Tag: Dienstleisterkontrollen

Archiv

ISO 27701: Auftraggeber-Management und Kundenzufriedenheit

Ein Unternehmen, dass personenbezogene Daten im Auftrag verarbeitet, muss mit seinen Auftraggebern einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abschließen. Dieser Beitrag der Blogreihe „Datenschutz-Zertifizierung nach ISO 27701“ widmet sich dem Thema, wie der Auftragsnehmer (Auftragsverarbeiter) seine gesetzlichen und vertraglichen Pflichten effektiv regeln und nachkommen kann. Weiterlesen

ISO 27001 und die Dienstleisterkontrolle: ein Dreamteam?

ISO-Zertifizierungen sind hierzulande unverändert hoch im Kurs. Man verspricht sich Sicherheit und gleichzeitig Arbeitsersparnis bei Auswahl und Prüfung von Assets oder auch Geschäftspartnern. Obgleich vorhandene Zertifizierungen zahlreiche Vorteile bieten und durchaus als Teil einer gelungenen Compliance angesehen werden können, sollte im datenschutzrechtlichen Bereich durchaus ein kritischer Blick gewahrt werden. Weiterlesen

Auftragsdatenverarbeitung – Unwissenheit schützt vor Strafe nicht

Obwohl bereits 2009 die Regelungen zur Auftragsdatenverarbeitung verschärft worden sind und das Gesetz nicht nur klare Vorgaben für die inhaltliche Ausgestaltung sondern auch Bußgelder für die Nicht-Umsetzung vorsieht, wird das Thema in den meisten Unternehmen immer noch stiefmütterlich behandelt. Dies betrifft insbesondere Dienstleister, die bereits im Unternehmen eingesetzt werden. Weiterlesen

Datenmissbrauch externer Dienstleister am Beispiel Vodafone

Erst kürzlich berichtete SPIEGEL-ONLINE, dass Kriminelle Zugriff auf die Stammdaten von Kunden erlangt hatten. Betroffen waren der Kundenname, die Adresse, das Geburtsdatum, das Geschlecht, die Bankleitzahl und die Kontonummer.

Anscheinend war ein externer Dienstleister hierfür verantwortlich. Nachfolgend daher eine Zusammenfassung der aus rechtlicher Sicht wesentlichen Punkte. Weiterlesen

Auftragsdatenverarbeitung – Wie wird diese von der Funktionsübertragung abgegrenzt?

Werden Daten durch Dritte im Auftrag verarbeitet, kommt es qua Gesetz zu einer Privilegierung: Nach §3 VIII BDSG ist die Datenweitergabe nicht als Übermittlung anzusehen. Der Auftragnehmer ist datenschutzrechtlich kein „Dritter“, sondern gilt gleichsam als verlängerter Arm des Auftraggebers. Folge ist, dass eine besondere Einwilligung der Betroffenen oder eine andere Rechtsgrundlage für die Weitergabe ihrer Daten nicht erforderlich ist. Dies gilt aber nur dann, wenn eine Auftragsdatenverarbeitung im rechtlichen Sinne auch wirklich vorliegt. Wird jedoch neben der konkreten Verarbeitung der Daten der gesamte Aufgabenbereich übertragen, kann es sich rechtlich um eine Funktionsübertragung handeln. In diesem Fall ist der Dritte nicht mehr bloß Auftragnehmer sondern selbst „verantwortliche Stelle“ und die Weitergabe der Daten bedarf einer gesonderten Erlaubnis. Weiterlesen