Posts mit dem Label ADV werden angezeigt. Alle Posts anzeigen
Posts mit dem Label ADV werden angezeigt. Alle Posts anzeigen

Freitag, 19. Mai 2017

Google Analytics als Auftragsdatenverarbeiter - Was Unternehmen als Nutzer jetzt beachten sollten

Der Einsatz von Google Analytics durch deutsche Unternehmen befindet sich derzeit erneut im Focus des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit (HmbBfDI) und anderer Landesdatenschutzbeauftragter. Das kostenlose Analyse-Produkt des amerikanischen Software-Herstellers Google findet sich massenhaft im Einsatz - auch auf den Websites und Blogs vieler deutscher Unternehmen.


Wieso ist Google Analytics im Datenschutz-Focus?


Da IP-Adressen in Deutschland als personenbezogene Daten gelten und Google beim Einsatz von Google Analytics auf den Websites und Blogs Ihres Unternehmens mit den IP-Adressen der Besucher eben dieser Seiten in Kontakt kommt und diese verarbeitet, handelt es sich hierbei um eine Auftragsdatenverarbeitung im Sinne von § 11 BDSG.

Der Hamburgische Datenschutzbeauftragte war bereits bisher federführend in Bezug auf erforderliche Regelungen bei Verwendung von Google Analytics. Dieser sah es nun als erforderlich an, sich erneut mit der Prüfung von Google Analytics zu befassen.

Als Ergebnis wurde ein neues Hinweisblatt zur Verwendung von Google Analytics erarbeitet. Dieses kann bei yourIT jetzt kostenlos bezogen werden. Schreiben Sie uns hierzu einfach eine kurze Nachricht mit dem Stichwort "Datenschutz Google Analytics".

Die Überarbeitung bezieht sich in erster Linie auf eine Klausel im bisherigen Vertrag zur Auftragsdatenverarbeitung, die auf das Safe-Harbor-Abkommen verwies, welches bekanntlicherweise bereits am 06.10.2015 durch eine Entscheidung des EuGH außer Kraft gesetzt worden war.

Google hat sich zwischenzeitlich nach dem Privacy Shield zertifizieren lassen und seinen Vertrag zur Auftragsdatenverarbeitung entsprechend angepasst.

Auch andere Landesdatenschutzbeauftragte stellen Anforderungen zu Google Analytics


Briefkopf Der Beauftragte für den Datenschutz Baden-Württemberg
Briefkopf Der Beauftragte für den Datenschutz Baden-Württemberg


Wie wir aus sicherer Quelle wissen, stellt auch der Landesbeauftragte für den Datenschutz Baden-Württemberg derzeit Unternehmen Fragen zum Einsatz zu Google-Analytics. Wir zitieren aus einem uns vorliegenden Anschreiben:

"[...] Aus der Datenschutzerklärung geht bezüglich der Verwendung von Google Analytics nicht hervor, ob ein Vertrag mit Google nach § 11 BDSG im Sinne der Auftragsdatenverarbeitung besteht und in welcher Art und Weise die IP-Adresse übermittelt wird. Ist dies der Fall und werden die hinteren Ziffern der IP-Adresse anonymisiert? [...]"



Auszug Anschreiben Beauftragte für den Datenschutz Baden-Württemberg zu Google Analytics
Auszug Anschreiben Beauftragte für den Datenschutz Baden-Württemberg zu Google Analytics

Die EU-DSGVO wird vermutlich noch eins drauf setzen...


Es ist zu erwarten, dass sich bei In-Kraft-Treten der EU-Datenschutzgrundverordnung (EU-DSGVO) zum 25.05.2018 erneut Änderungen hinsichtlich der Verwendung von Google Analytics ergeben werden.

Unternehmen, die Google Analytics auf ihren Websites und Blogs einsetzen, sollten
  1. jetzt eine Vereinbarung zur Auftragsdatenverarbeitung mit Google abschließen und 
  2. die Änderungen durch die kommende EU-DSGVO im Auge behalten.
Nutzen Sie jetzt unsere Erfahrung und unser Knowhow aus 10 Jahren externer Datenschutzberatung.

Fazit: Vereinbarung zur Auftragsdatenverarbeitung mit Google Analytics jetzt!


Holen Sie sich jetzt von uns kostenlos unser Hinweisblatt zu Google Analytics. Schreiben Sie uns hierzu einfach eine kurze Nachricht mit dem Stichwort "Datenschutz Google Analytics". Sie erhalten von uns ein Hinweisblatt zur konkreten Vorgehensweise sowie die aktuelle Version des Vertrages zur Auftragsdatenverarbeitung mit Google Ireland Ltd. in Dublin.

Brief an Google mit Inhalt Vereinbarung zur Auftragsdatenverarbeitung
Sie müssen die Vereinbarung zur Auftragsdatenverarbeitung mit Google dann nur noch kurz ausfüllen, unterschreiben und ab die Post!

Achtung: Neben der Vereinbarung sind weitere Schritte zu unternehmen. Gerne unterstützen wir Sie dabei.

