"RESISCAN durch Dritte Rechtliche Anforderungen an die Beauftragung" RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte

Ähnliche Dokumente
Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013

Sicherheit in Cloud-Diensten

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Auftragsdatenverarbeiter: Darf s ein bißchen mehr sein?

"Umsetzung der Richtlinie Modularer Anforderungskatalog" Dr. Astrid Schumacher/Dietmar Bremser, BSI

Rechtlicher Rahmen für Lernplattformen

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

IT-Compliance und Datenschutz. 16. März 2007

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Datenverarbeitung im Auftrag

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick

Cloud Computing und Datenschutz

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Auftragsdatenverarbeitung i.s.d. 11 Abs. 2 Bundesdatenschutzgesetz (BDSG)

Gesetzliche Grundlagen des Datenschutzes

Datenschutzvereinbarung

Datenschutz im Client-Management Warum Made in Germany

Erläuterungen zum Abschluss der Datenschutzvereinbarung

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV)

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Gut geregelt oder Baustelle Datenschutz bei der Hard- und Softwarewartung

Anlage zur Auftragsdatenverarbeitung

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutz und Datensicherheit im Handwerksbetrieb

Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 BDSG Anlage C zum Nutzervertrag E-POSTBUSINESS BOX. Muster. Zwischen. (im Folgenden Auftraggeber)

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Beraten statt prüfen Behördlicher Datenschutzbeauftragter

Rechtliche Aspekte des Cloud Computing

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Personal- und Kundendaten Datenschutz bei Energieversorgern

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

... - nachstehend Auftraggeber genannt nachstehend Auftragnehmer genannt

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Personal- und Kundendaten Datenschutz in Werbeagenturen

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Öffentliches Verfahrensverzeichnis

Datenschutz der große Bruder der IT-Sicherheit

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Datenschutz-Vereinbarung

Informationen zum Datenschutzaudit durch dbc Sachverständige

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

Anlage zur AGB von isaac10 vom [ ] Auftragsdatenverarbeitung. Präambel

Grundlagen des Datenschutzes und der IT-Sicherheit

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen

1. bvh-datenschutztag 2013

Gutachten zur Re-Zertifizierung des IT-Produkts Dokumentenprüfer ALDO L Check 4U3, Hardware Release 01 / Software im Auftrag der 4U GmbH

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung

Scannen Sie schon oder blättern Sie noch?

Kirchlicher Datenschutz

Datenschutz für den Betriebsrat PRAXISLÖSUNGEN

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

DDV-SIEGEL. Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs-Unternehmen.

Datenschutz und Systemsicherheit

Anwaltsgeheimnis 2.0. Dr. Astrid Auer-Reinsdorff Rechtsanwältin & Fachanwältin IT-Recht. Forum E-Justiz XINNOVATIONS 2010

Personal- und Kundendaten Datenschutz im Einzelhandel

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen.

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK

Datenschutz und Schule

Arbeitshilfen zur Auftragsdatenverarbeitung

Praktischer Datenschutz

Der Schutz von Patientendaten

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Rechtssicher in die Cloud so geht s!

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

Die unterschätzte Gefahr Cloud-Dienste im Unternehmen datenschutzrechtskonform einsetzen. Dr. Thomas Engels Rechtsanwalt, Fachanwalt für IT-Recht

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing

Mit Sicherheit gut behandelt.

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Der interne Datenschutzbeauftragte - ein Praxisbericht

Datenschutz und rechtliche Rahmenbedingungen beim Einsatz mobiler Endgeräte im Unternehmen

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010

Leichter als gedacht!

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am

3 HmbDSG - Datenverarbeitung im Auftrag

Rechtliche Absicherung von Administratoren

Pragmatischer Datenschutz im Unternehmensalltag / Outsourcing - datenschutzrechtlich möglich?

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Datenschutz. Vortrag am GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße Osnabrück

Datenschutzkonforme digitale Patientenakten im Outsourcing. Datenschutzkonforme digitale Patientenakten im Outsourcing

Auftrag gemäß 11 BDSG

Nicht dem Zufall überlassen: Datenschutz Datenschutzmanagement als Basis für zuverlässigen Auftragsdatenschutz

Was sagt der Anwalt: Rechtliche Aspekte im BEM

Datenschutz-Management

Transkript:

Informationstag "Ersetzendes Scannen" Berlin, 19.04.2013 "RESISCAN durch Dritte Rechtliche Anforderungen an die Beauftragung" RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte

Meine Punkte Leistungsvertrag Auftragsdatenverarbeitung 2

Darf ich (selbst) ersetzend scannen? Verbot aus Vertrag oder Gesetz? Datenschutzgesetz, StGB (Urkunden), Berufsrecht, 3

Darf ich Dritte mit dem ersetzenden Scannen beauftragen? Datenschutzgesetz, StGB (Geheimnisverrat), 4

Sollte ich ersetzend scannen und dies outsourcen? Beweisrecht, Obliegenheitsverletzungen 5

1 ADV Dienstleister Verantwortliche Stelle Personenbezogene Daten Betroffener

Auftragsdatenverarbeitung 11 BDSG / Fachgesetz / Landesrecht Erforderliche Regelungen in Schriftform Gegenstand und die Dauer des Auftrags Umfang, Art und Zweck der vorgesehenen Datenverwendung Weisungsrechte des Auftraggebers Kontrollrechte und Kontrollpflichten des Auftraggebers Regelungen von Subunternehmerverhältnissen Festlegung der TOM (z.b. gem. 9 BDSG) Datenrückgabe-, Löschungspflichten Zusätzliche Regelungen Vertragsstrafen ADV

Technische und organisatorische Maßnahmen (z.b. gem. 9 BDSG) Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Trennungskontrolle ADV TOM

Prüfpflichten Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. ( 11 Abs. 2 S.4 BDSG) Persönliche Prüfung nicht erforderlich Verhältnis zum TR-Zertifikat ADV TOM Zert.

Problem. Schutzbedarfsanalyse nur durch Verantwortlichen selbst am konkreten Dokument bzw. Anwendungsfall 10

LEISTUNG ADV TOM ZERT. 11

2 Leistungsvertrag SaaS/ Cloud/ OCR/ weitere Datenverarbeitung Zugriff/ Verfügbarkeit Leistung Organisation/ Kopien/ Formate Fristen Haftungsregime Archivierung/ Vernichtung Inhalt NDA Laufzeit/ Kündigung Gewährleistung/ Rügepflicht Mitwirkung Vergütung 12

Pflichtregelung Einbeziehung der TR als Leistungsparameter Der Auftragnehmer verpflichtet sich, die Leistung gemäß den Anforderungen der BSI TR 03138 in der jeweils aktuellen Fassung zu erbringen. Alle zwingenden (MUSS) und nachdrücklichen (SOLL) Empfehlungen der BSI TR 03138 sind gemäß des festgelegten Schutzmoduls umzusetzen. Abweichungen sind nur nach schriftlicher Zustimmung durch den Auftragnehmer zulässig. Der Auftragnehmer hat ausdrücklich schriftlich darauf hinzuweisen, dass eine Abweichung von der BSI TR 03138 erfolgt. Evtl. Zusicherung einer Zertifizierung (1.8 TR) 13

Vorgaben der TR zum Outsourcing 4.2.2., A.O.5 - TR RESISCAN Im Anforderungskatalog vorgesehene Maßnahmen sind entsprechend umzusetzen, zudem: Muss Organisatorische und technische Schnittstellen Verpflichtung zur Einhaltung der Sicherheitsmaßnahmen Soll Analyse der zusätzlichen Risiken Unangemeldete Stichprobenprüfungen Baustein Outsourcing des IT- Grundschutz-Handbuches Problem: Soll-Bestimmung = nachdrückliche Empfehlung, Abweichungen nur in wohlbegründeten Ausnahmefällen 14

Pflichtregelung Festlegung des Schutzmoduls Projektphasen: Erhebung-Analyse-Beratung Schutzbedarfsanalyse der zu verarbeitenden Dokumente (3.2, 4.2.1 TR) Die Leistung wird nach dem Basismodul gemäß den Anforderungen der BSI TR 03138 erbracht. Option zur Aufwertung der gesamten Leistung oder einzelner Dokumente (CRM) Problem: Schutzbedarf kennt die Prozessordnung nicht, Schadensverlauf nur schwer kalkulierbar 15

Pflichtregelung Einbeziehung der Verfahrensdokumentation Die Verfahrensdokumentation ist als Anlage Bestandteil des Vertrages und entspricht den Vorgaben der BSI TR 03138. Festlegung der organisatorischen und technischen Schnittstellen: Übertragungswege, Datenablageorte, beteiligte Akteure, Rückfallverfahren etc. Baustein Outsourcing IT-Grundschutzhandbuch (BSI- B 1.11) und Festlegung/ Verpflichtung auf Sicherheitsmaßnahmen Analyse des Sicherheitsrisikos Sicherheitskonzept AG Sicherheitskonzept AN Sicherheitsmaßnahmen = Leistungsbestimmung 16

Ihre Punkte? 17

Karsten U. Bartels LL.M. Hausvogteiplatz 11 A 10623 Berlin T +49 (0)30 27 89 00-0 F +49 (0)30 27 89 00-10 www.hk2.eu Rechtsanwalt Zertifizierter Datenschutzbeauftragter (TÜV) DEKRA Schulungsanbieter Auditor der datenschutz cert GmbH Datenschutz-Gütesiegel ips - internet privacy standards Zertifikat zur Auftragsdatenverarbeitung Zertifikat für Datenschutz-Management priventum Beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein anerkannter Sachverständiger für IT- Produkte (rechtlich) Mitglied Geschäftsführender Ausschuss Arge Informationstechnologie im Deutschen Anwaltverein e.v. Leiter AG Recht, Bundesverband IT-Sicherheit e.v. TeleTrusT Schlichter IT-Recht der IHK Berlin Schlichtungsstelle about.me/karstenubartels 18

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback