|
DSGVO Art 4, 12-22, 28-31, 37, 44, 82, 83 Auftragsverarbeitung gemäß DSGVO - Weit gefasster Auftragsverarbeiterbegriff - Prüfpflicht des Verantwortlichen - Pflichten des Auftragsverarbeiters - Auftragsverarbeiter müssen bei Pflichtverletzungen mit Sanktionen rechnen - Das Vorliegen eines Vertrages zur Auftragsverarbeitung ist zu beachten - Beispiel Fernwartung als datenschutzrechtliche Auftragsverarbeitung - Geldstrafe und Schadenersatzklage Auftragsverarbeitung gemäß DSGVO Wird das installierte System durch ein Fremdunternehmen betreut, wie es bei komplexen Softwarelösungen üblich ist, dann fallen diese Unternehmen im Regelfall darunter, da sie im Zuge ihrer Wartungstätigkeit Zugang zu den verarbeiteten Personendaten haben können. Operating: Viele Unternehmen gehen dazu über den Nachtbetrieb einem externen Operating-Center zu übertragen (NOC). Auch hier liegt Auftragsverarbeitung gemäß DSGVO vor. Werden Anfragen ausgelagert, durch ein Callcenter bearbeitet und besteht Zugriff auf die personenbezogenen Datenbestände, dann liegt ebenfalls Auftragsverarbeitung vor. Dies auch dann, wenn zwar das Call-Center im eigenen Haus, aber durch externe Kräfte (Werkverträge) betrieben wird. Viele Organisationen wickeln auch den internen Datenverkehr (Intranet/Extranet) zwischen mehreren Standorten über Internetprovider ab oder sie delegieren bestimmte Leistungen an den Provider, bei denen Zugriff auf personenbezogene Daten bestehen kann (Mailservice, Spam- und Wurmfilterdienste, LDAP-Service, ...). Hier liegt ebenfalls Auftragsverarbeitung vor. Eine Ausnahme besteht dann, wenn der Datenverkehr verschlüsselt in Form eines Virtual Private Networks (VPN) erfolgt und der Provider Zugang dazu hat. Allein aus diesem Grund werden Verschlüsselungslösungen empfohlen. Viele Unternehmen lassen ihre Datenbestände nach statistischen Kriterien zum Zwecke der Marketinganalyse oder des Controllings auswerten. Diese Tätigkeit wird bei kleineren Unternehmen meist ausgelagert, da sie spezifisches Knowhow erfordert und nicht regelmäßig anfällt. Hier liegt ebenfalls Auftragsverarbeitung vor. Auch die Heranziehung eines Steuerberaters fällt unter Auftragsverarbeitung. Viele Einrichtungen ziehen zur Beurteilung von Ansprüchen externe Experten zur Erstellung psychologischer oder gesundheitlicher Gutachten heran. Im Besonderen sind dies Krankenversicherungen (Privat- und Sozialversicherungen), aber auch das Arbeitsmarktservice oder Gesundheitseinrichtungen. Auch externe Laborbefundung würde darunterfallen. Soweit diese Gutachten automationsunterstützt erfolgen liegt Auftragsverarbeitung vor. Eine weitere Gruppe bilden die sogenannten Notfalls-, Ausweich-, und Backuplösungen, die gerade bei Organisationen mit 'personenbezogenen Daten besonderer Kategorien‘ zur Sicherung ihres IT-Betriebes herangezogen werden. Soweit dies durch externe Stellen geschieht liegt wieder Auftragsverarbeitung vor. - Führung von Verfahrensverzeichnissen (Art 30 Abs 2 DSGVO) - Zusammenarbeit mit der Datenschutzaufsicht (Art 31 DSGVO) - Bestellung eines Datenschutzbeauftragten bei Bedarf (Art 37 Abs 1 DSGVO) - Übermittelte Daten dürfen nicht für andere, als die vom Verantwortlichen vorgesehenen, Zwecke genutzt werden - Heranziehung von Subverarbeitern erfordert Meldepflicht beim Verantwortliche - Einhaltung der Betroffenenrechte (Art 12 bis 22 DSGVO) - Meldepflicht jeder Datenschutzpanne beim Verantwortlichen - Volle Verantwortung über personenbezogene Daten gegenüber dem Verantwortlichen auch im Falle von Sub-Auftragsverarbeitung - Beachtung von Beschränkungen für die Datenübermittlung in Drittländer (Art 44 DSGVO) Vereinbarungen zwischen Verantwortlichen und Auftragsverarbeiter, die die obengenannten Pflichten betreffen, sind schriftlich festzuhalten. Vereinbarungen zur Auftragsverarbeitung dürfen auch in elektronischer Form abgeschlossen werden. Die ARGE DATEN stellt ihren Mitgliedern dazu kostenlos ein Vereinbarungsmuster zur Verfügung (http://www.argedaten.at/muster). Im modernen IT-Alltag kommt es regelmäßig vor, dass Computersysteme nicht mehr lokal, sondern per Internet aus der Ferne bedient werden („Fernwartung“). Unabhängig von sonstigen vertraglichen Vereinbarungen, liegt ein datenschutzrechtliches Auftragsverarbeitungsverhältnis gemäß Art 28 DSGVO vor, sobald für eine Wartungsfirma als Auftragsverarbeiter eine Zugriffsmöglichkeit auf personenbezogene Daten besteht. Beispielsweise bei Übernahme des Betriebs, der Wartung oder Sicherung von IT-Systemen, auf denen sich personenbezogene Daten befinden. In diesem Fall, muss zwischen der Wartungsfirma und dem verantwortlichen Verarbeiter geregelt werden, wie mit personenbezogenen Daten umzugehen ist. Dies kann grundsätzlich im Rahmen beliebiger vertraglicher Vereinbarungen geschehen. In der Praxis hat es sich bewährt, eine gesonderte (datenschutzrechtliche) Vereinbarung zur Auftragsverarbeitung gemäß Art 28 DSGVO abzuschließen. mehr --> Wie hat ein Verzeichnis der Verarbeitungstätigkeiten auszusehen? mehr --> Lehrgang ISO-zertifizierter Datenschutzbeauftragter mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf andere --> EuroPriSe - European Privacy Seal |
Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr. |
© ARGE DATEN 2000-2022 Information gemäß DSGVO | webmaster |