Kriterienkatalog und Vorgehensweise zur Prüfung einer Auftragsverarbeitung gemäß Datenschutzgrundverordnung

Größe: px
Ab Seite anzeigen:

Download "Kriterienkatalog und Vorgehensweise zur Prüfung einer Auftragsverarbeitung gemäß Datenschutzgrundverordnung"

Transkript

1 Kriterienkatalog und Vorgehensweise zur Prüfung einer Auftragsverarbeitung gemäß Datenschutzgrundverordnung (DSGVO) datenschutz cert GmbH Januar /36

2 Inhaltsverzeichnis 1. Anforderungen an Verarbeitungsvorgängen bei Auftragsverarbeitern Rahmenbedingungen... 7 Untersuchungsgegenstand Gesetzliche Vorgaben für eine Auftragsverarbeitung... 7 Abgeleitete Anforderungen Kriterienkatalog A.01 Geltungsbereich der Auftragsverarbeitung A.02 Vertrag genügt gesetzlichen Anforderungen A.03 Zutrittskontrolle A.04 Zugangskontrolle A.05 Zugriffskontrolle A.06 Trennungskontrolle A.07 Pseudonymisierung & Verschlüsselung A.08 Eingabekontrolle A.09 Transportkontrolle A.10 Verfügbarkeitskontrolle A.11 Auftragskontrolle A.12 Überprüfung, Bewertung und Evaluierung A.13 Informationspflichten A.14 Wahrung der Vertraulichkeit durch Beschäftigte A.15 Benennung eines Datenschutzbeauftragten A.16 Verzeichnis von Verarbeitungstätigkeiten A.17 Unterstützung des Auftraggebers A.18 Drittstaatenübermittlung A.19 Vertreter innerhalb der EU A.20 Förderung des Datenschutzes insgesamt Auditierungs- und Zertifizierungsprozess Laufzeiten Erst-Zertifizierung Überwachungsaudit Re-Zertifizierung Zertifikatsliste Entzug eines Zertifikates Ablauf eines Zertifikates Kosten und Gebühren AGB und Sonderbedingungen für Auditierung und Zertifizierung Anforderungen an einen Auditreport datenschutz cert GmbH /36

3 6.1. Leitlinien Akkreditierungen Anerkennungen Annex /36

4 Historie VERSION DATUM GEÄNDERTE KAPI- TEL GRUND DER ÄNDE- RUNG GEÄNDERT DURCH Finalisierung IK, SM Umstellung auf DSGVO IK, AB, SM Dokumentenüberwachungsverfahren STATUS PROZESS-/DOKUMENTBESITZER VERSION Final Dr. Irene Karper 2.0 4/36

5 1. Anforderungen an Verarbeitungsvorgängen bei Auftragsverarbeitern Eine Auftragsverarbeitung, bei der ein Dienstleister Tätigkeiten für seinen Auftraggeber übernimmt, ist aus dem heutigen Wirtschaftsleben nicht mehr wegzudenken. Werden im Rahmen einer solchen Auftragsverarbeitung personenbezogene Daten verarbeitet, ist besondere Sorgfalt geboten. Denn typischerweise bleibt der Auftraggeber für die Daten, die er verarbeitet oder in diesem Fall verarbeiten lässt verantwortlich. Dies erfolgt nicht nur aus einem Selbstverständnis heraus, sondern ist gesetzlich geregelt. So normierte bereits das bisherige Bundesdatenschutzgesetz (BDSG) in 11, unter welchen Rahmenbedingungen eine Auftragsdatenverarbeitung zulässig ist. Ein wichtiger Aspekt dieses 11 BDSG war, dass der Auftraggeber seinen Dienstleister vor Beginn und sodann regelmäßig überprüfen muss. Wie dies konkret ausgestaltet werden kann, blieb jedoch offen, so dass sich verschiedene, proprietäre Audit- und Zertifizierungsverfahren etabliert haben. Mit der Europäischen Datenschutzgrundverordnung (DSGVO) ändert sich diese gesetzliche Grundlage nun: Zunächst einmal setzt die DSGVO Verarbeitungsvorgänge beim Auftragsverarbeiter in den Fokus der Betrachtung hinsichtlich der Möglichkeiten einer Zertifizierung (Artikel 42). Sodann normiert die DSGVO in Artikel 28 den Auftragsverarbeiter und verweist über Artikel 32 auf technisch-organisatorische Maßnahmen zur Sicherheit der Verarbeitung. Zudem wird verdeutlicht, dass der Auftragsverarbeiter in weiten Teilen die Anforderungen des Verantwortlichen gleichermaßen umsetzen muss. Und darüber kommen mit der DSGVO weitere Nachweispflichten auf die Akteure zu: Sowohl Verantwortliche als auch Auftragsverarbeiter haben gem. Art. 5 Abs. 2 DSGVO umfangreiche Nachweispflichten über den Umgang mit personenbezogenen Daten zu erfüllen. Wie diesen Nachweispflichten nachgekommen werden kann, wird in Art. 28 Abs. 5 DSGVO ausgedrückt: Die Einhaltung [ ] eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien im Sinne der Absätze 1 bis 4 des vorliegenden Artikels nachzuweisen. Zum aktuellen Zeitpunkt gibt es für die Auftragsverarbeitung jedoch noch keine genehmigten Verhaltensregeln und keine genehmigte Zertifizierungsverfahren. Die datenschutz cert GmbH stellt mit dem vorliegenden Dokument einen Kriterienkatalog und eine Vorgehensweise zur Auditierung und Zertifizierung einer Auftragsverarbeitung gemäß DSGVO vor. 5/36

6 Wichtiger Hinweis: Die datenschutz cert GmbH beabsichtigt, diesen Kriterienkatalog und diese Vorgehensweise als Inter-Industrie-Standard dem Zulassungsverfahren zur Anerkennung als genehmigtes Zertifizierungsverfahren zuzuleiten. Geplant ist, dass der vorliegende Kriterienkatalog samt Vorgehensweise als genehmigtes Zertifizierungsverfahren akzeptiert wird. Ferner ist geplant, die bestehenden DAkkS-Akkreditierungen der datenschutz cert GmbH auf diesen Bereich auszuweiten und die Befugniserteilung durch die Aufsichtsbehörden zu erhalten. Dann wäre es möglich, ein lt. DSGVO vorgesehene genehmigtes Zertifizierungsverfahren für Auftragsverarbeiter anzubieten. Bis dahin ist der vorliegende Kriterienkatalog mit Vorgehensweise ein proprietärer Standard, der zwar einen belastbaren Nachweis einer sachverständigen und unabhängigen Prüfstelle darstellt, jedoch nicht den offiziellen Status eines genehmigten Zertifizierungsverfahrens genießt. Bremen, den Januar 2018 Dr. Sönke Maseberg Geschäftsführer datenschutz cert GmbH 6/36

7 2. Rahmenbedingungen Untersuchungsgegenstand Für die Durchführung einer Auditierung und anschließenden Zertifizierung muss zunächst der Untersuchungsgegenstand definiert und abgegrenzt werden (Scope). Der Scope ist dabei immer ein bestimmter Verarbeitungsvorgang von personenbezogenen Daten bei einem Auftragsverarbeiter. Dabei ist es auch möglich, dass ein Auftragsverarbeiter verschiedene Verarbeitungsvorgänge in diesem Sinne durchführt, die dann auditiert und zertifiziert werden Gesetzliche Vorgaben für eine Auftragsverarbeitung Die rechtlichen Vorgaben für eine Auftragsverarbeitung ergeben sich aus Art. 28 und Art. 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (kurz: DSGVO sowie der hieraus folgenden Anpassungsgesetze der Mitgliedstaaten. Art. 28 DSGVO lautet: Art. 28 DSGVO Auftragsverarbeiter 1. Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. 2. Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. 3. Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter a. die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen auch in Bezug auf die Übermittlung personenbezogener Daten an ein 7/36

8 Drittland oder eine internationale Organisation verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet; b. gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen; c. alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift; d. die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält; e. angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen; f. unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt; g. nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht, h. dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen einschließlich Inspektionen, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt. Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt. 4. Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auf-erlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3 festgelegt sind, wo-bei insbesondere hinreichende 8/36

9 Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters. 5. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden Artikels nachzuweisen. 6. Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, auch wenn dieser Bestandteil einer dem Verantwortlichen oder dem Auftragsverarbeiter gemäß den Artikeln 42 und 43 erteilten Zertifizierung sind. 7. Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel 93 Absatz 2 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen. 8. Eine Aufsichtsbehörde kann im Einklang mit dem Kohärenzverfahren gemäß Artikel 63 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen 9. Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann. 10. Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher. Art. 32 DSGVO lautet: Art. 32 DSGVO Sicherheit der Verarbeitung 1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: a. die Pseudonymisierung und Verschlüsselung personenbezogener Daten; 9/36

10 b. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; die Pseudonymisierung und Verschlüsselung personenbezogener Daten; c. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. 2. Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch ob unbeabsichtigt oder unrechtmäßig Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. 3. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen. 4. Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet. 10/36

11 Abgeleitete Anforderungen Die gesetzlichen Anforderungen sind auf konkrete Anforderungen abgleitet worden, die damit den Kriterienkatalog bilden. Der Kriterienkatalog wird im Detail in Kapitel 3 dieses Dokumentes dargestellt. Das Mapping der gesetzlichen Anforderungen zu den einzelnen Kriterien A01 A20 sind dargestellt in Annex A. In der Zusammenfassung werden die folgenden Anforderungen gestellt: BEZEICHNER ANFORDERUNG A.01 Geltungsbereich der Auftragsverarbeitung A.02 Vertrag genügt gesetzlichen Anforderungen A.03 Zutrittskontrolle A.04 Zugangskontrolle A.05 Zugriffskontrolle A.06 Trennungskontrolle A.07 Pseudonymisierung & Verschlüsselung A.08 Eingabekontrolle A.09 Transportkontrolle A.10 Auftragskontrolle A.11 Verfügbarkeitskontrolle A.12 Überprüfung, Bewertung und Evaluierung A.13 Informationspflichten A.14 Wahrung der Vertraulichkeit A.15 Benennung eines Datenschutzbeauftragten A.16 Verzeichnis von Verarbeitungstätigkeiten A.17 Unterstützung des Auftraggebers A.18 Drittstaatenübermittlung A.19 Vertreter innerhalb der EU A.20 Förderung des Datenschutzes insgesamt 11/36

12 Die folgenden Anforderungen nach diesem Kriterienwerk gehen über die gesetzlichen Regelungen des DSGVO hinaus: in Anforderung A.01 wird muss der Geltungsbereich mit den relevanten gesetzlichen Anforderungen identifiziert werden; dabei muss die Auftragsverarbeitung ggf. gegenüber anderen Formen der Datenverarbeitung der verantwortlichen Stelle (Funktionsübertragung) abgegrenzt werden; in Anforderung A.15 muss ein betrieblicher Datenschutzbeauftragter beim Auftragsverarbeiter bestellt sein, Art 37, 39 DSGVO; In Anforderung A.16 muss ein Verzeichnis der Verarbeitungstätigkeiten beim Auftragsverarbeiter etabliert sein gemäß Art. 30 DSGVO; In Anforderung A.19 muss der Auftragsverarbeiter ggf. einen Vertreter in der EU benennen nach Art. 3 Abs. 2 i.v.m. Art. 27 DSGVO; darüber hinaus soll mit dem Zertifikat für Auftragsverarbeitung nicht nur die Rechtskonformität bescheinigt werden; es soll darüber hinaus auch insbesondere Kunden und den von der Verarbeitung der Daten Betroffenen zeigen, dass sie sich bei dem zertifizierten Dienstleister sicher fühlen können. Neben den genannten gesetzlichen Vorgaben muss die Auftragsverarbeitung daher den Datenschutz auch insgesamt fördern können. Dazu ist die Anforderung A.20 Förderung des Datenschutzes in den Kriterienkatalog aufgenommen worden, vgl. Abschnitt /36

