Upload
lisa-winter
View
219
Download
0
Embed Size (px)
Citation preview
BDSG-NovellenAchtung: sofort handeln!
Ein Kurzüberblick über die rechtlichen Änderungen zur Auftragsdatenverarbeitung.
AUFTRAGSDATEN-VERARBEITUNG (ADV)
§ 11 BDSG
Was ist Auftragsdatenverarbeitung (ADV)
• Privileg der ADV• Das Datenschutzrecht kennt kein Konzernprivileg (Problem
gemeinsam genutzter Kundendatenbanken im Konzern)• Das Datenschutzrecht ist „subsidiär“• Keine ADV mit Drittstaaten (angemessenes Datenschutzniveau)
pb Daten
Typische ADVs
• Rechenzentren,• Druckereien,• Schreibbüros,• Marktforscher,• Entsorger,• Inkassounternehmen,• Application-Service-Provider,• Archivierungsdienste,• Backup-Dienstleister,• Adressdienstleister,• Lettershops,
• Call-Center,• Heimarbeiter (nicht
Telearbeiter),• Konzernunternehmen,• Unternehmensberater,• Handelsvertreter,• Wartungstechniker,• Prüfer, Auditoren,• externe Administratoren
Achtung: immer Einzelfallbetrachtung!
Abgrenzung(Quelle: LfD Niedersachsen)
Auftragsdatenverarbeitung• fehlende
Entscheidungsbefugnis des Auftragnehmers
• weisungsgebundene Unterstützung
• fehlende (vertragliche) Beziehung des Auftragnehmers zum Betroffenen
• Umgang nur mit Daten, die der Auftraggeber zur Verfügung stellt
Funktionsübertragung• Überlassung von
Nutzungsrechten an den Daten
• eigenverantwortliche Sicherstellung von Zulässigkeit und Richtigkeit der Daten durch den Dienstleister
• Sicherstellen der Rechte von Betroffenen (Benachrichtigungspflicht, Auskunftsanspruch)
Das Unternehmen als Auftraggeber
Altverträge• Altverträge unterliegen ebenfalls den Neuregelungen zur ADV (a.A.
Hanloser, MMR 2009, 594, 597)
Vorgehensmodell
Quelle: GDD, Neue Anforderungen an die Auftragsdatenverarbeitung nach § 11 BDSG, 2009
Exkurs: technisch-organisatorische Maßnahmen
• technisch-organisatorische Maßnahmen: § 9 BDSG undAnlage zu § 9 Satz 1 BDSG
• Acht Kontrollmaßnahmen
Quelle: IT Governance Institute, CoBiT Mapping, 2. Aufl., S. 71
Vorgehensmodell
Quelle: GDD, Neue Anforderungen an die Auftragsdatenverarbeitung nach § 11 BDSG, 2009
Arbeitshilfen
Musterverträge:• Mustervertrag der GDD
www.gdd.de• Aufsichtsbehörden: Regierungspräsidium Darmstadt,
Datenschutzaufsichtsbehörde für den nicht öffentlichen Bereichhttp://cdl.niedersachsen.de/blob/images/C58779124_L20.pdf
• Bergmann/Möhrle/Herb, Datenschutzrecht, § 11 Anlage 1• Mustervertrag des Deutschen Dialogmarketing Verbandes e.V
(DDV)
§ 11 Abs. 2 Satz 2 BDSG[…] insbesondere im Einzelnen festzulegen sind:1.der Gegenstand und die Dauer des Auftrags,2.der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,3.die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen4.die Berichtigung, Löschung und Sperrung von Daten,5.die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,6.die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,7.die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,8.mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,9.der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,10.die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
Vorgehensmodell
Quelle: GDD, Neue Anforderungen an die Auftragsdatenverarbeitung nach § 11 BDSG, 2009
Gesetzestext: § 11 Abs. 2 Satz 4, 5 BDSG
„[…] Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.“
Prüfungen
Achtung: Nicht zwangsläufig Vor-Ort-Prüfungen!• „Abgesehen wird davon, dass sich der Auftraggeber unmittelbar
beim Auftragnehmer vor Ort oder selbst in Person überzeugt. Dies wäre regelmäßig nicht angemessen und mit einem Verlust an Flexibilität verbunden, z. B. wenn der Auftraggeber ein Testat eines Sachverständigen einholen möchte oder wenn eine schriftliche Auskunft des Auftragnehmers ausreicht.“BT-Druck 16/13657
• Hinweis: Ein Sachverständiger kann ein DSB oder auch ein WP sein.
• Problem: Prüfungsumfang und Gegenstand der Prüfung
Prüfungen
Prüfungsintervall:• „Eine starre Frist, z. B. eine jährliche Kontrolle, würde der in der
Praxis vorkommenden Bandbreite an Auftragsdatenverarbeitungen nicht gerecht.“BT-Druck 16/13657
Umfang der Dokumentation• „Nur durch eine Dokumentation lässt sich der Handlungszeitpunkt
nachweisen und kann sich der Auftraggeber z. B. gegenüber der Aufsichtsbehörde entlasten. Eine nähere Ausgestaltung der Art und des Umfangs der Dokumentation erscheint nicht erforderlich und würde wiederum der Bandbreite an Auftragsdatenverarbeitungen nicht gerecht werden.“BT-Druck 16/13657
Prüfungen
Dokumentationsumfang (Vorschlag der GDD):– Angaben zu den Beteiligten (Verfahrensverantwortlicher, konkreter
Prüfer, DSB, CIO)– Angaben zur betroffenen ADV (AN, Beginn/Ende, Art der ADV,
Kritikalität, Angaben wo der ADV Vertrag vorgehalten wird)– Angaben zur Kontrolle (Wann, Wo, Prüfer, Erstkontrolle/ laufende
Kontrolle, Zeitpunkt der letzten Kontrolle)– Art und Umfang der Kontrolle (vor Ort, schriftlich, vollständig,
Schwerpunktprüfung)– Feststellungen (vertragliche, gesetzliche, techn.-organisatorische
Anforderungen eingehalten/nicht eingehalten; sonstige Verstöße; Verfahrensmeldung aktuell/zu überarbeiten)
– Weitere Maßnahmen (Zeitpunkt der nächsten Kontrolle/Nachkontrolle)– Unterschrift des Prüfers
Vorgehensmodell
Quelle: GDD, Neue Anforderungen an die Auftragsdatenverarbeitung nach § 11 BDSG, 2009
Bußgeld(§ 43 Abs. 1 Nr. 2b BDSG)
Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
• einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder
• entgegen § 11 Absatz 2 Satz 4 BDSG sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt
Auftragsdatenverarbeitung (§ 11 BDSG)
Handlungsempfehlungen• Vertragsgestaltung:
– Anpassung der Altverträge– Vorgabe zur Nutzung eines konformen Vertragsmusters im
Unternehmen• Prozessgestaltung:
– Einführung von Erstkontrollen– Laufende Kontrollen– Erarbeitung eines Prüfkonzepts– Verantwortlichkeiten festlegen
Kontakt
scope & focusService-Gesellschaft Freie Berufe mbH
Dipl.-Ök. Stephan RehfeldZeppelinstr. 8
30175 Hannover
Telefon: (0511) 8 11 21 62Fax: (0511) 3 07 62 40
E-Mail: [email protected]: www.scope-and-focus.com