Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Die Auftragsverarbeitung nach der Datenschutz-Grundverordnung

Veröffentlicht von:Alexa Hoch Geändert vor über 6 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Die Auftragsverarbeitung nach der Datenschutz-Grundverordnung"—  Präsentation transkript:

1 Die Auftragsverarbeitung nach der Datenschutz-Grundverordnung
Dr. Philipp Richter, Referent beim Landesbeauftragten für Datenschutz und Informationsfreiheit, Rheinland-Pfalz

2 1 Rückblick: Auftragsdatenverarbeitung nach§ 11 BDSG /§ 4 LDSG
Gliederung 1 Rückblick: Auftragsdatenverarbeitung nach§ 11 BDSG /§ 4 LDSG Ausblick: Auftragsverarbeitung nach Art. 28 DS-GVO 2.1 Das Auftragsverhältnis 2.2 Verantwortlichkeit von Auftraggeber und Auftragnehmer 2.3 Übermittlung zwischen Auftraggeber und Auftragnehmer 2.4 Cloud Computing 2.5 Fernwartung 2.6 Vergabe an nicht öffentliche Stellen 2.7 Abgrenzung zur gemeinsamen Verantwortlichkeit 3 Fazit

3 1. Rückblick: Die Auftragsdatenverarbeitung in§ 11 BDSG /§ 4 LDSG
Vertrag zwischen Auftraggeber und Auftragnehmer Weisungsgebundenheit des Auftragnehmers Verantwortliche Stelle ist nur der Auftraggeber Kontrollrechte und/-pflichten des Auftraggebers Auftragnehmer in EU keine „Dritten“, vereinfachte Übermittlung Cloud Computing als Auftragsverarbeitung? Fernwartung Abs. 5

4 2. Ausblick: Die Auftragsverarbeitung nach Art. 28 DS-GVO
Art. 28 zentrale Norm, keine Regelungen in BDSG-neu und LDSG-neu Grundkonzeption bleibt erhalten: Verantwortlicher bleibt verantwortlich Auftragnehmer weisungsgebunden, handelt er zu eigenen Zwecken, wird er selbst verantwortlich (Art. 28 Abs. 10) Neuerungen aber insb.: Eigene Haftung für Auftragnehmer auf SE und Geldbußen Eigenes Verzeichnis von Verarbeitungstätigkeiten Data Breach Notification an Verantwortlichen

5 2.1 Das Auftragsverhältnis I
Verantwortlicher hat gem. Art. 28 Abs. 1 Auftragsverarbeiter sorgfältig auszuwählen Auftragsverarbeiter ist weisungsgebunden Nicht Auftragsverarbeiter ist, wer über Zweck und Mittel der Verarbeitung selbst entscheidet (Art. 28 Abs. 10 DS-GVO) Zweck ist unumstritten Mittel: Auftragsverarbeiter kann technische Details selbst festlegen

6 2.1 Das Auftragsverhältnis II
Vertrag oder anderes Rechtsinstrument z.B. Standardvertragsklauseln (EwGrd. 81), aber eher als Rahmen Elektronische Form in Zukunft ausreichend (wie Textform nach BGB) Inhalte nicht grundsätzlich überarbeitet aber im Detail doch einige Änderungen (z.B. Unteraufträge, Meldung von Datenpannen) Daher Anpassung bestehender Verträge zu empfehlen Formulierungshilfe des LDA Bayern

7 2.2 Verantwortlichkeit von Auftraggeber und Auftragnehmer
Kontrollpflicht des Auftragnehmers Nicht ausdrücklich in Art. 28 enthalten, Nachweis gem. Art. 28 Abs. 1 auch mit Zertifizierungen und genehmigten Verhaltensregeln möglich (teilweise) Aber aufgrund von Art. 28 Abs. 1 und Art. 32 Abs. 1 lit. d regelmäßige Kontrolle zu verlangen Allerdings durch beauftragten Prüfer möglich Verarbeitungsverzeichnis Auftragsverarbeiter: Art. 30 Abs. 2 Data Breach Notification: Art. 33 Abs. 2 Haftung Auftragsverarbeiter Schadensersatz gem. Art. 82 Ab. 2 S. 1 für Verstöße gegen spezielle Pflichten als Auftragsverarbeiter Art. 32, 30 Abs. 2 Insofern auch selbst Adressat von Sanktionsnormen, Art. 84 Verantwortlichkeit ggü. früher erhöht

8 2.3 Übermittlung zwischen Auftraggeber und Auftragnehmer I
Bisher sog. „Privilegierung“ der Auftragsdatenverarbeitung Auftragsverarbeiter kein „Dritter“ daher nach BDSG-alt und LDSG–alt keine Erlaubnisvorschrift für Übermittlung zwischen den beiden notwendig (Übermittlung nur Weitergabe an „Dritte“) Nach DS-GVO noch nicht abschließend geklärt Eine Meinung liest Privilegierung auch in DS-GVO hinein dies allerdings von Wortlaut und Systematik her nicht völlig überzeugend, denn Übermittlung gerade nicht auf „Dritte“ beschränkt

9 2.3 Übermittlung zwischen Auftraggeber und Auftragnehmer II
LfDI RLP tendiert dazu, die Übermittlung als „Weiterverarbeitung“ des Verantwortlichen zu betrachten Dies kann eine Erlaubnis erforderlich machen, z.B. Art. 6 Abs. 1 lit. f DS-GVO (berechtigte Interessen) oder zumindest eine Vereinbarkeitsprüfung Art. 6 Abs. 4 DS-GVO Dies würde i.E. aber nichts Fundamentales ändern Übermittlung im Rahmen einer Auftragsverarbeitung, die den Anforderungen von Art. 28 entspricht, wird i.d.R. zulässig sein DS-GVO bekennt sich klar zur Auftragsverarbeitung Atypische Fälle so allerdings im Einzelfall prüfbar (vgl. Folie 12)

10 Hieran ändert sich nichts durch DS-GVO
2.4 Cloud Computing Je nach Dienstangebot zweifelhaft, ob Verarbeitung im Auftrag angenommen werden kann Fehlender Auftragsvertrag Fehlende Weisungsgebundenheit Fehlende Kontrollmöglichkeiten Hieran ändert sich nichts durch DS-GVO Übermittlung an Cloud-Anbieter ist zunächst wieder Weiterverarbeitung Wirksames Auftragsverhältnis nach Art. 28 DS-GVO wirkt sich vorteilhaft auf Zulässigkeit der Übermittlung aus Aber auch andere Instrumente möglich, je nach Dienstangebot

11 2.5 Fernwartung Bisher § 11 Abs. 5 BDSG / § 4 Abs. 5 LDSG Keine ausdrückliche Regelung in DS-GVO Offenlegung an Wartungsdienstleister ist Weiterverarbeitung Interessenabwägung/Vereinbarkeitsprüfung Auf Zulässigkeit wirkt sich Auftragsverhältnis nach Art. 28 positiv aus Aber auch andere Instrumente möglich (z.B. Verhaltensregeln, Zertifizierung)

12 2.6 Vergabe an nicht öffentliche Stellen
§ 4 Abs. 4 S. 2 LDSG-alt: „An nicht öffentliche Stellen soll ein Auftrag nur vergeben werden, wenn überwiegende schutzwürdige Interessen, insbesondere Berufs- oder besondere Amtsgeheimnisse, nicht entgegenstehen.“ Vergleichbare Regelung ist in der DS-GVO nicht vorhanden Allerdings kann dies als Aspekt in Prüfung der Zulässigkeit der Übermittlung an Auftragsverarbeiter einfließen (z.B. Interessenabwägung/Vereinbarkeitsprüfung)

13 Gemeinsam Verantwortliche Auftrags-verarbeiter
2.7 Abgrenzung zur gemeinsamen Verantwortlichkeit Gemeinsam Verantwortliche Art. 26 DS-GVO Alle legen Zwecke und Mittel fest Gewollte und bewusste Zusammenarbeit Verantwortlicher Art. 4 Nr. 7 DS-GVO Auftrags-verarbeiter Art. 28 DS-GVO Auftragsverarbeiter legt keine Zwecke (und Mittel) fest

14 3 Fazit I Keine grundsätzliche Neuausrichtung, im Detail aber Unterschiede Anpassung bestehender Aufträge an Art. 28 DS-GVO in manchen Punkten zu empfehlen In Zukunft für Aufträge auch elektronisches Format möglich Eigenes Verfahrensverzeichnis für Auftragsverarbeiter

15 Verantwortlichkeit: grds. gleichartig wie bisher
3 Fazit II Verantwortlichkeit: grds. gleichartig wie bisher Auftragsverarbeiter weisungsgebunden und nicht verantwortlich Allerdings neu: eigene Haftung für Verletzung eigener Pflichten DS-GVO nimmt an vielen Stellen Auftragsverarbeiter selbst in die Pflicht „Privilegierung“ der Auftragsverarbeitung: voraussichtlich nicht mehr in der Form wie bisher Übermittlung zwischen Auftraggeber und Auftragsverarbeiter aber auch als Weiterverarbeitung im Regelfall zulässig DS-GVO bekennt sich klar zur Auftragsverarbeitung

Herunterladen ppt "Die Auftragsverarbeitung nach der Datenschutz-Grundverordnung"

Ähnliche Präsentationen

Bewerbungs- eingang Bewerbungs- bearbeitung Stellenangebote VermittlungKommunikationZusatzleistungen.

Bewerbungs- eingang Bewerbungs- bearbeitung Stellenangebote VermittlungKommunikationZusatzleistungen.
1 Bürgermeisterseminar Interkommunale Zusammenarbeit Städte- und Gemeindebund NRW Beigeordneter Hans-Gerd von Lennep.

1 Bürgermeisterseminar Interkommunale Zusammenarbeit Städte- und Gemeindebund NRW Beigeordneter Hans-Gerd von Lennep.
Übertragung öffentlicher Planungs- und Bauaufgaben auf Private lic. iur. Christian Bär, Rechtsanwalt, LL.M.

Übertragung öffentlicher Planungs- und Bauaufgaben auf Private lic. iur. Christian Bär, Rechtsanwalt, LL.M.
VZB Verlagsabend 29. Juli 2009 Neues Datenschutzrecht.

VZB Verlagsabend 29. Juli 2009 Neues Datenschutzrecht.
Erfa 80. Erfa-Kreis-Sitzung Stuttgart 14.6.2006 Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.

Erfa 80. Erfa-Kreis-Sitzung Stuttgart Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.
ECOPLAN Familienergänzende Kinderbetreuung für den Vorschulbereich im Kanton Solothurn ‏ Michael Marti, Ecoplan Präsentation Medienkonferenz.

ECOPLAN Familienergänzende Kinderbetreuung für den Vorschulbereich im Kanton Solothurn ‏ Michael Marti, Ecoplan Präsentation Medienkonferenz.
Anwendung des Vergabe- und Haushaltsrechts

Anwendung des Vergabe- und Haushaltsrechts
Urheberrecht und Hochschule.

Urheberrecht und Hochschule.
Zwölfter Hessischer Vergabetag, Frankfurt am Main,

Zwölfter Hessischer Vergabetag, Frankfurt am Main,
ao. Univ.-Prof. Dr. Wolfgang Brodil

ao. Univ.-Prof. Dr. Wolfgang Brodil
Konventionalstrafe.

Konventionalstrafe.
Gesundheitsdaten zwischen Ökonomie und Grundrechtsschutz

Gesundheitsdaten zwischen Ökonomie und Grundrechtsschutz
Erster Entwurf eines ABDSG Allgemeines Bundesdatenschutzgesetz

Erster Entwurf eines ABDSG Allgemeines Bundesdatenschutzgesetz
Autor / Thema der Präsentation

Autor / Thema der Präsentation
für anerkannte Flüchtlinge Regelungen für die Umsetzung

für anerkannte Flüchtlinge Regelungen für die Umsetzung
Homeoffice / Telearbeit – Ein Modell auch für den öffentliche Dienst?

Homeoffice / Telearbeit – Ein Modell auch für den öffentliche Dienst?
Schulungsunterlagen der AG RDA

Schulungsunterlagen der AG RDA
Änderungen in den Krombacher Kreispokalwettbewerben

Änderungen in den Krombacher Kreispokalwettbewerben
Das neue Datenschutzrecht Angebote und Services der WKO

Das neue Datenschutzrecht Angebote und Services der WKO
Methodenlehre der Rechtswissenschaft

Methodenlehre der Rechtswissenschaft

Ähnliche Präsentationen

Google-Anzeigen