49
Bearbeitungen
Auftragsdatenverarbeitung: Unterschied zwischen den Versionen
Auftragsdatenverarbeitung (Quelltext anzeigen)
Version vom 17. September 2010, 09:04 Uhr
, 17. September 2010keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
| Zeile 37: | Zeile 37: | ||
==Abgrenzung zur Funktionsübertragung== | ==Abgrenzung zur Funktionsübertragung== | ||
Die Abgrenzung zwischen ADV und Funktionsübertragung ist nicht eindeutig zu ziehen. | |||
In der Regel kann man sagen, dass die verarbeitende Stelle eine Funktion übernimmt, wenn sie | |||
eine "rechtliche Funktion" übernimmt. | |||
Eine solche Konstellation ist häufig in Konzernen vorhanden, in welchen die Konzernmutter z.B. | |||
die Personalverwaltung zentralisiert. | |||
In Fällen von Funktionsübertragung besteht, formal, keine Pflicht einen Vertrag gemäß §11 BDSG zu schließen. | |||
Dies wäre im Beispiel der Konzernmutter auch schlecht durchsetzbar, da die verantwortlichen Mitarbeiter ggü. der Konzernmutter | |||
in einer Abhängigkeit stehen. | |||
In solchen Fällen kann sich die eigentliche verantwortliche Stelle auf §28 Absatz 1 Nr. 2 beziehen. Eine zentrale | |||
Personalverwaltung im Konzern ist üblich und durchaus im Interesse der verantwortlichen Stelle. | |||
Um der Informiertheit des Betroffenen Rechnung zu tragen sollten die Mitarbeiter über die Übermittlung der Daten, etwa im Rahmen | |||
des Arbeitsvertrages, in Kenntnis gesetzt werden. | |||
==Bußgelder== | ==Bußgelder== | ||
Wer eine ADV auch nur unvollständig im Sinne des §11 BDSG vergibt oder sich nicht vor Beginn der ADV von den TOMs beim Auftragnehmer überzeugt kann nach §43 Absatz 1 Nummer 2b mit einem Bußgeld bis 50.000,-€ bestraft werden. | |||
==Best Practice== | |||
* Die Prüfung der TOMs '''vor''' Auftragsvergabe muss nicht persönlich und nicht vor Ort durchgeführt werden. | |||
Legitim ist auch die Anerkennung von Auditsiegeln, die nahelegen, dass den Anforderungen des BDSG genüge getan ist. | |||
Insofern wäre z.B. ein Siegel ISO 9001 nicht im Kontext des Datenschutzes als ausreichend zu erachten, eine Zertifizierung nach [[ISO 27001]], auch wenn eigentlich auf IT-Sicherheit ausgelegt, schon. | |||
Ebenfalls möglich wäre es, einen Dritten mit der Prüfung der TOMs beim Auftragnehmer zu beauftragen und dessen Urteil als maßgeblich zu erachten. | |||
* Im Konzern sollte man sich überlegen ob man mit ADV-Verträgen agiert. In der Regel sind die Kontrollpflichten ggü. der Konzernmutter sowieso nicht durchsetzbar. Insofern sollte (und darf) man sich auf die Notwendigkeit der Datenübermittlung berufen. (Dieser Punkt wird aber als durchaus strittig angesehen. Anm. d. Autors) | |||
* In Fällen von International verflochteten Konzernen mit u[[nsicheren Drittländern]] kann man sich '''nicht''' auf die Interessen der verantwortlichen Stelle berufen. Hier sind bei einer Interessenabwägung die schutzwürdigen Interessen der Betroffenen wohl als vorgehend zu betrachten. Eine solche Übermittlung ist wohl nur machbar, wenn zwischen den Konzernteilen [[Standardvertragsklauseln]] geschlossen wurden. | |||
==Musterverträge== | ==Musterverträge== | ||