BDSG-Novellen Achtung: sofort handeln! Ein Kurzüberblick über die rechtlichen Änderungen zur Auftragsdatenverarbeitung.

Ähnliche Dokumente
Datenschutz von A-Z. Ausgabe Taschenbuch. 272 S. Paperback ISBN

Stephan Hansen-Oest Rechtsanwalt. Stand: erstellt von: Sachverständiger für IT-Produkte (rechtlich)

Rumänisches Datenschutzrecht Deutsches Datenschutzrecht

NOVELLIERUNG DES BUNDESDATENSCHUTZGESETZES ÄNDERUNGEN SEPTEMBER 2009 TEIL 1: AUFTRAGSDATENVERARBEITUNG

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom : BDSG (1)

Datenverarbeitung im Auftrag

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

Rechtlicher Rahmen für Lernplattformen

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde

Bayerisches Landesamt für Datenschutzaufsicht

Vereinbarung über die Auftragsdatenverarbeitung

Vertrag zur Verarbeitung von Daten im Auftrag

Praktischer Datenschutz

Vertrag über Auftragsdatenverarbeitung

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung

Vertragsanlage zur Auftragsdatenverarbeitung

Auftragsdatenverarbeitung und Zertifizierung nach der DSGVO M ä r z , K ö l n

Auftragsdatenverarbeitung

Cloud Computing und Datenschutz

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV)

Stabsstelle Datenschutz. Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Aktuelle Änderungen im Bundesdatenschutzgesetz - Schwerpunkte: Auftragsdatenverarbeitung und Beschäftigtendatenschutz -

HerzlichWillkommen. ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16

Praktischer Datenschutz

Datenschutz in Schulen

Ansätze zur Abgrenzung von Auftragsdatenverarbeitung und Funktionsübertragung

Formular Meldung nach 4d BDSG

Verfahrensanweisung. Corporate Procurement

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

TECHNOLOGY IN THE BOARDROOM

Erläuterungen / Ausfüllhinweise zur Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag gemäß 11 Datenschutzgesetz-EKD

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Gesetzeskonforme Durchführung von Auftragsdatenverarbeitung

Datenschutznovelle II (Datenhandel)

Hosted Cloud: Kundendatenschutz, Datenschutzmanagement und Auftragsdatenverarbeitung

Muster zur Ausschreibung

Inhaltsübersicht. Bibliografische Informationen digitalisiert durch

Was ein Administrator über Datenschutz wissen muss

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen.

Cloud Computing Datenschutz und richtig gute Cloud-Verträge

Datenschutzvereinbarung

DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen - Frau Bettina Ilgner - August-Schanz-Straße Frankfurt am Main

Ergänzende Hinweise zu den Speziellen Vertragsbedingungen für die Auftragsdatenverarbeitung

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

EINLEITUNG... 1 GANG DER UNTERSUCHUNG...3 DATENSCHUTZ IM MULTINATIONALEN KONZERN...5 A. BESTIMMUNG DER WESENTLICHEN BEGRIFFE Datenschutz...

Workshop B1: Wenn die Daten draußen sind... Datenschutz bei weltweit verteilten SAP-Systemen

Vertrag zur Auftragsdatenverarbeitung

Freigabeantrag / Verfahrensbeschreibung nach Art. 26 Abs. 3 S.1 BayDSG

DDV-SIEGEL. Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs-Unternehmen.

Im Rahmen des Vertragsverhältnisses erhebt, verarbeitet und nutzt der Auftragnehmer folgende Arten von Daten:

Vertrag über die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten im Auftrag

1 Gegenstand, Dauer und Spezifizierung der Auftragsdatenverarbeitung

Datenschutz in der Anwaltskanzlei

Auftragsdatenverarbeitung i.s.d. 11 Abs. 2 Bundesdatenschutzgesetz (BDSG)

Vorlesung am Mitwirkungsleistungen des Auftraggebers in IT-Projekten

Mustervereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG - Rechenzentrum

Frequently Asked Questions

Vertrag zur Auftragsdatenverarbeitung

Auftragsdatenverarbeitung Verpflichtungserklärung Los 1

Grundlagen des Datenschutzes Einführung in das Datenschutzrecht Grundschulung nach 46 Abs.6 BPersVG

Auftragsdatenverarbeitung und Risikobewertung Zusammenfassung der KPMG-Studie zur Auftragsdatenverarbeitung

Vorgehensweise Auftragsdatenverarbeitungsvertrag

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht

- Welche Auswirkungen hat die neue Verordnung für den Mittelstand? -

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

... - nachstehend Auftraggeber genannt nachstehend Auftragnehmer genannt

Datenschutz und Datensicherheit im Handwerksbetrieb

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung

Datenschutz-Vereinbarung

EU-Datenschutz-Grundverordnung Was kommt jetzt auf die Unternehmen zu?

3 HmbDSG - Datenverarbeitung im Auftrag

Grundlagen des Datenschutzes. Musterlösung zur 1. Übung vom : BDSG (1)

- Datenschutz im Unternehmen -

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Auftragsdatenverarbeitung für den Auftraggeber: Rechte und Pflichten

SUFFEL & KOLLEGEN, Jena. seit 1990 in Jena. RA Jan Schröder, FA für Arbeitsrecht. RA David Conrad. SUFFEL & KOLLEGEN, Rechtsanwälte

Verfahrensverzeichnis

Datenschutz International

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm: Merkblatt Datenschutzbeauftragter (TÜV )

Bußgeldvorschriften. Gesetzestext 63

Auftrag gemäß 11BDSG Vereinbarung zwischen als Auftraggeber und der Firma Direct-Mail & Marketing GmbH als Auftragnehmer

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Gut geregelt oder Baustelle Datenschutz bei der Hard- und Softwarewartung

Datenschutzrechtliche Aspekte der Implementierung eines Onlineshops an der Universität Oldenburg

Datenschutz im Unternehmen von Auftragsdatenverarbeitung bis Online-Vertrieb

Teil 1: Neues Obligationenrecht. Version 2.1, 22. Oktober 2007 Sven Linder, lic. oec. HSG, dipl. Wirtschaftsprüfer Stephan Illi, lic. oec.

Auftragsdatenverarbeitung im Callcenter

Anlage zur Auftragsdatenverarbeitung nach 11 BDSG

EU-US Privacy Shield Ein neuer sicherer Hafen für die Datenübermittlung in die USA?

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick

Das Verleihnix-Gesetz

Auftrag gemäß 11 BDSG

Datenschutz bei der Datenverarbeitung außer Haus Was passiert, wenn Daten rausgehen? Worauf ihr achten müsst?

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Transkript:

BDSG-Novellen Achtung: sofort handeln! Ein Kurzüberblick über die rechtlichen Änderungen zur Auftragsdatenverarbeitung.

11 BDSG AUFTRAGSDATEN- VERARBEITUNG (ADV)

Was ist Auftragsdatenverarbeitung (ADV) pbdaten Privileg der ADV Das Datenschutzrecht kennt kein Konzernprivileg (Problem gemeinsam genutzter Kundendatenbanken im Konzern) Das Datenschutzrecht ist subsidiär Keine ADV mit Drittstaaten (angemessenes Datenschutzniveau)

Typische ADVs Rechenzentren, Druckereien, Schreibbüros, Marktforscher, Entsorger, Inkassounternehmen, Application-Service-Provider, Archivierungsdienste, Backup-Dienstleister, Adressdienstleister, Lettershops, Call-Center, Heimarbeiter (nicht Telearbeiter), Konzernunternehmen, Unternehmensberater, Handelsvertreter, Wartungstechniker, Prüfer, Auditoren, externe Administratoren Achtung: immer Einzelfallbetrachtung!

Abgrenzung (Quelle: LfD Niedersachsen) Auftragsdatenverarbeitung fehlende Entscheidungsbefugnis des Auftragnehmers weisungsgebundene Unterstützung fehlende (vertragliche) Beziehung des Auftragnehmers zum Betroffenen Umgang nur mit Daten, die der Auftraggeber zur Verfügung stellt Funktionsübertragung Überlassung von Nutzungsrechten an den Daten eigenverantwortliche Sicherstellung von Zulässigkeit und Richtigkeit der Daten durch den Dienstleister Sicherstellen der Rechte von Betroffenen (Benachrichtigungspflicht, Auskunftsanspruch)

Das Unternehmen als Auftraggeber Altverträge Altverträge unterliegen ebenfalls den Neuregelungen zur ADV (a.a. Hanloser, MMR 2009, 594, 597) 1. 2. Erhebung, welche bestehenden Verträge der ADV unterliegen. Praxistipp: Mitarbeiter befragen! Anpassung der Altverträge an die neue Rechtslage.

Vorgehensmodell 1 Vorlage der technisch-organisatorischen Maßnahmen durch den potenziellen Auftragnehmer 2 Auswahl des Auftragnehmers unter Berücksichtigung der technischorganisatorischen Maßnahmen 3 Schriftlicher Auftrag mit Festlegung der technisch-organisatorischen Maßnahmen (Anforderungen des Auftraggebers, ggf. unter Berücksichtigung eines vom Auftragnehmer vorgelegten Datensicherheitskonzepts) 4 Erstmalige Prüfung der Umsetzung der technisch-organisatorischen Maßnahmen durch den Auftraggeber 5 Dokumentation des Ergebnisses der Prüfung der technisch-organisatorischen Maßnahmen/ Beginn der Datenverarbeitung 6 Festlegung und Durchführung der regelmäßigen Kontrolle der Umsetzung der technisch-organisatorischen Maßnahmen Quelle: GDD, Neue Anforderungen an die Auftragsdatenverarbeitung nach 11 BDSG, 2009

Exkurs: technisch-organisatorische Maßnahmen technisch-organisatorische Maßnahmen: 9 BDSG und Anlage zu 9 Satz 1 BDSG Acht Kontrollmaßnahmen Quelle: IT Governance Institute, CoBiT Mapping, 2. Aufl., S. 71

Vorgehensmodell 1 Vorlage der technisch-organisatorischen Maßnahmen durch den potenziellen Auftragnehmer 2 Auswahl des Auftragnehmers unter Berücksichtigung der technischorganisatorischen Maßnahmen 3 Schriftlicher Auftrag mit Festlegung der technisch-organisatorischen Maßnahmen (Anforderungen des Auftraggebers, ggf. unter Berücksichtigung eines vom Auftragnehmer vorgelegten Datensicherheitskonzepts) 4 Erstmalige Prüfung der Umsetzung der technisch-organisatorischen Maßnahmen durch den Auftraggeber 5 Dokumentation des Ergebnisses der Prüfung der technisch-organisatorischen Maßnahmen/ Beginn der Datenverarbeitung 6 Festlegung und Durchführung der regelmäßigen Kontrolle der Umsetzung der technisch-organisatorischen Maßnahmen Quelle: GDD, Neue Anforderungen an die Auftragsdatenverarbeitung nach 11 BDSG, 2009

Arbeitshilfen Musterverträge: Mustervertrag der GDD www.gdd.de Aufsichtsbehörden: Regierungspräsidium Darmstadt, Datenschutzaufsichtsbehörde für den nicht öffentlichen Bereich http://cdl.niedersachsen.de/blob/images/c58779124_l20.pdf Bergmann/Möhrle/Herb, Datenschutzrecht, 11 Anlage 1 Mustervertrag des Deutschen Dialogmarketing Verbandes e.v (DDV)

11 Abs. 2 Satz 2 BDSG [ ] insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 zu treffenden technischen und organisatorischen Maßnahmen 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Vorgehensmodell 1 Vorlage der technisch-organisatorischen Maßnahmen durch den potenziellen Auftragnehmer 2 Auswahl des Auftragnehmers unter Berücksichtigung der technischorganisatorischen Maßnahmen 3 Schriftlicher Auftrag mit Festlegung der technisch-organisatorischen Maßnahmen (Anforderungen des Auftraggebers, ggf. unter Berücksichtigung eines vom Auftragnehmer vorgelegten Datensicherheitskonzepts) 4 Erstmalige Prüfung der Umsetzung der technisch-organisatorischen Maßnahmen durch den Auftraggeber 5 Dokumentation des Ergebnisses der Prüfung der technisch-organisatorischen Maßnahmen/ Beginn der Datenverarbeitung 6 Festlegung und Durchführung der regelmäßigen Kontrolle der Umsetzung der technisch-organisatorischen Maßnahmen Quelle: GDD, Neue Anforderungen an die Auftragsdatenverarbeitung nach 11 BDSG, 2009

Gesetzestext: 11 Abs. 2 Satz 4, 5 BDSG [ ] Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.

Prüfungen Achtung: Nicht zwangsläufig Vor-Ort-Prüfungen! Abgesehen wird davon, dass sich der Auftraggeber unmittelbar beim Auftragnehmer vor Ort oder selbst in Person überzeugt. Dies wäre regelmäßig nicht angemessen und mit einem Verlust an Flexibilität verbunden, z. B. wenn der Auftraggeber ein Testat eines Sachverständigen einholen möchte oder wenn eine schriftliche Auskunft des Auftragnehmers ausreicht. BT-Druck 16/13657 Hinweis: Ein Sachverständiger kann ein DSB oder auch ein WP sein. Problem: Prüfungsumfang und Gegenstand der Prüfung

Prüfungen Prüfungsintervall: Eine starre Frist, z. B. eine jährliche Kontrolle, würde der in der Praxis vorkommenden Bandbreite an Auftragsdatenverarbeitungen nicht gerecht. BT-Druck 16/13657 Umfang der Dokumentation Nur durch eine Dokumentation lässt sich der Handlungszeitpunkt nachweisen und kann sich der Auftraggeber z. B. gegenüber der Aufsichtsbehörde entlasten. Eine nähere Ausgestaltung der Art und des Umfangs der Dokumentation erscheint nicht erforderlich und würde wiederum der Bandbreite an Auftragsdatenverarbeitungen nicht gerecht werden. BT-Druck 16/13657

Prüfungen Dokumentationsumfang (Vorschlag der GDD): Angaben zu den Beteiligten (Verfahrensverantwortlicher, konkreter Prüfer, DSB, CIO) Angaben zur betroffenen ADV (AN, Beginn/Ende, Art der ADV, Kritikalität, Angaben wo der ADV Vertrag vorgehalten wird) Angaben zur Kontrolle (Wann, Wo, Prüfer, Erstkontrolle/ laufende Kontrolle, Zeitpunkt der letzten Kontrolle) Art und Umfang der Kontrolle (vor Ort, schriftlich, vollständig, Schwerpunktprüfung) Feststellungen (vertragliche, gesetzliche, techn.-organisatorische Anforderungen eingehalten/nicht eingehalten; sonstige Verstöße; Verfahrensmeldung aktuell/zu überarbeiten) Weitere Maßnahmen (Zeitpunkt der nächsten Kontrolle/Nachkontrolle) Unterschrift des Prüfers

Vorgehensmodell 1 Vorlage der technisch-organisatorischen Maßnahmen durch den potenziellen Auftragnehmer 2 Auswahl des Auftragnehmers unter Berücksichtigung der technischorganisatorischen Maßnahmen 3 Schriftlicher Auftrag mit Festlegung der technisch-organisatorischen Maßnahmen (Anforderungen des Auftraggebers, ggf. unter Berücksichtigung eines vom Auftragnehmer vorgelegten Datensicherheitskonzepts) 4 Erstmalige Prüfung der Umsetzung der technisch-organisatorischen Maßnahmen durch den Auftraggeber 5 Dokumentation des Ergebnisses der Prüfung der technisch-organisatorischen Maßnahmen/ Beginn der Datenverarbeitung 6 Festlegung und Durchführung der regelmäßigen Kontrolle der Umsetzung der technisch-organisatorischen Maßnahmen Quelle: GDD, Neue Anforderungen an die Auftragsdatenverarbeitung nach 11 BDSG, 2009

Bußgeld ( 43 Abs. 1 Nr. 2b BDSG) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder entgegen 11 Absatz 2 Satz 4 BDSG sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt

Auftragsdatenverarbeitung ( 11 BDSG) Handlungsempfehlungen Vertragsgestaltung: Anpassung der Altverträge Vorgabe zur Nutzung eines konformen Vertragsmusters im Unternehmen Prozessgestaltung: Einführung von Erstkontrollen Laufende Kontrollen Erarbeitung eines Prüfkonzepts Verantwortlichkeiten festlegen

Kontakt scope & focus Service-Gesellschaft Freie Berufe mbh Dipl.-Ök. Stephan Rehfeld Zeppelinstr. 8 30175 Hannover Telefon: (0511) 8 11 21 62 Fax: (0511) 3 07 62 40 E-Mail: information@scope-and-focus.com Internet: www.scope-and-focus.com

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback