Auftragsverarbeitung und der Einsatz von Subunternehmern

27. Januar 2021| 2 Kommentare | von Nicolas Kötter

In der heutigen, arbeitsteiligen Welt kommt es oft vor, dass Auftragsverarbeiter wie Cloudanbieter Teile ihrer Dienstleistung nicht selbst erbringen, sondern Subunternehmer einsetzen. Das kann zu ganzen Ketten an Unterauftragsverhältnissen führen. Was dabei zu beachten ist, schauen wir uns im Folgenden an. Weiterlesen →

Die Auftragskontrolle in der DSGVO

7. September 2020| 1 Kommentar | Von Dr. Datenschutz

Dienstleister, die personenbezogene Daten im Auftrag verarbeiten, sind sorgfältig auszuwählen und im Laufe ihres Einsatzes regelmäßig zu kontrollieren. Das ist mittlerweile Standard. Doch wie und wann findet eine solche Auftragskontrolle sinnvollerweise statt? Weiterlesen →

Aufsichtsbehörde: Microsoft Teams ist rechtswidrig! – Wirklich?

9. Juli 2020| 6 Kommentare | Von Dr. Datenschutz

In einer Stellungnahme erklärt die Berliner Aufsichtsbehörde die datenschutzrechtlichen Verträge aller großen Anbieter von Videokonferenztools für nicht DSGVO-konform. Nach Ansicht der Behörde ist die Nutzung von Microsoft Teams, Skype (for Business), GoTo-Meeting ebenso rechtswidrig wie die Nutzung von Konkurrenzprodukten wie WebEx, GoogleMeet oder Zoom. Rechtskonform nutzbar seien ausschließlich weniger verbreitete europäische Lösungen. Doch was ist dran an der Einschätzung der Berliner? Wir versuchen, uns dem Thema etwas differenzierter zu nähern. Weiterlesen →

Bearbeitung von Betroffenenrechten: Wer ist zuständig?

17. April 2020| 3 Kommentare | Von Dr. Datenschutz

Veranlasst durch ein Bußgeld in Höhe von 50.000 €, welches das LDA Brandenburg im vergangenen Jahr verhängte, wollen wir näher darauf eingehen, wen die Pflicht zur Bearbeitung von Betroffenenrechten trifft. Weiterlesen →

Microsoft Office 365 ab sofort über deutsche Server nutzbar

21. Februar 2020| 4 Kommentare | Von Dr. Datenschutz

Microsoft kündigt an, deutschen Unternehmen ab sofort Cloud-Lösungen über deutsche Server zur Verfügung zu stellen. Neben Office 365 sollen auch zahlreiche Dienste von Dynamics 365 über lokale Server nutzbar sein. Zunächst wird diese Neuerung allerdings nur für Neukunden relevant. Weiterlesen →

Steuerberater sind keine Auftragsverarbeiter – Änderung sorgt für Klarheit

14. Januar 2020| 11 Kommentare | von Christopher Schewior

Erst kürzlich hat der deutsche Gesetzgeber mit einer Neufassung des § 11 Steuerberatungsgesetz (StBerG) für Klarheit gesorgt, ob und inwiefern Steuerberater als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO anzusehen sind. Dies nehmen wir zum Anlass, die Hintergründe zu dieser Änderung sowie die Voraussetzungen einer Auftragsverarbeitung im Allgemeinen genauer zu beleuchten. Weiterlesen →

DSFA: Wenn bei der AV die Unterstützungs- zur Durchführungspflicht wird

16. Mai 2019| Noch kein Kommentar | von Nicolas Kötter

Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen muss der Auftragsverarbeiter den Verantwortlichen unterstützen. Im folgenden Beitrag beleuchten wir die Reichweite dieser Unterstützungspflicht bei der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) durch den Verantwortlichen. Weiterlesen →

Auftragsverarbeitung: Bei der Einordnung muss differenziert werden

5. November 2018| 3 Kommentare | Von Dr. Datenschutz

Im Gegensatz zur früheren Rechtslage legt die DSGVO dem Verantwortlichen und dem Auftragsverarbeiter mehr Pflichten auf. Noch stärker als früher sind die Beteiligten gehalten, die Frage zu klären, ob überhaupt ein Auftragsverhältnis vorliegt. Denn wer dieser zentralen Ausgangsfrage keine Bedeutung beimisst, wird die Rechtmäßigkeit der Verarbeitung nicht gewährleisten können und riskiert mitunter Bußgelder. Weiterlesen →

Wann ist eine Vereinbarung zur Aufgabenverlagerung erforderlich?

29. August 2018| 6 Kommentare | Von Dr. Datenschutz

Findet eine Verlagerung von Aufgaben zwischen Unternehmen statt, liegt nicht immer eine Auftragsverarbeitung vor. Allerdings besteht häufig auch bei einer klassischen Datenübermittlung ein Bedürfnis der Parteien, die datenschutzrechtlichen Pflichten über eine Vereinbarung zu regeln. Der folgende Beitrag beschäftigt sich mit dem Erfordernis einer vertraglichen Regelung zur Aufgabenverlagerung. Weiterlesen →

Auswahl neuer Auftragsverarbeiter – Was gilt es zu beachten?

20. Juli 2018| Noch kein Kommentar | Von Dr. Datenschutz

Unternehmen setzen ständig neue Dienstleister ein, die personenbezogene Daten im Auftrag verarbeiten. Nachdem wir uns angeschaut haben, wann man einen Auftragsverarbeitungsvertrag mit einem Dienstleister braucht, beschäftigen wir uns nun mit der Frage, was bei der Auswahl neuer Auftragsverarbeiter zu beachten ist. Weiterlesen →

BayLfD veröffentlicht Orientierungshilfe zur Auftragsverarbeitung

28. Mai 2018| 2 Kommentare | Von Dr. Datenschutz

Wir schreiben den 28.05.2018. Der 25. Mai ist überstanden, das Internet funktioniert, die Welt ist wider Erwarten nicht untergegangen. Mit der neuen Woche kommen neue Verträge zur Auftragsverarbeitung, die es zu prüfen und abzulegen gilt. Der BayLfD hat Freitag eine Orientierungshilfe zur Auftragsverarbeitung veröffentlicht. Sie kann auch für Unternehmen hilfreich sein. Weiterlesen →

Stolperfallen der DSGVO: Sind Sie fit?

23. April 2018| 1 Kommentar | Von Dr. Datenschutz

Die Datenschutz-Grundverordnung (DSGVO) ist vielen Verantwortlichen mittlerweile zumindest mit ihren wesentlichen Inhalten bekannt. Doch, wie steht es um Ihr Wissen wirklich? Anhand von drei Stolperfallen zeigen wir Ihnen, ob Sie wirklich fit sind. Weiterlesen →

Wann brauche ich einen Auftragsverarbeitungsvertrag (AVV)?

12. April 2018| 53 Kommentare | von Cornelius von Cramm

Mit dem Softwareanbieter muss er geschlossen werden, mit dem Lettershop sowieso, aber wie sieht das eigentlich mit dem Steuerberater aus? Auftragsverarbeitungsverträge (AVV) und deren Handhabung können schnell zu einem unübersichtlichen Ärgernis werden. Mit wem muss ich einen abschließen? Mit wem sollte ich keinen abschließen? Bei wem ist es egal? Weiterlesen →

Was ist ein Intercompany Agreement?

21. Februar 2018| Noch kein Kommentar | Von Dr. Datenschutz

Viele Konzerne nutzen Intercompany Agreements, um die komplexen Strukturen innerhalb des Konzerns und unter den Tochterunternehmen übersichtlich und als Ganzes zu erfassen. Doch was ist eigentlich ein Intercompany Agreement und wie kann dieser sinnvoll auch im Datenschutz eingesetzt werden? Weiterlesen →

Ist die Methodik zur Risikobewertung im ADV festzulegen?

17. Januar 2018| 2 Kommentare | Von Dr. Datenschutz

Das BayLDA hat ein ADV-Muster nach den neuen Vorgaben der DSGVO bereitgestellt. Darin findet sich auch eine Regelung, die bislang wohl Verantwortlichen und Auftragsverarbeitern nicht bekannt war und in der Praxis noch kaum Beachtung gefunden hat. Danach soll im ADV eine Regelung über die Methodik zur Risikobewertung vertraglich festgelegt werden. Ist dies wirklich im ADV notwendig? Müssen möglicherweise alle für die DSGVO vorbereiten Vereinbarungen zur Auftragsverarbeitung noch einmal überarbeitet werden? Weiterlesen →

Datenschutz-Grundverordnung: Bußgelder und Sanktionen Teil 2

15. September 2017| 4 Kommentare | Von Dr. Datenschutz

Die Datenschutz-Grundverordnung (DSGVO) sieht teils horrende Bußgelder und Sanktionen vor. In unserem Artikel Datenschutz-Grundverordnung: Bußgelder und Sanktionen haben wir Ihnen bereits einen Überblick über die Bußgeldregelungen der DSGVO vermittelt. Hier finden Sie nun einen konkreten Überblick über die einzelnen bußgeldbewehrten Tatbestände. Weiterlesen →

Wartungsarbeiten – Ist das eine Auftragsverarbeitung nach der DSGVO?

23. Januar 2017| 17 Kommentare | von Katrin Rammo

Das (unbeliebte) Thema Auftragsdatenverarbeitung ist aus dem Alltag eines Datenschutzbeauftragten nicht wegzudenken. Häufig ist es sehr mühsam, die Dienstleister davon zu überzeugen, dass zusätzlich zu bzw. statt einer Geheimhaltungsvereinbarung eine Vereinbarung zur Auftragsdatenverarbeitung i.S.d. § 11 BDSG abzuschließen ist. Insbesondere Dienstleister, die lediglich Wartungsarbeiten an einem Tool durchführen und dabei den Zugriff auf personenbezogenen Daten des Auftraggebers gar nicht benötigen, stellen sich quer. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung. Weiterlesen →

Tag: Art. 28 DSGVO

Archiv