Änderungen

Wechseln zu: Navigation, Suche

Auftragsdatenverarbeitung

1.193 Bytes hinzugefügt, 12:25, 8. Nov. 2019
K
Verweis
'''Auftragsdatenverarbeitung ''' (kurz: '''ADV'''), im Sinne des nach {{bdsgl|11}} [[BDSG]], ist war bis Mai 2018 die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag der [[verantwortliche Stelle| verantwortlichen Stelle]]. Im Mai 2018 wurde sie von der [http://www.gesetze-im-internet.de/bdsg_1990/__11.html §11 BDSG[Auftragsverarbeitung]] beschreibt im Detail welche Rechte, Pflichten und Maßnahmen im Einzelnen durch Vertrag zwischen Auftraggeber (verantwortliche StelleAVV) und Auftragnehmer (Dienstleister) zu treffen sindnach Art. 28 DSGVO abgelöst.
{{bdsgl|11}} BDSG beschreibt im Detail welche Rechte, Pflichten und Maßnahmen im Einzelnen durch Vertrag zwischen Auftraggeber (verantwortliche Stelle) und Auftragnehmer (Dienstleister) zu treffen sind. ==Pflichten zur Vertragsgestaltung nach §11 § 11 BDSG==
# Der Auftraggeber bleibt im Falle von ADV voll für die Einhaltung der Bestimmungen des BDSG verantwortlich. Rechte von Betroffenen sind gegen den Auftraggeber geltend zu machen.
# Der Auftragnehmer ist Aufgrund der Tauglichkeit der [[technische und organisatorische Maßnahmen| Sicherheitsvorkehrungen zum Schutz personenbezogener Daten]] auszuwählen
# Kontrollpflicht des Auftraggebers ggü. dem Auftragnehmer vor Vertragsbeginn und regelmäßig während der Laufzeit des Vertrages bzgl. der technischen und organisatorischen Maßnahmen
# Dokumentationspflicht dieser Kontrolle
 
 
==Beispiele zur Auftragsdatenverarbeitung==
#Beauftragung eines Callcenters zur Kundenkommunikation
#Ablage von personenbezogenen Daten auf extern gehosteten Servern. (Egal ob für Produktivsysteme oder Backups)(Gola/Schomerus verneinen hier ADV, da er Hoster ja nichts mit der eigentlichen DV zu tun hat. Anm. d. A: Der Hoster wird aber für die Wartung der Systeme verantwortlich sein, dabei kann eine Kenntnisnahme nicht ausgeschlossen werden, also doch ADV?)
#Wartungsdienstleistungen, bei denen nicht ausgeschlossen werden kann, dass während der Wartung personenbezogene Daten zur Kenntnis gelangen
#*Wartung von IT-Systemen
#*Wartung von TK-Anlagen
#Entsorgung von Akten oder Datenträgern durch externe Unternehmen
 
'''Keine ADV''' liegt per Definition beim Postversand oder Bankgeschäften vor.
==Abgrenzung zur Funktionsübertragung== 
Die Abgrenzung zwischen ADV und Funktionsübertragung ist nicht eindeutig zu ziehen.
In der Regel kann man sagen, dass die verarbeitende Stelle eine Funktion übernimmt, wenn sie
eine "rechtliche Funktion" übernimmt. Eine solche Konstellation ist häufig in Konzernen vorhanden, in welchen die Konzernmutter z.B.die Personalverwaltung zentralisiert.In Fällen von Funktionsübertragung besteht, formal, keine Pflicht einen Vertrag gemäß §11 {{bdsg|11}} BDSG zu schließen.
Dies wäre im Beispiel der Konzernmutter auch schlecht durchsetzbar, da die verantwortlichen Mitarbeiter ggü. der Konzernmutter
in einer Abhängigkeit stehen.
In solchen Fällen kann sich die eigentliche verantwortliche Stelle auf §28 Absatz {{bdsgl|28|1 Nr. ||2 }} beziehen. Eine zentralePersonalverwaltung im Konzern ist üblich und durchaus im Interesse der verantwortlichen Stelle.Um der Informiertheit des Betroffenen Rechnung zu tragen sollten die Mitarbeiter über die Übermittlung der Daten, etwa im Rahmendes Arbeitsvertrages, in Kenntnis gesetzt werden.
Siehe auch [[Checkliste Datenverarbeitung im Auftrag#Datenverarbeitung im Auftrag oder Funktions.C3.BCbertragung|Checkliste Erkennungsmerkmale für Datenverarbeitung im Auftrag/Funktionsübertragung]].
==Bußgelder==Wer eine ADV auch nur unvollständig im Sinne des §11 {{bdsg|11}} BDSG vergibt oder sich nicht vor Beginn der ADV von den TOMs beim Auftragnehmer überzeugt kann nach §43 Absatz {{bdsgl|43|1 Nummer ||2b }} mit einem [[Bußgeld ]] bis 50.000,-€ bestraft werden.
==Best Practice==
* Die Prüfung der [[technische und organisatorische Maßnahmen|technischen und organisatorischen Maßnahmen]] (TOMs ) '''vor''' Auftragsvergabe muss nicht persönlich und nicht vor Ort durchgeführt werden.
Legitim ist auch die Anerkennung von Auditsiegeln, die nahelegen, dass den Anforderungen des BDSG genüge getan ist.
Insofern wäre z.B. ein Siegel [http://de.wikipedia.org/wiki/ISO_9001 ISO 9001 ] nicht im Kontext des Datenschutzes als ausreichend zu erachten, eine Zertifizierung nach [[http://de.wikipedia.org/wiki/ISO/IEC_27001 ISO 27001]], auch wenn eigentlich auf IT-Sicherheit ausgelegt, schon.
Ebenfalls möglich wäre es, einen Dritten mit der Prüfung der TOMs beim Auftragnehmer zu beauftragen und dessen Urteil als maßgeblich zu erachten.
* Im Konzern sollte man sich überlegen ob man mit ADV-Verträgen agiert. In der Regel sind die Kontrollpflichten ggü. der Konzernmutter sowieso nicht durchsetzbarund werden somit wohl eher nichtig. Insofern sollte (und darf) man sich auf die Notwendigkeit der Datenübermittlung berufen. (Anm. d. Autors: Dieser Punkt wird aber als durchaus strittig angesehen. Anm) * In Fällen von international verflochtenen Konzernen mit [[unsichere Drittländer|unsicheren Drittländern]] kann man sich '''nicht''' auf die Interessen der verantwortlichen Stelle berufen. Hier sind bei einer Interessenabwägung die schutzwürdigen Interessen der Betroffenen wohl als vorgehend zu betrachten. dEine solche Übermittlung ist wohl nur machbar, wenn zwischen den Konzernteilen [[Safe Harbor#Garantien|Standardvertragsklauseln]] geschlossen wurden. Autors)
* In Fällen von International verflochteten Konzernen mit u[[nsicheren Drittländern]] kann man sich '''nicht''' auf die Interessen der verantwortlichen Stelle berufen. Hier sind bei einer Interessenabwägung die schutzwürdigen Interessen der Betroffenen wohl als vorgehend zu betrachten. Eine solche Übermittlung ist wohl nur machbar, wenn zwischen den Konzernteilen [[Standardvertragsklauseln]] geschlossen wurden.
==Musterverträge==
[[Mustervereinbarung Auftragsdatenverarbeitung]] ====Weitere====# [https://www.gdd.de/nachrichten/arbeitshilfen/Mustervereinbarung%20a7%2011%20BDSG_final1.doc Muster derGDD] # [[https://www.gdd.de/nachrichten/news/englischsprachige-muster-zur-auftragsdatenverarbeitung/ Englischsprachiges Muster der GDD]]
# [http://www.say-ho.com/auftragsdatenverarbeitung/ Muster von say-ho.com]
# [http://www.datenschutz.hessen.de/irj/RPDA_Internet?cid=cc0eeb29fc27e29efe4d7d34acc1e89e ft-auftragsdatenverarbeit.htm Muster der Datenschutzaufsichtsbehörde für Hessen] Ein Mustervertrag zu {{bdsg|11}} BDSG ist auch im Anhang zur Kommentierung bei Bergmann/Möhrle/Herb abgedruckt (und findet sich auf deren CD-ROM).[[Kategorie:Themen]]<noinclude>{{BfDI-Content}}</noinclude>
Template-Autor
128
Bearbeitungen

Navigationsmenü