Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Die Auftragsverarbeitung nach der Datenschutz-Grundverordnung

Veröffentlicht von:Dörte Katharina Kaufer Geändert vor über 6 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Die Auftragsverarbeitung nach der Datenschutz-Grundverordnung"—  Präsentation transkript:

1 Die Auftragsverarbeitung nach der Datenschutz-Grundverordnung
Dr. Philipp Richter, Referent beim Landesbeauftragten für Datenschutz und Informationsfreiheit, Rheinland-Pfalz

2 Grundlage: Die neue Datenschutz-Grundverordnung
Gliederung Grundlage: Die neue Datenschutz-Grundverordnung Rückblick: Auftragsdatenverarbeitung nach§ 11 BDSG /§ 4 LDSG Ausblick: Auftragsverarbeitung nach Art. 28 DSGVO 2.1 Das Auftragsverhältnis 2.2 Verantwortlichkeit von Auftraggeber und Auftragnehmer 2.3 Übermittlung zwischen Auftraggeber und Auftragnehmer 2.4 Cloud Computing 2.5 Fernwartung 2.6 Vergabe an nicht öffentliche Stellen 2.7 Abgrenzung zur gemeinsamen Verarbeitung 4 Fazit

3 1.1 Die Datenschutz-Grundverordnung
Datenschutz-Grundverordnung (DS-GVO) - Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Engl.: General Data Protection Regulation (GDPR) Gilt ab: 25. Mai 2018 Betrifft: Regelt umfassend den Datenschutz bei privaten und öffentlichen Stellen Ordnungswidrigkeiten nicht JI-RL: s. Ehmann/Selmayr, DSGVO, Art. 2 Rn. 12, Weinhold in: Roßnagel Europäische Datenschutz-Grundverordnung, § 3, Rn. 21.

4 1.2 Regelungsziel und Ansatz
Ziel: Harmonisierung des Datenschutzrechts in der EU Gewähltes Instruments: Verordnung Im Gegensatz zur bisherigen Datenschutz-RL ohne Umsetzung direkt anwendbar Anwendungsvorrang gegenüber mitgliedstaatlichem Recht Kommissionsentwurf: Abstrakte Regelungen Konkretisierung durch weitere Rechtsakte der Kommission Rat und Parlament: Rechtsakte durch Kommission gestrichen Stattdessen Öffnungsklauseln für die Mitgliedstaaten Ergebnis: Komplexes Miteinander von DS-GVO und nationalem Recht Anwendungsvorrang Entgegenstehendes und auch gleichlautendes nationales Recht Wird verdrängt (gilt aber weiter). Wiederholungsverbot

5 1.3 Wichtige Normbereiche
Art. 2: Sachliche Anwendbarkeit - Private und öff. Stellen (außer Justiz und Inneres) Art. 3: Räumliche Anwendbarkeit - Marktortprinzip Art. 5: Grundsätze der Verarbeitung Art. 6: Erlaubnistatbestände Art. 7 und 8: Einwilligung Art. 9: Besondere Kategorien von Daten (z.B. Gesundheitsdaten) Art. 12 bis 23: Betroffenenrechte Art. 25: Datenschutz durch Technik Art. 28: Auftragsverarbeitung Art. 30: Verzeichnis von Verarbeitungstätigkeiten Art 32: Sicherheit der Verarbeitung Art. 35 Datenschutzfolgenabschätzung Art. 37 bis 39: Datenschutzbeauftragter Art. 40 und 41: Verhaltensregeln Art. 42 und 43: Zertifizierung Art. 44 bis 50: Übermittlung in Drittländer Art. 51 bis 76: Aufsichtsbehörden und deren Zusammenarbeit in der EU Art. 77 bis 84: Rechtsbehelfe und Sanktionen Art. 85 bis 91: Besondere Verarbeitungssituationen

6 1.4 Anpassungen in Deutschland
Bundesdatenschutzgesetz (neu): gilt ebenfalls ab Passt BDSG an DS-GVO an und setzt JI-RL um Landesdatenschutzgesetz Rheinland-Pfalz (neu): im Gesetzgebungsprozess, geplant für Sozialdatenschutz (insb. SGB X): bereits neue Fassung in Kraft Anpassungen in weiteren Gesetzen zu erwarten Z.B. TMG, TKG

7 1.5 Neue Begriffe alt neu verantwortliche Stelle Verantwortlicher
Betroffener Auftragsdatenverarbeitung Auftragnehmer Sperrung Datei besondere Arten personenbezogener Daten neu Verantwortlicher Betroffene Person Auftragsverarbeitung Auftragsverarbeiter Einschränkung der Verarbeitung Dateisystem besondere Kategorien personenbezogener Daten Datenschutz-Folgeabschätzung (Art. 35) entspricht Vorab-Kontrolle

8 2. Rückblick: Die Auftragsdatenverarbeitung in§ 11 BDSG /§ 4 LDSG
Vertrag zwischen Auftraggeber und Auftragnehmer Weisungsgebundenheit des Auftragnehmers Verantwortlicher ist nur der Auftraggeber Kontrollrechte und/-pflichten des Auftraggebers Auftragnehmer in EU keine „Dritten“, vereinfachte Übermittlung Fernwartung Abs. 5 Cloud Computing als Auftragsverarbeitung?

9 3. Ausblick: Die Auftragsverarbeitung nach Art. 28 DS-GVO
Art. 28 DS-GVO zentrale Norm, keine Regelungen in BDSG-neu und LDSG-neu Grundkonzeption bleibt erhalten: Verantwortlicher bleibt verantwortlich Auftragnehmer weisungsgebunden, handelt er zu eigenen Zwecken, wird er selbst verantwortlich (Art. 28 Abs. 10) Neuerungen aber insb.: Eigene (beschränkte) Haftung für Auftragnehmer (Art. 82 Abs. 1 und 2 DS-GVO) Eigenes Verzeichnis von Verarbeitungstätigkeiten (Art. 30 Abs. 2 DS-GVO) Data Breach Notification an Verantwortlichen (Art. 33 Abs. 2 DS-GVO)

10 3.1 Das Auftragsverhältnis I
Verantwortlicher hat gem. Art. 28 Abs. 1 Auftragsverarbeiter sorgfältig auszuwählen Auftragsverarbeiter ist weisungsgebunden Nicht Auftragsverarbeiter ist, wer über Zweck und Mittel der Verarbeitung entscheidet (Art. 28 Abs. 10 DS-GVO) Zweck ist unumstritten Bzgl. Mittel strittig, kann Auftragsverarbeiter technische Details selbst festlegen

11 3.1 Das Auftragsverhältnis II
Vertrag oder anderes Rechtsinstrument z.B. Standardvertragsklauseln (EwGrd. 81), aber eher als Rahmen Elektronische Form in Zukunft ausreichend (wie Textform nach BGB) Inhalte nicht grundsätzlich überarbeitet aber im Detail doch einige Änderungen (z.B. Unteraufträge, Meldung von Datenpannen) Daher Anpassung bestehender Verträge zu empfehlen Formulierungshilfe des LDA Bayern Beispiele für Anpassungsbedarf: Sprachliche Anpassungen, Verweise auf Gesetzesnormen anpassen, inhaltliche Auf Maßnahmen nach Art. 32 verweisen Pflichten des Auftragnehmers im Hinblick auf Unteraufträge Regelmäßige Kontrollen aufnehmen Dokumentationspflicht für Weisungen

12 3.2 Verantwortlichkeit von Auftraggeber und Auftragnehmer
Kontrollpflicht des Auftragnehmers Nicht ausdrücklich in Art. 28 GS-GVO enthalten Zum Nachweis gem. Art. 28 Abs. 1 können auch Zertifizierungen und genehmigte Verhaltensregeln als Faktor herangezogen werden Aber aufgrund von Art. 28 Abs. 1 und Art. 32 Abs. 1 lit. d regelmäßige Kontrolle zu verlangen Neue Pflicht Auftragsverarbeiter: Art. 30 Abs. 2 Haftung Auftragsverarbeiter Schadensersatz gem. Art. 82 Ab. 2 S. 1: für Verstöße gegen spezielle Pflichten als Auftragsverarbeiter: Art. 32, 30 Abs. 2 Insofern auch selbst Adressat von Sanktionsnormen Verantwortlichkeit ggü. früher erhöht

