Web-Security als Cloud-Service

Größe: px
Ab Seite anzeigen:

Download "Web-Security als Cloud-Service"

Transkript

1 Web-Security als Cloud-Service Die datenschutzrechtlichen Rahmenbedingungen Version 2.0 Inhaltsverzeichnis Autor... 1 Hinweis - Disclaimer... 2 I. Management Summary... 3 II. Ausgangssituation... 3 III. Grundlagen der Datenverarbeitung Präventives Verbot mit Erlaubnisvorbehalt Auftragsdatenverarbeitung Personenbezogene Daten Einwilligung Betriebsvereinbarung... 5 IV. Abgrenzung: Auftragsdatenverarbeitung und Funktionsübertragung... 6 V. Vorgaben für die Auftragsdatenverarbeitung Neuregelung des 11 BDSG Technisch-organisatorische Sicherheit nach 9 BDSG... 9 a.) Kontrollbereiche nach Anlage zu 9 BDSG... 9 b.) Konkrete Sicherheitsmaßnahmen Subunternehmer VI. Datentransfer ins Ausland Erlaubnistatbestand Angemessenes Datenschutzniveau Autor RA Horst Speichert Rechtsanwalt, Kanzlei esb Rechtsanwälte in Stuttgart, spezialisiert auf IT-Recht Seminarleiter Internetrecht, IT-Sicherheit, Datenschutz Ausbilder für Datenschutzbeauftragte Fachbuchautor IT-Recht in der Praxis, Vieweg, 2. Auflage Lehrbeauftragter der Universität Stuttgart für Informationsrecht Internet: RA Speichert

2 Seite 2 Hinweis - Disclaimer Dieses Dokument ist keine Rechtsberatung, sondern ein allgemeiner Leitfaden ohne Bezug zum konkreten Einzelfall. Es ersetzt nicht die verbindliche Rechtsauskunft durch einen spezialisierten Anwalt. Bitte haben Sie Verständnis, dass trotz Sorgfalt bei der Erstellung eine Garantie oder Haftung für die inhaltliche Richtigkeit nicht übernommen wird. Grundsätzlich ist jedem Unternehmen anzuraten, sich bei informations- oder datenschutzrechtlichen Fragen vor jeglicher Implementierung individuell rechtlich beraten zu lassen.

3 Seite 3 Aufgabe des vorliegenden Rechtsleitfadens ist die kompakte Beantwortung der datenschutzrechtlichen Fragen im Themenfeld der Cloud-Services. I. Management Summary Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, soweit eine Erlaubnisnorm dazu ermächtigt oder eine Einwilligung des Betroffenen vorliegt. Nach 3 Abs. 8 S. 3 BDSG sind Personen und Stellen, die innerhalb der EU oder des EWR personenbezogene Daten im Auftrag verarbeiten, keine Dritten. Web-Security als Cloud-Service wird überwiegend auf Basis einer Auftragsdatenverarbeitung realisiert. Voraussetzung für die Einhaltung der Grenzen der Auftragsdatenverarbeitung ist die Beachtung von 11 BDSG, dessen Voraussetzungen durch die Novellierung des BDSG verschärft und konkretisiert wurden. Im Rahmen der Vorgaben des BDSG wird unter anderem ein technisch-organisatorisches Sicherheitskonzept nach 9 BDSG nebst Anlage gefordert. Der Auftraggeber hat sich gemäß 11 Abs. 2 Satz 4 BDSG vor Beginn der Datenverarbeitung (bereits vor Vertragsschluss) und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Sicherungsmaß- nahmen zu überzeugen. Empfohlen werden zertifizierte Rechenzentren (z.b. ISO oder SAS 70 Type II-Zertifizierung), welche dem Auftraggeber die Prüfung der technisch- organisatorischen Vorgaben erleichtern. Im Rahmen eines Cloud-Services mit Auslandsdienstleister sind zwei Zulässigkeitsvoraussetzungen zu unterscheiden: Erlaubnistatbestand und angemessenes Datenschutzniveau Bei überwiegenden betrieblichen Interessen kann ein Cloud-Service auch nach 28 Abs. 1 Nr. 2 BDSG (Wahrnehmung berechtigter Interessen) zulässig sein. Für Dienstleister mit Sitz in einem sicheren Drittstaat wie der Schweiz kann ein an- gemessenes Datenschutzniveau angenommen werden. US-Dienstleister können beauftragt werden, weil sie sich im Wege der Selbstverpflichtung den Maßgaben von Safe Harbor unterwerfen und auf der dafür vorgesehen Liste des US- Handelsministeriums aktuell ( current ) registriert sind. II. Ausgangssituation Web-Security als Cloud-Service wird im Rahmen vertraglicher Dienstleistungsbeziehungen zu den Auftraggebern (Kunden) von dem Cloud-Service-Anbieter unter Einbeziehung von Rechenzentren erbracht.

4 Seite 4 III. Grundlagen der Datenverarbeitung 1. Präventives Verbot mit Erlaubnisvorbehalt Gemäß 4 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dazu ermächtigt oder eine Einwilligung der Betroffenen vorliegt. Nach diesem präventiven Verbot mit Erlaubnisvorbehalt ist auch für die Verarbeitung von personenbezogenen Daten im Zuge von Cloud-Services stets ein Erlaubnistatbestand erforderlich, also entweder eine gesetzliche Ermächtigungsgrundlage oder eine Einwilligung der betroffenen Mitarbeiter bzw. Kunden. 2. Auftragsdatenverarbeitung Nach 3 Abs. 8 S. 3 BDSG sind Personen und Stellen, die innerhalb der EU oder des EWR personenbezogene Daten im Auftrag verarbeiten, keine Dritten. Das BDSG betrachtet den Auftragnehmer (Dienstleister) rechtlich als Einheit mit der verantwortlichen Stelle. Dies hat zur Folge, dass der Datentransfer zu und von dem Auftragsdatenverarbeiter nicht als Übermittlung im Sinne von 3 Abs. 4 S. 2 Nr. 3 BDSG einzustufen ist. Somit greift das präventive Verbot mit Erlaubnisvorbehalt nicht, weshalb der Datentransfer ohne gesetzliche Ermächtigungsgrundlage oder Einwilligung des Betroffenen zulässig ist. Dies ist allerdings nur der Fall, sofern die Konstellation der Auftragsdatenverarbeitung nach 11 BDSG innerhalb der EU oder des EWR vorliegt. 3. Personenbezogene Daten Der Anwendungsbereich der Datenschutzbestimmungen ist auf die Verwendung personenbezogener Daten beschränkt. Personenbezogene Daten sind gemäß 3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Somit ist der Personenbezug der Daten nicht nur bei tatsächlich bereits bekannten Personen, sondern auch bei bloßer Bestimmbarkeit der Identität (=Personenbeziehbarkeit) gegeben, was Anlass für zahlreiche Diskussionen gibt. So ist beispielsweise strittig, ob IP-Adressen personenbezogene Daten darstellen oder nicht. Nach der sehr weitgreifenden Auslegung der Datenschutz-Aufsichtsbehörden ist der Personenbezug von IP-Adressen auch dann gegeben, wenn lediglich eine theoretische Möglichkeit der Identifikation gegeben ist, ohne dass die verarbeitende Stelle die Daten tatsächlich personifizieren kann (Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, sog. Düsseldorfer Kreis vom 26./27. November 2009).

5 Seite 5 4. Einwilligung Die Einwilligung ist zwar formalrechtlich als Erlaubnistatbestand gemäß 4 Abs. 1 BDSG denkbar, im Rahmen von Arbeits- und Kundenverhältnissen aber aus zweierlei Gründen die Ausnahme. Zum einen scheitern die Voraussetzungen einer zulässigen Einwilligung der betroffenen Mitarbeiter an der notwendigen Freiwilligkeit, die im Rahmen von abhängig Beschäftigten starken Zweifeln ausgesetzt und nur im Ausnahmefall gegeben ist; zum anderen sind Einwilligungen nicht praktikabel, da bei Verweigerung einzelner Mitarbeiter oder Kunden, mit der immer zu rechnen ist, das Gesamtkonzept scheitern würde. Es verbleibt deshalb vorliegend bei den Möglichkeiten der gesetzlichen Ermächtigungsgrundlagen. Lediglich im Rahmen der erlaubten Privatnutzung sind legitimierende Einwilligungen der Mitarbeiter bzw. Nutzer erforderlich und hilfreich, da hier im Gegensatz zur rein dienstlichen Nutzung von der Freiwilligkeit der Einwilligung ausgegangen werden kann. 5. Betriebsvereinbarung Da die Datenschutzfragen dem Mitbestimmungsrecht unterliegen, können Betriebs- und Personalräte am Entscheidungsprozess in Form von Vereinbarungen beteiligt werden. Das Mitbestimmungsrecht des Betriebsrates besteht gemäß 87 Abs. 1 Nr. 1 und 6 BetrVG für die Bereiche: Ordnung des Betriebes, Arbeitnehmer-Verhalten technische Kontrolleinrichtungen Die arbeitsgerichtliche Rechtsprechung legt den Begriff der technischen Kontrolleinrichtungen weit aus. Ein Mitbestimmungsrecht besteht nicht erst für tatsächlich ausgeübte Verhaltenskontrollen, sondern bereits bei Funktionalitäten, die optional eine Kontrolle ermöglichen. Damit erstreckt sich faktisch das Mitbestimmungsrecht auf nahezu sämtliche IT- Sicherheitssysteme. Für die Ausübung der Mitbestimmung kommen insbesondere der Abschluss von Betriebs- und Dienstvereinbarungen mit entsprechenden Nutzungs- und Kontrollregelungen für die Internet- Nutzung in Betracht. Bei der Betriebs-/Dienstvereinbarung handelt es sich um einen schriftlichen Vertrag zwischen Arbeitgeber und Mitarbeitervertretung, der zur Lösung der Datenschutzprobleme geschlossen wird. Die Betriebs-/Dienstvereinbarung hat rechtssetzen- den Charakter und ist als gesetzliche Ermächtigungsgrundlage im Sinne des Datenschutzes einzustufen. Im Rahmen ihres zulässigen Regelungskreises können Betriebs-/Dienstvereinbarungen zur Legitimation auch für die vorliegende Datenverarbeitung verwendet werden.

6 Seite 6 IV. Abgrenzung: Auftragsdatenverarbeitung und Funktionsübertragung Übernimmt eine aus Sicht des Auftraggebers externe Stelle (nachfolgend auch Dienstleister oder Auftragnehmer) IT-Sicherheitsdienstleistungen, welche auch die Verarbeitung von personenbezogenen Daten einschließt, so kann dies je nach Art der Zusammenarbeit und gewählten Vertragsgestaltung im Wege der unselbständigen Auftragsdatenverarbeitung oder der selbständigen Funktionsübertragung geschehen. Zu klären ist somit zunächst die Frage, welche der beiden Varianten gegeben ist. Auftragsdatenverarbeitung i.s. des BDSG ist dadurch charakterisiert, dass sich ein Auftraggeber eines Dienstleistungsunternehmens bedient, das nach detaillierten Vorgaben betreffend Art und Umfang die Verarbeitung personenbezogener Daten ausführt. Der Dienstleister fungiert als verlängerter Arm oder als ausgelagerte Abteilung der verantwortlichen Stelle, die als Herrin der Daten die volle Verfügbarkeit behält und damit auch allein über ihre Verarbeitungen und Nutzungen bestimmt (Simitis, BDSG, 6. Auflage, 11 RN 17 ff.; Wächter, CR 1991, 333). Der Bereich der Auftragsdatenverarbeitung wird verlassen, sobald dem Dienstleister eine rechtliche Zuständigkeit oder eine tatsächliche Entscheidungskompetenz für die ausgelagerte Aufgabe zugewiesen wird. Wird nicht nur die Verarbeitung von Daten, sondern die Aufgabe selbst übertragen, so liegt ein Fall einer Funktionsübertragung vor. Im Gegensatz zur Auftragsdatenverarbeitung ist mit der Funktionsübertragung zwingend eine Datenübermittlung verbunden, die gemäß dem präventiven Verbot mit Erlaubnisvorbehalt nur aufgrund gesetzlicher Ermächtigungsgrundlage oder Einwilligung des Betroffenen zulässig ist (siehe z.b. Aufsichtsbehörde Baden-Württemberg, Hinweis zum BDSG Nr. 26, Staatsanzeiger 1987, Nr. 1/2, S.7). Zur Unterscheidung zwischen Auftragsdatenverarbeitung und Funktionsübertragung kann auf nachfolgende Kriterien abgestellt werden (vgl. LDSB Niedersachsen, Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Vom Bürgerbüro zum Internet Empfehlungen zum Datenschutz für eine serviceorientierte Verwaltung, S. 39): Für eine Auftragsdatenverarbeitung spricht: Das Fehlen einer Entscheidungsbefugnis des Auftragnehmers über die Daten Ein Auftragsschwerpunkt, der auf die praktische technische Durchführung einer Datenverarbeitung gerichtet ist. Das Fehlen einer eigenständigen rechtlichen Beziehung des Auftragnehmers zu den Betroffenen. Für eine Funktionsübertragung spricht: Die Nutzung der herausgegebenen Daten für eigene Zwecke des Auftragnehmers.

7 Seite 7 Eine Dienstleistung, die über die praktische technische Datenverarbeitung hinausgeht. Das Fehlen der Möglichkeit des Auftraggebers, auf einzelne Phasen der Verarbeitung oder Nutzung Einfluss zu nehmen. Die auf den Auftragnehmer abgewälzte Verantwortlichkeit für die Zulässigkeit und Richtigkeit der Datenverarbeitung. Ein Fall der selbständigen Erledigung der Aufgabe liegt z.b. vor, wenn der Dienstleister die Datenverarbeitung nicht nur tatsächlich betreibt, sondern gleichzeitig zumindest teilweise auch die damit verbundenen Aufgaben übernimmt (Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, 3. Auflage, RN 504), also selbständig entscheidet, wie die IT-Sicherheit beim Auftraggeber ausgestaltet wird. Man spricht dann auch von Outsourcing mit Funktionsübertragung (Breinlinger, RDV 1995, 211, 213). Verkürzt ausgedrückt ist entscheidend, ob nur die technische Realisierung oder die materielle Aufgabe samt Entscheidungsbefugnissen ausgelagert wird. Hilfreiche Kontrollfragen: wer trifft die Entscheidungen hinsichtlich der IT-Sicherheits-Maßnahmen wer gestaltet und entscheidet die ablaufenden datenschutzrechtlichen oder technischen Prozesse und Verfahren, Organigramme und Organisationsvorgaben liegt der Auftragsschwerpunkt allein auf der praktisch-technischen Durchführung oder umfasst er auch die Entscheidungsbefugnisse V. Vorgaben für die Auftragsdatenverarbeitung Für eine Ausgestaltung der Dienstleistung als rein formal-technische Realisierung sind nach- folgende Anforderungen der Auftragsdatenverarbeitung umzusetzen. 1. Neuregelung des 11 BDSG Voraussetzung für die Einhaltung der Grenzen der Auftragsdatenverarbeitung ist die Beachtung von 11 BDSG, dessen Voraussetzungen durch die Novellierung des BDSG erheblich verschärft und konkretisiert wurden. Die 11 Abs. 2 und 3 BDSG bestimmen, dass der Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen ist. Der Vertrag mit dem Dienstleister ist zwingend in Schriftform abzuschließen und muss nach dem Zehn- Punktekatalog des 11 Abs. 2 BDSG insbesondere im Detail regeln: 1. der Gegenstand und die Dauer des Auftrags,

8 Seite 8 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Der Auftraggeber hat sich gemäß 11 Abs. 2 Satz 4 BDSG vor Beginn der Datenverarbeitung (bereits vor Vertragsschluss) und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Sicherheitsmaßnahmen zu über- zeugen. Der Gesetzgeber stellt sich hierbei in erster Linie Vor-Ort-Kontrollen vor, die allerdings nicht zwingend sind, so dass auch eine Überprüfung anhand von aussagekräftigen Unterlagen des Dienstleisters möglich ist. Das Ergebnis der Überprüfung ist zu dokumentieren. Stark erleichtert wird die Überprüfung der technisch-organisatorischen Maßnahmen durch Zertifizierungen (insbesondere nach ISO oder SAS 70) und ausreichend detaillierte IT-Sicherheitsrichtlinien, welche das Sicherheitskonzept des Dienstleisters abbilden. Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen das BDSG oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber darauf hinzuweisen. Die vorgenannten Voraussetzungen können durch eine detaillierte Vertragsgestaltung erfüllt werden, welche insbesondere Regelungen zu Kontrollbefugnissen, zu notwendigen Subunternehmern, zum Zugriffsrechtekonzept und zum technisch-organisatorischen Sicherheitskonzept enthält. Die Auftraggeber müssen dafür sorgen, dass ihre personenbezogenen Mitarbeiter- und Kundendaten geregelt auf den Systemen der externen Dienstleister vorgehalten werden, um die Grenzen der Auftragsdatenverarbeitung einzuhalten.

9 Seite 9 2. Technisch-organisatorische Sicherheit nach 9 BDSG Im Rahmen der Vorgaben des 11 BDSG wird unter anderem als Kernelement ein technischorganisatorisches Sicherheitskonzept nach 9 BDSG nebst Anlage gefordert, dessen Voraussetzungen nachfolgend dargestellt werden. a.) Kontrollbereiche nach Anlage zu 9 BDSG Es sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungskontrolle).

10 Seite 10 b.) Konkrete Sicherheitsmaßnahmen In IT-technischen Begrifflichkeiten ausgedrückt, bedeuten die technisch-organisatorischen Maßnahmen nach 9 BDSG nebst Anlage insbesondere (nachfolgende technische Vorgaben sind ratsam, aber nicht abschließend, sondern beispielhaft): Zutrittskontrolle verlangt räumlich-physische Sicherungsmaßnahmen, wie z.b. einbruchsicheres Glas, Personenkontrollen, Authentifizierung etc. Empfohlen werden zertifizierte Rechenzentren (z.b. ISO oder SAS 70 Type II-Zertifizierung). Die Nutzung eines zertifizierten Rechenzentrums erleichtert dem Auftraggeber die Prüfung der technisch-organisatorischen Vorgaben, ist daher ratsam, aber nicht zwingend. Eine Prüfung der technisch-organisatorischen Vorgaben kann auch durch externe Auditoren, Konzernrevision, Wirtschaftsprüfer etc. erfolgen. Zugangskontrolle/Weitergabekontrolle verlangt z.b. Passwortverwaltung, Firewall, Verschlüsselung, Protokollierung und regelmäßige Auswertung von Missbrauchsversuchen Zugriffskontrolle, Trennungskontrolle verlangt z.b. effektive, rollenbasierte Rechteverwaltung; Berechtigungskonzept; Trennbarkeit der Datenbestände, Mandantenfähigkeit der Systeme Eingabekontrolle verlangt z.b. Protokollierung der Zugriffe und Veränderungen, regelmäßige Auswertung der Protokollierungen, Aktivitätsprotokolle sind empfehlenswert Verfügbarkeitskontrolle verlangt z.b. vorbeugende, erkennende und behebende Maßnahmen gegen Computerviren, Datensicherung (Backup), Monitoring von Sicherheitsapplikationen, Aktualisierung der Virensignaturen etc. 3. Subunternehmer Die eingeschalteten Subunternehmer sollen im Zusatzvertrag für die Auftragsdatenverarbei- tung konkret benannt werden, soweit sie bereits bekannt sind, oder ihre Einschaltung muss unter dem Zustimmungsvorbehalt des Auftraggebers stehen, soweit sie erst künftig bekannt werden. VI. Datentransfer ins Ausland Nach der Europäischen Datenschutzrichtlinie 95/46/EG und der entsprechenden Umsetzung im BDSG können im Rahmen eines Cloud-Services zwei Voraussetzungen für eine rechtmä-

11 Seite 11 ßige Datenübermittlung ins Ausland unterschieden werden. Notwendig ist demnach stets eine zweistufige Prüfung: 1. Stufe: Erlaubnistatbestand 2. Stufe: angemessenes Datenschutzniveau 1. Erlaubnistatbestand Für die Übermittlung der Daten muss zunächst ein Erlaubnistatbestand bestehen. Dieser ergibt sich aus einer gesetzlichen Ermächtigungsgrundlage (Erlaubnisnorm) oder einer Einwilligung der Betroffenen. In Frage kommen vorliegend als Erlaubnisnorm für den Transfer von Beschäftigtendaten insbesondere 32 BDSG sowie einschlägige Betriebs- oder Dienstvereinbarungen; für den Transfer von Beschäftigten- und Kundendaten kommen insbesondere 28 Abs. 1 Nr. 2 BDSG (Wahrnehmung berechtigter Interessen) oder im Falle der Auftragsdatenverarbeitung innerhalb der EU und des EWR auch 11 BDSG in Betracht. Die Wahrnehmung berechtigter Interessen gemäß 28 Abs. 1 Nr. 2 BDSG erfordert ein überwiegendes betriebliches Interesse des Auftraggebers für den Einsatz der Web-Security als Cloud-Service. Aufgrund einer Güterabwägung nach dem Verhältnismäßigkeitsprinzip ist zu beurteilen, ob die Web-Security als Cloud-Service für den Auftraggeber erforderlich und angemessen ist. In die einzelfallbezogene Gesamtabwägung der relevanten Belange sind alle beteiligten Interessen mit einzubeziehen, insbesondere Aspekte wie die höhere Effizienz-, Sicherheit und Professionalität der cloudbasierten Lösung, Kosteneinsparung, geringerer Administrationsaufwand, Serverstandort in Deutschland, Zertifizierung der Dienstleister etc. Kommt man zu dem Ergebnis, dass die Vorteile für den konkreten Auftraggeber die möglichen Nachteile überwiegen, so ist eine Legitimation nach 28 Abs. 1 Nr. 2 BDSG gegeben. 2. Angemessenes Datenschutzniveau Auf der zweiten Stufe geht es um die Sicherstellung eines angemessenen Datenschutzniveaus beim ausländischen Dienstleister. Diese Vorgabe findet sich in Artikel 25 der Datenschutzrichtlinie, in Deutschland umgesetzt durch 4b BDSG. Hat der Dienstleister seinen Sitz in einem Mitgliedstaat der EU oder einem Vertragsstaat des EWR, so ist wegen der Harmonisierung durch die Europäischen Datenschutzrichtlinien automatisch ein ausreichendes Datenschutzniveau sichergestellt. Darüber hinaus hat die EU-Kommission für bestimmte Länder (z.b. Argentinien, Israel, Kanada, Schweiz) entschieden, dass die dortigen Datenschutzbestimmungen generell ein an- gemessenes Datenschutzniveau sicherstellen. Für Dienstleister mit Sitz in diesen sog. siche-

12 Seite 12 ren Drittstaaten ist daher die 2. Stufe (angemessenes Datenschutzniveau) ebenso unproblematisch erfüllt wie innerhalb der EU. Für einen Datentransfer in die USA sind die Vorgaben des sog. Safe Harbor Frameworks zu beachten. Demnach können US-Dienstleister beauftragt werden, wenn sie sich im Wege der Selbstverpflichtung den Maßgaben von Safe Harbor unterwerfen und auf der dafür vorgesehen Liste des US-Handelsministeriums registrieren lassen (siehe https://safeharbor.export.gov/list.aspx). Neben den benannten Möglichkeiten kann ein angemessenes Datenschutzniveau gemäß 4b, 4c BDSG beim Auslandsdienstleister auch erreicht werden durch: den Abschluss eines Vertrags unter Einbeziehung der EU-Standardvertragsklauseln die Einführung von Verbindlichen Unternehmensrichtlinien (Binding Corporate Rules, BCR) Horst Speichert Rechtsanwalt Lehrbeauftragter Universität Stuttgart IFM-Experte für IT-Sicherheit und Datenschutz Die Kontaktdaten von RA Horst Speichert finden Sie im Expertenbereich unserer Homepage.