Wie wir von yourIT Sie als Google-Analytics-Anwender unterstützen können


Unser gefördertes Beratungspaket "Datenschutzkonzept" enthält neben einigen anderen Dingen auch die Erhebung der Liste der Auftragsdatenverarbeiter und die Überprüfung der bisherigen Vertragsstände.

yourIT Beratungspaket Datenschutzkonzept für Sie als Auftraggeber

Vorteil für mittelständische Unternehmen: Unser Beratungspaket "Datenschutzkonzept" wird gefördert mit Mitteln aus dem Europäischen Sozialfonds. Sie erhalten bis zu 1.500 EUR Fördermittel.

Worauf warten Sie noch? Vereinbaren Sie jetzt einen kostenlosen Kennenlerntermin.

Ich freue mich auf Ihre Anfragen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele, Telefon 07471/930100

Thomas Ströbele

Sie möchten bei neuen Entwicklungen im Bereich Datenschutz & IT-Sicherheit informiert werden?


Dann tragen Sie sich einfach hier in unseren Newsletter ein.

Freitag, 7. April 2017

EU-Datenschutz-Grundverordnung setzt auf Zertifizierung der Auftragsdatenverarbeitung

Unsere Erfahrung als Externe Datenschutzbeauftragte zeigt: Nahezu jedes mittelständische Unternehmen arbeitet heute mit mehreren unterschiedlichen Auftragsdatenverarbeitern gemäß § 11 BDSG zusammen - auch wenn dies und die daraus resultierenden Verpflichtungen den meisten Unternehmen nicht bewußt sind. 


Ein Beispiel: Das Callcenter als Auftrags(daten)verarbeiter gemäß § 11 BDSG (Artikel 28 EU-DSGVO)


Callcenter sind für zahlreiche Unternehmen das Tor zum Kunden. Callcenter verarbeiten Millionen, teilweise sehr sensible Kundendaten für ihre Auftraggeber. Um diese sensiblen Kundendaten zu schützen, sind angemessene Sicherheitsmaßnahmen und klare Abläufe sind notwendig. Für Auftraggeber ist es daher enorm wichtig, schon bei der Auswahl des Auftragnehmers schnell erkennen zu können, ob ein Callcenter vertrauenswürdig ist oder eher nicht.

Eine Zertifizierung bringt Klarheit


Eine Datenschutz-Zertifizierung durch yourIT für Auftragsdatenverarbeiter aller Art schafft die nötige Sicherheit für Auftraggeber und Auftragnehmer.

Übersicht der notwendigen Maßnahmen zur Datenschutz-Zertifizierung für Auftragsverarbeiter
yourIT - Übersicht der notwendigen Maßnahmen zur Datenschutz-Zertifizierung für Auftragsverarbeiter

Bei einer Datenschutz-Zertifizierung von Auftragsdatenverarbeitern gemäß § 11 BDSG (bzw. Auftragsverarbeitern gemäß Artikel 28 EU-DSGVO) werden in mehreren Schritten Geschäfts- und Datenverarbeitungsprozesse untersucht und falls erforderlich an die datenschutzrechtlichen Anforderungen angepasst. Eine erfolgreich bestandene Zertifizierung eines Auftragnehmers garantiert dadurch gegenüber dem Auftraggeber, dass die von Firmen verarbeiteten personenbezogenen Daten den hohen deutschen Datenschutzstandards entsprechen.

Gleichzeitig garantiert eine Datenschutz-Zertifizierung durch yourIT ein qualifiziertes und standardisiertes Datenschutzniveau, eine sichere Auftragsdatenverarbeitung sowie Kosten- und Zeiteinsparungen unter anderem bei Datenschutzkontrollen durch Auftraggeber oder Aufsichtsbehörden.

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) setzt auf eine Zertifizierung der Auftragsdatenverarbeitung


Die kommende EU-DSGVO setzt ganz offiziell auf eine Zertifizierung von Auftragsverarbeitern gemäß Artikel 28.

Die Durchführung einer Datenschutz-Zertifizierung bereits heute ist deshalb eine gute Vorbereitung auf das neue Datenschutzrecht, das ab dem 25.05.2018 gelten wird. Das neue Recht sieht Anpassungen in den Abläufen, Verträgen und IT-Sicherheitsmaßnahmen vor und erhöht die Bußgelder für Datenschutzverstöße auf bis zu 20 Millionen Euro oder 4% des Jahresumsatzes.

Innovationspreis für die Datenschutz-Zertifizierung der yourIT


Die Initiative Mittelstand hat unsere Datenschutz-Zertifizierung für Auftragsdatenverarbeitung mit dem Innovationspreis-IT "BEST OF 2016" in der Kategorie "Consulting" ausgezeichnet.

Außerdem erhalten kleine und mittelständische Unternehmen gemäß KMU-Definition Fördermittel auf die durch yourIT durchgeführte Beratung.

yourIT - ESF-gefördertes Beratungspaket §-11-Zertifizierung für Auftragsdatenverarbeiter
Unser ESF-gefördertes Beratungspaket §-11-Zertifizierung für Auftragsdatenverarbeiter

Ich freue mich auf Ihre Projektanfragen.

