugten den Zutritt zu Datenverarbeitungsanlagen zu verwehren (Zutrittskontrolle),

Unbefugten den Zutritt zu Datenverarbeitungsanlagen zu verwehren (Zutrittskontrolle), 1. Pflichten von.. (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR Der Datenschutzbeauftragte im medizinischen Unternehmen Datenschutzbeauftragter als Berufsbezeichnung Der Begriff Datenschutzbeauftragter stellt eine Berufsbezeichnung dar. Anlässlich der beantragten registergerichtlichen

Mehr

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm: Merkblatt Datenschutzbeauftragter (TÜV )

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm: Merkblatt Datenschutzbeauftragter (TÜV ) TÜV NORD Akademie Personenzertifizierung Zertifizierungsprogramm: Merkblatt Datenschutzbeauftragter (TÜV ) Merkblatt Datenschutzbeauftragter (TÜV ) Personenzertifizierung Große Bahnstraße 31 22525 Hamburg

Mehr

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde Vereinbarung zur Auftragsdatenverarbeitung mit Kunde - Auftraggeber - und snapaddy GmbH Juliuspromenade 3 DE 97070 Würzburg - Auftragnehmer - schließen nachfolgende Vereinbarung über die Verarbeitung von

Mehr

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht Datenschutz und Datensicherung (BDSG) Inhaltsübersicht Datenschutzziel Datenschutz und Datensicherung Personenbezogene Daten Datenverarbeitung Zulässigkeit personenbezogener Datenverarbeitung Zulässigkeit

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,

Mehr

Umweltschutz. Qualität. Arbeitssicherheit

Umweltschutz. Qualität. Arbeitssicherheit Umweltschutz. Qualität. Arbeitssicherheit Firmenprofil Ingenieurbüro Standorte: Paderborn Düsseldorf Dortmund Frankfurt a. M. Hamburg München Kerngeschäft Umweltschutz Qualität Arbeitssicherheit Baustellensicherheit

Mehr

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG Datensicherheit bei gem. 9 BDSG Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden

Mehr

Auftragsdatenverarbeitung. gemäß 11 BDSG. Datenerhebungsgrundlage gemäß 11 Abs. 2, Satz1(BDSG).

Auftragsdatenverarbeitung. gemäß 11 BDSG. Datenerhebungsgrundlage gemäß 11 Abs. 2, Satz1(BDSG). Auftragsdatenverarbeitung gemäß 11 BDSG. Datenerhebungsgrundlage gemäß 11 Abs. 2, Satz1(BDSG). Technische und organisatorische Maßnahmen des Auftragnehmers. Firma Straße Plz Ort EDV Sachverständigen- und

Mehr

Beratungskonzept für die Datenschutz-Betreuung. durch einen externen Beauftragten für den Datenschutz

Beratungskonzept für die Datenschutz-Betreuung. durch einen externen Beauftragten für den Datenschutz Beratungskonzept für die Datenschutz-Betreuung durch einen externen Beauftragten für den Datenschutz Die nachstehenden Informationen sollen Geschäftsführern und anderen Führungskräften von Unternehmen

Mehr

Auftragsdatenverarbeitung i.s.d. 11 Abs. 2 Bundesdatenschutzgesetz (BDSG)

Auftragsdatenverarbeitung i.s.d. 11 Abs. 2 Bundesdatenschutzgesetz (BDSG) Auftragsdatenverarbeitung i.s.d. 11 Abs. 2 Bundesdatenschutzgesetz (BDSG) zwischen dem Teilnehmer am Abschlepp Manager - Auftraggeber - und Eucon GmbH Martin-Luther-King-Weg 2, 48155 Münster -Auftragnehmer-

Mehr

Vertragsanlage zur Auftragsdatenverarbeitung

Vertragsanlage zur Auftragsdatenverarbeitung Vertragsanlage zur Auftragsdatenverarbeitung zwischen der dna Gesellschaft für IT Services, Hamburg - nachstehend Auftraggeber genannt - und dem / der... - nachstehend Auftragnehmer genannt - 1. Gegenstand

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex Bastian Wetzel Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex Verteiler: Alle Mitarbeiter sowie interessierte Kunden der Collmex GmbH, Anlage

Mehr

IT-Compliance und Datenschutz. 16. März 2007

IT-Compliance und Datenschutz. 16. März 2007 IT-Compliance und Datenschutz 16. März 2007 Die Themen Agenda Vorstellung Deutsche Post Adress GmbH IT-Compliance und Datenschutz allgemein Bundesdatenschutzgesetz (BDSG) Der Datenschutzbeauftragte Verbot

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Auftrag gemäß 11 BDSG zur Vernichtung von Datenträgern nach DIN 66399:2012

Auftrag gemäß 11 BDSG zur Vernichtung von Datenträgern nach DIN 66399:2012 - Vorlage - Auftrag gemäß 11 BDSG zur Vernichtung von Datenträgern nach DIN 66399:2012 Version Stand: 1.0 07.08.2014 Ansprechpartner: RA Sebastian Schulz sebastian.schulz@bevh.org 030-2061385-14 Zu den

Mehr

Grundsatz der Datenvermeidung und Datensparsamkeit ( 3 a BDSG-E) Mobile Speicher und Verarbeitungsmedien ( 6 c BDSG-E)

Grundsatz der Datenvermeidung und Datensparsamkeit ( 3 a BDSG-E) Mobile Speicher und Verarbeitungsmedien ( 6 c BDSG-E) Zwei-Stufen-Modell 1. Stufe: Umsetzung der EG-Datenschutzrichtlinie und Ergänzung durch einige innovative Neuregelungen Grundsatz der Datenvermeidung und Datensparsamkeit ( 3 a BDSG-E) Datenschutz-Audit

Mehr

Secorvo. Partner und Unterstützer

Secorvo. Partner und Unterstützer Partner und Unterstützer Datenschutz Anspruch und Wirklichkeit im Unternehmen Karlsruher IT-Sicherheitsinitiative, 31.03.2004 Dirk Fox fox@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße

Mehr

Arbeitsrecht-Newsletter 01/07 Schwerpunkt Betrieblicher Datenschutzbeauftragter

Arbeitsrecht-Newsletter 01/07 Schwerpunkt Betrieblicher Datenschutzbeauftragter Arbeitsrecht-Newsletter 01/07 Schwerpunkt Betrieblicher Datenschutzbeauftragter Liebe Leserin, lieber Leser, der Schutz von persönlichen Daten wird immer wichtiger. Ohne großen Aufwand ist es möglich,

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Vertrag zur Auftragsdatenverarbeitung

Vertrag zur Auftragsdatenverarbeitung Vertrag zur Auftragsdatenverarbeitung Die Sektion RheinlandKöln e.v. im Deutschen Alpenverein, Clemensstr. 57, 50676 Köln (Auftraggeber) und Warlich Druck Meckenheim GmbH, Am Hambuch 5, 53340 Meckenheim

Mehr

DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen - Frau Bettina Ilgner - August-Schanz-Straße 21 60433 Frankfurt am Main

DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen - Frau Bettina Ilgner - August-Schanz-Straße 21 60433 Frankfurt am Main DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen - Frau Bettina Ilgner - August-Schanz-Straße 21 60433 Frankfurt am Main Achtung! Auftragsdatenverarbeitung Datenschutz-Kurzcheck

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

Gesetzliche Grundlagen des Datenschutzes

Gesetzliche Grundlagen des Datenschutzes Gesetzliche Grundlagen des Datenschutzes Informationelle Selbstbestimmung Bundesdatenschutzgesetz Grundgesetz Gesetzliche Grundlagen des Datenschutzes allg. Persönlichkeitsrecht (Art. 1, 2 GG) Grundrecht

Mehr

AMTLICHE BEKANNTMACHUNG

AMTLICHE BEKANNTMACHUNG AMTLICHE BEKANNTMACHUNG NUMMER 2015/146 SEITEN 1-7 DATUM 01.10.2015 REDAKTION Sylvia Glaser Ordnung zum Schutz personenbezogener Daten bei multimedialer Nutzung von E-Learning-Verfahren an der Rheinisch-Westfälischen

Mehr

ADV AUFTRAGSDATENVEREINBARUNG. Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 BDSG. zwischen dem / der ... ...

