Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

BDSG-Novellen Achtung: sofort handeln!

Veröffentlicht von:Lisa Winter Geändert vor über 8 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "BDSG-Novellen Achtung: sofort handeln!"—  Präsentation transkript:

1 BDSG-Novellen Achtung: sofort handeln!
Ein Kurzüberblick über die rechtlichen Änderungen zur Auftragsdatenverarbeitung.

2 Auftragsdaten-verarbeitung (ADV)
§ 11 BDSG Auftragsdaten-verarbeitung (ADV)

3 Was ist Auftragsdatenverarbeitung (ADV)
pb Daten Privileg der ADV Das Datenschutzrecht kennt kein Konzernprivileg (Problem gemeinsam genutzter Kundendatenbanken im Konzern) Das Datenschutzrecht ist „subsidiär“ Keine ADV mit Drittstaaten (angemessenes Datenschutzniveau)

4 Typische ADVs Rechenzentren, Druckereien, Schreibbüros, Marktforscher,
Entsorger, Inkassounternehmen, Application-Service-Provider, Archivierungsdienste, Backup-Dienstleister, Adressdienstleister, Lettershops, Call-Center, Heimarbeiter (nicht Telearbeiter), Konzernunternehmen, Unternehmensberater, Handelsvertreter, Wartungstechniker, Prüfer, Auditoren, externe Administratoren Achtung: immer Einzelfallbetrachtung!

5 Abgrenzung (Quelle: LfD Niedersachsen)
Auftragsdatenverarbeitung Funktionsübertragung fehlende Entscheidungsbefugnis des Auftragnehmers weisungsgebundene Unterstützung fehlende (vertragliche) Beziehung des Auftragnehmers zum Betroffenen Umgang nur mit Daten, die der Auftraggeber zur Verfügung stellt Überlassung von Nutzungsrechten an den Daten eigenverantwortliche Sicherstellung von Zulässigkeit und Richtigkeit der Daten durch den Dienstleister Sicherstellen der Rechte von Betroffenen (Benachrichtigungspflicht, Auskunftsanspruch)

6 Das Unternehmen als Auftraggeber
Altverträge Altverträge unterliegen ebenfalls den Neuregelungen zur ADV (a.A. Hanloser, MMR 2009, 594, 597) 1. Erhebung, welche bestehenden Verträge der ADV unterliegen. Praxistipp: Mitarbeiter befragen! 2. Anpassung der Altverträge an die neue Rechtslage.

7 Vorgehensmodell 1 Vorlage der technisch-organisatorischen Maßnahmen durch den potenziellen Auftragnehmer 2 Auswahl des Auftragnehmers unter Berücksichtigung der technisch-organisatorischen Maßnahmen 3 Schriftlicher Auftrag mit Festlegung der technisch-organisatorischen Maßnahmen (Anforderungen des Auftraggebers, ggf. unter Berücksichtigung eines vom Auftragnehmer vorgelegten Datensicherheitskonzepts) 4 Erstmalige Prüfung der Umsetzung der technisch-organisatorischen Maßnahmen durch den Auftraggeber 5 Dokumentation des Ergebnisses der Prüfung der technisch-organisatorischen Maßnahmen/ Beginn der Datenverarbeitung 6 Festlegung und Durchführung der regelmäßigen Kontrolle der Umsetzung der technisch-organisatorischen Maßnahmen Quelle: GDD, Neue Anforderungen an die Auftragsdatenverarbeitung nach § 11 BDSG, 2009

8 Exkurs: technisch-organisatorische Maßnahmen
technisch-organisatorische Maßnahmen: § 9 BDSG und Anlage zu § 9 Satz 1 BDSG Acht Kontrollmaßnahmen Quelle: IT Governance Institute, CoBiT Mapping, 2. Aufl., S. 71

9 Vorgehensmodell 1 Vorlage der technisch-organisatorischen Maßnahmen durch den potenziellen Auftragnehmer 2 Auswahl des Auftragnehmers unter Berücksichtigung der technisch-organisatorischen Maßnahmen 3 Schriftlicher Auftrag mit Festlegung der technisch-organisatorischen Maßnahmen (Anforderungen des Auftraggebers, ggf. unter Berücksichtigung eines vom Auftragnehmer vorgelegten Datensicherheitskonzepts) 4 Erstmalige Prüfung der Umsetzung der technisch-organisatorischen Maßnahmen durch den Auftraggeber 5 Dokumentation des Ergebnisses der Prüfung der technisch-organisatorischen Maßnahmen/ Beginn der Datenverarbeitung 6 Festlegung und Durchführung der regelmäßigen Kontrolle der Umsetzung der technisch-organisatorischen Maßnahmen Quelle: GDD, Neue Anforderungen an die Auftragsdatenverarbeitung nach § 11 BDSG, 2009