Ihr Thomas Ströbele

Thomas Ströbele

Donnerstag, 7. April 2016

Auftragsdatenverarbeitung vs. Funktionsübertragung - Diese Punkte sollten Sie beachten

Häufig kommt es vor, dass Unternehmen sich nicht sicher sind, ob es sich bei einer Outsourcing-Dienstleistung datenschutzrechtlich um eine Auftragsdatenverarbeitung oder eine Funktionsübertragung handelt. Dies ist insofern wichtig, da im Falle einer Auftragsdatenverarbeitung natürlich ein ADV-Vertrag nach § 11 BDSG zwischen Auftraggeber und Auftragnehmer geschlossen werden muss.


Auftragsdatenverarbeitung


Eine Auftragsdatenverarbeitung zeichnet sich regelmäßig durch folgende Eigenschaften aus:

  • Der Outsourcing-Dienstleister/Auftragnehmer hat selber keinen Vertrag mit dem Betroffenen.
  • Er tritt gegenüber dem Betroffenen nicht mit eigenem Namen auf.
  • In der Regel hat er nur Umgang mit den Daten, die ihm der Auftraggeber zur Verfügung stellt.
  • Er hat keinerlei Befugnis, über die Daten zu entscheiden.
  • Er ist weisungsgebunden bezüglich der Daten.
  • Fiktiv tritt er als Teil des Auftraggeber-Unternehmens auf.
  • Die Nutzung der Daten zu eigenen Zwecken ist ausgeschlossen!


Datenschutz: Auftragsdatenverarbeitung vs. Funktionsübertragung - die ADV nach § 11 BDSG

Beispiele für Auftragsdatenverarbeiter


Auftragsdatenverarbeitung findet man nahezu immer im Bereich Outsourcing. Rechenzentren, Callcenter, Entsorgungsunternehmen oder Druckereien sind typische Auftragsdatenverarbeiter. Aber auch Systemhäuser sowie Hard- und Softwareunternehmen, die bei der (Fern-)Wartung beiläufig auf personenbezogene Daten treffen könnten, fallen hierunter.

Funktionsübertragung


Die Funktionsübertragung unterscheidet sich von der Auftragsdatenverarbeitung insbesondere dadurch, dass der Outsourcing-Dienstleister:
  • die Verantwortung was die Zulässigkeit der Datenverarbeitung betrifft, übernimmt. Er wird zur verantwortlichen Stelle.
  • gegenüber dem Auftraggeber weisungsfrei ist, was die Datenerhebung, -verarbeitung und -nutzung anbelangt. Der Auftraggeber hat keinen Einfluss.
  • eigenverantwortlich die Rechte der Betroffenen sicherstellen muss.
  • gegenüber dem Betroffenen unter eigenem Namen auftritt.
  • in der Regel über ein bestimmtes Fachwissen oder über Erfahrungen und Möglichkeiten verfügt, die der Auftraggeber nicht besitzt.
  • Nutzungsrechte an den Daten hat.
  • die Daten zu eigenen Zwecken verwenden kann, falls dies nicht anders geregelt ist!


Datenschutz: Auftragsdatenverarbeitung vs. Funktionsübertragung - die Funktionsübertragung

Beispiele für Funktionsübertragung


Beispiele für Funktionsübertragung finden sich insbesondere im Falle von Ärzten, Rechtsanwälten, Steuerkanzleien, Inkassounternehmen oder Privatdetektiven. Es ist ganz klar zu erkennen, dass der Auftraggeber hier ja gar nicht in der Lage wäre, dem Dienstleister Anweisungen oder Vorgaben für die Durchführung des Auftrags zu geben. Somit fallen auch viele Datenweitergaben innerhalb eines Konzerns unter die Funktionsübertragung, z.B. die Bildung einer zentralen Konzern-Personalverwaltung.

Tipp: Auch Funktionsübertragung vertraglich regeln!


Auch wenn bei der Funktionsübertragung keine gesetzliche Pflicht zum Abschluss eines Vertrages besteht, ist es insofern aufgrund haftungsrechtlicher Überlegungen und zum Schutz von Betroffenen im Einzelfall sinnvoll, die in § 11 BDSG aufgeführten Kriterien auch bei der Funktionsübertragung als Maßstab für die Auswahl des Outsourcingnehmers und die Vertragsgestaltung anzuwenden. Hier kann der Auftraggeber für ihn wichtige Dinge konkret ausformulieren, z.B.

  • Verantwortlichkeiten
  • Zweckbindung
  • Hinweispflichten
  • Geheimhaltungspflichten
  • Pflicht zur Bestellung eines Datenschutzbeauftragten
  • Festlegung der technischen und organisatorischen Maßnahmen
  • Prüfungs- und Kontrollrechte
  • Unterauftragsverhältnisse
Ich empfehle in der Regel, speziell auch das Thema Haftungsübernahme durch den Outsourcingnehmer explizit schriftlich zu regeln. Nicht dass hier Missverständnisse bleiben.

BEST OF CONSULTING 2016 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2016 ausgezeichnet.


Gerne unterstützen wir auch Ihr Unternehmen. Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele