Datenschutzkonforme Auftragsverarbeitung
Auftragsverarbeitung - Seminar zur datenschutzkonformen Durchführung
Bei der Vergabe von Aufträgen an externe Betriebe kommt es vor, dass diese im Zuge des Auftrags auf personenbezogene Daten zugreifen. Der Datenschutz muss auch bei der Auftragsverarbeitung DSGVO-konform sichergestellt sein. Wie Sie dies kontrollieren, welchen gesetzlichen Verpflichtungen Auftraggeber und Auftragnehmer unterliegen und wie ein Auftragsverarbeitungsvertrag aussieht, lernen Sie in unserem Seminar „Gemeinsame Verantwortlichkeit versus Auftragsverarbeitung“.
> weiterlesen
In dieser Kategorie sind derzeit keine Termine registriert
Gemeinsame Verantwortlichkeit versus Auftragsverarbeitung
Seminar zur Auftragsverarbeitung nach DSGVO
Datenverarbeitungsprozesse beim Auftragsverarbeiter angemessen abzusichern, ist ein wichtiger Aspekt des unternehmerischen Alltags. In dem Seminar erfahren Sie, welche Datenschutz- und Informationssicherheitsaspekte im Rahmen der Auftragsverarbeitung für den Verantwortlichen und den Auftragsverarbeiter von Bedeutung sind. Insbesondere werden die Schritte „Auswahl/Eignungsfeststellung“, „Vertragsgestaltung“ und „Kontrolle der festgelegten Regelungen“ praktisch dargestellt. Sie erhalten Musterdokumente zur Unterstützung Ihrer Arbeit.
Zielgruppe
Das Seminar richtet sich an Verantwortliche (Auftraggeber) und Auftragsverarbeiter (Auftragnehmer), Datenschutz- und Informationssicherheitsbeauftragte, IT-Management und IT-Revision.
Inhalte
- DSGVO-Regelungen der Auftragsverarbeitung (AV)
- Anforderungen an den Verantwortlichen und den Auftragsverarbeiter
- Kriterien für die Auswahl und die Eignungsfeststellung
- Dokumentation und Nachweise des Auftragsverarbeiters
- Standards und Zertifizierung als Maßstab für Garantien
- Vertragsgestaltung und Vertragsanpassung
- Regelungen für Wartung und Fernwartung
- regelmäßige Kontrolle der AV
- Vertrags- und Datenschutzverstöße feststellen
- Checkliste für die Bearbeitung vorhandener und neuer AV
Referent
Heiko Behrendt, ISO 27001 Auditor
Was ist die Auftragsverarbeitung nach der DSGVO?
Daten bilden einen mächtigen Grundpfeiler für das Funktionieren vieler moderner Unternehmen, darunter personenbezogene Informationen. Verarbeitet ein Betrieb die Daten der eigenen Kunden, muss intern für den entsprechenden Datenschutz gesorgt werden, der seit 2018 durch die Datenschutzgrundverordnung einheitlich auf EU-Ebene geregelt ist. Darüber hinaus werden häufig personenbezogene Daten für die Durchführung eines Auftrags an externe Partner weitergereicht – in diesem Fall bewegen sich die Unternehmen oftmals in der Auftragsverarbeitung.
Art. 28 DSGVO regelt die Pflichten von Verantwortlichen und Auftragsverarbeitern. Außerdem gibt er vor, wie ein Auftragsverarbeitungsvertrag auszusehen hat. Die Auftragsverarbeitung liegt per Gesetz vor, wenn
- Externe auf die Weisung eines Auftraggebers hin personenbezogene Daten verarbeiten und
- die Verantwortung für diese Daten weiterhin beim Auftraggeber liegt.
Beispiele für Auftragsverarbeitung
Manchmal ist nicht ganz klar, ob es sich bei einem Verhältnis zwischen einem Unternehmen und seinen Partnern um eine Auftragsverarbeitung handelt oder nicht. Die Grenzen sind teilweise fließend. Verstöße in diesem Bereich werden teuer geahndet, deshalb sollten Sie geschäftliche Beziehungen zu Externen gründlich überprüfen.
Einige Beispiele lauten wie folgt:
- Kundenservice: Ob Call-Center oder Reparaturen in Garantiefällen – heutzutage werden viele Teile des Kundenumgangs aus Kosten- oder anderen Gründen ausgelagert und an externe Firmen übertragen. Dass hierbei personenbezogene Daten übermittelt werden, bleibt nicht aus.
- Marketing: Ein immer größer werdender Bereich mit einer schieren Flut an personenbezogenen Daten ist das Onlinemarketing. Werden Agenturen beauftragt, Nutzerverhalten auszuwerten oder Newsletter zu erstellen, erhalten diese Einblick in die Kundendaten.
- Lohnbuchhaltung: Sensible Mitarbeiterdaten gehen an Dritte, die im Auftrag eines Unternehmens die Lohn- und Gehaltsabrechnungen erstellen.
- Personalberatung: Sortiert ein externer Dienstleister nach vorgegebenen Kriterien die Bewerber, liegt auch hier eine Auftragsverarbeitung vor. Achtung: Es kann aber sein, dass die Personalberatung eigenmächtige Entscheidungen trifft, indem sie beispielsweise Bewerber in der Vorauswahl ausschließt. Die Befugnisse sollten Sie daher immer deutlich klären!
Wann handelt es sich nicht um Auftragsverarbeitung?
Jeder Fall sollte einzeln betrachtet werden. Wenn beispielsweise anstelle einer Auftragsverarbeitung eine Funktionsübertragung stattfindet, dann gelten andere Rechte. Ein Auftragsverarbeitungsvertrag reicht in diesem Fall nicht aus.
Grundsätzlich bedeutet die Übertragung einer Funktion, dass ein externer Dienstleister an keine Weisung gebunden ist, wie er mit den Daten des Unternehmens zu verfahren hat. Manchmal verfolgt er dabei auch eigene Interessen. Falls Sie unsicher sind, ob Auftragsverarbeitung oder Funktionsübertragung vorliegt, hilft Ihnen ein interner oder externer Datenschutzbeauftragter. Mit Hilfe unserer Seminare rund um den Datenschutz lernen Sie alles zu diesem Thema, was Sie für eine gesetzeskonforme Ausübung wissen müssen.
|
Umgang mit Daten
|
weisungsgebunden
|
Verantwortlichkeit
|
AV-Vertrag
|
|
Auftragsverarbeitung
|
Ja
|
beim Auftraggeber
|
ausreichend
|
|
Funktionsübertragung
|
Nein
|
beim Auftragnehmer
|
nicht ausreichend
|
Änderungen durch die DSGVO
Seit Mai 2018 gilt auf EU-Ebene die DSGVO. Sie ergänzt mit Artikel 28 den § 11 BDSG und legt den Fokus verstärkt auf Shopbetreiber und Dienstleister im Onlinebereich. Der ehemalige Begriff der Auftragsdatenverarbeitung (ADV) ist zu Auftragsverarbeitung (AV) eingekürzt worden.
- Subunternehmer: Auftraggeber müssen nun eine schriftliche Genehmigung mit jederzeitigem Widerspruchsrecht erteilen, bevor Auftragnehmer einen Subunternehmer hinzuziehen dürfen.
- Verschwiegenheitspflicht: Personen, die für den Auftragnehmer die Daten verarbeiten, müssen zur Vertraulichkeit verpflichtet werden.
- Unterstützung durch Auftragnehmer: Macht eine betroffene Person dem Auftraggeber gegenüber ihre Rechte nach DSGVO geltend, muss der Auftragnehmer ihn dabei unterstützen.
- elektronischer AV-Vertrag: Der Auftragsverarbeitungsvertrag muss nicht mehr schriftlich vorliegen. Er kann nun auch auf elektronischem Wege abgeschlossen werden.
- höhere Bußgelder: Die bei Verstößen verhängten Bußgelder fallen deutlich höher aus als nach dem BDSG.
Was gehört in einen Auftragsverarbeitungsvertrag?
Art. 28 DSGVO ist in dieser Hinsicht sehr spezifisch. Zusammengefasst muss ein Auftragsverarbeitungsvertrag folgende Punkte regeln:
- Inhalt und Dauer der Verarbeitungstätigkeit
- Umfang und Kategorie der zu nutzenden Daten
- Kreis der Betroffenen
- Zweck und Art der Datenverarbeitung
- Vorliegen der Verschwiegenheitsverpflichtung
- Gewährleistung der Rahmenbedingungen gemäß Art. 32 DSGVO
- Berichtigen, Löschen und Sperren von Daten
- Gegebenenfalls Berechtigung für Subunternehmer
- Recht auf Kontrolle durch den Auftraggeber
- Duldung und Mitwirkung bei Kontrollmaßnahmen seitens Auftragnehmer
- Mitwirkung bei Datenschutz-Folgenabschätzung
- Klausel zur Meldepflicht
- Mitwirkung bei Anfragen und Ansprüchen Betroffener
- Mitteilung von Verstößen gegen Vorschriften des Datenschutzes oder getroffene Vereinbarungen seitens Auftragnehmer
- Umfang der Weisungsbefugnisse des Auftraggebers gegenüber dem Auftragnehmer
- Rückgabe von Datenträgern und Löschen von Daten nach Beendigung des Auftrags
Noch mehr Datenschutz mit den Datenschutzexperten
Neben unseren Seminaren außer Haus, bieten wir ebenfalls InHouse-Schulungen an, falls Sie Ihre Mitarbeiter vor Ort weiterbilden lassen möchten. Falls Sie Fragen zu diesem oder einem anderen Seminar haben, nehmen Sie gern Kontakt mit uns auf! Dank unserer mehr als zwanzig Jahre Erfahrung im Bereich Datenschutz stehen wir Ihnen kompetent und schnell zur Seite – auch im Notfall!