10 Arbeitshilfen Musterverträge: Mustervertrag der GDD www.gdd.de
Aufsichtsbehörden: Regierungspräsidium Darmstadt, Datenschutzaufsichtsbehörde für den nicht öffentlichen Bereich Bergmann/Möhrle/Herb, Datenschutzrecht, § 11 Anlage 1 Mustervertrag des Deutschen Dialogmarketing Verbandes e.V (DDV)

11 § 11 Abs. 2 Satz 2 BDSG […] insbesondere im Einzelnen festzulegen sind: der Gegenstand und die Dauer des Auftrags, der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen die Berichtigung, Löschung und Sperrung von Daten, die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

12 Vorgehensmodell 1 Vorlage der technisch-organisatorischen Maßnahmen durch den potenziellen Auftragnehmer 2 Auswahl des Auftragnehmers unter Berücksichtigung der technisch-organisatorischen Maßnahmen 3 Schriftlicher Auftrag mit Festlegung der technisch-organisatorischen Maßnahmen (Anforderungen des Auftraggebers, ggf. unter Berücksichtigung eines vom Auftragnehmer vorgelegten Datensicherheitskonzepts) 4 Erstmalige Prüfung der Umsetzung der technisch-organisatorischen Maßnahmen durch den Auftraggeber 5 Dokumentation des Ergebnisses der Prüfung der technisch-organisatorischen Maßnahmen/ Beginn der Datenverarbeitung 6 Festlegung und Durchführung der regelmäßigen Kontrolle der Umsetzung der technisch-organisatorischen Maßnahmen Quelle: GDD, Neue Anforderungen an die Auftragsdatenverarbeitung nach § 11 BDSG, 2009

13 Gesetzestext: § 11 Abs. 2 Satz 4, 5 BDSG
„[…] Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.“

14 Prüfungen Achtung: Nicht zwangsläufig Vor-Ort-Prüfungen!
„Abgesehen wird davon, dass sich der Auftraggeber unmittelbar beim Auftragnehmer vor Ort oder selbst in Person überzeugt. Dies wäre regelmäßig nicht angemessen und mit einem Verlust an Flexibilität verbunden, z. B. wenn der Auftraggeber ein Testat eines Sachverständigen einholen möchte oder wenn eine schriftliche Auskunft des Auftragnehmers ausreicht.“ BT-Druck 16/13657 Hinweis: Ein Sachverständiger kann ein DSB oder auch ein WP sein. Problem: Prüfungsumfang und Gegenstand der Prüfung

15 Prüfungen Prüfungsintervall:
„Eine starre Frist, z. B. eine jährliche Kontrolle, würde der in der Praxis vorkommenden Bandbreite an Auftragsdatenverarbeitungen nicht gerecht.“ BT-Druck 16/13657 Umfang der Dokumentation „Nur durch eine Dokumentation lässt sich der Handlungszeitpunkt nachweisen und kann sich der Auftraggeber z. B. gegenüber der Aufsichtsbehörde entlasten. Eine nähere Ausgestaltung der Art und des Umfangs der Dokumentation erscheint nicht erforderlich und würde wiederum der Bandbreite an Auftragsdatenverarbeitungen nicht gerecht werden.“ BT-Druck 16/13657

16 Prüfungen Dokumentationsumfang (Vorschlag der GDD):
Angaben zu den Beteiligten (Verfahrensverantwortlicher, konkreter Prüfer, DSB, CIO) Angaben zur betroffenen ADV (AN, Beginn/Ende, Art der ADV, Kritikalität, Angaben wo der ADV Vertrag vorgehalten wird) Angaben zur Kontrolle (Wann, Wo, Prüfer, Erstkontrolle/ laufende Kontrolle, Zeitpunkt der letzten Kontrolle) Art und Umfang der Kontrolle (vor Ort, schriftlich, vollständig, Schwerpunktprüfung) Feststellungen (vertragliche, gesetzliche, techn.-organisatorische Anforderungen eingehalten/nicht eingehalten; sonstige Verstöße; Verfahrensmeldung aktuell/zu überarbeiten) Weitere Maßnahmen (Zeitpunkt der nächsten Kontrolle/Nachkontrolle) Unterschrift des Prüfers

17 Vorgehensmodell 1 Vorlage der technisch-organisatorischen Maßnahmen durch den potenziellen Auftragnehmer 2 Auswahl des Auftragnehmers unter Berücksichtigung der technisch-organisatorischen Maßnahmen 3 Schriftlicher Auftrag mit Festlegung der technisch-organisatorischen Maßnahmen (Anforderungen des Auftraggebers, ggf. unter Berücksichtigung eines vom Auftragnehmer vorgelegten Datensicherheitskonzepts) 4 Erstmalige Prüfung der Umsetzung der technisch-organisatorischen Maßnahmen durch den Auftraggeber 5 Dokumentation des Ergebnisses der Prüfung der technisch-organisatorischen Maßnahmen/ Beginn der Datenverarbeitung 6 Festlegung und Durchführung der regelmäßigen Kontrolle der Umsetzung der technisch-organisatorischen Maßnahmen Quelle: GDD, Neue Anforderungen an die Auftragsdatenverarbeitung nach § 11 BDSG, 2009

18 Bußgeld (§ 43 Abs. 1 Nr. 2b BDSG)
Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder entgegen § 11 Absatz 2 Satz 4 BDSG sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt

19 Auftragsdatenverarbeitung (§ 11 BDSG)
Handlungsempfehlungen Vertragsgestaltung: Anpassung der Altverträge Vorgabe zur Nutzung eines konformen Vertragsmusters im Unternehmen Prozessgestaltung: Einführung von Erstkontrollen Laufende Kontrollen Erarbeitung eines Prüfkonzepts Verantwortlichkeiten festlegen

20 Kontakt scope & focus Service-Gesellschaft Freie Berufe mbH Dipl.-Ök. Stephan Rehfeld Zeppelinstr Hannover Telefon: (0511) Fax: (0511) Internet:

Herunterladen ppt "BDSG-Novellen Achtung: sofort handeln!"

Ähnliche Präsentationen

Gerne unterbreite ich Ihnen ein konkretes Angebot

Gerne unterbreite ich Ihnen ein konkretes Angebot
Unterbringungsähnliche Maßnahmen in der rechtlichen Betreuung und Pflege 04. Februar 2009 Veranstalter ISGE (Institut für Soziale Arbeit und Gesundheit.

Unterbringungsähnliche Maßnahmen in der rechtlichen Betreuung und Pflege 04. Februar 2009 Veranstalter ISGE (Institut für Soziale Arbeit und Gesundheit.
Datenschutz im IT-Grundschutz

Datenschutz im IT-Grundschutz
Juristische Aspekte der IT-Sicherheit

Juristische Aspekte der IT-Sicherheit
Benachrichtigung Auskunft Berichtigung Sperrung Löschung

Benachrichtigung Auskunft Berichtigung Sperrung Löschung
Virtual Communities in der Finanzbranche Wertpapierhandelsgesetz, Insiderhandel und Virtual Community Potsdam Gruppe 10: Fischer und Schäfer.

Virtual Communities in der Finanzbranche Wertpapierhandelsgesetz, Insiderhandel und Virtual Community Potsdam Gruppe 10: Fischer und Schäfer.
Datenschutz-Unterweisung

Datenschutz-Unterweisung
Aufgaben der Überwachungsbehörden

Aufgaben der Überwachungsbehörden
HessGiss Warum wir uns mit HessGiss beschäftigen sollten!

HessGiss Warum wir uns mit HessGiss beschäftigen sollten!
Versicherungsvermittler

Versicherungsvermittler
Beurteilung der Arbeitsbedingungen

Beurteilung der Arbeitsbedingungen
Das Rechtsdienstleistungsgesetz

Das Rechtsdienstleistungsgesetz
Datenschutz? Unwissenheit schützt vor Strafe nicht!

Datenschutz? Unwissenheit schützt vor Strafe nicht!
Gesundes Führen lohnt sich !

Gesundes Führen lohnt sich !
Versand der Arzneimittel

Versand der Arzneimittel
Agenda 1. Was muss nach dem Bundesdatenschutzgesetz geschützt werden?

Agenda 1. Was muss nach dem Bundesdatenschutzgesetz geschützt werden?
Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)

Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)
Datenschutz in the small

Datenschutz in the small
Datensicherheit und Compliance

Datensicherheit und Compliance
Umsetzung des Projektes - CZ Zentrum für Regionalentwicklung.

Umsetzung des Projektes - CZ Zentrum für Regionalentwicklung.

Ähnliche Präsentationen

Google-Anzeigen