13 3. Kriterienkatalog Ein Auftragsverarbeiter muss die nachfolgend näher erläuterten Anforderungen erfüllen. Sie stellen keine abschließende Checkliste dar. Vielmehr sind im Rahmen der Auditierung die getroffenen Maßnahmen zur Umsetzung der jeweiligen Anforderungen in einer Gesamtschau zu bewerten. Soweit möglich, soll auf anerkannte Standards der Informationssicherheit und auf die Auslegungen datenschutzrechtlicher Anforderungen durch die Datenschutzaufsichtsbehörden und den Europäischen Datenschutzausschusses sowie auf die Rechtsprechung verwiesen werden. A.01 Geltungsbereich der Auftragsverarbeitung Ziel: Prüfung, ob der Antragsteller den Geltungsbereich und die relevanten gesetzlichen Vorgaben identifiziert hat und ob es sich dabei um eine Datenverarbeitung im Auftrag handelt. Die Erklärung zur Anwendbarkeit/ Geltungsbereich sollte umfassen: Antragsteller; Standorte; Verarbeitungsvorgänge/ Dienstleistungen, die als Auftragsverarbeitung gem. DSGVO erbracht werden; Identifikation aller anwendbaren relevanten Grundlagen. Ist der Scope festgelegt, kann geprüft werden, ob es sich überhaupt um eine Datenverarbeitung im Auftrag handelt. Diese ist ggf. zu einer Datenverarbeitung durch eine verantwortliche Stelle abzugrenzen. Wichtig ist, dass nicht untersucht wird, ob die Datenverarbeitung selbst zulässig ist. Bewertet wird, ob die Anforderungen an eine Auftragsverarbeitung beim Auftragsverarbeiter erfüllt sind. Dabei sind eventuelle gesetzliche Verbote zu berücksichtigen. Ist eine Verarbeitung im Auftrag gesetzlich verboten, kann sie kein Gegenstand der Auditierung sein A.02 Vertrag genügt gesetzlichen Anforderungen Ziel: Prüfung, ob die Anforderungen an Art. 28 DSGVO oder an andere einschlägige Gesetze inhaltlich in einem Vertragswerk umgesetzt sind. Gegenstand der Prüfung ist dabei in der Regel das vom Auftragsverarbeiter zur Verfügung gestellte Muster-Vertragswerk für Kunden und Subunternehmer. Der konkrete Vertrag des Auftragsverarbeiters mit dem jeweiligen Kunden wird nicht geprüft, da dieses Vertragswerk in der Regel vom Auftraggeber vorgegeben wird und sich daher dem Einfluss des Auftragnehmers weitestgehend entzieht. Es darf vorausgesetzt werden, dass der Auftraggeber rechtskonforme Verträge nach Art. 28 DSGVO vorlegt. Eine individuelle Prüfung jedes Vertragswerkes würde auch den Rahmen eines Audits sprengen. Der individuelle Vertrag des Auftragsverarbeiters mit seinen Kunden ist daher nicht Auditgegenstand (Scope). 13/36

14 Nachfolgende Anforderungen sind den Art. 28 zu entnehmen: ANFORDERUNG REFERENZ Gegenstand und Dauer des Auftrags, Art und Zweck der vorgesehenen Verarbeitung die Art der personenbezogenen Daten, Kategorien betroffener Personen und Pflichten und Rechte des Verantwortlichen Art. 28 Abs. 3 Satz 1 DSGVO Die ausschließlich auf dokumentierte Weisung des Verantwortlichen basierende Verarbeitung personenbezogener Daten (auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation) Art. 28 Abs. 3 Satz 2 lit. a DSGVO Die Pflicht den Verantwortlichen über Ausnahmen von der Weisungspflicht aufgrund von Rechtsvorschriften Art. 28 Abs. 3 Satz 2 lit. a DSGVO Die Gewährleistung, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen Art. 28 Abs. 3 Satz 2 lit. b DSGVO Die nach gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, die unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung, der Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen getroffen werden. Diese umfassen Maßnahmen zur - Pseudonymisierung und Verschlüsselung personenbezogener Daten - Sicherstellung Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer - die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen - ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der getroffenen Maßnahmen - Sicherstellung, dass dem AV unterstellte Personen mit Zugang zu personenbezogenen diese nur auf Anweisung des Verantwortlichen verarbeiten Art. 28 Abs. 3 Satz 2 lit. c und Art 32 DSGVO 14/36

15 ANFORDERUNG REFERENZ Zum Nachweis der Erfüllung der Anforderungen können genehmigte Verhaltensregeln oder Zertifizierungsverfahren herangezogen werden Die Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters Art. 28 Abs. 3 Satz 2 lit. d DSGVO Die Verpflichtung den Verantwortlichen angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten Mitteln, technischen und organisatorischen Maßnahmen dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person nachzukommen Art. 28 Abs. 3 Satz 2 lit. e DSGVO Die Unterstützung des Verantwortlichen durch den Auftragsverarbeiter unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten, also - Der Sicherheit der Verarbeitung (Art. 32) - Der Meldung von Verletzungen an die Aufsichtsbehörde (Art. 33) - Benachrichtigung der betroffenen Personen bei Verletzungen (Art. 34) - Datenschutz-Folgenabschätzungen (Art. 35) - Vorherige Konsultation (Art. 36) Art. 28 Abs. 3 Satz 2 lit. f DSGVO Löschung oder Rückgabe (nach Wahl des Verantwortlichen) personenbezogener Daten nach Abschluss der Erbringung der Verarbeitungsleistungen sofern nicht nach dem Unions-recht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht Art. 28 Abs. 3 Satz 2 lit. g DSGVO Die Zurverfügungstellung aller erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten. Ermöglichung von und Beitrag zu Überprüfungen einschließlich Inspektionen, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden und dazu beiträgt Art. 28 Abs. 3 Satz 2 lit. h DSGVO Mitteilung des Auftragsverarbeiters an den Verantwortlichen, falls er der Auffassung ist, dass eine Weisung gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten Art. 28 Abs. 3 Satz 3 DSGVO 15/36

16 ANFORDERUNG REFERENZ Die Verarbeitung durch den Auftragsverarbeiter kann auch auf Standardvertragsklauseln der Europäischen Kommission (Art. 28 Abs. 7 DSGVO) oder den Aufsichtsbehörden (Art. 28 Abs. 8 DGSVO) beruhen. 16/36

17 3.3. A.03 Zutrittskontrolle Ziel: Durch die Zutrittskontrolle soll verhindert werden, dass Unbefugte Zutritt zu relevanten Gebäuden oder Räumen erhalten. Mögliche Maßnahmen der Zutrittskontrolle sind: Perimeterschutz Sicherheitszonenkonzept Einbruchmeldeanlage Videoüberwachung 3.4. A.04 Zugangskontrolle Ziel: Durch die Zugangskontrolle soll verhindert werden, dass Unbefugte Zugang zu DV-Anlagen erhalten und somit Schäden anrichten könnten. Mögliche Maßnahmen der Zugangskontrolle sind: sichere Kennwörter Zwei-Faktor-Authentifizierungen Zugangsberechtigungen Firewall 3.5. A.05 Zugriffskontrolle Ziel: Durch die Zugriffskontrolle soll gewährleistet werden, dass die Nutzer von DV- Anlagen jeweils nur auf die Daten zugreifen könnten, für die sie berechtigt sind. Ebenso soll ein unberechtigter Zugriff auf Datenträger unterbunden werden. Mögliche Maßnahmen der Zugriffskontrolle sind: Berechtigungskonzepte Protokollierungen von Zugriffen revisionsfähige Dokumentationen der Benutzerprofile gesicherte Schnittstellen (USB, Netzwerke etc.) elektronische Signaturen bzw. Verschlüsselung von Datenträger 3.6. A.06 Trennungskontrolle Ziel: Die Trennungskontrolle besagt, dass Daten, die zu unterschiedlichen Zwecken erhoben wurden auch getrennt verarbeitet werden müssen. Mögliche Maßnahmen für die Trennungskontrolle sind: logische und/ oder physikalische Trennung der Datenbestände bzw. Datenbänke Benutzerrechteverwaltung Unterweisungen der Mitarbeiter zur Trennungskontrolle 17/36

18 Funktionstrennung 3.7. A.07 Pseudonymisierung & Verschlüsselung Ziel: Eine konkrete Anforderung, die der DSGVO zu entnehmen ist, ist die Pseudonymisierung nach Art. 32 Abs. 1 a sowie Art. 25 Abs. 1 DSGVO. Pseudonymisierung bedeutet, dass personenbezogene Daten ohne Hinzuziehung weiterer Informationen einer Person nicht mehr zugeordnet werden können bzw. dürfen. Dabei muss zwischen der Anonymisierung und Pseudonymisierung unterschieden werden. Während bei ersteres Informationen weggelassen werden (vgl. Tabelle 1), so werden bei letzteres die Informationen auf verschiedene Tabellen aufgeteilt (vgl. Tabelle 2). ID VORNAME NACHNAME KRANKHEIT BEHANDLUNG 0001 Max Mustermann Brustkrebs Operation ID KRANKHEIT BEHAND- LUNG 0001 Brustkrebs Operation Tabelle 1 Anonymisierung 0001 Brustkrebs Operation ID VORNAME NACHNAME 0001 Max Mustermann Tabelle 2 Pseudonymisierung Gemäß Art. 32 Abs. 1 a DSGVO, steht neben der Pseudonymisierung ebenso die Verschlüsselung personenbezogener Daten im Vordergrund. Dadurch soll ein angemessenes Schutzniveau erreicht werden. Entsprechende Verschlüsselungs-methoden sind daher vorzuweisen A.08 Eingabekontrolle Ziel: Die Eingabekontrolle soll gewährleisten, dass nachträglich innerhalb von automatisierten Verarbeitungsprogrammen überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit bzw. von wem eingegeben oder verändert worden sind. Mögliche Maßnahmen sind: Protokollierung von Log-In/ Log-Out 18/36

19 Protokollierung von Datensatzanpassungen Benutzeridentifikation 3.9. A.09 Transportkontrolle Ziel: Die Transportkontrolle soll gewährleisten, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt wird. Mögliche Maßnahmen der Transportkontrolle sind: Sicherung der elektronischen Übertragung Verschlüsselung VPN Firewall Sicherung beim Transport sichere versiegelte Transportbehälter Verschlüsselung der Datenträger Sicherung bei der Übermittlung Verfahrensverzeichnis Protokolle Nachweis über Versand A.10 Verfügbarkeitskontrolle Ziel: Die Verfügbarkeitskontrolle soll gewährleisten, dass alle DV-Systeme und sich darauf befindende Daten zu jeder Zeit verfügbar sind. Die Verfügbarkeitskontrolle kann demnach in verschiedene Unterkategorien eingeteilt werden: Verfügbarkeit Die Verfügbarkeit soll gewährleisten, dass Daten vor Verlust oder Zerstörung geschützt werden. Dies kann z. B. durch ausführliche Backup-Routinen oder sichere Rechenzentren/ Serverräume gewährleistet werden. Zuverlässigkeit/Belastbarkeit Fehlerfreie Funktion der DV-Systeme bzw. der genutzten Anwendungen (Frühwarnsysteme, Notfallpläne, Kapazitätsprognosen etc.) Die DV-Systeme müssen resilient gegen Störungen von außen sein, um eine vollständige Sicherheit der Daten zu gewährleisten. Wiederherstellbarkeit Eine schnelle Wiederherstellung der Daten in einem technischen oder physischen Zwischenfall muss gewährleistet sein (Backup-Routinen, Notfallpläne etc.) 19/36

20 3.11. A.11 Auftragskontrolle Ziel: Die Auftragskontrolle soll gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Mögliche Maßnahmen der Auftragskontrolle sind: Bindende Verpflichtung per Vertrag nach Art. 28 DSGVO Erteilung von Weisungsbefugnissen Vor-Ort Kontrollen Kontrollrechte des Auftraggebers: Stichprobenkontrollen der technischen und organisatorischen Maßnahmen nach Art. 28 DSGVO (Kontrollen müssen rechtzeitig angemeldet werden). zertifiziertes Datenschutzmanagement Verwaltung weiterer Auftragsverarbeiter: Einschaltung weiterer Auftragsnehmer wird durch Art. 28 Abs. 2 und Abs. 4 DSGVO geregelt. Hier werden alle weiteren Auftragsverarbeiter betrachtet. Es muss daher kein direktes Über-Unterordnungsverhältnis bestehen. Der Auftragsnehmer bzw. Auftragsverarbeiter kann darüber hinaus getroffene Maßnahmen durch verschiedene Instanzen nachweisen: Genehmigte Verhaltensregeln (Art. 40 DSGVO) Genehmigte Zertifizierungsverfahren (Art. 42 DSGVO) Aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, DSB, Auditoren etc.) Zertifizierung durch IT-Sicherheitsstandards oder Datenschutzaudits (z. B. BSI- Grundschutz, ISO 27001) A.12 Überprüfung, Bewertung und Evaluierung Ziel: Die Wirksamkeit der umgesetzten technischen und organisatorischen Maßnahmen ist regelmäßig zu bewerten und zu evaluieren. Nach Art. 32 DSGVO Abs. 1 Satz 1 d gilt es Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzuführen. Hierzu gehören unter anderem: Datenschutz-Management-Systeme (z. B. ein Information Security Management System, ggf. zertifiziert nach ISO 27001) Datenschutz-Folgenabschätzung Penetration-Testing (Schwachstellenidentifikation) Incident-Response-Management (Ansammlung schriftlicher Anweisungen, die im Falle eines Sicherheitsvorfalles entsprechend umgesetzt werden müssen) 20/36

21 3.13. A.13 Informationspflichten Ziel: Werden personenbezogene Daten betroffener Personen erhoben, so muss der Verantwortliche nach Art. 13 Abs. 1 DSGVO, den Betroffenen alle relevanten Informationen übermitteln. Der Auftraggeber ist dazu verpflichtet, den Auftragnehmer bei der Einhaltung der Informationspflicht zu unterstützen. Nach Ablauf der vom Auftraggeber gesetzten Frist müssen zudem alle personenbezogenen Daten entweder gelöscht oder zurückgegeben werden, Art. 28 DSGVO. Wie sind die Meldewege für Informationen? Wie erfolgt ein Löschvorgang/Rückgabevorgang und wie wird dieser nachgewiesen? A.14 Wahrung der Vertraulichkeit durch Beschäftigte Ziel: In der DSGVO wird das Datengeheimnis nicht konkret beschrieben. Es lässt sich jedoch eine Pflicht zur Wahrung der Vertraulichkeit für Beschäftigte ableiten. Hierzu können Art. 28 Abs. 3, Art. 29 sowie Art. 32 Abs. 4 DSGVO näher hinzugezogen werden. Demnach sollte ein Auftragnehmer bei der Durchführung der Arbeiten nur Beschäftigte einstellen, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Dies kann z. B. erfolgen durch Eine Verpflichtungserklärung für Beschäftigte zur Wahrung der Vertraulichkeit Schulungen oder andere geeignete Sensibilisierungsmaßnahmen Einbeziehung in Jour Fixe / regelmäßige Treffen zum Datenschutz/IT-Sicherheit A.15 Benennung eines Datenschutzbeauftragten Ziel: Gemäß Art. 37 DSGVO ist ein/e Beauftragte/r für den Datenschutz (bdsb) zu bestellen, die/der die Aufgaben (Art. 39 DSGVO) wahrnimmt. In welchen Fällen ein/e DSB zu benennen ist, ergibt sich aus Art. 37 DSGVO. Besonders hervorzuheben ist, dass der bdsb auf Grundlage seiner beruflichen Qualifikation und Fachwissens benannt werden muss. Hinweis: Außerdem finden sich in 5-7 des BDSG-Neu weitere Informationen zu der Benennung des DSB ( 5 BDSG-Neu), seiner Stellung in Unternehmen und öffentlichen Stellen ( 6 BDSG-Neu) sowie seinen Aufgaben ( 7 BDSG-Neu). Wurde ein/e bdsb bestellt? Wenn nein, warum nicht? Liegt Fachkunde und Zuverlässigkeit sowie Unabhängigkeit vor? Wie ist der/die bdsb in die Prozesse eingebunden? A.16 Verzeichnis von Verarbeitungstätigkeiten Ziel: Prüfung, ob der Auftragsverarbeiter notwendige Verfahrensverzeichnisse führt. 21/36

22 Ein Verzeichnis von Verarbeitungstätigkeiten ist gemäß Art. 30 DSGVO eine Liste, die die wesentlichen Angaben zu einer Datenverarbeitung umfasst. Folgende Angaben gehören in ein Verzeichnis von Verarbeitungstätigkeiten: der Name und Kontaktdaten des Verantwortlichen/ des DBS der Zwecke der Verarbeitung die Kategorien der Empfänger, gegenüber denen die personenbezogenen Daten offengelegt worden sind eine Beschreibung der Kategorien betroffener Personen bzw. der personenbezogenen Daten Angaben für die Verwendung von Profiling (falls eingesetzt) Angaben für Drittstaatenübermittlung bzw. Nennung der Kategorien der personenbezogenen Daten Angaben über die Rechtsgrundlage der Verarbeitung. Löschfristen bzw. Gründe für die Erforderlichkeit der Datenspeicherung Eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (vgl. Art. 32 DSGVO) Dieses Verzeichnis ist für alle Auftragsverarbeiter verpflichtend einzusetzen A.17 Unterstützung des Auftraggebers Ziel: Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Einhaltung seiner in Art. 32 bis 36 DSGVO erwähnten Pflichten zur Sicherheit personenbezogener Daten, Meldepflicht bei Datenpannen, Datenschutz-Folgenaschätzungen (DASF) und vorherige Konsultationen. Was genau zu diesen Punkten gehört, kann der nachfolgenden Auflistung entnommen werden: Dem Auftraggeber bei einer Datenschutzverletzung unverzüglich Bericht erstatten. Ausführliche technische und organisatorische Maßnahmen, die es im Schadensfall ermöglichen, eine sofortige Feststellung von relevanten Verletzungsereignissen zu erhalten. Den Auftraggeber bei der Einhaltung seiner Informationspflichten gegenüber den Betroffenen unterstützen. Dazu gehört ferner auch die unverzügliche Bereitstellung relevanter Informationen. Der Auftragsverarbeiter muss den Auftragsgeber bei der Erstellung einer DASF sowie bei vorherigen Konsultationen mit einer Aufsichtsbehörde unterstützen A.18 Drittstaatenübermittlung Ziel: Bei der Übermittlung in Länder außerhalb der EU muss der Auftragsverarbeiter darauf achten, dass das Ziel-Land ein hohes bzw. gleich hohes Datenschutz-Niveau 22/36

23 hat, wie die EU-Mitgliedsstaaten. Die Datenübermittlung ist nur zulässig, wenn die in Art DSGVO niedergelegten Bedingungen eingehalten bzw. beachtet werden: Das betreffende Drittland hat ein angemessenes Schutzniveau (Art. 45 Abs. 1). Die Überprüfung, ob ein angemessenes Schutzniveau besteht übernimmt die EU-Kommission (Art. 45 Abs. 2, 3). Die Kommission überwacht das Datenschutz-Niveau dieser Länder kontinuierlich (Art. 45 Abs. 4). Sofern nach Art. 45 Abs. 3, das Drittland als sicher auf Datenschutzebene zählt, darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten übermitteln, sofern dieser geeignete Garantien vorgesehen hat und darüber hinaus den betroffenen Personen angemessene Rechte zur Verfügung stehen A.19 Vertreter innerhalb der EU Ziel: Sofern Art. 3 Abs. 2 Anwendung findet ( Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen ), muss der Auftragsverarbeiter gemäß Art. 27 DSGVO einen Vertreter innerhalb der EU wählen. Dieser Vertreter muss innerhalb einem der Mitgliedsstaaten der EU niedergelassen sein, in denen die Personen befinden, derer personenbezogene Daten verarbeitet werden. Dieser Vertreter dient darüber hinaus als Kontaktstelle für Aufsichtsbehörden oder betroffene Personen. Es muss kein Vertreter ernannt werden, wenn: die Verarbeitung der Daten nur gelegentlich erfolgt und es zu keiner umfangreichen Verarbeitung besonderer Datenkategorien im Sinne von Art. 9 Abs.1 DSGVO sowie personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO kommt. es unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen kommt. es sich um eine Behörde oder öffentliche Stelle handelt A.20 Förderung des Datenschutzes insgesamt Ziel: Der im Audit untersuchte Gegenstand der Auftragsverarbeitung muss insgesamt auch geeignet sein, den Datenschutz zu fördern. Dies kann auf vielfältige Weise bewerkstelligt werden, z. B. durch: Einsatz besonderer Tools oder Systeme ein nachhaltiges Beschwerdemanagement ein nachhaltiges Datenschutzmanagement, das über den Untersuchungsgegenstand hinaus vorbildlich ist 23/36

24 die Umsetzung von Maßnahmen, die über die gesetzlich geforderten Inhalte hinausgehen und vorbildlich in Sachen Datenschutz oder IT-Sicherheit sind anderweitige, anerkannte Auditierungen oder Zertifizierungen, die den Untersuchungsgegenstand betreffen. 24/36

25 4. Auditierungs- und Zertifizierungsprozess In diesem Abschnitt wird vorgestellt, wie die datenschutz cert GmbH eine Dienstleistung zur Auftragsverarbeitung auditiert und zertifiziert. Dabei wird ein zweistufiges Zertifizierungsverfahren eingesetzt: Der bei der datenschutz cert GmbH lizenzierte Auditor prüft die Konformität gegen Art. 28 DSGVO erstellt einen Auditreport. Die Zertifizierungsstelle prüft den Auditreport, insbesondere um eine Vergleichbarkeit zwischen den Audits sicherstellen zu können Laufzeiten Jedes Zertifizierungsverfahren besteht aus folgenden Phasen: Erst-Zertifizierung; 1. Überwachungsaudit (1 Jahr nach Erst-Zertifizierung); 2. Überwachungsaudit (2 Jahre nach Erst-Zertifizierung); Re-Zertifizierung (3 Jahre nach Erst-Zertifizierung). Nachfolgend ist in Abbildung 1 der Lebenszyklus eines Zertifikates dargestellt. Abbildung 1 Life-Cycle eines Zertifikates zur Auftragsverarbeitung 25/36

26 4.2. Erst-Zertifizierung Auditierung Die von der datenschutz cert GmbH lizenzierten Auditoren prüfen den gesamten Prozess der Auftragsverarbeitung von der Vertragsgestaltung, über die Dokumentenprüfung bis hin zur Kontrolle der technisch-organisatorischen Sicherheitsmaßnahmen vor Ort. In der Regel werden dazu zunächst in einer Vorab-Prüfung (Stage 1-Audit) erste Ergebnisse auf dem Weg zu einem Zertifikat und ggf. notwendige Verbesserungen vom Auditor identifiziert, bevor das finale Audit erfolgt. Sodann stellt der Auditor einen Anforderungskatalog zusammen. Neben den hier genannten Anforderungen A1-20 sind dabei grundsätzlich auch anerkannte Kriterienwerke zu nutzen (z. B. die Datenschutzauditverordnung Schleswig-Holstein oder ISO/IEC27001). Ferner sind die Auslegungen der Datenschutzaufsichtsbehörden, des Europäischen Datenschutzausschusses sowie die Rechtsprechung zu berücksichtigen. Der Auditor prüft und bewertet anschließend den Untersuchungsgegenstand sowie die Datenschutz-fördernden Maßnahmen anhand der Anforderungen an die Auftragsverarbeitung. Das Audit besteht immer aus einer Informations-/Dokumentenprüfung sowie einem Site Visit vor Ort am Standort der Auftragsverarbeitung. Die Ergebnisse werden in einem aussagekräftigen Audit-Report dokumentiert und der Zertifizierungsstelle vorgelegt. Der Report dient zugleich als Nachweis der gesetzlich geforderten Kontrolle. Kommt der Auditor zu dem Ergebnis, dass alle Anforderungen eingehalten werden, empfiehlt er die Zertifizierung. Der Auditor kann dem Antragsteller im Zuge der Auditierung Gelegenheit zur Nachbesserung bzw. Anpassung geben. Für die Behebung von Mängeln oder Erfüllung von Auflagen sowie für die Vorlage notwendiger Informationen vereinbaren Auditor und Antragsteller grundsätzlich eine angemessene, verbindliche Frist Zertifizierung Die Zertifizierungsstelle prüft den Auditreport auf Schlüssigkeit. Dabei ist sie nicht an die Empfehlung des Auditors gebunden. Auf Grundlage des Auditreports sowie der hier genannten Zertifizierungsanforderungen trifft die Zertifizierungsstelle die Entscheidung, ob Ihre Dienstleistung konform zu den gesetzlichen Anforderungen betrieben wird und den Datenschutz fördert. Ist dem so, erteilt sie ein Zertifikat in Form einer Urkunde. Liegt der Zertifizierungsstelle bereits ein Auditbericht vor und erfüllt dieser nicht die hier aufgeführten Anforderungen oder ergeben sich Rückfragen bzgl. des Untersuchungsgegenstandes oder der Auditierung oder Bewertung, setzt die Zertifizierungsstelle dem Auditor oder dem Antragsteller eine angemessene Frist zur Behebung bzw. 26/36

27 vollständigen Beantwortung. Sind innerhalb eines Zeitraumes von maximal vier Wochen die erforderlichen Anpassungen nicht vorgenommen worden oder werden die für die Zertifizierung erforderlichen Informationen nicht zur Verfügung gestellt, wird der Zertifizierungsvorgang ohne die Vergabe des Zertifikats mit einem Ablehnungsbescheid unter Angabe von Gründen abgeschlossen. In begründeten Ausnahmefällen kann mit Zustimmung des Auditors und der Zertifizierungsstelle ein längerer Zeitraum vereinbart werden. Das Zertifikat gilt für einen Zeitraum von 3 Jahren ab Zertifizierungsentscheidung, es sei denn, es liegen die weiter unten genannten Gründe für einen Entzug des Zertifikates vor Überwachungsaudit Nach Erteilung des Zertifikats ist jährlich durch einen lizenzierten Auditor ein Überwachungsaudit durchzuführen, das die Konformität der Auftragsverarbeitung und Gültigkeit des Zertifikates bestätigt. Ein Überwachungsaudit ist darüber hinaus auch in einem kürzeren Zeitraum erforderlich, wenn der zertifizierte Untersuchungsgegenstand derart umgestaltet wird, dass die Anforderungen offensichtlich nicht (mehr) erfüllt werden oder der Untersuchungsgegenstand offensichtlich nicht mehr rechtskonform ist, in den zertifizierten Untersuchungsgegenstand Funktionen, Verfahren, Systeme oder sonstige Veränderungen aufgenommen oder ergänzt werden, die eine bislang unberücksichtigte Verarbeitung personenbezogener Daten beinhalten, datenschutzrelevante Prüfinhalte aus dem zertifizierten Untersuchungsgegenstand entfernt werden, der Antragsteller umfirmiert ist oder den Standort gewechselt hat. Dadurch wird sichergestellt, dass relevante zwischenzeitliche Veränderungen Berücksichtigung finden. Der Antragsteller ist verpflichtet, dem Auditor Änderungen im o.g. Sinne mitzuteilen. Gelangt der Auditor im Rahmen der Überwachungsaudits zum Ergebnis, dass die für eine erfolgreiche Auditierung und Zertifizierung erforderlichen Voraussetzungen fehlen, teilt er dies dem Antragsteller und der Zertifizierungsstelle mit. Die Zertifizierungsstelle entzieht dann das Zertifikat vor Ablauf der Gültigkeit vorläufig, so dass der Antragsteller das Logo und alle Verweise auf eine Zertifizierung bis zur Beseitigung der aufgefundenen Mängel nicht führen darf. Der Auditor setzt für die Behebung der Mängel eine angemessene Frist, die in der Regel nicht mehr als 3 Monate beträgt und informiert die Zertifizierungsstelle. Stellt er nach Ablauf der Frist fest, dass die Mängel nicht behoben wurden, wird das Zertifikat durch die Zertifizierungsstelle entzogen. 27/36

28 Das Ergebnis des Überwachungsaudits wird dokumentiert und der Zertifizierungsstelle vorgelegt, die über die Gültigkeit der Zertifizierung entscheidet. Die Entscheidung wird dem Antragsteller oder Auditor mitgeteilt Re-Zertifizierung Nach Ablauf des (i.d.r.) drei Jahre gültigen Zertifikats kann ein Re-Zertifizierungsaudit durchgeführt werden, dass sich im Wesentlichen an der Erst-Zertifizierung orientiert und die kontinuierliche Wirksamkeit feststellen soll. Hierbei kann sich die Auditierung auf die veränderten Bereiche konzentrieren Zertifikatsliste Eine Liste unserer erteilten Zertifizierungen kann abgerufen werden unter: Aus der Liste sind der Antragsteller, der Geltungsbereich, die Zertifikats-ID sowie die Gültigkeit der Zertifizierung ersichtlich Entzug eines Zertifikates Das Zertifikat wird entzogen, wenn der Antragsteller nachhaltig gegen die Zertifizierungsvoraussetzungen verstößt. Ein solcher Verstoß liegt insbesondere vor, wenn der zertifizierte Untersuchungsgegenstand in der beschriebenen Weise verändert wurde und der Anbieter keine Prüfung ermöglicht im Rahmen der Prüfung nicht die für die Vergabe des Zertifikats erforderlichen Voraussetzungen erfüllt werden, der Antragsteller aufgrund drohender oder eingetretener Insolvenz einen zuverlässigen Geschäftsbetrieb nicht mehr aufrechterhalten kann die Zertifizierungskosten nicht spätestens innerhalb von 4 Wochen nach Abschluss der Zertifizierung gegenüber der Zertifizierungsstelle beglichen werden. Die Zertifizierungsstelle teilt dem Antragsteller die Gründe des Zertifikatsentzugs mit. Im Falle des Entzuges wird das über die Zertifikatsliste online unter veröffentlichte Zertifikat auf den Status als entzogen gesetzt und spätestens nach 4 Wochen aus der Liste entfernt. Der Entzug des Zertifikates kann auch anderweitig veröffentlicht werden Ablauf eines Zertifikates Soweit das Zertifikat nach Ablauf der Gültigkeit entfällt, hat der Anbieter dafür zu sorgen, dass das Logo und sämtliche Hinweise auf eine gültige Zertifizierung aus den genutzten Medien unverzüglich entfernt werden. 28/36

29 4.8. Kosten und Gebühren Kosten fallen einerseits für die Auditierung, andererseits für die Zertifizierung an. Das Honorar für die Durchführung des Audits und des Überwachungsaudits ist i.d.r. abhängig von der Komplexität des Auditgegenstands und wird zwischen dem Auditor und dem Antragsteller individuell vereinbart und abgerechnet. Die datenschutz cert GmbH kann ein Gesamtangebot für eine Auditierung und Zertifizierung abgeben, sofern ein eingesetzter Auditor bei ihr angestellt ist. Die für die Zertifizierung anfallenden Kosten begleichen den gesamten Zertifizierungsvorgang (Prüfung des Audit-Reports, Korrespondenz, Zertifikatsverwaltung sowie bei Zertifikatsvergabe - die Nutzungsrechte). Die Kosten fallen an, sobald ein Antrag auf Zertifizierung oder der Audit-Report bei der Zertifizierungsstelle eingegangen ist. Erteilt die Zertifizierungsstelle einen Ablehnungsbescheid, werden die Kosten anteilig berechnet. Die Höhe der Zertifizierungskosten richtet sich nach der Komplexität des Prüfaufwands. Dieser bestimmt sich u.a. nach den Funktionen des Untersuchungsgegenstands, dem Umfang der Datenverarbeitung, der Umgebung für das Datenschutz-management, den vorgelegten Informationen und dem Umfang der Korrespondenz aller Beteiligten. Auf Wunsch kann die Zertifizierungsstelle vor Antragstellung eine kostenlose Einschätzung der Zertifizierungskosten erstellen AGB und Sonderbedingungen für Auditierung und Zertifizierung Weitere Informationen zu uns, unseren Dienstleistungen und Leitlinien finden sich auch auf unseren Webseiten unter Im Falle eines Vertragsschlusses gelten ausschließlich unsere Allgemeinen Geschäftsbedingungen sowie unsere Sonderbedingungen für Dienstleistungen im Rahmen von Auditierungen und Zertifizierungen, die unter abgerufen werden können. Die AGB und Sonderbedingungen werden dem Kunden mit dem Angebot zur Verfügung gestellt und auf Wunsch auch zugesandt. 29/36

30 5. Anforderungen an einen Auditreport Ein Auditreport zur Vorlage bei der Zertifizierungsstelle muss inhaltlich mindestens zu folgenden Aspekten Stellung beziehen: Organisatorische und formale Angaben zum Audit: Benennung des mit der Auditierung angestrebten Zertifikats (z.b. Zertifizierung der Auftragsverarbeitung nach Art. 28 DSGVO) Untersuchte Organisation, Name, Anschrift, Standort; genaue Bezeichnung des Untersuchungsgegenstands, Abgrenzung zu den nicht auditierten Bereichen; Auditoren (Recht/Technik), Name, Anschrift; Zeitraum der Auditierung; Angewandte Methodik: z. B. Prüfung von Dokumenten des Auftraggebers, Führung von Mitarbeitergesprächen, Durchführung von Stichproben vor Ort (Site Visit) oder Plausibilitätstests; Grundlagen der Auditierung: eingesehene Dokumente; befragte Abteilungen/Arbeitsbereiche/Unternehmensorgane; Gegenstand der Stichproben; Ortsbesichtigung, Standort, Adresse, Dauer, Teilnehmer; Erklärung der Auditoren zur Unabhängigkeit und Unparteilichkeit; Kurzdarstellung des Untersuchungsgegenstands; Zusammenstellung des für den konkreten Auditgegenstand anwendbaren Prüfkriterien/Anforderungen; Auditergebnisse: Prüfung und Bewertung aller Prüfpunkte des Kriterienkatalogs; Votum des Auditors mit: Zusammenfassung der Auditergebnisse / Management Summary; Vorschlag an die Zertifizierungsstelle. 30/36

31 6. datenschutz cert GmbH Die datenschutz cert GmbH bietet Konformitätsbewertungen auf dem Gebiet des Datenschutzes und der Informationssicherheit an. Diese Konformitätsbewertungen schließen sowohl Prüfaktivitäten als auch Zertifizierungstätigkeiten ein einerseits für IT-Systeme und -Produkte und andererseits für Verfahren und Managementprozesse. Die datenschutz cert GmbH ist ein Unternehmen der datenschutz nord-gruppe. Sitz der Gesellschaft ist Bremen. Geschäftsführer ist Dr. Sönke Maseberg Leitlinien Die datenschutz cert GmbH bietet Konformitätsbewertungen unter folgenden grundsätzlichen Leitlinien an: Unabhängigkeit und Unparteilichkeit Wir sind unabhängig und unparteilich. Es gilt das übergeordnete Interesse und die vorrangige Pflicht, Auditierungen, Evaluierungen, Zertifizierungen und Bestätigungen entsprechend den Vorgaben frei von internen und externen kommerziellen, finanziellen und sonstigen Zwängen durchzuführen. Maßstab ist das jeweilige Kriterienwerk. Zudem führen wir keinerlei Beratung durch. Wir haben einen "Ausschuss zur Sicherstellung der Unparteilichkeit der datenschutz cert GmbH" (Ausschuss) etabliert, mit dem die grundsätzlichen Regelungen zur Unabhängigkeit und Unparteilichkeit der Zertifizierungstätigkeiten diskutiert und durchgeführte Zertifizierungsprozesse auf ihre Unabhängigkeit hin überprüft werden. Zur Gewährleistung der Unabhängigkeit und Unparteilichkeit unserer erteilten Zertifikate setzen wir für den Auditierungs- und Zertifizierungsprozess darüber hinaus regelmäßig externe Fachbegutachter ein Vertraulichkeit Wir sichern Ihnen Vertraulichkeit zu Offenheit und Transparenz Wir sind offen und transparent hinsichtlich unserer Tätigkeiten, d.h. wir kommunizieren klar und unmissverständlich, was und nach welchen Regeln geprüft und zertifizieren wird; unsere Zertifikate und Auditreports sind klar und verständlich formuliert; wir veröffentlichen die zugrundeliegenden Regelwerke - sofern nicht durch Copyright geschützt -; wir benennen klar, wofür wir akkreditiert sind; wir lassen uns selber regelmäßig auditieren; 31/36

32 wir sind offen für alle Anfragen und Beschwerden: Wenn Sie Fragen zu einem von uns erteilten Zertifikat haben oder potentiell den Missbrauch eines Zertifikats vermuten: Bitte sprechen Sie uns an. Wir sichern Ihnen Vertraulichkeit zu und gehen der Sache nach. Wir informieren Sie über den Stand der Untersuchung sowie den Abschluss Datenschutz Wir kommen aus dem Datenschutz. Jede Art von Konformitätsprüfung wird - im Rahmen des jeweiligen Untersuchungsgegenstands - unter den besonderen Aspekten des Datenschutzes beleuchtet. Dadurch stellen wir sicher, dass die von uns geprüften und bewerteten IT-Produkte und -Systeme den Anforderungen des Datenschutzes genügen. Unser Anspruch ist, dass sich "datenschutz cert-ifizierte" Produkte und Prozesse etablieren und für unsere Kunden einen Mehrwert zu einem besseren Datenschutz darstellen und dass unser Zertifikat eine entsprechende Anerkennung genießt Akkreditierungen Die datenschutz cert GmbH ist bei der Deutschen Akkreditierungsstelle GmbH (DAkkS) gemäß ISO/IEC akkreditierte Zertifizierungsstelle und darf danach international gültige Zertifikate für ISO/IEC konforme Informationssicherheits-Managementsysteme (ISMS) erteilen. Die Akkreditierung der DAkkS umfasst ferner ISO/IEC , verschiedene ETSI TS-Normen und das Regelwerk IT-Sicherheitskatalog gemäß 11 Abs. 1a EnWG. Ferner ist die datenschutz cert GmbH bei der DAkkS für Produkte und Dienstleistungen gemäß ISO/IEC akkreditiert und darf danach Zertifikate für Vertrauensdienste gemäß eidas erteilen. Anerkennungen Auditoren der datenschutz cert GmbH sind beim Bundesamt für Sicherheit in der Informationstechnik (BSI) als Auditoren für die TR (Smart Meter Gateway Administratoren) sowie BSI TR (Secure CA Operation) zertifiziert. Die datenschutz cert GmbH ist als Prüfstelle für IT-Sicherheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI) erkannt. Die datenschutz cert GmbH ist bei der Bundesnetzagentur anerkannte Prüf- und Bestätigungsstelle gemäß Signaturgesetz. Die datenschutz cert GmbH beschäftigt beim BSI lizenzierte IT-Grundschutz-/ ISO Auditoren und IS-Revisoren. Die datenschutz cert GmbH stellt eines der beiden GS-Zertlabs, die für das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Prüfbegleitung in den IT-Grundschutz-Verfahren durchführt. 32/36

33 Ferner ist die datenschutz cert GmbH beim BSI anerkannter IT-Sicherheitsdienstleister. Die datenschutz cert GmbH ist darüber hinaus als Gutachter des Unabhängigen Landes-zentrums für Datenschutz (ULD) Schleswig-Holstein anerkannt. Die Anerkennung gilt sowohl für den Bereich Technik als auch für den Bereich Recht. Die Auditoren sind zudem anerkannte EuroPriSe Experten für Recht und Technik. 33/36

34 7. Annex A. Mapping Art Anforderungen PASSUS AUS ART. 28 DSGVO ZUGEORDNETE ABGELEITETE ANFORDERUNG BEMERKUNG Abs. 1 A.12 allg. Hinweis, dass Verantwortliche nur mit Auftragsarbeitern zusammenarbeiten sollen, die hinreichend Garantien für eingesetzte technische und organisatorische Maßnahmen bieten. Abs. 2 Satz 1 A.10 Auftragskontrolle allg. Hinweis, dass der Auftragsverarbeiter keine weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine Genehmigung in Anspruch nimmt. Abs. 2 Satz 2 A.10 Auftragskontrolle Im Fall einer Genehmigung wird der Verantwortliche durch den Auftragsverarbeiter über jede Änderung informiert und kann darüber hinaus Einspruch erheben. Abs.3 Satz 1 A.02 Vertrag genügt gesetzlichen Anforderungen Wesentliche Bestandteile des Vertrages (Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind). Der Vertrag kann zusätzlich zu diesen Anforderungen zudem im internationalen Kontext ganz- oder teilweise z.b. auf Standardsvertragsklauseln beruhen, die von der Kommission oder einer Aufsichtsbehörde festgelegt wurden (Art. 28 Abs. 7 und 8). Abs. 3 Satz 2 a A.18 Drittstaatenübermittlung Datenverarbeitung nur nach Weisung des Auftragnehmers / Drittstaatenübermittlung Abs. 3 Satz 2 b A.14 Wahrung der Vertraulichkeit Verschwiegenheitspflicht Abs. 3 Satz 2 c A.03 - A.11 Hauptteil der technischen und organisatorischen Maßnahmen in Form von Sicherheitszielen sowie der notwendigen Überprüfung, Bewertung und Evaluierung der Umsetzung. Es wird hier verwiesen auf Art. 32 DSGVO. Hieraus lassen sich die verwendeten Kontrollmechanismen ableiten. Hinweis: Die Anforderungen A.03-A.07 gehören zu der Oberkategorie Vertraulichkeit, die die DSGVO formuliert und die Anforderungen A.08-A.09 zu der Oberkategorie Integrität. Die Verfügbarkeit wurde weitestgehend zusammengefasst. Da diese Sicherheitsziele (zusammen mit der Belastbarkeit/ Widerstandsfähigkeit, Wiederherstellbarkeit) lt. DSGVO streng eingehalten werden müssen, wurde eine Unterteilung in die klassischen Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit vorgenommen. Abs. 3 Satz 2 d A.10 Auftragskontrolle Subdienstleister, die der Auftragsverarbeiter unterbeauftragt hat, müssen von diesem kontrolliert werden. 34/36

35 PASSUS AUS ART. 28 DSGVO ZUGEORDNETE ABGELEITETE ANFORDERUNG BEMERKUNG Abs. 3 Satz 2 e A.13 Informationspflichten A.10 Auftragskontrolle Unterstützung des Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen, sodass dieser seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person nachkommen kann. Abs. 3 Satz 2 f A.12 Überprüfung, Bewertung und Evaluierung A.10 Auftragskontrolle A.17 Unterstützung des Auftraggebers Den Verantwortlichen bei der Einhaltung der in Art DSGVO genannten Pflichten unterstützen. Abs. 3 Satz 2 g A.13 Informationspflichten Nach Fristablauf, müssen alle personenbezogenen Daten entweder gelöscht oder zurückgegeben werden. Dies wird hier im weitesten Sinne den Informationspflichten und den Rechten der Betroffenen zugeordnet. Abs. 3 Satz 2 h A.13 Informationspflichten Dem Verantwortlichen müssen sämtliche Informationen zur Einhaltung der in der DSGVO (speziell Art. 28 DSGVO) verfassten Pflichten zur Verfügung gestellt werden. Abs. 4 Satz 1 A.10 Auftragskontrolle Bei einem möglichen Unterauftragsverhältnis, müssen hinreichende Garantien dafür geboten werden, dass der Partner notwendige technische und organisatorische Maßnahmen erfüllt. Abs. 4 Satz 2 A.10 Auftragskontrolle Der erste Auftragsverarbeiter haftet, sofern der Unterauftragnehmer seinen Datenschutzpflichten nicht nachkommt. Abs. 5 A.10 Auftragskontrolle Allg. Informationen zu den Verhaltensregeln sowie den Zertifizierungsverfahren Abs. 6 A.02 Vertrag genügt gesetzlichen Anforderungen Der Vertrag muss die aufgeführten Mindestinhalte aufweisen und kann ganz- oder teilweise auf Standardsvertragsklauseln beruhen, die von der Kommission oder einer Aufsichtsbehörde festgelegt wurden (Art. 28 Abs. 7 und 8) Abs. 7 - Allg. Informationen zu dem Prüfverfahren Abs. 8 - Allg. Informationen zu dem Kohärenzverfahren Abs. 9 A.02 Vertrag genügt gesetzlichen Anforderungen Der Vertrag muss in schriftlicher Form vorliegen. 35/36

36 datenschutz cert GmbH Hauptsitz Bremen Konsul-Smidt-Straße 88a Bremen Tel.: Niederlassung Berlin-Mitte Reinhardtstraße Berlin 36/36

Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gemäß TR datenschutz cert GmbH Version 1.0

Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gemäß TR datenschutz cert GmbH Version 1.0 Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gemäß TR-03108 datenschutz cert GmbH Version 1.0 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts DATENSCHUTZ NEU DENKEN! (Neue) Anforderungen der Datenschutz-Grundverordnung für die IT-Sicherheit Heiko Behrendt

Mehr

2. CEMA Online IT.special: EU-Datenschutz-Grundverordnung

2. CEMA Online IT.special: EU-Datenschutz-Grundverordnung 2. CEMA Online IT.special: EU-Datenschutz-Grundverordnung Anforderungen an Datenschutz-Compliance insbesondere bei der Zusammenarbeit mit Großunternehmen Paul Nottarp, LL.M. Rechtsanwalt 2017 Brehm & v.

Mehr

Anlage zur Vereinbarung nach 11 BDSG Allgemeine technische und organisatorische Maßnahmen nach 9 BDSG und Anlage. Für Auftragsnehmer

Anlage zur Vereinbarung nach 11 BDSG Allgemeine technische und organisatorische Maßnahmen nach 9 BDSG und Anlage. Für Auftragsnehmer Anlage zur Vereinbarung nach 11 BDSG Allgemeine technische und organisatorische Maßnahmen nach 9 BDSG und Anlage Für Auftragsnehmer Seitens des Auftragnehmers wurden nachfolgend aufgeführte Maßnahmen zum

Mehr

DSFA Datenschutz-Folgenabschätzung. Diskussionsvorlage 6. DialogCamp, München

DSFA Datenschutz-Folgenabschätzung. Diskussionsvorlage 6. DialogCamp, München DSFA Datenschutz-Folgenabschätzung Diskussionsvorlage 6. DialogCamp, München 17. 2. 2017 Anforderungen an eine DSFA Überlegungen/Fragen Folgen Artikel 35 Absatz 1 DS-GVO Riskante Datenverarbeitung Risikobegriff:

Mehr

Ausfüllhilfe Technische und organisatorische Maßnahmen. Hinweis:

Ausfüllhilfe Technische und organisatorische Maßnahmen. Hinweis: Ausfüllhilfe Technische und organisatorische Maßnahmen Hinweis: Die nachfolgende Ausfüllhilfe soll als Hilfsmittel zur Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1,

Mehr

DATENSCHUTZ in der Praxis

DATENSCHUTZ in der Praxis DATENSCHUTZ in der Praxis Rechtliche Rahmenbedingungen: EU-DSGVO Grundrecht für EU Bürger Die Europäische Union verankert den Schutz, natürlicher Personen betreffende, personenbezogene Daten auf Grundrechtsebene

Mehr

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte WEIMER I BORK Rechtsanwälte Fachanwälte Historischer Rückblick 1970: Weltweit erstes Datenschutzgesetz in Hessen 1974: zweites Datenschutzgesetz in Rheinland-Pfalz 1977: Bundesdatenschutzgesetz 1995:

Mehr

Die EU-Datenschutz-Grundverordnung: Besondere Verarbeitungsformen

Die EU-Datenschutz-Grundverordnung: Besondere Verarbeitungsformen Symposium 26.4.2016 in Hamburg Die EU-Datenschutz-Grundverordnung: Besondere Verarbeitungsformen RA Prof. Dr. Ralf B. Abel 1 Darum geht es: Datenschutz- Gesamtrevision 2 Überblick - Verantwortlichkeit

Mehr

EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO

EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO Stand: Juni 2017 Mit Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) zum 25. Mai 2018 wird sich der Datenschutz

Mehr

DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders.

DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders. DACH-Compliance-Tagung 2017 Workshop EU-DSGVO: Auswirkungen auf die Compliance- Organisation Building Competence. Crossing Borders. Dr. Michael Widmer, LL.M. Rechtsanwalt michael.widmer@zhaw.ch, 17. Februar

Mehr

Die EU-Datenschutz- Grundverordnung und ihre Auswirkungen auf das Institut der behördlichen/betrieblichen Datenschutzbeauftragten

Die EU-Datenschutz- Grundverordnung und ihre Auswirkungen auf das Institut der behördlichen/betrieblichen Datenschutzbeauftragten Die EU-Datenschutz- Grundverordnung und ihre Auswirkungen auf das Institut der behördlichen/betrieblichen Datenschutzbeauftragten Barbara Thiel Landesbeauftragte für den 29.11.2016 Agenda 1. Einleitung

Mehr

Aufgaben zur Umsetzung der DS-GVO : 1-15 Laufende Tätigkeiten gemäß DS-GVO: 16-20

Aufgaben zur Umsetzung der DS-GVO : 1-15 Laufende Tätigkeiten gemäß DS-GVO: 16-20 Aufgaben zur Umsetzung der DS-GVO : 1-15 Laufende Tätigkeiten gemäß DS-GVO: 16-20 1. Die gesetzlichen Aufgaben des Datenschutzbeauftragten (DSB)... 2 2. Verarbeitungstätigkeiten identifizieren... 2 3.

Mehr

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis Auswirkungen auf die Praxis SPEAKER Steffen Niesel Fachanwalt für IT-Recht Ulf Riechen Dipl.-Ing. für Informationstechnik 2 Einleitung Wann tritt die Datenschutzgrundverordnung (DS-GVO) in Kraft? 25. Mai

Mehr

Auftragsdatenverarbeitung

Auftragsdatenverarbeitung Auftragsdatenverarbeitung Inhaltsverzeichnis Präambel 1 1 Definitionen 1 2 Anwendungsbereich und Verantwortlichkeit 1 3 Pflichten des Auftragnehmers 2 4 Pflichten des Auftraggebers 3 5 Anfragen Betroffener

Mehr

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT SK-Consulting Group GmbH Donnerstag, 29. September 2016 Vorstellung Alexander Jung Diplom-Jurist (Univ.) Senior Consultant Datenschutz

Mehr

Die neue Grundverordnung des europäischen Datenschutzes

Die neue Grundverordnung des europäischen Datenschutzes Die neue Grundverordnung des europäischen Datenschutzes Was kommt auf die Unternehmen und deren IT-Verantwortliche zu? NIK - Nürnberg, 08. November 2016 Ulrich Neef in Zusammenarbeit mit ODN - INTERNET

Mehr

Die EU-DSGVO und die verschärften Regelungen Auftrags(daten)verarbeitung

Die EU-DSGVO und die verschärften Regelungen Auftrags(daten)verarbeitung Die EU-DSGVO und die verschärften Regelungen Auftrags(daten)verarbeitung Dirk Munker Dipl. Staatswissenschaftler (Univ.), Datenschutz-Auditor (TÜV) Datenschutzbeauftragter des LSWB Mehr als 12 Jahre Erfahrung

Mehr

Die verschärften Regelungen der EU-DSGVO zur Auftrags(daten)verarbeitung

Die verschärften Regelungen der EU-DSGVO zur Auftrags(daten)verarbeitung Die verschärften Regelungen der EU-DSGVO zur Auftrags(daten)verarbeitung Referent Munker Privacy Consulting GmbH Pähler Str. 5a 82399 Raisting www.munker.info Dirk Munker Dipl. Staatswissenschaftler (Univ.)

Mehr

Datenschutzzertifizierung Datenschutzmanagementsystem

Datenschutzzertifizierung Datenschutzmanagementsystem Datenschutzzertifizierung Datenschutzmanagementsystem Senior Consultant für Datenschutz und Informationssicherheit DIN NIA 27 AK 1 & 5 ad hoc Meeting Datenschutzmanagementsystem 15. Juli 2016, Bonn 2016

Mehr

Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen (Art. 30 DS-GVO)

Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen (Art. 30 DS-GVO) Verzeichnis von Verarbeitungstätigkeiten des Verantwortlichen (Art. 30 DS-GVO) I. Hauptblatt 1a. Name oder Firma des Verantwortlichen Name oder Firma 1b. Ggf. Name oder Firma des gemeinsam für die Verarbeitung

Mehr

Datenschutzreform 2018

Datenschutzreform 2018 Datenschutzreform 2018 Die bereitgestellten Informationen sollen die bayerischen öffentlichen Stellen bei der Umstellung auf die Datenschutz-Grundverordnung unterstützen. Sie wollen einen Beitrag zum Verständnis

Mehr

Das Wichtigste zur neuen Datenschutz-Grundverordnung

Das Wichtigste zur neuen Datenschutz-Grundverordnung Das Wichtigste zur neuen Datenschutz-Grundverordnung RA Mag. Peter Harlander IT- und Marketingrecht (z.b. Urheber-, Marken-, Wettbewerbs-, E-Commerce-Recht) Gesellschaftsrecht Vertragsrecht (z.b. AGB,

Mehr

Übermittlung an Drittländer

Übermittlung an Drittländer Übermittlung an Drittländer I. Allgemeine Voraussetzungen II. Besondere Voraussetzungen Angemessenheitsbeschuss EU-Kommission Geeignete Garantien Ausnahmen in Sonderfällen III. Fazit I. Allgemeine Voraussetzungen

Mehr

Datenschutz Grundverordnung (EU DSGVO) Nicht amtliche Gliederung

Datenschutz Grundverordnung (EU DSGVO) Nicht amtliche Gliederung Datenschutz Grundverordnung (EU DSGVO) Nicht amtliche Gliederung Kapitel I Allgemeine Bestimmungen Artikel 01 Gegenstand und Ziele Artikel 02 Sachlicher Anwendungsbereich Artikel 03 Räumlicher Anwendungsbereich

Mehr

Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gemäß ISO/IEC datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gemäß ISO/IEC datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gemäß ISO/IEC 27001 datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung

Mehr

Prof. Dr. Winfried Kluth IWE GK. Universität Halle-Wittenberg

Prof. Dr. Winfried Kluth IWE GK. Universität Halle-Wittenberg + Prof. Dr. Winfried Kluth IWE GK. Universität Halle-Wittenberg + Wohnungswirtschaft und Informationsrecht 2 ein neues Thema? Die Erhebung, das Sammeln und die Auswertung von Informationen über Vermieter

Mehr

Technische und organisatorische Maßnahmen

Technische und organisatorische Maßnahmen Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden getroffen: A. Zutrittskontrolle Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

Datensicherheitskonzept. Maßnahmen zur Datenschutzkontrolle gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage

Datensicherheitskonzept. Maßnahmen zur Datenschutzkontrolle gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage Datensicherheitskonzept Maßnahmen zur Datenschutzkontrolle gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage 1 Datenschutzmaßnahmen Präambel Die im Folgenden beschriebenen technischen und

Mehr

HPC und EU-DSGVO. Konzenquenzen der neuen EU-Datenschutzgrundverordnung für den Betrieb von HPC-Systemen. Dr. Loris Bennett, FU Berlin

HPC und EU-DSGVO. Konzenquenzen der neuen EU-Datenschutzgrundverordnung für den Betrieb von HPC-Systemen. Dr. Loris Bennett, FU Berlin HPC und EU-DSGVO Konzenquenzen der neuen EU-Datenschutzgrundverordnung für den Betrieb von HPC-Systemen Dr. Loris Bennett, FU Berlin 2017-10-10 Outline Einführung Personenbezogene Daten Dokumentationspflichten

Mehr

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde Vereinbarung zur Auftragsdatenverarbeitung mit Kunde - Auftraggeber - und snapaddy GmbH Juliuspromenade 3 DE 97070 Würzburg - Auftragnehmer - schließen nachfolgende Vereinbarung über die Verarbeitung von

Mehr

EU-Datenschutz- Grundverordnung

EU-Datenschutz- Grundverordnung EU-Datenschutz- Grundverordnung Noch viel Zeit? Axel Vogelsang Datenschutzbeauftragter & IT-Consultant Umfrage Bitkom (September 2016) Befragte: 509 Datenschutzverantwortliche 47% 8% 12% EU-DSGVO 32% die

Mehr

Die Europäische Datenschutz- Grundverordnung. Schulung am

Die Europäische Datenschutz- Grundverordnung. Schulung am Die Europäische Datenschutz- Grundverordnung Schulung am 19.09.2017 Ziel: Vereinheitlichung des europäischen Datenschutzrechts und Anpassung an der Datenschutzrichtlinie von 1995 an den technologischen

Mehr

Vereinbarung über die Auftragsdatenverarbeitung

Vereinbarung über die Auftragsdatenverarbeitung Vereinbarung über die Auftragsdatenverarbeitung zwischen [zu ergänzen] - Auftraggeber - und Bentjen Software GmbH Hebelweg 9a 76275 Ettlingen - Auftragnehmer - (zusammen die Vertragspartner ) 1 Grundlage

Mehr

Auswirkungen der EU-DSGVO auf die IT in Unternehmen. RA Robert Niedermeier CIPP/E CIPT CIPM FIP

Auswirkungen der EU-DSGVO auf die IT in Unternehmen. RA Robert Niedermeier CIPP/E CIPT CIPM FIP Auswirkungen der EU-DSGVO auf die IT in Unternehmen RA Robert Niedermeier CIPP/E CIPT CIPM FIP Agenda Intro: Worum geht`s? verschärfter Sanktionsrahmen Bußgelder EU-DSGVO Zentrale Säule: Risikobasierter

Mehr

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1. Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen

Mehr

Das Unternehmen. 11 MitarbeiterInnen. seit 1996 am Markt tätig. IT-Systemhaus. Internet Service Provider. motiviert flexibel leistungsfähig

Das Unternehmen. 11 MitarbeiterInnen. seit 1996 am Markt tätig. IT-Systemhaus. Internet Service Provider. motiviert flexibel leistungsfähig Das Unternehmen 11 MitarbeiterInnen seit 1996 am Markt tätig IT-Systemhaus Internet Service Provider motiviert flexibel leistungsfähig Referenzen Appelhagen Rechtsanwälte Steuerberater PartGmbB Ausbildungsverbund

Mehr

ConformityZert GmbH. Zertifizierungsprozess ISO 27001

ConformityZert GmbH. Zertifizierungsprozess ISO 27001 ConformityZert GmbH Zertifizierungsprozess ISO 27001 ISO/IEC 27001 Ein ISO 27001 Zertifikat ist das offizielle Gütesiegel für Informationssicherheit. Kunden und Geschäftspartnern beweist es, dass im zertifizierten

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Telekom Deutschland GmbH Landgrabenweg 151 53227 Bonn für das System Festnetz und Mobilfunk Postpay Abrechnungssysteme

Mehr

Datenschutz-Management-System

Datenschutz-Management-System Wie wird die DSGVO mit Ihrem externen Datenschutzbeauftragten im Unternehmen eingeführt? Die Anforderungen an den Datenschutz nehmen mit der neuen Datenschutzgrundverordnung (DSGVO) erneut zu. Ab dem 25.

Mehr

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung? DuD 06 8. Jahresfachkonferenz Datenschutz und Datensicherheit Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung? Berlin, 4.06.06 Dr. Jens Eckhardt Rechtsanwalt und Fachanwalt für IT-Recht Datenschutz-Auditor

Mehr

EU-Datenschutz- Grundverordnung

EU-Datenschutz- Grundverordnung EU-Datenschutz- Grundverordnung Herausforderung für Unternehmen Axel Vogelsang Datenschutzbeauftragter & IT-Consultant Internet-Links EU-DSGVO, Erwägungsgründe und BDSG (neu): https://dsgvo-gesetz.de/

Mehr

Datenschutzreform 2018

Datenschutzreform 2018 Datenschutzreform 2018 Die bereitgestellten Informationen sollen die bayerischen öffentlichen Stellen bei der Umstellung auf die Datenschutz-Grundverordnung unterstützen. Sie wollen einen Beitrag zum Verständnis

Mehr

Aufgepasst IT-Leiter! Kennen Sie Ihre Pflichten aus der neuen EU DSGVO?

Aufgepasst IT-Leiter! Kennen Sie Ihre Pflichten aus der neuen EU DSGVO? Aufgepasst IT-Leiter! Kennen Sie Ihre Pflichten aus der neuen EU DSGVO? Seite 1 von 14 Datenschutz mit Augenmaß Vorstellung Robert F. Krick Seite 2 von 14 WORUM GEHT ES HEUTE? Um die neue EU-Datenschutzgrundverordnung

Mehr

- Wa s i s t j e t z t z u t u n? -

- Wa s i s t j e t z t z u t u n? - 1 Die europäische Datenschutz-Grundverord n u n g - Wa s i s t j e t z t z u t u n? - I H K N ü r n b e r g f ü r M i t t e l f r a n k e n E r l a n g e n, d e n 2 0. J u l i 2 0 1 7 T h o m a s K r a

Mehr

Verfahrensbeschreibung

Verfahrensbeschreibung Art. 27 des Bayerischen Datenschutzgesetzes (BayDSG) bestimmt, dass die behördlichen Datenschutzbeauftragten ein Verzeichnis der bei der öffentlichen Stelle eingesetzten und datenschutzrechtlich freigegebenen

Mehr

Videoüberwachung nach der DSGVO. was nichtöffentliche Stellen beachten müssen

Videoüberwachung nach der DSGVO. was nichtöffentliche Stellen beachten müssen Videoüberwachung nach der DSGVO was nichtöffentliche Stellen beachten müssen Gliederung 1. DSGVO vs. BDSG (neu) 2. Zulässigkeitsvoraussetzungen für Videoüberwachung 3. Transparenzpflichten 4. Zweckbindung

Mehr

Laboratoriumsmedizin Dortmund Dr. Eberhard & Partner

Laboratoriumsmedizin Dortmund Dr. Eberhard & Partner Laboratoriumsmedizin Dortmund Dr. Eberhard & Partner www.labmed.de Seite 1 Der Datenschutzbeauftragte in Praxis und Labor Seite 2 Mein Name: Joachim Strelecki Betrieblicher Datenschutzbeauftragter in der

Mehr

DATENSCHUTZ DIE WORKSHOP-REIHE

DATENSCHUTZ DIE WORKSHOP-REIHE DATENSCHUTZ DIE WORKSHOP-REIHE Die Europäische Union verankert den Schutz, natürlicher Personen betreffende, personenbezogene Daten auf Grundrechtsebene Die EU-Datenschutzgrundverordnung gilt sowohl für

Mehr

iubenda DSGVO Was Sie über die neue Datenschutzgrundverordnung wissen sollten Philip M. Weiss Carl H.

iubenda DSGVO Was Sie über die neue Datenschutzgrundverordnung wissen sollten Philip M. Weiss Carl H. iubenda DSGVO Was Sie über die neue Datenschutzgrundverordnung wissen sollten Philip M. Weiss Carl H. Lauer www.iubenda.com business@iubenda.com Mehr als 35.000 Kunden in über 100 Ländern nutzen unsere

Mehr

D_06a Auftragsverarbeitungsvertrag nach Art 28 DSGVO

D_06a Auftragsverarbeitungsvertrag nach Art 28 DSGVO D_06a Auftragsverarbeitungsvertrag abgeschlossen zwischen [Name, Firma] [Anschrift] (Verantwortlicher) nachstehend Verantwortlicher genannt einerseits und [Name, Firma] [Anschrift] (Auftragsverarbeiter)

Mehr

Die neue Datenschutzgrundverordnung Folgen für den Einkauf

Die neue Datenschutzgrundverordnung Folgen für den Einkauf Die neue Datenschutzgrverordnung Folgen für den Einkauf Dr. Matthias Lachenmann Rechtsanwalt / Datenschutzbeauftragter (UDISzert) 1. Vorgeschichte EU-DATENSCHUTZGRUNDVERORDNUNG: VORGESCHICHTE UND AUSWIRKUNGEN

Mehr

Die EU-Datenschutz-Grundverordnung (DS-GVO) Neue Regeln für den Datenschutz

Die EU-Datenschutz-Grundverordnung (DS-GVO) Neue Regeln für den Datenschutz Die EU-Datenschutz-Grundverordnung (DS-GVO) Neue Regeln für den Datenschutz Rechtsanwalt Nils Volmer Freitag, 20. April 2018 Agenda 1 Datenschutz & DS-GVO - Einführung und Überblick - Grundsätze der DS-GVO

Mehr

Unterschätzte Anforderungen der Datenschutz- Grundverordnung an den technischen Datenschutz

Unterschätzte Anforderungen der Datenschutz- Grundverordnung an den technischen Datenschutz Unterschätzte Anforderungen der Datenschutz- Grundverordnung an den technischen Datenschutz Merlin Backer LL.M. (Glasgow), davit AG IT-Recht im DAV HK2 Rechtsanwälte CeBIT, 20.03.2017 RA Karsten U. Bartels

Mehr

Die neue EU-Datenschutz- Grundverordnung Die wichtigsten Neuerungen im Überblick und wie diese in der Raiffeisen Informatik umgesetzt werden.

Die neue EU-Datenschutz- Grundverordnung Die wichtigsten Neuerungen im Überblick und wie diese in der Raiffeisen Informatik umgesetzt werden. Die neue EU-Datenschutz- Grundverordnung Die wichtigsten Neuerungen im Überblick und wie diese in der Raiffeisen Informatik umgesetzt werden. 18.10.2017 Übersicht Wesentliche Neuerungen Die Umsetzung in

Mehr

AUF EINEN BLICK. Die EU-Datenschutz- Grundverordnung (EU-DSGVO)

AUF EINEN BLICK. Die EU-Datenschutz- Grundverordnung (EU-DSGVO) Grundverordnung (EU-DSGVO) In diesem Factsheet erhalten Sie einen ersten Überblick über die neue EU-Datenschutz-Grundverordnung mit einer Übersicht der Grundprinzipien, wesentlichen Änderungen und der

Mehr

Rechte nach dem EKD-Datenschutzgesetz, EU-Datenschutz-Grundverordnung, Bundesdatenschutzgesetz (neu)

Rechte nach dem EKD-Datenschutzgesetz, EU-Datenschutz-Grundverordnung, Bundesdatenschutzgesetz (neu) Rechte nach dem EKD-Datenschutzgesetz, EU-Datenschutz-Grundverordnung, Bundesdatenschutzgesetz (neu) Ab dem 25. Mai 2018 gilt innerhalb der gesamten Europäischen Union ein neues, einheitliches Datenschutzrecht.

Mehr

Prüfungs- und Zertifizierungsordnung (PZO) Standard Fachkraft für Datenschutz Bereich Personenzertifizierung

Prüfungs- und Zertifizierungsordnung (PZO) Standard Fachkraft für Datenschutz Bereich Personenzertifizierung Inhaltsverzeichnis 1. Geltungsbereich... 1 2. Anmeldung und Zulassung zur Prüfung... 1 3. Durchführung der Prüfung... 1 4. Bewertung... 2 5. Wiederholung der Prüfung... 2 6. Zertifizierungsentscheidung...

Mehr

So machen Sie sich und Ihre Website fit für die neue DSGVO!

So machen Sie sich und Ihre Website fit für die neue DSGVO! DSGVO Checkliste So machen Sie sich und Ihre Website fit für die neue DSGVO! Mit dieser Checkliste können Sie sich auf die neuen Regelungen der Datenschutz-Grundverordnung vorbereiten, die ab 25. Mai 2018

Mehr

Mustervertrag zur Auftragsdatenverarbeitung

Mustervertrag zur Auftragsdatenverarbeitung Mustervertrag zur Auftragsdatenverarbeitung Dies ist ausschließlich eine Informationsvorlage eines Auftragsdatenverarbeitungsvertrages gemäß nach 11 Bundesdatenschutzgesetz (BDSG). Vertrag zur Auftragsdatenverarbeitung

Mehr

Aktiv voran: Neue Möglichkeiten der Zertifizierung für Unternehmen und Verwaltung durch die DSGVO Teil 1

Aktiv voran: Neue Möglichkeiten der Zertifizierung für Unternehmen und Verwaltung durch die DSGVO Teil 1 Aktiv voran: Neue Möglichkeiten der Zertifizierung für Unternehmen und Verwaltung durch die DSGVO Teil 1 Henry Krasemann Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Sommerakademie am

Mehr

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Keine Angst vor der DSGVO!

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Keine Angst vor der DSGVO! Kurzinformation DIE DATENSCHUTZ- GRUNDVERORDNUNG Keine Angst vor der! Prof. KommR Hans-Jürgen Pollirer Oberwart, 20. November 2017 Eisenstadt, 2 November 2017 Datenschutzgrundverordnung () Ziel Einheitliches

Mehr

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung IT-Sicherheit im Lichte der Datenschutz-Grundverordnung Pragmatischer Umgang mit den neuen Anforderungen an die IT-Sicherheit Tim Hoffmann IT-Trends Sicherheit 29.03.2017 Bochum Tim Hoffmann Wirtschaftswissenschaften

Mehr

Kriterienkatalog und Vorgehensweise zur Prüfung und Zertifizierung von Datenschutzbeauftragten. datenschutz cert GmbH Version 1.0

Kriterienkatalog und Vorgehensweise zur Prüfung und Zertifizierung von Datenschutzbeauftragten. datenschutz cert GmbH Version 1.0 Kriterienkatalog und Vorgehensweise zur Prüfung und Zertifizierung von Datenschutzbeauftragten datenschutz cert GmbH Version 1.0 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise zur Prüfung und Zertifizierung

Mehr

gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage Stand

gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage Stand Technische und organisatorische zur Datensicherheit gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage Stand 06.10.2015 1 Bei Fragen zur rapidmail Informationssicherheit wenden Sie sich bitte

Mehr

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN Annika Selzer Vortrag an der Fachhochschule Frankfurt am 10. Oktober 2013 AGENDA Begriffsbestimmungen Definition Datenschutz Definition

Mehr

Datenschutzvereinbarung nach 11 BDSG Wartung und Pflege von IT-Systemen

Datenschutzvereinbarung nach 11 BDSG Wartung und Pflege von IT-Systemen Datenschutzvereinbarung nach 11 BDSG Wartung und Pflege von IT-Systemen zwischen und dem Kunden - Auftraggeber - Präambel Boppel MedicalEngineering Stuttgarter Str. 4 71263 Weil der Stadt - Auftragnehmer

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

EBA Leitlinien. zu Zahlungsrückständen und Zwangsvollstreckung EBA/GL/2015/

EBA Leitlinien. zu Zahlungsrückständen und Zwangsvollstreckung EBA/GL/2015/ EBA/GL/2015/12 19.08.2015 EBA Leitlinien zu Zahlungsrückständen und Zwangsvollstreckung 1 Inhaltsverzeichnis Abschnitt 1 Verpflichtung zur Einhaltung der Leitlinien und Meldepflichten 3 Abschnitt 2 Gegenstand,

Mehr

Allgemeine Beschreibung zu den Maßnahmen nach 9 BDSG

Allgemeine Beschreibung zu den Maßnahmen nach 9 BDSG Allgemeine Beschreibung zu den Maßnahmen nach 9 BDSG Das Unternehmen Hartl-EDV GmbH & Co. KG in Hofkirchen ist seit dem Jahr 2009 nach der ISO IEC 27001 zertifiziert. Dabei handelt es sich um eine international

Mehr

Aufstellung der Maßnahmen zum Datenschutz ( Datenschutzplan für die Arztpraxis )

Aufstellung der Maßnahmen zum Datenschutz ( Datenschutzplan für die Arztpraxis ) DeltaMed Süd Muster Aufstellung der Maßnahmen zum Datenschutz ( Datenschutzplan für die Arztpraxis ) Dieses Muster soll als Orientierungshilfe dienen. Es ist je nach den Umständen des konkreten Einzelfalls

Mehr

Datenschutzgrundverordnung

Datenschutzgrundverordnung Datenschutzgrundverordnung Industrie- und Handelskammer zu Leipzig Leipzig, den 03.05.2018 Referent, LL.M. Fachanwalt für IT-Recht Seit 2010 Rechtsanwalt in Leipzig Seit 2013 Fachanwalt für IT-Recht Zertifizierter

Mehr

Vertragsanlage zur Auftragsdatenverarbeitung

Vertragsanlage zur Auftragsdatenverarbeitung Vertragsanlage zur Auftragsdatenverarbeitung zwischen der dna Gesellschaft für IT Services, Hamburg - nachstehend Auftraggeber genannt - und dem / der... - nachstehend Auftragnehmer genannt - 1. Gegenstand

Mehr

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG)

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG) Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG) Landesamt für Bürger- und Ordnungsangelegenheiten Referat III C Puttkamerstraße 16-18 10958 Berlin Sehr geehrte(r) Frau/Herr, aufgrund

Mehr

Die wichtigsten Neuerungen durch die DS-GVO für die Online-Werbung

Die wichtigsten Neuerungen durch die DS-GVO für die Online-Werbung Die wichtigsten Neuerungen durch die DS-GVO für die Online-Werbung 20. April 2017 Univ.-Prof. Dr. Dietmar Jahnel Dietmar.Jahnel@sbg.ac.at Datenschutz-Grundverordnung In Kraft seit 24. Mai 2016 Geltung

Mehr

Business Breakfast Graz Auswirkungen der Datenschutz-Grundverordnung auf das HR-Management

Business Breakfast Graz Auswirkungen der Datenschutz-Grundverordnung auf das HR-Management Northcote.Recht Landstraßer Hauptstraße 1/10 1030 Wien Business Breakfast Graz Auswirkungen der Datenschutz-Grundverordnung auf das HR-Management Mag. Erwin Fuchs, Selbstständiger Rechtsanwalt, Northcote.Recht

Mehr

Grundlagen des Datenschutzes. Musterlösung zur 2. Übung im SoSe 2008: BDSG (2) & Kundendatenschutz (1)

Grundlagen des Datenschutzes. Musterlösung zur 2. Übung im SoSe 2008: BDSG (2) & Kundendatenschutz (1) und der IT-Sicherheit Musterlösung zur 2. Übung im SoSe 2008: BDSG (2) & Kundendatenschutz (1) 2.1 Prüfkriterien zum Datenschutzniveau: Unternehmen Unternehmen = nicht-öffentliche Stelle Zulässigkeitsüberprüfung

Mehr

IT-SICHERHEITSEXPERTE/IN Audits/Zertifizierungen JOBPERSPEKTIVE

IT-SICHERHEITSEXPERTE/IN Audits/Zertifizierungen JOBPERSPEKTIVE IT-SICHERHEITSEXPERTE/IN Audits/Zertifizierungen JOBPERSPEKTIVE Als IT-Sicherheitsexperte/in können Sie sich bei uns in der datenschutz cert auf den Tätigkeitsschwerpunkt AUDITS und ZERTIFIZIERUNGEN spezialisieren

Mehr

Datenschutzhinweise. Die nachfolgenden Datenschutzhinweise geben einen Überblick über die Erhebung und Verarbeitung Ihrer Daten.

Datenschutzhinweise. Die nachfolgenden Datenschutzhinweise geben einen Überblick über die Erhebung und Verarbeitung Ihrer Daten. Datenschutzhinweise Sofern Sie als Anwalt Empfänger dieses Schreibens sind und Ihr Mandant eine natürliche Person ist, leiten Sie dieses Schreiben bitte an Ihren Mandanten weiter. Die nachfolgenden Datenschutzhinweise

Mehr

Datenschutz NEU Die DSGVO und das österr. Datenschutzgesetz ab Mai Ursula Illibauer Bundessparte Information & Consulting

Datenschutz NEU Die DSGVO und das österr. Datenschutzgesetz ab Mai Ursula Illibauer Bundessparte Information & Consulting Datenschutz NEU Die DSGVO und das österr. Datenschutzgesetz ab Mai 2018 Ursula Illibauer Bundessparte Information & Consulting Inhalt 1. Was ist neu? 2. Betroffenheit 3. Einheitliche Grundsätze 4. Auftragsverarbeiter

Mehr

Das Pilotprojekt Datenschutz-Zertifizierung für Cloud-Dienste. Stephan Di Nunzio

Das Pilotprojekt Datenschutz-Zertifizierung für Cloud-Dienste. Stephan Di Nunzio Das Pilotprojekt Datenschutz-Zertifizierung für Cloud-Dienste Stephan Di Nunzio MOTIVATION Vorteile der Datenschutz-Zertifizierung für Cloud-Dienste für Anbieter und für Nutzer: Nachweis der Erfüllung

Mehr

Datenschutzgrundverordnung und Privacy Shield Auswirkungen auf Cloud- Anwendungen

Datenschutzgrundverordnung und Privacy Shield Auswirkungen auf Cloud- Anwendungen Datenschutzgrundverordnung und Privacy Shield Auswirkungen auf Cloud- Anwendungen RA Dr. Jan K. Köcher Datenschutzauditor, DFN-CERT koecher@dfn-cert.de Cloud-Dienste Auftragsverarbeitung für den Verantwortlichen?

Mehr

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Plan zur Umsetzung

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Plan zur Umsetzung DIE DATENSCHUTZ- GRUNDVERORDNUNG Plan zur Umsetzung Herausforderungen und Auswirkungen Verpflichtung Datenschutz-Governance-Struktur Rechtsgrundlagen Rollenverteilung Transparenz Maßnahmen Literaturempfehlung

Mehr

Datenschutz von A-Z. Ausgabe Taschenbuch. 272 S. Paperback ISBN

Datenschutz von A-Z. Ausgabe Taschenbuch. 272 S. Paperback ISBN Datenschutz von A-Z 2011 Ausgabe 2011 2011. Taschenbuch. 272 S. Paperback ISBN 978 3 648 01726 5 Wirtschaft > Spezielle Betriebswirtschaft > Personalwirtschaft, Lohnwesen, Mitbestimmung Zu Inhaltsverzeichnis

Mehr

Datenschutz- Grundverordnung (DSGVO / GDPR) 24 welche Datenschutzmanagement -systemansätze können hier unterstützen?

Datenschutz- Grundverordnung (DSGVO / GDPR) 24 welche Datenschutzmanagement -systemansätze können hier unterstützen? Datenschutz- Grundverordnung (DSGVO / GDPR) 24 welche Datenschutzmanagement -systemansätze können hier unterstützen? Copyright 2017 BSI. All rights reserved 1 Herzlich Willkommen. Josef Güntner Client

Mehr

SerNet. Das Datenschutzmodul - Verzeichnis der Verarbeitungstätigkeiten mit verinice nach DS-GVO

SerNet. Das Datenschutzmodul - Verzeichnis der Verarbeitungstätigkeiten mit verinice nach DS-GVO Das Datenschutzmodul - Verzeichnis der Verarbeitungstätigkeiten mit verinice nach DS-GVO Sirin Torun Datenschutzbeauftragte Zertifizierte Datenschutzauditorin Zertifizierte IT-Compliance Managerin GmbH,

Mehr

Die neue EU-Datenschutz-Grundverordnung - was gilt es jetzt als Verwalter zu beachten? Sebastian Harrand, Vorstand Tercenum AG, Berlin

Die neue EU-Datenschutz-Grundverordnung - was gilt es jetzt als Verwalter zu beachten? Sebastian Harrand, Vorstand Tercenum AG, Berlin Die neue EU-Datenschutz-Grundverordnung - was gilt es jetzt als Verwalter zu beachten? Sebastian Harrand, Vorstand Tercenum AG, Berlin Agenda 1. Referent / Vorstellung 2. Ziel der Präsentation und Zielgruppe

Mehr

Kurzpapier Nr. 5 Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO

Kurzpapier Nr. 5 Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO Kurzpapier Nr. 5 Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO Dieses Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz DSK) dient als erste Orientierung

Mehr

DATENSCHUTZ Der betriebliche und externe Datenschutzbeauftragte (EU-DSGVO)

DATENSCHUTZ Der betriebliche und externe Datenschutzbeauftragte (EU-DSGVO) DATENSCHUTZ Der betriebliche und externe Datenschutzbeauftragte (EU-DSGVO) Online-Training Ausbildungsinhalte ITKservice Online-Trainings Datenschutz Der betriebliche und externe Datenschutzbeauftragte

Mehr

EU DSGVO & ISO Integriertes Dokumentations-Toolkit https://advisera.com/eugdpracademy/de/eu-dsgvo-iso integriertes-dokumentations-toolkit/

EU DSGVO & ISO Integriertes Dokumentations-Toolkit https://advisera.com/eugdpracademy/de/eu-dsgvo-iso integriertes-dokumentations-toolkit/ EU DSGVO & ISO Integriertes Dokumentations- https://advisera.com/eugdpracademy/de/eu-dsgvo-iso--integriertes-dokumentations-toolkit/ Bemerkung: Die Dokumentation sollte vorzugsweise in der Reihenfolge

Mehr

Leitfaden. Der Bayerische Landesbeauftragte für den Datenschutz. Bayerisches Landesamt für Datenschutzaufsicht. und

Leitfaden. Der Bayerische Landesbeauftragte für den Datenschutz. Bayerisches Landesamt für Datenschutzaufsicht. und Der Bayerische Landesbeauftragte für den Datenschutz und Bayerisches Landesamt für Datenschutzaufsicht Leitfaden Anforderungen an das Datenschutzmanagement in bayerischen öffentlichen und privaten Krankenhäusern

Mehr

Freigabeantrag / Verfahrensbeschreibung nach Art. 26 Abs. 3 S.1 BayDSG

Freigabeantrag / Verfahrensbeschreibung nach Art. 26 Abs. 3 S.1 BayDSG Der Kanzler Freigabeantrag / Verfahrensbeschreibung nach Art. 26 Abs. 3 S.1 BayDSG Seite 1 von 9 Freigabeantrag / Verfahrensbeschreibung nach Art. 26 Abs. 3 S.1 BayDSG Erstmalige Beschreibung eines automatisierten

Mehr

Die EU-Datenschutz-Grundverordnung (EU- DSGVO) und ihre Auswirkungen auf Unternehmen

Die EU-Datenschutz-Grundverordnung (EU- DSGVO) und ihre Auswirkungen auf Unternehmen avedos GRC GmbH Die EU-Datenschutz-Grundverordnung (EU- DSGVO) und ihre Auswirkungen auf Unternehmen Oktober 2017 Inhalt 1. Der Datenschutzbeauftragte... 3 2. Die Datenschutzfolgenabschätzung... 3 3. Das

Mehr

Die DSGVO Was kommt auf uns zu? Notwendige Maßnahmen als Erfolgsfaktor! Jörg Schlißke, LL.B.

Die DSGVO Was kommt auf uns zu? Notwendige Maßnahmen als Erfolgsfaktor! Jörg Schlißke, LL.B. Die DSGVO Was kommt auf uns zu? Notwendige Maßnahmen als Erfolgsfaktor! Jörg Schlißke, LL.B. Die Datenschutzgrundverordnung Was kommt auf uns zu? 1 21.03.2017 Erfolgsfaktor DSGVO TÜV Informationstechnik

Mehr

Vorschlag für eine RICHTLINIE DES RATES

Vorschlag für eine RICHTLINIE DES RATES EUROPÄISCHE KOMMISSION Brüssel, den 5.2.2013 COM(2013) 46 final 2013/0026 (NLE) Vorschlag für eine RICHTLINIE DES RATES zur Änderung der Richtlinie 98/8/EG des Europäischen Parlaments und des Rates zwecks

Mehr

Rat der Europäischen Union Brüssel, den 13. Oktober 2016 (OR. en)

Rat der Europäischen Union Brüssel, den 13. Oktober 2016 (OR. en) Rat der Europäischen Union Brüssel, den 13. Oktober 2016 (OR. en) Interinstitutionelles Dossier: 2016/0199 (NLE) 13128/16 SCH-EVAL 169 COMIX 656 BERATUNGSERGEBNISSE Absender: Generalsekretariat des Rates

Mehr

Informationsblatt Datenschutz im Verein

Informationsblatt Datenschutz im Verein Informationsblatt Datenschutz im Verein Worum geht s bei der Datenschutzgrundverordnung? Die Datenschutzgrundverordnung (DS-GVO) ist das ab dem 25. Mai 2018 in der gesamten Europäischen Union unmittelbar

Mehr