Änderungen

Wechseln zu: Navigation, Suche

Auftragsdatenverarbeitung

342 Bytes hinzugefügt, 12:25, 8. Nov. 2019
K
Verweis
'''Auftragsdatenverarbeitung ''' (kurz: '''ADV'''), im Sinne des nach {{bdsgl|11}} [[BDSG]], ist war bis Mai 2018 die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister im Auftrag der [[verantwortliche Stelle| verantwortlichen Stelle]]. Im Mai 2018 wurde sie von der [http://www.gesetze-im-internet.de/bdsg_1990/__11.html §11 BDSG[Auftragsverarbeitung]] beschreibt im Detail welche Rechte, Pflichten und Maßnahmen im Einzelnen durch Vertrag zwischen Auftraggeber (verantwortliche StelleAVV) und Auftragnehmer (Dienstleister) zu treffen sindnach Art. 28 DSGVO abgelöst.
{{bdsgl|11}} BDSG beschreibt im Detail welche Rechte, Pflichten und Maßnahmen im Einzelnen durch Vertrag zwischen Auftraggeber (verantwortliche Stelle) und Auftragnehmer (Dienstleister) zu treffen sind. ==Pflichten zur Vertragsgestaltung nach §11 § 11 BDSG==
# Der Auftraggeber bleibt im Falle von ADV voll für die Einhaltung der Bestimmungen des BDSG verantwortlich. Rechte von Betroffenen sind gegen den Auftraggeber geltend zu machen.
# Der Auftragnehmer ist Aufgrund der Tauglichkeit der [[technische und organisatorische Maßnahmen| Sicherheitsvorkehrungen zum Schutz personenbezogener Daten]] auszuwählen
# Kontrollpflicht des Auftraggebers ggü. dem Auftragnehmer vor Vertragsbeginn und regelmäßig während der Laufzeit des Vertrages bzgl. der technischen und organisatorischen Maßnahmen
# Dokumentationspflicht dieser Kontrolle
 
 
==Beispiele zur Auftragsdatenverarbeitung==
#*Wartung von TK-Anlagen
#Entsorgung von Akten oder Datenträgern durch externe Unternehmen
 
'''Keine ADV''' liegt per Definition beim Postversand oder Bankgeschäften vor.
==Abgrenzung zur Funktionsübertragung== 
Die Abgrenzung zwischen ADV und Funktionsübertragung ist nicht eindeutig zu ziehen.
In der Regel kann man sagen, dass die verarbeitende Stelle eine Funktion übernimmt, wenn sie
eine "rechtliche Funktion" übernimmt. Eine solche Konstellation ist häufig in Konzernen vorhanden, in welchen die Konzernmutter z.B.die Personalverwaltung zentralisiert.In Fällen von Funktionsübertragung besteht, formal, keine Pflicht einen Vertrag gemäß §11 {{bdsg|11}} BDSG zu schließen.
Dies wäre im Beispiel der Konzernmutter auch schlecht durchsetzbar, da die verantwortlichen Mitarbeiter ggü. der Konzernmutter
in einer Abhängigkeit stehen.
In solchen Fällen kann sich die eigentliche verantwortliche Stelle auf §28 Absatz {{bdsgl|28|1 Nr. ||2 }} beziehen. Eine zentralePersonalverwaltung im Konzern ist üblich und durchaus im Interesse der verantwortlichen Stelle.Um der Informiertheit des Betroffenen Rechnung zu tragen sollten die Mitarbeiter über die Übermittlung der Daten, etwa im Rahmendes Arbeitsvertrages, in Kenntnis gesetzt werden.
Siehe auch [[Checkliste Datenverarbeitung im Auftrag#Datenverarbeitung im Auftrag oder Funktions.C3.BCbertragung|Checkliste Erkennungsmerkmale für Datenverarbeitung im Auftrag/Funktionsübertragung]].
==Bußgelder==Wer eine ADV auch nur unvollständig im Sinne des §11 {{bdsg|11}} BDSG vergibt oder sich nicht vor Beginn der ADV von den TOMs beim Auftragnehmer überzeugt kann nach §43 Absatz {{bdsgl|43|1 Nummer ||2b }} mit einem [[Bußgeld ]] bis 50.000,-€ bestraft werden.
==Best Practice==
* Im Konzern sollte man sich überlegen ob man mit ADV-Verträgen agiert. In der Regel sind die Kontrollpflichten ggü. der Konzernmutter sowieso nicht durchsetzbar und werden somit wohl eher nichtig. Insofern sollte (und darf) man sich auf die Notwendigkeit der Datenübermittlung berufen. (Anm. d. Autors: Dieser Punkt wird aber als durchaus strittig angesehen.)
* In Fällen von International verflochteten international verflochtenen Konzernen mit [[unsichere Drittländer|unsicheren Drittländern]] kann man sich '''nicht''' auf die Interessen der verantwortlichen Stelle berufen. Hier sind bei einer Interessenabwägung die schutzwürdigen Interessen der Betroffenen wohl als vorgehend zu betrachten. Eine solche Übermittlung ist wohl nur machbar, wenn zwischen den Konzernteilen [[Safe Harbor#Garantien|Standardvertragsklauseln]] geschlossen wurden. 
==Musterverträge==
[[Mustervereinbarung Auftragsdatenverarbeitung]]
 
====Weitere====
# [https://www.gdd.de/nachrichten/arbeitshilfen/Mustervereinbarung%20a7%2011%20BDSG_final1.doc Muster der GDD]
# [https://www.gdd.de/nachrichten/news/englischsprachige-muster-zur-auftragsdatenverarbeitung/ Englischsprachiges Muster der GDD]
# [http://www.say-ho.com/auftragsdatenverarbeitung/ Muster von say-ho.com]
# [http://www.datenschutz.hessen.de/irj/RPDA_Internet?cid=cc0eeb29fc27e29efe4d7d34acc1e89e ft-auftragsdatenverarbeit.htm Muster der Datenschutzaufsichtsbehörde für Hessen]# [http:Ein Mustervertrag zu {{bdsg|11}} BDSG ist auch im Anhang zur Kommentierung bei Bergmann/Möhrle/wwwHerb abgedruckt (und findet sich auf deren CD-ROM).bitkom.org/60376.aspx?url=Mustervertragsanlage_zur_Auftragsdatenverarbeitung_v_3_0.pdf&mode=0&b=Publikationen BITKOM - Mustervertragsanlage zur Auftragsdatenverarbeitung mit englischer Übersetzungshilfe][[Kategorie:Themen]]<noinclude>{{BfDI-Content}}</noinclude>
Template-Autor
128
Bearbeitungen

Navigationsmenü