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de 1 1. Datenschutzrechtliche Anforderungen an die IT-Sicherheit 2. Gesetzliche Anforderungen an Auswahl

Mehr

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

Rechtliche Anforderungen an Cloud Computing in der Verwaltung Rechtliche Anforderungen an Cloud Computing in der Verwaltung Dr. Sönke E. Schulz Geschäftsführender wissenschaftlicher Mitarbeiter 19. Berliner Anwenderforum egovernment 19./20. Februar 2013 Bundespresseamt,

Mehr

Datenschutz und Systemsicherheit

Datenschutz und Systemsicherheit Datenschutz und Systemsicherheit Gesetze kennen! Regelungen anwenden! Dipl.-Informatiker Michael Westermann, Gesundheitsinformatik GmbH, Mannheim 21.04.2005 Gesetze (Auszug) Bundesdatenschutzgesetz Landesdatenschutzgesetz

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Praktische Rechtsprobleme der Auftragsdatenverarbeitung Praktische Rechtsprobleme der Auftragsdatenverarbeitung Linux Tag 2012, 23.05.2012 Sebastian Creutz 1 Schwerpunkte Was ist Auftragsdatenverarbeitung Einführung ins Datenschutzrecht ADV in der EU/EWR ADV

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers Anlage zum Vertrag zur Auftragsdatenverarbeitung Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers im Rahmen der Auftragsdatenverarbeitung? Wir helfen: www.activemind.de

Mehr

Cloud Computing und Datenschutz

Cloud Computing und Datenschutz Cloud Computing und Datenschutz Kurzvortrag CeBIT 2012 Christopher Beindorff Rechtsanwalt und Fachanwalt für IT-Recht Beindorff & Ipland Rechtsanwälte Rubensstraße 3-30177 Hannover Tel: 0511-6468098 Fax:

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Leseprobe zum Download

Leseprobe zum Download Leseprobe zum Download Eisenhans / fotolia.com Sven Vietense / fotlia.com Picture-Factory / fotolia.com Liebe Besucherinnen und Besucher unserer Homepage, tagtäglich müssen Sie wichtige Entscheidungen

Mehr

BYOD Bring Your Own Device

BYOD Bring Your Own Device BYOD Bring Your Own Device Was ist das Problem? So könnt ihr es regeln. Bruno Schierbaum Berater bei der BTQ Niedersachsen GmbH BTQ Niedersachsen GmbH Donnerschweer Straße 84; 26123 Oldenburg Fon 0441/8

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht Datenschutz und Datensicherung (BDSG) Inhaltsübersicht Datenschutzziel Datenschutz und Datensicherung Personenbezogene Daten Datenverarbeitung Zulässigkeit personenbezogener Datenverarbeitung Zulässigkeit

Mehr

Anlage zur AGB von isaac10 vom [28.05.2015] Auftragsdatenverarbeitung. Präambel

Anlage zur AGB von isaac10 vom [28.05.2015] Auftragsdatenverarbeitung. Präambel Anlage zur AGB von isaac10 vom [28.05.2015] Auftragsdatenverarbeitung Präambel Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Hauptvertrag

Mehr

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße

Mehr

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ Auszug aus dem Bundesdatenschutzgesetz in der Fassung vom 14.01.2003, zuletzt geändert am 14.08.2009 1 Allgemeine und gemeinsame Bestimmungen (1) Zweck dieses Gesetzes

Mehr

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) Anlage zur Beauftragung vom ##.##.2016 Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) zwischen der Verbraucherzentrale Nordrhein-Westfalen e.v., Mintropstr. 27, 40215

Mehr

Vernetzung ohne Nebenwirkung, das Wie entscheidet

Vernetzung ohne Nebenwirkung, das Wie entscheidet Vernetzung ohne Nebenwirkung, das Wie entscheidet Rüdiger Wehrmann Der Hessische Datenschutzbeauftragte Gustav-Stresemann-Ring 1, 65189 Wiesbaden Telefon 0611 / 14 08-137 E-Mail: r.wehrmann@datenschutz.hessen.de

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Zweck und Zielsetzung Die Anforderungen nach Bundesdatenschutzgesetz (BDSG) sowie der anderen Datenschutzgesetze

Mehr

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010 Lutz Grammann Datenschutz für Administratoren St. Pius-Stift Cloppenburg 13. Oktober 2010 06. Oktober 2010 Datenschutz für Administratoren 1 Erwartungen an Administratoren Mitwirkung bei der Gestaltung

Mehr

Vorgehensweise Auftragsdatenverarbeitungsvertrag

Vorgehensweise Auftragsdatenverarbeitungsvertrag Vorgehensweise Auftragsdatenverarbeitungsvertrag Beiliegend finden Sie unseren Auftragsdatenverarbeitungsvertrag. Diesen benötigen Sie, sobald Sie personenbezogene Daten an einen Dienstleister weitergeben.

Mehr

Rechtlicher Rahmen für Lernplattformen

Rechtlicher Rahmen für Lernplattformen Rechtlicher Rahmen für Lernplattformen Johannes Thilo-Körner Plattlinger Str. 58a, 94486 Osterhofen, Mobil.: 0151 / 61 61 46 62; Tel.: 09932 / 636 13 66-0, Fax.: 09932 / 636 13 66-9 E-Mail: Johannes@Thilo-Koerner-Consulting.de,Web:

Mehr

Cloud Computing & Datenschutz

Cloud Computing & Datenschutz Cloud Computing & Datenschutz Fabian Laucken Fachanwalt für Informationstechnologierecht und Fachanwalt für Gewerblichen Rechtsschutz Handlungsfeldkonferenz Internet der Dienste Mit freundlicher Genehmigung

Mehr

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen......... - Auftraggeber - und yq-it GmbH Aschaffenburger Str. 94 D 63500 Seligenstadt - Auftragnehmer

Mehr

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos Kirstin Brennscheidt Cloud Computing und Datenschutz o Nomos Inhaltsverzeichnis Abkürzungsverzeichnis I Einleitung 1. Motivation und Begriff des Cloud Computing 11. Gegenstand der Untersuchung III. Gang

Mehr

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Rechtsanwalt Dr. Oliver Hornung Rechtsanwalt Dr. Matthias Nordmann

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung 1. DFN Workshop Datenschutz Rechtliche Aspekte der Auftragsdatenverarbeitung Hamburg, 28.11.2012 Dr. Jens Eckhardt Rechtsanwalt und Fachanwalt für IT-Recht JUCONOMY Rechtsanwälte 1 1 Grundverständnis der

Mehr

Technische und organisatorische Maßnahmen der

Technische und organisatorische Maßnahmen der Seite 1 von 8 der Inhaltsverzeichnis: 1. Einleitung 2. Gesetzliche Grundlage 3. zur Umsetzung 3.1 Zutrittskontrolle 3.2 Zugangskontrolle 3.3 Zugriffskontrolle 3.4 Weitergabekontrolle 3.5 Eingabekontrolle

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft Cloud Computing und Datenschutz: Was sind die rechtlichen Probleme und wie löst man diese? Oberhausen, 09.11.2011 Dr.

Mehr

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR Der Datenschutzbeauftragte im medizinischen Unternehmen Datenschutzbeauftragter als Berufsbezeichnung Der Begriff Datenschutzbeauftragter stellt eine Berufsbezeichnung dar. Anlässlich der beantragten registergerichtlichen

Mehr

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Erstprüfung und Folgeprüfung Seite 1 von 12 1 Gesetzliche Grundlagen zu technisch organisatorischen Maßnahmen 1.1 9

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,

Mehr

Was ein Administrator über Datenschutz wissen muss

Was ein Administrator über Datenschutz wissen muss Was ein Administrator über Datenschutz wissen muss Berlin, 14.05.2014 Rechtsanwalt Thomas Feil Fachanwalt für IT-Recht und Arbeitsrecht Datenschutzbeauftragter TÜV 1 "Jeder Mensch soll grundsätzlich selbst

Mehr

Aufstellung der techn. und organ. Maßnahmen

Aufstellung der techn. und organ. Maßnahmen Aufstellung der techn. und organ. Maßnahmen (Anlage 9 BSDG) AFI - P.M. Belz Agentur für Informatik GmbH Stuttgart Stand: 30.11.2015 1 Grundsätzliches Das Bundesdatenschutzgesetz (BDSG) schreibt mit 9

Mehr

Rechtliche Aspekte des Cloud Computing

Rechtliche Aspekte des Cloud Computing Rechtliche Aspekte des Cloud Computing Cloud Computing Impulse für die Wirtschaft ecomm Brandenburg, 23.06.2011 Themen 1. Überblick 2. Cloud und Datenschutz 3. Aspekte bei der Vertragsgestaltung 4. Fazit

Mehr

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197)

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197) Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197) I. Zu 3 a KDO (Meldung von Verfahren automatisierter Verarbeitung) (1) Sofern Verfahren

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de Praktischer Datenschutz 1 Themen 1. Behördlicher und betrieblicher

Mehr

Wird Wartung oder auch

Wird Wartung oder auch Wird Wartung oder auch Fernwartung von Hardund Software durch externe Unternehmen vorgenommen, haben die Unternehmen die besonderen Vorgaben des Bundesdatenschutzgesetzes (BDSG) einzuhalten. Denn mit der

Mehr

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle... Stabsstelle Datenschutz Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle... Anlage zu 5 Abs. 5 der Vereinbarung Technische und organisatorische ( 9 /

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten Jan Goebel, DIW Berlin / SOEP Idealvorstellung Idealvorstellung Idealvorstellung Skripte (GitHub, Bitbucket, Codeplane,...) Daten (Dropbox,

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

3 HmbDSG - Datenverarbeitung im Auftrag

3 HmbDSG - Datenverarbeitung im Auftrag Stabsstelle Recht / R16 05.01.2015 Datenschutzbeauftragter 42838-2957 Hamburgisches Datenschutzgesetz (HmbDSG) mit Kommentierung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

"RESISCAN durch Dritte Rechtliche Anforderungen an die Beauftragung" RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte

RESISCAN durch Dritte Rechtliche Anforderungen an die Beauftragung RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte Informationstag "Ersetzendes Scannen" Berlin, 19.04.2013 "RESISCAN durch Dritte Rechtliche Anforderungen an die Beauftragung" RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte Meine Punkte Leistungsvertrag

Mehr

Grundlagen des Datenschutzes. Musterlösung zur 1. Übung vom 30.04.2012: BDSG (1)

Grundlagen des Datenschutzes. Musterlösung zur 1. Übung vom 30.04.2012: BDSG (1) und der IT-Sicherheit Musterlösung zur 1. Übung vom 30.04.2012: BDSG (1) 1.1 Einwilligungserklärung Aufgabe: Welchen Anforderungen muss eine Einwilligung nach den Vorschriften des BDSG genügen? Begründen

Mehr

Die Matrix42 Marketplace GmbH, Elbinger Straße 7 in 60487 Frankfurt am Main ("Auftragnehmer") stellt

Die Matrix42 Marketplace GmbH, Elbinger Straße 7 in 60487 Frankfurt am Main (Auftragnehmer) stellt 1. Präambel Die Matrix42 Marketplace GmbH, Elbinger Straße 7 in 60487 Frankfurt am Main ("Auftragnehmer") stellt _ (Vollständige Firma und Adresse des Kunden) ("Auftraggeber") gemäß den "Allgemeine Geschäftsbedingungen

Mehr

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim Kirchlicher Anzeiger für das Bistum Hildesheim vom 31.10.2003, Nr. 10, Seite 233 ff. I. Zu

Mehr

Gesetzliche Grundlagen des Datenschutzes

Gesetzliche Grundlagen des Datenschutzes Gesetzliche Grundlagen des Datenschutzes Informationelle Selbstbestimmung Bundesdatenschutzgesetz Grundgesetz Gesetzliche Grundlagen des Datenschutzes allg. Persönlichkeitsrecht (Art. 1, 2 GG) Grundrecht

Mehr

Quick Check Datenschutzkonzept EDV und TK

Quick Check Datenschutzkonzept EDV und TK Quick Check Datenschutzkonzept EDV und TK Der effizienteste Weg zu einer BDSG-konformen EDV und Telekommunikation von Udo Höhn, Oliver Schonschek Update. Stand: 12/2011 Quick Check Datenschutzkonzept EDV

Mehr

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG)

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG) Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG) Valerij Serediouk SE Designing for Privacy HU WS 09 / 10 1 Gliederung Einführung Zweck und Anwendungsbereich des BDSG

Mehr

Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7

Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7 Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7 Zertifizierungssystem Die Zertifizierungsstelle der TÜV Informationstechnik GmbH führt Zertifizierungen auf der Basis des folgenden Produktzertifizierungssystems

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

IT-Compliance und Datenschutz. 16. März 2007

IT-Compliance und Datenschutz. 16. März 2007 IT-Compliance und Datenschutz 16. März 2007 Die Themen Agenda Vorstellung Deutsche Post Adress GmbH IT-Compliance und Datenschutz allgemein Bundesdatenschutzgesetz (BDSG) Der Datenschutzbeauftragte Verbot

Mehr

Checkliste zum Umgang mit Personalakten

Checkliste zum Umgang mit Personalakten Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte

Mehr

SUFFEL & KOLLEGEN, Jena. seit 1990 in Jena. RA Jan Schröder, FA für Arbeitsrecht. RA David Conrad. SUFFEL & KOLLEGEN, Rechtsanwälte

SUFFEL & KOLLEGEN, Jena. seit 1990 in Jena. RA Jan Schröder, FA für Arbeitsrecht. RA David Conrad. SUFFEL & KOLLEGEN, Rechtsanwälte seit 1990 in Jena RA Claus Suffel, FA Bau- und Architektenrecht RA Jan Schröder, FA für Arbeitsrecht RA Dr. Mathis Hoffmann RA David Conrad www.jenanwalt.de Datenschutzrecht für kleine und mittlere Unternehmen

Mehr

HerzlichWillkommen. ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16

HerzlichWillkommen. ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16 HerzlichWillkommen ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16 Datenschutz bei Fernzugriff; Risiken und Lösung stefan.herold@aarcon.net www.aarcon.net

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Matthias Bergt Rechtsanwälte v. Boetticher Hasse Lohmann www.dsri.de Begriff der Auftragsdatenverarbeitung, 11 BDSG Auslagerung von Verarbeitungsvorgängen

Mehr

Brüssel, Berlin und elektronische Vergabe

Brüssel, Berlin und elektronische Vergabe Brüssel, Berlin und elektronische Vergabe Mainz, 23. Februar 2015 Prof. Dr. Zeiss 1 1 2 3 4 5 6 7 8 9 Vorstellung Was bringen die Richtlinien? Was macht Berlin? evergabe was ist das? Pflicht zur evergabe!

Mehr

Auftragsdatenverarbeitung nach 11 BDSG

Auftragsdatenverarbeitung nach 11 BDSG . Mustervereinbarung zur Auftragsdatenverarbeitung nach 11 BDSG für BMI und Geschäftsbereich Mustervereinbarung zur Auftragsdatenverarbeitung Stand:Mai 2012 Vereinbarung zur Auftragsdatenverarbeitung Als

Mehr

Outsourcing und Tracking in einer vernetzten Welt

Outsourcing und Tracking in einer vernetzten Welt Outsourcing und Tracking in einer vernetzten Welt Infobörse 2 Referent: Dr. Sven Polenz, ULD Moderation: Harald Zwingelberg, ULD Übersicht 1.1 Auftragsdatenverarbeitung öffentlicher/nichtöffentlicher Stellen

Mehr

Heiter bis wolkig Datenschutz und die Cloud

Heiter bis wolkig Datenschutz und die Cloud Heiter bis wolkig Datenschutz und die Cloud Inhaltsüberblick 1) Kurzvorstellung Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein 2) TClouds Datenschutz in Forschung und Entwicklung 3) Cloud

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag Anlage zum Vertrag vom Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag O durch Wartung bzw. O Fernwartung *Zutreffendes bitte ankreuzen Diese Anlage konkretisiert die datenschutzrechtlichen

Mehr

Continum * Datensicherheitskonzept

Continum * Datensicherheitskonzept Continum * Datensicherheitskonzept Dieses Dokument ist öffentlich. Weitergabe an Dritte, Kopie oder Reproduktion jedweder Form ohne vorherige schriftliche Zustimmung der Continum AG ist untersagt. Continum

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

IT-Outsourcing aus der Perspektive einer bdsb. Bettina Robrecht Datenschutzbeauftragte 17. März 2012

IT-Outsourcing aus der Perspektive einer bdsb. Bettina Robrecht Datenschutzbeauftragte 17. März 2012 IT-Outsourcing aus der Perspektive einer bdsb Bettina Robrecht Datenschutzbeauftragte 17. März 2012 Agenda I. Überblick: Definitionen und anwendbares Recht II. Outsourcing innerhalb der EU/EWR III. Outsourcing

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Zwischen nachstehend Leistungsnehmer genannt und Demal GmbH Sankt-Salvator-Weg 7 91207 Lauf a. d. Pegnitz nachstehend Leistungsgeberin genannt werden aufgrund 11 Bundesdatenschutzgesetz (BDSG) folgende

Mehr

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN Annika Selzer Vortrag an der Fachhochschule Frankfurt am 10. Oktober 2013 AGENDA Begriffsbestimmungen Definition Datenschutz Definition

Mehr

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet? Datum:... - 1 Uhrzeit:... Betrieb:... AP:... Fragenkatalog für Kontrollen TLfDI - nichtöffentlicher Bereich - Allgemeine Fragen 1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

Mehr

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit Agenda Definitionen Verantwortlichkeiten

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Post AG Charles-de-Gaulle-Straße 20 53250 Bonn für den Ende-zu-Ende-Verschlüsselungs-Service für

Mehr

Cloud Services. Cloud Computing im Unternehmen 02.06.2015. Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06.

Cloud Services. Cloud Computing im Unternehmen 02.06.2015. Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06. Business mit der Cloudflexibler, einfacher, mobiler? Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06.2015 Cloud Services www.res-media.net 1 Was ist Cloud-Computing? neue

Mehr

Fallgruppen zur internationalen Auftragsdatenverarbeitung. Handreichung des Düsseldorfer Kreises zur rechtlichen Bewertung

Fallgruppen zur internationalen Auftragsdatenverarbeitung. Handreichung des Düsseldorfer Kreises zur rechtlichen Bewertung 19. April 2007 Fallgruppen zur internationalen Auftragsdatenverarbeitung Handreichung des Düsseldorfer Kreises zur rechtlichen Bewertung Einleitung Die folgende Darstellung beinhaltet die häufigsten Fallkonstellationen

Mehr

Cloud Computing. Praxistipps für den rechtssicheren Einsatz in Unternehmen. Dr. jur. Sebastian Karl Müller Fachanwalt für Informationstechnologierecht

Cloud Computing. Praxistipps für den rechtssicheren Einsatz in Unternehmen. Dr. jur. Sebastian Karl Müller Fachanwalt für Informationstechnologierecht Cloud Computing Praxistipps für den rechtssicheren Einsatz in Unternehmen Dr. jur. Sebastian Karl Müller Fachanwalt für Informationstechnologierecht Dr. Müller & Kollegen Rechtsanwälte, Fachanwälte & Notare

Mehr

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im Betriebsratsbüro Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im BR-Büro Seite 2 Ausgangssituation Ausgangssituation Kurz gefasst ist es Euer Job

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013

Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013 Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013 Karsten U. Bartels LL.M. HK2 Rechtsanwälte 1 Meine Punkte Cloud Service Provider 2 IT-Outsourcing

Mehr

WEBBASIERTES ARBEITEN

WEBBASIERTES ARBEITEN WEBBASIERTES ARBEITEN Wolke = Nebel = Rechtsunsicherheit Klaus Brisch, BridgehouseLaw, Geschäftsführer IHK Köln, 17.11.2015 Annahmen für den Vortrag I. Ein Unternehmen will Mitarbeiter- und Kundendaten

Mehr

Forum 2: Datenverarbeitung außerhalb des eigenen Betriebs Anforderungen aus dem Bundesdatenschutzgesetz

Forum 2: Datenverarbeitung außerhalb des eigenen Betriebs Anforderungen aus dem Bundesdatenschutzgesetz Forum 2: Datenverarbeitung außerhalb des eigenen Betriebs Anforderungen aus dem Bundesdatenschutzgesetz Pfalz Datentransfer ist Outsourcing Sofern keine gesetzliche Pflicht für einen Datentransfer besteht,

Mehr

Datenschutz und Arbeitnehmer

Datenschutz und Arbeitnehmer Seite 1 Bundesbeauftragter für den Datenschutz und die Informationsfreiheit http://www.bfdi.bund.de Datenschutz und Arbeitnehmer SAP Fachtagung 2008 vom 13.-15. Februar 2008 SAP im betrieblichen Spannungsfeld

Mehr

Auftrag gemäß 11 BDSG

Auftrag gemäß 11 BDSG Auftrag gemäß 11 BDSG Vereinbarung zwischen der - nachstehend Auftraggeber genannt - und der voba solutions GmbH, Frankfurter Strasse 1, 64720 Michelstadt - nachstehend Auftragnehmer genannt - 1. Gegenstand

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht 2 Datenschutz im Unternehmen Umgang mit Mitarbeiterdaten Neuregelung, Folgen, Praxisrelevante Fälle 1 3 Personenbezogene Daten Einzelangaben über persönliche

Mehr

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7. 2. Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)...

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7. 2. Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)... 2 Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7 1. Gesetzliche Verpflichtung... 7 2. Vertragliche Verpflichtungen... 7 3. Staatliche Sanktionsmöglichkeiten... 7 4. Schadensersatzansprüche...

Mehr

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 -

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 - INNENMINISTERIUM AUFSICHTSBEHÖRDE FÜR DEN DATENSCHUTZ IM NICHTÖFFENTLICHEN BEREICH Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1 - Stand: 1. Juli 2010 -

Mehr

Datenschutz und Datensicherheit im Handwerksbetrieb

Datenschutz und Datensicherheit im Handwerksbetrieb N. HOZMANN BUCHVERLAG Werner Hülsmann Datenschutz und Datensicherheit im Handwerksbetrieb Inhaltsverzeichnis Vorwort 13 1 Datenschutz und Datensicherheit 15 1.1 Grundlagen und Grundsätze 15 1.1.1 Was ist

Mehr

Öffentliches Verfahrensverzeichnis

Öffentliches Verfahrensverzeichnis 2011 Öffentliches Verfahrensverzeichnis Stand: 01.03.2011 Öffentliches Verfahrensverzeichnis Stand: 01.03.2011 Der Schutz Ihrer persönlichen Daten und Ihrer Privatsphäre ist uns sehr wichtig. Deshalb ist

Mehr

Cloud-Update 2012. Rechtssicher in die Wolke. RA Jan Schneider Fachanwalt für Informationstechnologierecht

Cloud-Update 2012. Rechtssicher in die Wolke. RA Jan Schneider Fachanwalt für Informationstechnologierecht Cloud-Update 2012 Rechtssicher in die Wolke Fachanwalt für Informationstechnologierecht Cloud Conf 2011, Frankfurt am Main den 21. November 2011 Cloud-Update 2012 Rechtssicher in die Wolke Fachanwalt für

Mehr

Fragen an den Auftraggeber. Name der Firma 0.1. Anschrift der Firma 0.2. Ansprechpartner 0.3. Emailadresse Ansprechpartner 0.

Fragen an den Auftraggeber. Name der Firma 0.1. Anschrift der Firma 0.2. Ansprechpartner <Freitext> 0.3. Emailadresse Ansprechpartner <Freitext> 0. Fragen an den Auftraggeber 0.1 Name der Firma 0.2 Anschrift der Firma 0.3 Ansprechpartner 0.4 Emailadresse Ansprechpartner 0.5 Beschreibung der durchzuführenden Aufgaben 1 / 15 0.6

Mehr

Zugangskontrolle + Videoüberwachung rechtssicher umsetzen. RA Horst Speichert

Zugangskontrolle + Videoüberwachung rechtssicher umsetzen. RA Horst Speichert Zugangskontrolle + Videoüberwachung rechtssicher umsetzen RA Horst Speichert 1 Horst Speichert e s b Rechtsanwälte Stuttgart Rechtsanwalt Lehrbeauftragter Universität Stuttgart E-Mail: horst@speichert.de

Mehr

VORLESUNG DATENSCHUTZRECHT

VORLESUNG DATENSCHUTZRECHT VORLESUNG DATENSCHUTZRECHT Fakultät Informatik Juristische Fakultät TU Dresden Sommersemester 2013 RA Dr. Ralph Wagner LL.M. Es ist nicht Aufgabe des Datenschutzrechts und der Datenschutz-Kontrollinstanzen,

Mehr

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung. Erstprüfung und Folgeprüfung

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung. Erstprüfung und Folgeprüfung Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung Erstprüfung und Folgeprüfung 1 Gesetzliche Grundlagen zu technisch organisatorischen Maßnahmen 1.1 9 BDSG Technische

Mehr