Posts mit dem Label Auftragsverarbeitung werden angezeigt. Alle Posts anzeigen
Posts mit dem Label Auftragsverarbeitung werden angezeigt. Alle Posts anzeigen

Donnerstag, 23. Mai 2024

Wann brauche ich einen Auftragsverarbeitungsvertrag?

Wann brauche ich einen Auftragsverarbeitungsvertrag? 

Überall dort, wo personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet werden, muss ein Auftragsverarbeitungsvertag (AVV) geschlossen werden. Doch was bedeutet das in der Praxis? 

Wann genau ein Auftragsverarbeitungsvertrag?


Weil viele Unternehmen hier vor Problemen stehen, möchten wir in diesem Beitrag etwas Licht ins Dunkel bringen.

Dienstag, 12. Oktober 2021

Kostenlose Muster der EU für Datenschutzverträge

Kostenlose Vertragsmuster, frei verwendbar – das bietet die EU für die Auftragsverarbeitung und für die Datenübermittlung in „Drittstaaten“ wie die USA. Diese nützlichen Arbeitsinstrumente sollte man kennen.

Datenübermittlung in Drittstaaten

Montag, 3. August 2020

Was sagen die Aufsichtsbehörden zum Aus für das Privacy Shield? Ein erster Überblick...

Um unsere Empfehlung an unsere Leser aus unserem Post vom 18.07.2020, erstmal vorbereitet zu sein und Aktivität zu zeigen, zu unterstreichen, haben wir uns für Sie die bisherigen Reaktionen des Bundesdatenschutzbeauftragten und der Landesdatenschutzbeauftragten überprüft.

Ergänzung zum Post vom 18.07.2020: Unternehmer-Tipps nach dem Aus für das "Privacy Shield" zwischen der EU und den USA.

Das EuGH-Urteil hebt zwar nur den EU-US Privacy Shield auf, aber auch Standardvertragsklauseln sind bei Transfers an Stellen in den USA kritisch, und es muss überprüft werden, ob der Datenimporteur die Auflagen des Vertragswerks einhalten kann.

Hier ein Überblick. Zwei Wochen nach dem Aus für das Privacy Shield am 16.07.2020 gibt es von Seiten der Bundes- und Landesdatenschutzbeauftragten noch nicht viel Anwendbares für die Verantwortlichen der Unternehmen in Deutschland und uns Datenschutzbeauftragte.

Schlimmer noch: Die Aufsichtsbehörden vertreten zur Zeit noch uneinheitliche Auffassungen zur Prüfpflicht der Verantwortlichen. So sieht Rheinland-Pfalz eine Prüfpflicht der Verantwortlichen, Hamburg hingegen sieht die Prüfpflicht eher bei den Aufsichtsbehörden. Thüringen sieht die Prüfpflicht sowohl bei den Verantwortlichen als auch bei den Aufsichtsbehörden.

Was sagen die Aufsichtsbehörden zum Aus für das Privacy Shield?

Der Bundesdatenschutzbeauftragte BfDI Dr. Kelber

Samstag, 18. Juli 2020

Unternehmer-Tipps nach dem Aus für das "Privacy Shield" zwischen der EU und den USA

Der Europäische Gerichtshof (EuGH) hat am Donnerstag 16.07.2020 im sogenannten "Schrems II"-Urteil entschieden: Für uns als Beobachter der Datenschutz-Rechtsprechung wenig überraschend wurde das „Privacy Shield“-Abkommen zwischen der EU und den USA für ungültig erklärt. Im Ergebnis sind nun Übertragungen von personenbezogen Daten im unternehmerischen Kontext zwischen der EU und den USA größerer Rechtsunsicherheit unterworfen. Lesen Sie hier, wie Sie mit der aktuellen Situation am besten umgehen.


Hintergründe für das Aus für das "Privacy Shield"


Um zu verstehen, wie Datenübertragungen in Nicht- EU-Länder funktionieren, sollte man sich das Konzept des Angemessenheitsbeschlusses und die Standarddatenschutzklauseln (auch als Standardvertragsklauseln bekannt) anschauen.

Tipps vom yourIT-Datenschutz-Team nach dem Aus für das "Privacy-Shield"
Tipps vom yourIT-Datenschutz-Team nach dem Aus für das "Privacy-Shield"

Aus Sicht eines Nicht-EU-Landes ist ein Angemessenheitsbeschluss ein gute Sache, da in ihm die EU-Kommission dem Land bescheinigt, eine Datenschutzrechtssystem mindestens auf dem Niveau der EU-DSGVO zu haben. Damit können viele Rechtsinstrumente der EU-DSGVO angewandt werden, insbesondere auch die Auftragsverarbeitung gemäß Artikel 28 EU-DSGVO.


Dienstag, 2. Januar 2018

EU-DSGVO - Was ändert sich für Cloud-Nutzer?

Wer in Zukunft Cloud-Dienste verwenden will, muss die Vorgaben der EU-Datenschutzgrundverordnung (kurz: EU-DSGVO) beachten. Doch was ändert sich im Vergleich zu heute?


Aus Auftragsdatenverarbeitung wird Auftragsverarbeitung


Cloud Computing, also die Nutzung von IT-Ressourcen wie Rechenleistung, Applika-tionen und Speicherkapazität über das Internet, wird immer beliebter. Zwei von drei Unternehmen haben in Deutschland im Jahr 2016 Cloud Computing eingesetzt, so der Digitalverband Bitkom. Wenn in Kürze die Zahlen für 2017 vorliegen, wird zweifel-los eine weitere Steigerung festzustellen sein.

EU-DSGVO - Was ändert sich für Cloud-Nutzer?

Aus Sicht des Datenschutzes handelt es sich bei Cloud Computing in der Regel um eine Auftragsdatenverarbeitung. Diesen Begriff findet man in der Datenschutz-Grundverordnung (EU-DSGVO/GDPR), die ab 25. Mai 2018 anzuwenden ist, nicht mehr. Dort spricht man nur noch von Auftragsverarbeitung. Ist dies die einzige Änderung im Datenschutz, die Cloud-Nutzer kennen sollten? Nein, das ist sie nicht.


Freitag, 19. Mai 2017

Google Analytics als Auftragsdatenverarbeiter - Was Unternehmen als Nutzer jetzt beachten sollten

Der Einsatz von Google Analytics durch deutsche Unternehmen befindet sich derzeit erneut im Focus des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit (HmbBfDI) und anderer Landesdatenschutzbeauftragter. Das kostenlose Analyse-Produkt des amerikanischen Software-Herstellers Google findet sich massenhaft im Einsatz - auch auf den Websites und Blogs vieler deutscher Unternehmen.


Wieso ist Google Analytics im Datenschutz-Focus?


Da IP-Adressen in Deutschland als personenbezogene Daten gelten und Google beim Einsatz von Google Analytics auf den Websites und Blogs Ihres Unternehmens mit den IP-Adressen der Besucher eben dieser Seiten in Kontakt kommt und diese verarbeitet, handelt es sich hierbei um eine Auftragsdatenverarbeitung im Sinne von § 11 BDSG.

Der Hamburgische Datenschutzbeauftragte war bereits bisher federführend in Bezug auf erforderliche Regelungen bei Verwendung von Google Analytics. Dieser sah es nun als erforderlich an, sich erneut mit der Prüfung von Google Analytics zu befassen.

Als Ergebnis wurde ein neues Hinweisblatt zur Verwendung von Google Analytics erarbeitet. Dieses kann bei yourIT jetzt kostenlos bezogen werden. Schreiben Sie uns hierzu einfach eine kurze Nachricht mit dem Stichwort "Datenschutz Google Analytics".

Die Überarbeitung bezieht sich in erster Linie auf eine Klausel im bisherigen Vertrag zur Auftragsdatenverarbeitung, die auf das Safe-Harbor-Abkommen verwies, welches bekanntlicherweise bereits am 06.10.2015 durch eine Entscheidung des EuGH außer Kraft gesetzt worden war.

Google hat sich zwischenzeitlich nach dem Privacy Shield zertifizieren lassen und seinen Vertrag zur Auftragsdatenverarbeitung entsprechend angepasst.

Auch andere Landesdatenschutzbeauftragte stellen Anforderungen zu Google Analytics


Briefkopf Der Beauftragte für den Datenschutz Baden-Württemberg
Briefkopf Der Beauftragte für den Datenschutz Baden-Württemberg


Wie wir aus sicherer Quelle wissen, stellt auch der Landesbeauftragte für den Datenschutz Baden-Württemberg derzeit Unternehmen Fragen zum Einsatz zu Google-Analytics. Wir zitieren aus einem uns vorliegenden Anschreiben:

"[...] Aus der Datenschutzerklärung geht bezüglich der Verwendung von Google Analytics nicht hervor, ob ein Vertrag mit Google nach § 11 BDSG im Sinne der Auftragsdatenverarbeitung besteht und in welcher Art und Weise die IP-Adresse übermittelt wird. Ist dies der Fall und werden die hinteren Ziffern der IP-Adresse anonymisiert? [...]"



Auszug Anschreiben Beauftragte für den Datenschutz Baden-Württemberg zu Google Analytics
Auszug Anschreiben Beauftragte für den Datenschutz Baden-Württemberg zu Google Analytics

Die EU-DSGVO wird vermutlich noch eins drauf setzen...


Es ist zu erwarten, dass sich bei In-Kraft-Treten der EU-Datenschutzgrundverordnung (EU-DSGVO) zum 25.05.2018 erneut Änderungen hinsichtlich der Verwendung von Google Analytics ergeben werden.

Unternehmen, die Google Analytics auf ihren Websites und Blogs einsetzen, sollten
  1. jetzt eine Vereinbarung zur Auftragsdatenverarbeitung mit Google abschließen und 
  2. die Änderungen durch die kommende EU-DSGVO im Auge behalten.
Nutzen Sie jetzt unsere Erfahrung und unser Knowhow aus 10 Jahren externer Datenschutzberatung.

Fazit: Vereinbarung zur Auftragsdatenverarbeitung mit Google Analytics jetzt!


Holen Sie sich jetzt von uns kostenlos unser Hinweisblatt zu Google Analytics. Schreiben Sie uns hierzu einfach eine kurze Nachricht mit dem Stichwort "Datenschutz Google Analytics". Sie erhalten von uns ein Hinweisblatt zur konkreten Vorgehensweise sowie die aktuelle Version des Vertrages zur Auftragsdatenverarbeitung mit Google Ireland Ltd. in Dublin.

Brief an Google mit Inhalt Vereinbarung zur Auftragsdatenverarbeitung
Sie müssen die Vereinbarung zur Auftragsdatenverarbeitung mit Google dann nur noch kurz ausfüllen, unterschreiben und ab die Post!

Achtung: Neben der Vereinbarung sind weitere Schritte zu unternehmen. Gerne unterstützen wir Sie dabei.

Wie wir von yourIT Sie als Google-Analytics-Anwender unterstützen können


Unser gefördertes Beratungspaket "Datenschutzkonzept" enthält neben einigen anderen Dingen auch die Erhebung der Liste der Auftragsdatenverarbeiter und die Überprüfung der bisherigen Vertragsstände.

yourIT Beratungspaket Datenschutzkonzept für Sie als Auftraggeber

Vorteil für mittelständische Unternehmen: Unser Beratungspaket "Datenschutzkonzept" wird gefördert mit Mitteln aus dem Europäischen Sozialfonds. Sie erhalten bis zu 1.500 EUR Fördermittel.

Worauf warten Sie noch? Vereinbaren Sie jetzt einen kostenlosen Kennenlerntermin.

Ich freue mich auf Ihre Anfragen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele, Telefon 07471/930100

Thomas Ströbele

Sie möchten bei neuen Entwicklungen im Bereich Datenschutz & IT-Sicherheit informiert werden?


Dann tragen Sie sich einfach hier in unseren Newsletter ein.