Datenschutzbeauftragter DSB TÜV

Ähnliche Dokumente
SaaSKon 2009 SaaS - Datenschutzfallen vermeiden Stuttgart, Rechtsanwalt Jens Eckhardt JUCONOMY Rechtsanwälte Düsseldorf

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde

Datenschutz von A-Z. Ausgabe Taschenbuch. 272 S. Paperback ISBN

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?

Bundesdatenschutzgesetz. E-Commerce Konferenz

Die EU-Datenschutz-Grundverordnung (DS-GVO) Neue Regeln für den Datenschutz

Datenschutz in Schulen

Datenschutzvereinbarung nach 11 BDSG Wartung und Pflege von IT-Systemen

Einführung Datenschutz in der Pflege

Vereinbarung über die Auftragsdatenverarbeitung

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 1)

Das Pilotprojekt Datenschutz-Zertifizierung für Cloud-Dienste. Stephan Di Nunzio

Auftragsdatenverarbeitung und Zertifizierung nach der DSGVO M ä r z , K ö l n

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

Unterschätzte Anforderungen der Datenschutz- Grundverordnung an den technischen Datenschutz

Dokumentationspflichten im neuen Datenschutzrecht

AUF EINEN BLICK. Die EU-Datenschutz- Grundverordnung (EU-DSGVO)

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Plan zur Umsetzung

Datenschutz im Unternehmen von Auftragsdatenverarbeitung bis Online-Vertrieb

CEMA Online IT.Special: Wie werden Unternehmen der DSGVO gerecht? Vortrag 1: Was Unternehmen jetzt wissen, prüfen, anpacken müssen!!!

Mustervertrag zur Auftragsdatenverarbeitung

Datenverarbeitung im Auftrag

Inhaltsübersicht. Bibliografische Informationen digitalisiert durch

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom : BDSG (1)

REFERENTIN. Die EU-DSGVO was steht drin?

EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

DATENSCHUTZ in der Praxis

EU-Datenschutz-GVO - Was kommt da auf uns zu?

Stabsstelle Datenschutz. Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

BDSG-Novellen Achtung: sofort handeln! Ein Kurzüberblick über die rechtlichen Änderungen zur Auftragsdatenverarbeitung.

Auftragsdatenverarbeitung

EU-Datenschutz- Grundverordnung

V orw ort... Abkürzungsverzeichnis... XVII. Literaturverzeichnis... XXI. Einführung B. Gang der Darstellung Teil: Grundlagen...

So machen Sie sich und Ihre Website fit für die neue DSGVO!

Das neue Datenschutzrecht ab 25. Mai 2018 Anpassungsbedarf für HR. Leipzig, 27. Februar 2018

Datenschutzreform 2018

Smart Home ein Datenschutzfall

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Brands Consulting D A T E N S C H U T Z & B E R A T U N G

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

12. Fachtag IV / IT des BeB - Datenschutz Fragestellungen aus dem tatsächlichen IT-Leben

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Datenschutz-Management-System

Business Breakfast Graz Auswirkungen der Datenschutz-Grundverordnung auf das HR-Management

Vertrag zur Verarbeitung von Daten im Auftrag

Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI)

Datenschutz in der Unternehmenspraxis

Die EU-Datenschutz-Grundverordnung: Rechtsgrundlagen der Datenverarbeitung

DATENSCHUTZ Der betriebliche und externe Datenschutzbeauftragte (EU-DSGVO)

Die EU-Datenschutz-Grundverordnung: Besondere Verarbeitungsformen

Worüber wir sprechen. Digitalisierung was kann man darunter verstehen. Datenschutz eine fachliche Eingrenzung

Datenschutz für Privatschulen und Bildungseinrichtungen in freier Trägerschaft PRODATENSCHUTZ

BigData RA Mag. Michael Lanzinger

Datenschutzrecht in Österreich und Deutschland Ein Vergleich. RA Marcel Keienborg

Creditreform Compliance Services GmbH. Unsere Leistungen im Datenschutz.

Hosted Cloud: Kundendatenschutz, Datenschutzmanagement und Auftragsdatenverarbeitung

Datenschutzrechtliche Anforderungen an epidemiologische Studien

EINLEITUNG... 1 GANG DER UNTERSUCHUNG...3 DATENSCHUTZ IM MULTINATIONALEN KONZERN...5 A. BESTIMMUNG DER WESENTLICHEN BEGRIFFE Datenschutz...

DATENSCHUTZ DIE WORKSHOP-REIHE

Neues Datenschutzsiegel und neuer Datenschutzstandard für Auftragsdatenverarbeiter. Dr. Niels Lepperhoff Geschäftsführer

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

Datenschutz in der Marktund Sozialforschung

Datenzentralen und austauschplattformen in der öffentlichen Verwaltung

Corporate Privacy Management Group

Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013

Datenschutz. Vortrag am GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße Osnabrück

Vertrag über Auftragsdatenverarbeitung

Referent: Benjamin Butz

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

Die neue Datenschutzgrundverordnung Folgen für den Einkauf

Ergebnisbericht zum Workshop DS-GVO an Hochschulen vom 6./ Teil II

Datenschutz ist Grundrechtsschutz

Datenschutz im Web

Rechtlicher Rahmen für Lernplattformen

Datenschutz im E-Learning Sektor. Ingrid Pahlen-Brandt Behördliche Datenschutzbeauftragte an der Freien Universität Berlin GML 2009, 13.

Newsletter Datenschutz

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Praktischer Datenschutz

IT und Datenschutz. Ansprechpartnerin: Frau Steiger. 218 NEU Datenschutz und IT-Sicherheit in der Verwaltung

Remote Support Datenschutz-

Die Auftragsverarbeitung nach der DSGVO. Bremen, 17.August 2017 Hamburg, 07. September 2017 Dr. Babette Nüßlein

Datenschutzrechtliche Probleme beim Outsourcing Inaugural-Dissertation

Auftragsdatenverarbeitung und Risikobewertung Zusammenfassung der KPMG-Studie zur Auftragsdatenverarbeitung

Datenschutz und Rundfunkfreiheit

Datenschutzreform 2018

Herzlich Willkommen. zum bayrisch-tschechischen Workshop. Datenschutzbeauftragter nach der DSGVO. Autor: Rainer Aigner Stand:

Grundlagen des Datenschutzes

Rechte nach dem EKD-Datenschutzgesetz, EU-Datenschutz-Grundverordnung, Bundesdatenschutzgesetz (neu)

Ihre externen Datenschutzbeauftragten

Vertragsanlage zur Auftragsdatenverarbeitung

Datenschutzgrundverordnung DSGVO

Geleitwort... Einleitung...

Bewertungssysteme im Internet

Fragebogen zur Anpassung der Praxisorganisation an die Datenschutz-Grundverordnung (DS-GVO)

Datenschutzzertifizierung für Auftragsdatenverarbeitung - Nutzen für Auftraggeber und Auftragnehmer. Dr. Niels Lepperhoff (Geschäftsführer)

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO)

Stephan Hansen-Oest Rechtsanwalt. Stand: erstellt von: Sachverständiger für IT-Produkte (rechtlich)

Die neue EU-Datenschutz-Grundverordnung Erweiterte Pflichten für Unternehmen das müssen Sie ab Mai 2018 beachten

Recht im Internet der Dinge Datenschutz und IT-Sicherheit Dr. Thomas Lapp, Frankfurt Rechtsanwalt und Mediator

Transkript:

Datenschutzbeauftragter DSB TÜV Autor: RA Markus Säugling, MAGELLAN Rechtsanwälte

Inhaltsverzeichnis Titel Register Transferblatt: Meine persönlichen Ziele Grundlagen des Datenschutzrechts... 1 Grundstruktur des Datenschutzrechts... 2 Der Datenschutzbeauftragte... 3 Die datenschutzrechtlichen Aufsichtsbehörden... 4 Basisdokumente im Datenschutz... 5 Der Personaldatenschutz... 6 Die Auftragsdatenverarbeitung und andere Übermittlungsgrundlagen... 7 Die technischen und organisatorischen Maßnahmen (TOM)... 8 Das Datenschutzaudit... 9 Das Datenschutzmanagementsystem... 10 Die Betroffenenrechte... 11 Datenschutz im Marketing... 12 Die datenschutzkonforme Website... 13 Fallstudie "Autoteile AG"... 14 Bundesdatenschutzgesetz (BDSG)... 15 Telemediengesetz (TMG)... 16 Rev. 04 / Stand: November 2015 1117001 Datenschutzbeauftragter DSB TÜV 3

Grundlagen des Datenschutzrechts 1117001 / Grundlagen des Datenschutzrechts 1

Inhaltsverzeichnis Lernziele... 4 1 Grundlagen des Verfassungsrecht... 5 2 Grundlagen im Europarecht... 6 3 Allgemein gültige Grundsätze im Datenschutzrecht... 8 3.1 Das Verbot mit Erlaubnisvorbehalt... 8 3.2 Der Direkterhebungsgrundsatz... 10 3.3 Der Zweckbindungsgrundsatz... 13 3.4 Der Grundsatz der Datensparsamkeit... 14 4 Das Zusammenwirken deutscher Gesetze... 17 4.1 Das Bundesdatenschutzgesetz (BDSG) als Mastergesetz... 18 4.2 Der bereichsspezifische Datenschutz im Telekommunikationsgesetz (TKG).. 18 4.3 Der bereichsspezifische Datenschutz im Telemediengesetz (TMG)... 19 4.4 Die Landesdatenschutzgesetze und sonstige bereichsspezifische Regelungen... 20 5 Überleitung: Von den Grundlagen zur Grundstruktur... 21 Wiederholungsfragen... 22 Weiterführende Hinweise / Literatur... 23 1117001 / Grundlagen des Datenschutzrechts 3

Lernziele Seit dem Inkrafttreten des Bundesdatenschutzgesetzes (BDSG) im Jahre 1978 hat das Thema Datenschutz längst in alle Wirtschaftsbereiche Einzug gehalten und derart an Bedeutung gewonnen, dass die damit einhergehenden Regelungsinhalte das Wirtschaftsleben weitreichend mitbestimmen. Entscheidend für diese Entwicklung und die Entwicklung des Datenschutzrechtes war das Volkszählungsurteil des Bundesverfassungsgerichtes, in dem das höchste deutsche Gericht erstmals das Recht auf informationelle Selbstbestimmung als Teil des allgemeinen Persönlichkeitsrechtes aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG ableitete. Das Grundrecht auf Schutz der eigenen personenbezogenen Daten war geschaffen. Dieses Recht auf informationelle Selbstbestimmung ist Teil des Spannungsfeldes, das von den Interessen des Individuums an der Verfügungsgewalt über seine personenbezogenen Daten sowie den Interessen seiner sozialen Umwelt an der Nutzung dieser Daten geprägt wird. Das Spannungsfeld, in dem jeder Datenschutzbeauftragte eines Unternehmens arbeitet. Jeder Datenschutzbeauftragte muss daher verstanden haben, dass er dem Wesen nach Rechte der deutschen Verfassung (dem Grundgesetz) schützt, wenn er sich mit Datenschutz beschäftigt. Daher geht es beim Thema Datenschutz auch nicht vornehmlich um den Schutz von Daten. Der Datenschutzbeauftragte schützt Daten nur zu dem Zweck, um die Rechte der Betroffenen zu schützen. Damit ist der Schutz von Daten Mittel zum Zweck für die Erreichung eines viel größeren, viel gewichtigeren und viel entscheidenderen Ziels: Datenschützer wirken mit bei der Sicherung des Grundgesetzes. Aus unterschiedlichsten Gesetzen, Richtlinien und Verordnungen haben sich insbesondere zentrale Grundprinzipien, wie z.b. das Verbot mit Erlaubnisvorhabhalt oder der Zweckbindungsgrundsatz entwickelt. Ein fundiertes Verständnis dieser Grundsätze sowie ihre sichere Anwendung sind für jeden Datenschutzbeauftragten unerlässliches Rüstzeug, um sich den datenschutzrechtlichen Herausforderungen in Unternehmen oder Behörden stellen zu können. Sie sind bei jeder datenschutzrechtlichen Prüfung zu beachten und stellen daher das Fundament des Datenschutzrechtes dar. Ferner wird in diesem Modul das Zusammenspiel der unterschiedlichen europäischen Richtlinien und Verordnungen, den deutschen Bundes und Landesdatenschutzgesetzen sowie den bereichsspezifischen Datenschutzgesetzen dargestellt. Für die Einordnung der jeweils für das eigene Unternehmen einschlägigen Gesetze ist ein sicheres Verständnis der Grundlagen und der bestehenden Wechselwirkungen von elementarer Bedeutung. 4 1117001 / Grundlagen des Datenschutzrechts

1 Grundlagen des Verfassungsrecht Abb. 1 Die vornehmliche Aufgabe eines Datenschutzbeauftragten in seiner täglichen Arbeit ist darauf hinzuwirken, dass die verantwortliche Stelle die für sie einschlägigen Datenschutzregelungen beachtet. Diese Regelungen finden sich in zahlreichen, Gesetzen, insbesondere im Bundesdatenschutzgesetz (BDSG), im Telekommunikationsgesetz (TKG) und im Telemediengesetz (TMG). Der Gesetzgeber hat diese Regelungen eingeführt, um jeden Einzelnen vor einem unsachgemäßen Umgang mit seinen personenbezogenen Daten zu schützen, durch den das sog. Persönlichkeitsrecht eines jeden Einzelnen beeinträchtigt werden würde. Das allgemeine Persönlichkeitsrecht ist ein Grundrecht der deutschen Verfassung. In einem berühmten Urteil (dem sog. Volkszählungsurteil) hat das Bundesverfassungsgericht aus diesem Persönlichkeitsrecht das sog. informationelle Selbstbestimmungsrecht eines jeden Einzelnen abgeleitet. Jeder Einzelne hat aufgrund dieses informationellen Selbstbestimmungsrechts ein Recht darauf, selbst zu entscheiden, welche Daten zu seiner Person Andere erhalten und was sie damit machen dürfen. Das deutsche Datenschutzrecht schützt daher nicht Daten. Es schützt das Recht des Einzelnen, über die Art und Weise der Verwendung seiner personenbezogenen Daten durch Dritte entscheiden zu können. Verstößt ein Unternehmen gegen eine Regelung des Datenschutzrechts so verletzt es das Persönlichkeitsrecht des Einzelnen. 1117001 / Grundlagen des Datenschutzrechts 5