ADV AUFTRAGSDATENVEREINBARUNG. Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 BDSG. zwischen dem / der ... ... ADV AUFTRAGSDATENVEREINBARUNG Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 BDSG zwischen dem / der + 1...... - nachstehend Auftraggeber genannt - und der Troi GmbH, Rosa-Bavarese-Straße 5, 80639

Mehr

Datenschutz kompakt online

Datenschutz kompakt online Datenschutz kompakt online Datenschutz im Unternehmen - schnell und rechtssicher organisiert und dokumentiert 1. Auflage 2007. Onlineprodukt. ISBN 978 3 8245 9120 6 Gewicht: 10 g Wirtschaft > Betriebswirtschaft:

Mehr

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist. IMMANUEL DIAKONIE Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist. Sehr geehrte Damen und Herren, der Datenschutz ist uns in der Immanuel Diakonie wichtig! Patienten, Bewohner

Mehr

Vereinbarung Auftrag gemäß 11 BDSG

Vereinbarung Auftrag gemäß 11 BDSG Vereinbarung Auftrag gemäß 11 BDSG Schuster & Walther Schwabacher Str. 3 D-90439 Nürnberg Folgende allgemeinen Regelungen gelten bezüglich der Verarbeitung von Daten zwischen den jeweiligen Auftraggebern

Mehr

Landesbeauftragte für Datenschutz und Informationsfreiheit. Freie Hansestadt Bremen. Orientierungshilfe zur Erstellung eines Datenschutzkonzeptes

Landesbeauftragte für Datenschutz und Informationsfreiheit. Freie Hansestadt Bremen. Orientierungshilfe zur Erstellung eines Datenschutzkonzeptes Landesbeauftragte für Datenschutz und Informationsfreiheit Freie Hansestadt Bremen Orientierungshilfe zur Erstellung eines Datenschutzkonzeptes insbesondere zum Inhalt der Verfahrensbeschreibung und zu

Mehr

Anlage zur Auftragsdatenverarbeitung nach 11 BDSG

Anlage zur Auftragsdatenverarbeitung nach 11 BDSG Anlage zur Auftragsdatenverarbeitung nach 11 BDSG zwischen KUNDE im Folgenden Auftraggeber oder KUNDE genannt Präambel und der Infopark AG, Kitzingstraße 15, 12277 Berlin im Folgenden Auftragnehmer oder

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG

Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG zwischen dem Auftraggeber (AG) und WVD Dialog Marketing GmbH onlinepost24 Heinrich-Lorenz-Straße 2-4 09120 Chemnitz -

Mehr

Datenschutz im Verein

Datenschutz im Verein Qualifix-Themenfeld: Recht Datenschutz im Verein Guten Tag! Ich wünsche Ihnen einen angenehmen Seminarverlauf. 1 Was bedeutet Datenschutz? Schutz des Einzelnen vor dem Missbrauch personenbezogener Daten!

Mehr

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick Datenschutz und Datensicherheit rechtliche Aspekte 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick Überblick Grundlagen Datenschutz Grundlagen Datensicherheit Clouds In EU/EWR In

Mehr

CRM und Datenschutz. Thomas Spaeing ds² - Unternehmensberatung für Datenschutz und Datensicherheit

CRM und Datenschutz. Thomas Spaeing ds² - Unternehmensberatung für Datenschutz und Datensicherheit CRM und Datenschutz Thomas Spaeing ds² - Unternehmensberatung für Datenschutz und Datensicherheit www.ds-quadrat.de Telefon (kostenlos): 0800 951 36 32 E-Mail: info@ds-quadrat.de Leistungsspektrum ds²

Mehr

VORLESUNG DATENSCHUTZRECHT

VORLESUNG DATENSCHUTZRECHT VORLESUNG DATENSCHUTZRECHT Fakultät Informatik Juristische Fakultät TU Dresden Sommersemester 2013 RA Dr. Ralph Wagner LL.M. Es ist nicht Aufgabe des Datenschutzrechts und der Datenschutz-Kontrollinstanzen,

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 BDSG Anlage C zum Nutzervertrag E-POSTBUSINESS BOX. Muster. Zwischen. (im Folgenden Auftraggeber)

Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 BDSG Anlage C zum Nutzervertrag E-POSTBUSINESS BOX. Muster. Zwischen. (im Folgenden Auftraggeber) Seite 1 von 5 Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 BDSG Anlage C zum Nutzervertrag E-POSTBUSINESS BOX Zwischen (im Folgenden Auftraggeber) und Charles-de-Gaulle-Str. 20 53113 Bonn (im Folgenden

Mehr

Der Diözesandatenschutzbeauftragte

Der Diözesandatenschutzbeauftragte Der Diözesandatenschutzbeauftragte der Erzbistümer Berlin und Hamburg, der Bistümer Hildesheim, Magdeburg, Osnabrück und des Bischöflich Münsterschen Offizialats in Vechta i.o. Mustervertrag zur Auftragsdatenverarbeitung

Mehr

Übersicht über den Geltungsbereich der DATENSCHUTZ- ORDNUNG

Übersicht über den Geltungsbereich der DATENSCHUTZ- ORDNUNG Name der Freien evangelischen Gemeinde, der Einrichtung oder des Werkes, die diesen Antrag stellt Freie evangelische Gemeinde Musterort Anschrift ( Straße, Hausnummer, PLZ, Ort) der oben genannten Einrichtung

Mehr

Mustervorlage Verpflichtung auf das Datengeheimnis - Stand: 1. März 2013 -

Mustervorlage Verpflichtung auf das Datengeheimnis - Stand: 1. März 2013 - DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ Mustervorlage Verpflichtung auf das Datengeheimnis - Stand: 1. März 2013 - Seite 2 Der Landesbeauftragte für den Datenschutz Baden-Württemberg Königstraße 10a

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Post AG Charles-de-Gaulle-Straße 20 53250 Bonn für den Ende-zu-Ende-Verschlüsselungs-Service für

Mehr

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde Vereinbarung zur Auftragsdatenverarbeitung mit Kunde - Auftraggeber - und weclapp GmbH Frauenbergstraße 31 33 35039 Marburg - Auftragnehmer - schließen nachfolgende Vereinbarung über die Verarbeitung von

Mehr

FRANK R. K. RICHTER. Datenschutz im Hundezuchtverein

FRANK R. K. RICHTER. Datenschutz im Hundezuchtverein Datenschutz im Hundezuchtverein Der folgende Beitrag beleuchtet schlaglichtartig ein paar Probleme des Datenschutzes im Hundezuchtverein, ohne Anspruch auf Vollständigkeit zu erheben. Auf das vom badenwürttembergischen

Mehr

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung? DuD 06 8. Jahresfachkonferenz Datenschutz und Datensicherheit Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung? Berlin, 4.06.06 Dr. Jens Eckhardt Rechtsanwalt und Fachanwalt für IT-Recht Datenschutz-Auditor

Mehr

Datenschutzfokussiertes Sicherheitsmanagement einer elektronischen FallAkte (EFA) im Universitätsklinikum Aachen

Datenschutzfokussiertes Sicherheitsmanagement einer elektronischen FallAkte (EFA) im Universitätsklinikum Aachen Datenschutzfokussiertes Sicherheitsmanagement einer elektronischen FallAkte (EFA) im Universitätsklinikum Aachen Focussing on Data Protection Security Management of an Electronic Case Record (EFA) at the

Mehr

Vorgehensweise Auftragsdatenverarbeitungsvertrag

Vorgehensweise Auftragsdatenverarbeitungsvertrag Vorgehensweise Auftragsdatenverarbeitungsvertrag Beiliegend finden Sie unseren Auftragsdatenverarbeitungsvertrag. Diesen benötigen Sie, sobald Sie personenbezogene Daten an einen Dienstleister weitergeben.

Mehr

Vertrag Auftragsdatenverarbeitung

Vertrag Auftragsdatenverarbeitung Bonalinostr. 1-96110 Scheßlitz - Telefon: +49 (0)9542 / 464 99 99 email: info@webhosting-franken.de Web: http:// Vertrag Auftragsdatenverarbeitung Auftraggeber und Webhosting Franken Inhaber Holger Häring

Mehr

Informationen zur Verwendung dieses Vertrags

Informationen zur Verwendung dieses Vertrags Informationen zur Verwendung dieses Vertrags Im Rahmen eines Kicktipp Profipakets bietet Ihnen die Kicktipp GmbH ergänzend den Abschluss eines Vertrag zur Auftragsdatenverarbeitung nach 11 BDSG an. 1.

Mehr

Der interne Datenschutzbeauftragte - ein Praxisbericht

Der interne Datenschutzbeauftragte - ein Praxisbericht Der interne Datenschutzbeauftragte - ein Praxisbericht Dr. Wilfried Grieger wgriege@gwdg.de http://www.gwdg.de/~wgriege Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen Am Fassberg, 37077

Mehr

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen......... - Auftraggeber - und yq-it GmbH Aschaffenburger Str. 94 D 63500 Seligenstadt - Auftragnehmer

Mehr

Grundlagen des Datenschutzes

Grundlagen des Datenschutzes und der IT-Sicherheit Musterlösung zur 2. Übung im SoSe 2009: BDSG (2) & Kundendatenschutz (1) 2.1 Schema zu 28 BDSG Aufgabe: Erstellen Sie ein Schema zu 28 BDSG, aus der hervorgeht, wann eine Datenerhebung,

Mehr

Datenschutz im Unternehmen von Auftragsdatenverarbeitung bis Online-Vertrieb

Datenschutz im Unternehmen von Auftragsdatenverarbeitung bis Online-Vertrieb Datenschutz im Unternehmen von Auftragsdatenverarbeitung bis Online-Vertrieb Simone Heinz, SIZ GmbH Auditorium, it-sa 2014, 09.10.2014 GmbH 2014 Besuchen Sie uns! it-sa 2014, Halle 12.0 / 12.0-440 Unsere

Mehr

Continum * Datensicherheitskonzept

Continum * Datensicherheitskonzept Continum * Datensicherheitskonzept Dieses Dokument ist öffentlich. Weitergabe an Dritte, Kopie oder Reproduktion jedweder Form ohne vorherige schriftliche Zustimmung der Continum AG ist untersagt. Continum

Mehr

Datenschutz. Praktische Datenschutz-Maßnahmen in der WfbM. Werkstätten:Messe 2015

Datenschutz. Praktische Datenschutz-Maßnahmen in der WfbM. Werkstätten:Messe 2015 Datenschutz Praktische Datenschutz-Maßnahmen in der WfbM Werkstätten:Messe 2015 Referentin: Dipl.-Math. Ilse Römer, Datenschutzauditorin (TÜV) Qualitätsmanagementbeauftragte (TÜV) Herzlich Willkommen Datenschutz

Mehr

Technische und organisatorische Maßnahmen (TOMs) nach 9 BDSG nebst Anlage zu 9 BDSG

Technische und organisatorische Maßnahmen (TOMs) nach 9 BDSG nebst Anlage zu 9 BDSG Audit-Checkliste: Technische und organisatorische Maßnahmen (TOMs) nach 9 BDSG nebst Anlage zu 9 BDSG zwecks Überprüfung Auftragsdatenverarbeiter: Durch:,..201 Folgende technische und organisatorische

Mehr

IT-Sicherheit: So schützen Sie sich vor Angriffen

IT-Sicherheit: So schützen Sie sich vor Angriffen IT-Sicherheit: So schützen Sie sich vor Angriffen Rechtliche Aspekte der IT-Sicherheit und des Datenschutzes Kathrin Schürmann, Rechtsanwältin 01 Datensicherheit und Datenschutz Die Datensicherheit schützt

Mehr

Auftrag gemäß 11 BDSG

Auftrag gemäß 11 BDSG Auftrag gemäß 11 BDSG Vereinbarung zwischen der xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxx - nachstehend Auftraggeber genannt - und der Koch Data GmbH Schlagbaumstraße 200, 44289 Dortmund - nachstehend

Mehr

Datenschutz der große Bruder der IT-Sicherheit

Datenschutz der große Bruder der IT-Sicherheit Datenschutz der große Bruder der IT-Sicherheit Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Telefon 0611 / 1408-0 E-mail: Poststelle@datenschutz.hessen.de Der Hessische Datenschutzbeauftragte

Mehr

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet? Datum:... - 1 Uhrzeit:... Betrieb:... AP:... Fragenkatalog für Kontrollen TLfDI - nichtöffentlicher Bereich - Allgemeine Fragen 1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

Mehr

Corporate Privacy Management Group

Corporate Privacy Management Group CRM datenschutzkonform einsetzen Goldene Regeln für die Praxis Flughafen Münster/Osnabrück, 18. Juni 2009 1 Ihre Pilotin Judith Halama Datenschutzberaterin Externe Datenschutzbeauftragte Rechtsanwältin

Mehr

Agenda Datenschutz, rechtliche Grundlagen

Agenda Datenschutz, rechtliche Grundlagen Agenda Datenschutz, rechtliche Grundlagen Sinn und Zweck Umsetzung Prinzipien TOMs, ADV Verstoß, Folgen Sinn des Datenschutzes Jeder soll nach Möglichkeit selbst bestimmen, wer welche Informationen über

Mehr

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im Betriebsratsbüro Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im BR-Büro Seite 2 Ausgangssituation Ausgangssituation Kurz gefasst ist es Euer Job

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Quick Check Datenschutzkonzept EDV und TK

Quick Check Datenschutzkonzept EDV und TK Quick Check Datenschutzkonzept EDV und TK Der effizienteste Weg zu einer BDSG-konformen EDV und Telekommunikation von Udo Höhn, Oliver Schonschek Update. Stand: 12/2011 Quick Check Datenschutzkonzept EDV

Mehr

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1.

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1. Datenschutz DLGI Dienstleistungsgesellschaft für Informatik Am Bonner Bogen 6 53227 Bonn Tel.: 0228-688-448-0 Fax: 0228-688-448-99 E-Mail: info@dlgi.de, URL: www.dlgi.de Dieser Syllabus darf nur in Zusammenhang

Mehr

Fragen an den Auftraggeber. Name der Firma 0.1. Anschrift der Firma 0.2. Ansprechpartner <Freitext> 0.3. Emailadresse Ansprechpartner <Freitext> 0.

Fragen an den Auftraggeber. Name der Firma 0.1. Anschrift der Firma 0.2. Ansprechpartner <Freitext> 0.3. Emailadresse Ansprechpartner <Freitext> 0. Fragen an den Auftraggeber 0.1 Name der Firma 0.2 Anschrift der Firma 0.3 Ansprechpartner 0.4 Emailadresse Ansprechpartner 0.5 Beschreibung der durchzuführenden Aufgaben 1 / 15 0.6

Mehr