13 3.3 Übermittlung zwischen Auftraggeber und Auftragnehmer I
Bisher sog. „Privilegierung“ der Auftragsverarbeitung Auftragsverarbeiter kein „Dritter“ daher nach BDSG-alt und LDSG–alt keine Erlaubnisvorschrift für Übermittlung zwischen den beiden notwendig (Übermittlung nur Weitergabe an „Dritte“) Nach DS-GVO noch nicht abschließend geklärt Eine Meinung liest Privilegierung auch in DS-GVO hinein dies allerdings von Wortlaut und Systematik her nicht völlig überzeugend, denn Übermittlung gerade nicht auf „Dritte“ beschränkt

14 3.3 Übermittlung zwischen Auftraggeber und Auftragnehmer II
LfDI RLP tendiert dazu, die Übermittlung als „Weiterverarbeitung“ des Verantwortlichen zu betrachten Dies kann es erforderlich machen, einen Erlaubnistatbestand zu erfüllen, z.B. Art. 6 Abs. 1 lit. f DS-GVO (berechtigte Interessen) Dies würde i.E. nichts Fundamentales ändern Übermittlung im Rahmen einer Auftragsverarbeitung, die den Anforderungen von Art. 28 entspricht, wird i.d.R. zulässig sein DS-GVO bekennt sich klar zur Auftragsverarbeitung Atypische Fälle können so allerdings im Einzelfall geprüft werden

15 Hieran ändert sich nichts durch DS-GVO
3.4 Cloud Computing Je nach Dienstangebot zweifelhaft, ob Verarbeitung im Auftrag angenommen werden kann Fehlender Auftragsvertrag Fehlende Weisungsgebundenheit Fehlende Kontrollmöglichkeiten Hieran ändert sich nichts durch DS-GVO Übermittlung an Cloud-Anbieter ist zunächst wieder Weiterverarbeitung Wirksames Auftragsverhältnis nach Art. 28 DS-GVO wirkt sich vorteilhaft auf Zulässigkeit der Übermittlung aus Aber auch andere Instrumente möglich, je nach Dienstangebot

16 3.5 Fernwartung Bisher § 11 Abs. 5 BDSG / § 4 Abs. 5 LDSG Keine ausdrückliche Regelung in DS-GVO Offenlegung an Wartungsdienstleister ist Weiterverarbeitung Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO Auf Zulässigkeit wirkt sich Auftragsverhältnis nach Art. 28 positiv aus Aber auch andere Instrumente möglich

17 3.6 Vergabe an nicht öffentliche Stellen
§ 4 Abs. 4 S. 2 LDSG-alt: „An nicht öffentliche Stellen soll ein Auftrag nur vergeben werden, wenn überwiegende schutzwürdige Interessen, insbesondere Berufs- oder besondere Amtsgeheimnisse, nicht entgegenstehen.“ Vergleichbare Regelung ist in der DS-GVO nicht vorhanden Allerdings kann dies als Aspekt in Prüfung der Zulässigkeit der Übermittlung an Auftragsverarbeiter einfließen (z.B. Interessenabwägung)

18 Gemeinsam Verantwortliche Auftrags-verarbeiter
3.7 Abgrenzung zur gemeinsamen Verantwortlichkeit Gemeinsam Verantwortliche Art. 26 DS-GVO Alle legen Zwecke und Mittel fest Gewollte und bewusste Zusammenarbeit Verantwortlicher Art. 4 Nr. 7 DS-GVO Auftrags-verarbeiter Art. 28 DS-GVO Auftragsverarbeiter legt keine Zwecke (und Mittel) fest

19 4 Fazit I Keine grundsätzliche Neuausrichtung, im Detail aber Unterschiede Anpassung bestehender Aufträge an Art. 28 DS-GVO in manchen Punkten zu empfehlen In Zukunft für Aufträge auch elektronisches Format möglich Eigenes Verfahrensverzeichnis für Auftragsverarbeiter

20 Verantwortlichkeit: grds. gleichartig wie bisher
4 Fazit II Verantwortlichkeit: grds. gleichartig wie bisher Auftragsverarbeiter weisungsgebunden und nicht verantwortlich Allerdings neu: eigene Haftung für Verletzung eigener Pflichten DS-GVO nimmt an vielen Stellen Auftragsverarbeiter selbst in die Pflicht „Privilegierung“ der Auftragsverarbeitung: voraussichtlich nicht mehr in der Form wie bisher Übermittlung zwischen Auftraggeber und Auftragsverarbeiter aber auch als Weiterverarbeitung im Regelfall zulässig DS-GVO bekennt sich klar zur Auftragsverarbeitung

Herunterladen ppt "Die Auftragsverarbeitung nach der Datenschutz-Grundverordnung"

Ähnliche Präsentationen

1 Bürgermeisterseminar Interkommunale Zusammenarbeit Städte- und Gemeindebund NRW Beigeordneter Hans-Gerd von Lennep.

1 Bürgermeisterseminar Interkommunale Zusammenarbeit Städte- und Gemeindebund NRW Beigeordneter Hans-Gerd von Lennep.
Übertragung öffentlicher Planungs- und Bauaufgaben auf Private lic. iur. Christian Bär, Rechtsanwalt, LL.M.

Übertragung öffentlicher Planungs- und Bauaufgaben auf Private lic. iur. Christian Bär, Rechtsanwalt, LL.M.
BUNDESMINISTERIUM FÜR INNERES, 1014 WIEN, HERRENGASSE 7, TEL.: +43 - (0)1 - 531 26 - 0 Europäische Bürgerinitiative vor dem Start: Implementierung der.

BUNDESMINISTERIUM FÜR INNERES, 1014 WIEN, HERRENGASSE 7, TEL.: (0) Europäische Bürgerinitiative vor dem Start: Implementierung der.
Die Europäische Bürgerinitiative Europäische Kommission Generalsekretariat Referat G.4 Allgemeine institutionelle Angelegenheiten Rechtsrahmen Vorschriften.

Die Europäische Bürgerinitiative Europäische Kommission Generalsekretariat Referat G.4 Allgemeine institutionelle Angelegenheiten Rechtsrahmen Vorschriften.
VZB Verlagsabend 29. Juli 2009 Neues Datenschutzrecht.

VZB Verlagsabend 29. Juli 2009 Neues Datenschutzrecht.
Erfa 80. Erfa-Kreis-Sitzung Stuttgart 14.6.2006 Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.

Erfa 80. Erfa-Kreis-Sitzung Stuttgart Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.
Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.

Rechtliche Grundlagen der Pseudonymisierung/Anonymisierung Berlin, 23. Mai 2016Dr. Bernd Schütze.
DATENSCHUTZ Session Veranstalter: TYPO3camp Berlin Referent: Rechtsanwalt Ronald Schmidt Ort:SAE Institute.

DATENSCHUTZ Session Veranstalter: TYPO3camp Berlin Referent: Rechtsanwalt Ronald Schmidt Ort:SAE Institute.
29.April 2013 Dr Péter Darák Universität Heidelberg/HCA Curt und Heidemarie Engelhorn Palais Grundsätze des Verwaltungverfahrens unter dem Einfluss des.

29.April 2013 Dr Péter Darák Universität Heidelberg/HCA Curt und Heidemarie Engelhorn Palais Grundsätze des Verwaltungverfahrens unter dem Einfluss des.
Anwendung des Vergabe- und Haushaltsrechts

Anwendung des Vergabe- und Haushaltsrechts
Prof. Dr. Dirk Heckmann Leiter der Forschungsstelle For

Prof. Dr. Dirk Heckmann Leiter der Forschungsstelle For
Verordnung über Vermeidung und Entsorgung von Abfällen

Verordnung über Vermeidung und Entsorgung von Abfällen
EU-DATENSCHUTZGRUNDVERORDNUNG am 5. OKTOBER 2017

EU-DATENSCHUTZGRUNDVERORDNUNG am 5. OKTOBER 2017
Gesundheitsdaten zwischen Ökonomie und Grundrechtsschutz

Gesundheitsdaten zwischen Ökonomie und Grundrechtsschutz
Erster Entwurf eines ABDSG Allgemeines Bundesdatenschutzgesetz

Erster Entwurf eines ABDSG Allgemeines Bundesdatenschutzgesetz
Datenschutz im Arbeitsalltag Arbeitsmaterialien

Datenschutz im Arbeitsalltag Arbeitsmaterialien
Autor / Thema der Präsentation

Autor / Thema der Präsentation
für anerkannte Flüchtlinge Regelungen für die Umsetzung

für anerkannte Flüchtlinge Regelungen für die Umsetzung
Das neue Datenschutzrecht Angebote und Services der WKO

Das neue Datenschutzrecht Angebote und Services der WKO
29. November 2017 Konferenz DatenTag Berlin

29. November 2017 Konferenz DatenTag Berlin

Ähnliche Präsentationen

Google-Anzeigen