Die Auftragsdatenverarbeitung und andere Übermittlungsgrundlagen 1

Inhaltsverzeichnis Lernziele... 5 1 Umfang und Grenzen datenschutzkonformer Übermittlungen"... 6 2 Die Zulässigkeitsvoraussetzungen der Auftragsdatenverarbeitung... 8 2.1 Die innereuropäische Auftragsdatenverarbeitung... 9 2.1.1 Auftragsverhältnis und Weisungsbefugnis... 9 2.1.2 Die Privilegierungswirkung der Auftragsdatenverarbeitung... 11 2.1.3 Die Verantwortlichkeiten des Auftraggebers... 12 2.1.4 Die Pflichten des Auftragnehmers... 15 2.1.5 Erforderlicher Regelungsinhalt einer Vereinbarung zur Auftragsdatenverarbeitung... 17 2.2 Die außereuropäische Auftragsdatenverarbeitung... 24 2.2.1 Prüfschritte für die Datenübermittlung in Drittländer... 26 2.2.2 Die Kernprüfung: Herstellung des angemessenen Schutzniveaus.. 27 2.2.3 Ausnahmen vom Erfordernis des angemessenen Schutzniveaus... 31 2.2.4 Sonderproblem: Beauftragungsketten mit außereuropäischem Bezug... 35 3 Die Zulässigkeitsvoraussetzungen im Fall anderweitiger Übermittlungsgrundlagen... 38 3.1 Gemeinsamkeiten im Fall der inner und außereuropäischen Übermittlung... 39 3.1.1 Arbeitsteilige Datenverarbeitung in gemeinsamer Verantwortung... 39 3.1.2 Erforderliche gesetzliche Übermittlungsgrundlage... 42 3.1.3 Die Übermittlungsvereinbarung... 43 3.2 Die Herstellung des angemessenen Schutzniveaus im Fall der außereuropäischen Übermittlung... 45 4 Typische Fallkonstellationen der Praxis... 46 4.1 Der Datentransfer im Konzern... 46 4.1.1 Ausgestaltung als Auftragsdatenverarbeitung... 47 4.1.2 Ausgestaltung im Fall einer anderweitigen Übermittlungsgrundlage... 49 4.2 Cloud Computing... 50 4.3 Die Fernwartung ( 11 Abs. 5 BDSG)... 52 4.4 Telearbeiter, freie Mitarbeiter und externe Dienstleister im Unternehmen... 53 3

5 Praxisrelevante (typische) Einstufungen seitens des BayLDA... 54 Wiederholungsfragen... 55 Weiterführende Hinweise / Literatur... 56 4

Lernziele Fast jedes Unternehmen nimmt heutzutage die Hilfe externer Dienstleister bei der Erbringung eigener Aufgaben in Anspruch. Damit kommt es zu einer Herauslösung dieser Aufgaben aus der eigenen innerbetrieblichen Organisation und deren Übertragung auf externe, außerhalb der verantwortlichen Stelle tätige Dritte. Für diese vielfältigen Aufgabenübertragungen hat sich der Begriff des Outsourcing" durchgesetzt, der heute nicht mehr nur im klassischen IT Umfeld Verwendung findet. Man sourct heute häufig z.b. die Lohnbuchhaltung, die Versendung von Werbeschreiben wie auch das Mitarbeiter Recruitment aus. Dem Grunde nach geht es in allen Fällen darum, keine eigenen Mitarbeiter einstellen zu müssen und eine Effizienzsteigerung durch Spezialisierung zu erreichen. Oftmals begründet sich ein Outsourcing von Aufgaben auch einfach nur in einer mangelhaften oder fehlenden eigenen Infrastruktur. Datenschutzrechtliche Übermittlungen gehören daher zum Alltag eines Datenschutzbeauftragten und zu einem der wichtigsten Themenfelder, in dem er überaus versiert sein sollte. Der klassische Fall ist die sogenannte Auftragsdatenverarbeitung. Bei der Suche nach der Rechtsgrundlage für solch eine Auftragsdatenverarbeitung stellt man fest, dass sich das Gesetz eines Kunstgriffes" bedient. 5

Europäischen Wirtschaftsraumes befindet. Damit liegt auch in diesen Konstellationen per gesetzlicher Fiktion keine durch eine Erlaubnisnorm zu rechtfertigende Datenübermittlung vor. TÜV SÜD PRAXISHINWEIS: Die praktische Bedeutung dieser Privilegierungswirkung sollte nicht unterschätzt werden, da ein Datenschutzbeauftragter einen Großteil seiner Arbeitszeit hierauf verwenden wird. Das deutsche Datenschutzrecht enthält nur sehr wenige Rechtsgrundlagen, die eine Übermittlung eigener, beim Betroffenen erhobener Daten an andere Stellen erlauben. Gäbe es die Auftragsdatenverarbeitung nicht, würden die überwiegenden, heute üblicherweise erfolgenden Datenflüsse zwischen Unternehmen zum Erliegen kommen. IT Outsourcing oder Cloud Computing wäre so gut wie unmöglich. Dies liegt vor allem daran, dass die Einwilligung bereits aufgrund der Umsetzungs und Einholungsprobleme keine praktikable Alternative darstellt. Hinzu kommt, dass sie selbstverständlich jederzeit verweigert und auch widerrufen werden kann. 2.1.3 Die Verantwortlichkeiten des Auftraggebers Abb. 5 Die Pflichten des Auftraggebers sind in 11 BDSG sehr detailliert beschrieben. Zunächst einmal überträgt 11 Abs. 1 Satz 1 BDSG der verantwortlichen Stelle als Auftraggeber der Datenverarbeitung die Pflicht, die Einhaltung der datenschutzrechtlichen Vorschriften durch den Auftragnehmer sicherzustellen. Benennung und Festlegung der technischen und organisatorischen Maßnahmen Damit geht nach 11 Abs. 2 Satz 1 BDSG einher, dass der Auftraggeber den Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen hat (vgl. Modul Die technischen und organisatorischen Maßnahmen). Im Ergebnis bedeutet dies, dass der Auftragge 12

ber zum Zeitpunkt der Entscheidung für einen Dienstleister bereits eigenständig die aus seiner Sicht erforderlichen technischen und organisatorischen Maßnahmen kennen muss. Der Auftraggeber darf den Auftrag daher erst dann erteilen, also einen Vertrag mit einem Auftragnehmer abschließen, wenn er den konkreten Inhalt und Umfang der zu implementierenden technischen und organisatorischen Maßnahmen mit Blick auf die in Rede stehende Datenverarbeitung benennen kann. Es ist weder ausreichend, dass der Dienstleister erklärt, die gesetzlichen Anforderungen an die Datensicherheit einzuhalten, noch genügt die Vorlage eines allgemeinen Sicherheitskonzeptes seitens des Auftragnehmers, solange sich hieraus nicht die für die konkrete Datenverarbeitung notwendigen Sicherungsmaßnahmen detailliert ergeben. Kontrolle des Auftragnehmers und Dokumentationspflicht In 11 Abs. 2 Satz 4 und 5 BDSG ist festgelegt, dass der Auftraggeber sich bezüglich der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen erstmalig bereits vor Beginn der Datenverarbeitung überzeugen muss und das Ergebnis der Prüfung zu dokumentieren hat. Vor Beginn der Datenverarbeitung bedeutet dabei nicht vor der Erteilung des Auftrages (also des Vertragsschlusses mit dem Dienstleister), sondern vor Aufnahme der datenverarbeitenden Tätigkeit des Auftragnehmers für den Auftraggeber. Der Auftraggeber darf den Auftragnehmer daher erst anweisen mit der Durchführung der Datenverarbeitung zu beginnen, wenn er sich im Rahmen einer Erstkontrolle von der Einhaltung dieser technischen und organisatorischen Maßnahmen überzeugt und das Ergebnis seiner Kontrolle dokumentiert hat. Neben dieser Erstkontrolle verlangt 114 Abs. 2 Satz 4 und 5 BDSG zudem zu dokumentierende fortlaufende Kontrollen des Auftraggebers beim Auftragnehmer, die teilweise auch als sogenannte Regelaudits bezeichnet werden. Denn der Auftraggeber als verantwortliche Stelle ist ebenso wie im eigenen Unternehmen auch bei Auftragnehmern verpflichtet, sich fortwährend von der uneingeschränkten Einhaltung datenschutzrechtlicher Regelungen zu überzeugen. TÜV SÜD PRAXISHINWEIS:Es ist für die Praxis wichtig zu wissen, dass der Beginn einer Auftragsdatenverarbeitung vor Durchführung bzw. Abschluss der Erstkontrolle nach 43 Abs. 1 Nr. 2b BDSG einen bußgeldbewährten Verstoß darstellt. Weshalb ein Verstoß gegen die Pflicht zum Audit vor Beginn der Datenverarbeitung ein Bußgeld rechtfertigt, das Versäumnis der nicht minder wichtigen Regelaudits hingegen nicht, ist schlicht nicht nachvollziehbar. Es bedeutet aber, dass man als Datenschutzbeauftragter bei seiner internen Beratung immer zusätzlich berücksichtigen sollte, dass das Unterlassen einer Erstkontrolle auch einen finanziellen Schaden für das Unternehmen bedeuten kann. Sowohl bezüglich der von Seiten des Gesetzgebers erwarteten Prüfungsinhalte als auch hinsichtlich der Frequenz solcher Regelaudits trifft das Gesetz keine Aussage. Dies liegt daran, dass beides nur jeweils anhand der konkreten Datenverarbeitungen entschieden werden kann. 13

