Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung

Ähnliche Dokumente

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung

Datenschutzvereinbarung

Cloud Computing und Datenschutz

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV)

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

1. bvh-datenschutztag 2013

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Erläuterungen zum Abschluss der Datenschutzvereinbarung

Datenverarbeitung im Auftrag

Sonderdruck. Jürgen Taeger (Hrsg.) Law as a Service (LaaS) Recht im Internet- und Cloud-Zeitalter

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK

Anlage zur Auftragsdatenverarbeitung

Bestandskauf und Datenschutz?

Datenschutz im Unternehmen. Was muss der Unternehmer wissen?

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Anlage zum Vertrag vom. Auftragsdatenverarbeitung

"RESISCAN durch Dritte Rechtliche Anforderungen an die Beauftragung" RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte

Was sagt der Anwalt: Rechtliche Aspekte im BEM

... - nachstehend Auftraggeber genannt nachstehend Auftragnehmer genannt

Datenschutz-Vereinbarung

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Gut geregelt oder Baustelle Datenschutz bei der Hard- und Softwarewartung

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Rechtlicher Rahmen für Lernplattformen

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick

Datenschutz und Schule

Öffnung dienstlicher E Mailfächer Wann darf der Arbeitsgeber tätig werden?

Datenschutz und D

Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013

Freie Universität Berlin

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Arbeitshilfen zur Auftragsdatenverarbeitung

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

D i e n s t e D r i t t e r a u f We b s i t e s

Checkliste zum Datenschutz

Thementag Cloud Computing Datenschutzaspekte

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Auftragsdatenverarbeitung i.s.d. 11 Abs. 2 Bundesdatenschutzgesetz (BDSG)

Der betriebliche Datenschutzbeauftragte

Datenschutz im Spendenwesen

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Rechtliche Aspekte der IT-Security.

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

Durchführung von Mindestlohnkontrollen. Stephan Slopinski Oldenburg / Hannover im November 2014

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

IMI datenschutzgerecht nutzen!

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Datenschutzaudit DATENSCHUTZ & DATENSICHERHEIT IM UNTERNEHMEN. sicher bedarfsgerecht gesetzeskonform

Datenschutzkonforme digitale Patientenakten im Outsourcing. Datenschutzkonforme digitale Patientenakten im Outsourcing

Datenschutz bei kleinräumigen Auswertungen Anforderungen und Grenzwerte 6. Dresdner Flächennutzungssymposium. Sven Hermerschmidt, BfDI

Facebook und Datenschutz Geht das überhaupt?

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Grundlagen des Datenschutzes und der IT-Sicherheit

Der Datenschutzbeauftragte

Datenschutzbestimmungen im Vergleich D.A.CH

Vereinbarung Auftrag gemäß 11 BDSG

NOVELLIERUNG DES BUNDESDATENSCHUTZGESETZES ÄNDERUNGEN SEPTEMBER 2009 TEIL 1: AUFTRAGSDATENVERARBEITUNG

Datenschutznovelle II (Datenhandel)

Neues vom DFN-MailSupport. Andrea Wardzichowski, DFN Stuttgart 63. DFN-Betriebstagung 27./ , Berlin

Rechtssicher in die Cloud

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Praktischer Datenschutz

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung

DDV-SIEGEL. Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs-Unternehmen.

Datenschutz im Unternehmen

Verfahrensordnung für die Durchführung der Compliance-Zertifizierung der ICG

Mustervertrag für Forschungs- und Entwicklungsaufträge der Technischen Universität Clausthal. Vom 10. März 2004 (Mitt. TUC 2004, Seite 165)

1. Vertragsgegenstand

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Datenschutz und Datensicherheit im Handwerksbetrieb

Profiling im Lichte der Datenschutz-Grundverordnung

Rechtssicher in die Cloud so geht s!

Anlage zur AGB von isaac10 vom [ ] Auftragsdatenverarbeitung. Präambel

Datenschutz. Vortrag am GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße Osnabrück

IT-Sicherheit und Compliance. Dr. Oliver Hornung SKW Schwarz Rechtsanwälte Dr. Michael Kollmannsberger Protea Networks Michael Seele Protea Networks

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Personal- und Kundendaten Datenschutz in Werbeagenturen

Datenschutzrechtliche Aspekte bei Campus Management Systemen

Der Schutz von Patientendaten

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.

Freistellung und Haftung des Betriebsrats anläßlich der Entscheidung des Bundesgerichtshofs III ZR 266/11 vom 25. Oktober 2012

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Datenschutzerklärung der School of Governance, Risk & Compliance

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+! ,# "$$ $ 4 9$ 4 5 )/ )

Fokus Datenschutz - Zwingend notwendig, pragmatisch umgesetzt! / Outsourcing datenschutzrechtlich möglich?

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Transkript:

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Matthias Bergt Rechtsanwälte v. Boetticher Hasse Lohmann www.dsri.de

Begriff der Auftragsdatenverarbeitung, 11 BDSG Auslagerung von Verarbeitungsvorgängen personenbezogener Daten Auslagerung von Wartung, wenn Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann ( 11 Abs. 5) Weit: klassische IT-Outsourcing-Projekte SaaS Unternehmensbuchhaltung Entsorgung von Schriftstücken durch fremdes Reinigungspersonal PC-Reparatur E-Mail-Account Folie 2 von 20 Matthias Bergt

Grenzen der Auftragsdatenverarbeitung Meinungsstreit um Funktionsübertragung im IT-Bereich nicht relevant Keine Erheblichkeitsschwelle Also auch kurzfristige Cloud-Nutzung Folie 3 von 20 Matthias Bergt

Rechtsfolgen der Auftragsdatenverarbeitung Gesetzliche Fiktion: Datenweitergabe an Auftragnehmer zur Verarbeitung in EU/EWR ist keine Übermittlung Auftraggeber bleibt für Einhaltung des Datenschutzrechts verantwortlich ( 11 Abs. 1) Auskunft ( 34) Löschung ( 35) Schadensersatz ( 7) Auftragnehmer haftet bei weisungswidriger Verwendung der Daten Haftet Auftragnehmer auch bei formunwirksamem Auftragsdatenverarbeitungsvertrag? Folie 4 von 20 Matthias Bergt

Anforderungen an den Auftragnehmer Sorgfältige Auswahl unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen ( 11 Abs. 2 Satz 1) Schutzstandard regelmäßig Vertragsbestandteil Folie 5 von 20 Matthias Bergt

Anforderungen an die Vertragsgestaltung 11 Abs. 2 Satz 2 Mindest-Inhalte (nicht abschließend) 11 Abs. 2 Satz 2: im Einzelnen festzulegen Schriftform ( 126 BGB) jedenfalls wegen 43 Abs. 1 Nr. 2b Problematisch: Technisch-organisatorische Maßnahmen (Datensicherheit) Kontrolle ( 11 Abs. 2 Satz 4) Folie 6 von 20 Matthias Bergt

Technisch-organisatorische Maßnahmen Festlegung im Einzelnen = konkrete Sicherheitsmaßnahmen, deren Vorhandensein überprüft werden kann Notwendiges Schutzniveau beim Auftragnehmer = notwendiges Schutzniveau beim Auftraggeber Abwägung, 9 Satz 2 Abhängig auch davon, ob klassische Auftragsdatenverarbeitung oder Wartung ( 11 Abs. 5) Folie 7 von 20 Matthias Bergt

Wichtige Regelungsinhalte hinsichtlich TOM Datenlöschung Auch aus dem Backup Rückgabe/Vernichtung Datenträger Sicherheit der Datenübertragung und speicherung Hilfreich: Verschlüsselung Verschlüsselte Datenträger Ermöglicht Nutzung von Gewährleistung/Garantie Ermöglicht Löschung durch Löschen des Schlüssels Verschlüsselte Datenübertragung Auch im Backend Auch bei Weiterleitung als E-Mail Folie 8 von 20 Matthias Bergt

Festlegung technisch-organisatorischer Maßnahmen Sicherheitskonzepte, Zertifizierungen und Aufstellungen technisch-organisatorischer Maßnahmen zum Vertragsbestandteil machen Umfassende Liste möglicher technisch-organisatorischer Maßnahmen zum Ankreuzen Prüfen, ob ausreichend; ggf. Einführung ergänzender Maßnahmen vereinbaren Regelung über Anpassung an künftige Entwicklungen Regelung über Kostentragung Folie 9 von 20 Matthias Bergt

Sonstiger Regelungsbedarf Ausschluss Zurückbehaltungsrecht an Daten und Datenträgern Kontrollen Duldungs- und Mitwirkungspflichten des Auftragnehmers Auskunftserteilung Vorlage von Unterlagen Kontrollrechte ausreichend intensiv, ggf. ergänzend zu Zertifizierungen Betrieblicher Datenschutzbeauftragter, Betriebsrat Bei Erstkontrolle nach Vertragsschluss: Rücktrittsrecht bzw. aufschiebend bedingte Auftragserteilung für den Fall von Beanstandungen Folie 10 von 20 Matthias Bergt

Sonstiger Regelungsbedarf II Subauftragnehmer Verbieten? Schriftliche Zustimmung? Vorab-Information mit Widerspruchsrecht? Schutzniveau beim Subauftragnehmer, Kontrollrechte, kein Zurückbehaltungsrecht des Subauftragnehmers Beachte 11 Abs. 5 (Wartung) Unterstützung bei Verfahrensverzeichnis und Data Security Breach Notification Über Anforderungen des 42a hinaus Definition wichtiger Gründe i.s.v. 314 BGB Auswirkungen bei Rahmenverträgen? Vertragsstrafen, Beweislastumkehr analog 7 BDSG Folie 11 von 20 Matthias Bergt

Vertragstechnik Modularer Aufbau In Anlagen auslagern: Gegenstand und Dauer des Auftrags Umfang, Art und Zweck der Verarbeitung; Art der Daten und Betroffene Verfahrensverzeichnis verwenden? Namentlich benannte erlaubte Subunternehmer Technisch-organisatorische Maßnahmen Folie 12 von 20 Matthias Bergt

Vorgehen bei Massenverträgen Initiative vom Anbieter Kostenersparnis durch Standard-Vertrag Angebot für normal vertrauliche Daten, ggf. besonderes Schutzniveau als Premium-Produkt Ersatz der Kontrolle des Auftraggebers durch Zertifizierungen durch unabhängige Dritte Folie 13 von 20 Matthias Bergt

Kontrolle des Auftragnehmers Vor Beginn der Verarbeitung und sodann regelmäßig ( 11 Abs. 2 Satz 4) Dokumentation ( 11 Abs. 2 Satz 5) Erstkontrolle von besonderer Bedeutung Ordnungswidrigkeit ( 43 Abs. 1 Nr. 2b) Folie 14 von 20 Matthias Bergt

Kontrolle durch Dritte Vor-Ort-Kontrolle nicht zwingend vorgeschrieben Gesetzesbegründung: Auftraggeber kann Sachverständigen beauftragen U.U. Auskunft des Auftragnehmers ausreichend Aber auch Zertifizierung im Auftrag des Auftragnehmers zulässig Folie 15 von 20 Matthias Bergt

Kontrolle ausschließlich durch Zertifizierung? Bisher Aufsichtsbehörden: Zumindest Recht auf persönliche Kontrolle unabdingbar Aber kein Grund für absolute Einschränkung der Prüfung durch Dritte, wenn umfassende Zertifizierung Abhängig vom Schutzbedarf usw. allerdings ergänzendes Prüfungsrecht, ggf. auf Verdachtsfall beschränkt Folie 16 von 20 Matthias Bergt

Anforderungen an Zertifizierungen Keine Entbindung von Auftraggeber-Kontrollpflichten Keine Absenkung des Kontrollniveaus Zertifizierer sachkundig und unabhängig? Zertifizierung durch BSI (z.b.) Alle technisch-organisatorischen Maßnahmen bestätigt? Ggf. ergänzende Kontrollen Abstimmung von Vertrag und Zertifizierung Gleicher Aufbau Checkliste Vertrag Bericht des Zertifizierers Verträge und Zertifizierung nicht zu einseitig auf Anbieterinteressen ausgerichtet Der Auftraggeber muss seinen gesetzlichen Pflichten nachkommen können! Folie 17 von 20 Matthias Bergt

Dokumentation der Kontrolle Dokumentationspflicht ( 11 Abs. 2 Satz 5) Nicht bußgeldbewehrt, aber wichtig als Nachweis der bußgeldbewehrten Erstkontrolle Bei Zertifizierung durch vertrauenswürdige Dritte knapper als bei Eigenkontrolle Prüfung auf Einhaltung aller vereinbarten technischorganisatorischen Maßnahmen muss erkennbar sein Folie 18 von 20 Matthias Bergt

Gesetzgeberischer Handlungsbedarf Aufwand für gesetzeskonforme Auftragsdatenverarbeitung lässt sich bereits de lege lata erheblich verringern Problematisch bleiben Schriftformerfordernis und Kontrolle De lege ferenda: keine Schriftform erforderlich Entwurf Datenschutz-Grundverordnung: Dokumentation genügt De lege ferenda: Anforderungsprofile an technischorganisatorische Maßnahmen für Standard-Anwendungsfälle Für Rechtssicherheit: Gesetzliche Definition als ausreichend Zertifizierungen anhand der Standard-Anforderungsprofile Folie 19 von 20 Matthias Bergt

Vielen Dank für Ihre Aufmerksamkeit Matthias Bergt Rechtsanwälte v. Boetticher Hasse Lohmann Oranienstr. 164 10969 Berlin Telefon 030/61 68 94 03 E-Mail mbergt@boetticher.com Folie 20 von 20 Matthias Bergt