Einigkeit unter den datenschutzrechtlichen Aufsichtsbehörden besteht nur dahingehend, dass die Prüfungsinhalte umfangreicher und die Frequenz häufiger sein müssen, je sensibler die Daten sind, je größer die Anzahl der Daten ist und je höher die sich hieraus ableitenden Anforderungen an die zu treffenden technischen und organisatorischen Maßnahmen sind. Die sowohl für die Erstkontrolle als auch für die Regelaudits geltende Dokumentationspflicht betrifft eine schriftliche Fixierung der Auditmethode, des Prüfungsinhaltes wie auch der Kontrollergebnisse des Audits. Hierzu gehören insbesondere die festgestellten Mängel und die seitens des Auftraggebers angewiesenen Maßnahmen zur Mängelbeseitigung. TÜV SÜD PRAXISHINWEIS: Die erforderliche Erstkontrolle muss, ebenso wie die Regelaudits, nicht zwingend vor Ort erfolgen (also in den Räumlichkeiten des Auftragnehmers in denen die Datenverarbeitung erfolgt). Alternativ kommen unter anderem sogenannte Dokumenten Audits in Betracht, bei denen der Auftragnehmer Fragebögen des Auftraggebers zu den technischen und organisatorischen Maßnahmen ausfüllt und erforderliche Dokumente zum Nachweis einzelner Maßnahmen beilegt. Diese Audits können oftmals auch bis zu einem gewissen Grad standardisiert werden und bieten sich daher insbesondere für Unternehmen an, die vermehrt auf Auftragsdatenverarbeitungen zurückgreifen. Man kann sich ferner bestehende Zertifizierungen (Gütesiegel) zum Nachweis vorlegen lassen, sofern die Zertifizierungen aktuell sind, einen ganzheitlichen datenschutzrechtlichen Fokus aufweisen und die die Zertifizierung vorgenommene Stelle als vertrauenswürdig anzusehen ist. Im Übrigen können auch Dritte mit derartigen Auditaufgaben beauftragt werden. Teilweise macht es daher in Unternehmen mit vielen Auftragsdatenverarbeitungen Sinn, einen internen oder externen Datenschutz Auditor zu beschäftigen. Jedenfalls wird der Datenschutzbeauftragte naturgemäß ab einer gewissen Dienstleisteranzahl an Auftragsdatenverarbeitern der bestehenden Kontrollpflicht nicht mehr selbst entsprechen können. Um einen Überblick über die erforderlichen Regelaudits zu behalten, ist es ratsam, alle Auftragsdatenverarbeiter zu erfassen. Mittels solch einer Übersicht kann der Datenschutzbeauftragte nicht nur seine Kontrolltätigkeiten organisieren, sondern insbesondere die interne Verarbeitungsübersicht wertvoll ergänzen. Die Kombination beider Informationsquellen versetzt einen Datenschutzbeauftragten in die Lage, einen ganzheitlichen Blick auf die Datenverarbeitung einer verantwortlichen Stelle zu erlangen. Siehe MUSTER ÜBERSICHT VERTRÄGE ADV (TÜV SÜD USB Stick) 14

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback