Posts mit dem Label Konzern werden angezeigt. Alle Posts anzeigen
Posts mit dem Label Konzern werden angezeigt. Alle Posts anzeigen

Montag, 24. Juni 2013

Tipps für die datenschutzkonforme Gestaltung des internationalen Datentransfers in Ihrem Unternehmen

Bedingt durch die Globalisierung und internationale Geschäftsbeziehungen bzw. Konzernverknüpfungen werden immer öfter Daten auch in andere Länder übermittelt. Dabei ist zu unterscheiden, ob es sich um ein Land mit einem anerkannten Datenschutzniveau oder um ein sogenanntes Drittland handelt. Besonders gilt dies, wenn Dienstleistungen an Dritte vergeben werden und Ihre direkten Lieferanten nur noch den Service wahrnehmen, wie z.B. bei Software as a Service (SaaS), Active Service Providing (ASP) oder Cloud Computing.

Als Ihr Datenschutz-Berater ist mir bekannt, wie ein rechts- und datenschutzkonformer Datentransfer mit EU/EWR-Ländern und Drittstaaten gewährleistet werden kann. Gerne helfe ich Ihnen bei Ihren speziellen Anforderungen. Fordern Sie mich!

Ob Sie das Tor aufmachen für den Datentransfer zu Ihrer Konzernmutter in Frankreich oder zu einem SaaS-Software-Anbieter in Indien - ich werde Ihnen helfen, die richtigen Vorkehrungen treffen. Besondere Sorgfalt ist empfohlen, wenn in Ihrem international aufgestellten Konzern ein gemeinsames Human Resource Management (wie z.B. SAP HR) eingeführt werden soll und Sie zum Datentransfer von Mitarbeiterdaten aufgerufen werden. Auch wenn Sie Kundendaten liefern sollen, damit konzernweite Kundenumfragen gemacht werden können - denken Sie an den Datenschutz. Wissen Sie, wie dort mit den Daten Ihre Kunden weiter verfahren wird? Das sollten Sie auch, denn Sie haften am Ende für den Datenschutz-gerechten Umgang mit den Daten. Lassen Sie uns gemeinsam die Vereinbarungen formulieren, die das alles regeln - bevor das Kind in den Brunnen gefallen ist.

Internationaler Datentransfer im Konzern datenschutzgerecht gestalten

Wenn Sie Daten an Drittländer liefern, sollten wir mit den richtigen EU-Standardvertragsklauseln arbeiten. Sind Sie wirklich der Auftraggeber, wenn Ihre Konzernmutter Daten von Ihnen abverlangt? Im Zweifelsfall sollten Sie sich fragen, welche Weisungsbefugnis und Kontrollrechte sie haben. Wenn diese eher gering ausfallen, müssen wir statt von einer Auftragsdatenverarbeitung (controller-processor) von einer Datenübermittlung (controller-controller) ausgehen. Das hat vor allem haftungsrechtliche Hintergründe. Bei der Auftragsdatenverarbeitung wird der Auftragsnehmer quasi in Ihr Datenschutzkonzept einverleibt. Die Haftung bleibt bei Ihnen als Auftraggeber. Fehlt die Weisungsbefugnis, sollten Sie Ihre Konzernmutter unbedingt selbst zum Controller machen und die Haftung dorthin weitergeben. Auslagerung der Daten bedeutet damit auch Aulagerung der Verantwortung für die Daten. Dazu müssen wir besondere EU-Standardvertragsklauseln nutzen und eine Vereinbarung mit Ihrer Konzernmutter schliessen.

Ihr Nutzen durch die Zusammenarbeit Ihres Unternehmens mit yourIT:
  • Ich helfe Ihnen, bei internationalen Datentransfers Ihres Unternehmens für Datenschutz zu sorgen.
  • Ich gestalte Ihnen die grenzüberschreitende Auftragsdatenverarbeitung und die Datenübermittlung rechtssicher.
  • Ich kenne die Regelungen zum Schutz von Kunden- und Mitarbeiterdaten genau.
  • Gemeinsam wenden wir die verschiedenen EU-Standardvertragsklauseln für conroller-controller und controller-processor richtig an.
  • Ich kenne auch die anderen Möglichkeiten wie Safe Harbour mit deren Vorzügen und Nachteilen.
  • Sie erhalten von mir wertvolle Tipps, die Ihnen die praktische Arbeit erleichtern.
  • Ich stelle für Sie ein "angemessenes Datenschutzniveau" sicher.
Möchten auch Sie unseren Weg ins Thema Datenschutz kennenlernen? Kontaktieren Sie uns jetzt über unsere Kontaktseite unter dem Stichwort "Datenschutz" oder rufen Sie mich an.

Dienstag, 10. April 2012

Lassen Sie jetzt Ihre Auftragsdatenverarbeiter gemäß § 11 BDSG überprüfen

Die Novellen des Bundesdatenschutzgesetzes aus dem Jahre 2009 haben für viele Unternehmen Änderungen mitgebracht. Eine der wichtigsten war die Neuordung des § 11 BDSG Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag. Kaum ein Unternehmen ist von diesen neuen Regelungen nicht betroffen.


Neben den anderen Punkten wird in diesem neuen § 11 BDSG erstmals geregelt, dass der Auftraggeber den Auftragnehmer sorgfältig auszuwählen hat. § 11 Abs. 2 S.4 regelt die Pflicht des Auftraggebers, sich vor Beginn in einer Erstkontrolle und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Die Missachtung dieser Pflicht ist im Übrigen bußgeldbewehrt (§ 43 Abs. 1 Nr. 2 b BDSG). Das Ergebnis ist zu dokumentieren. (Vergleiche hierzu BDSG Kommentar Gola/Schomerus, 10. Auflage, Verlag CH. Beck, München)

Lassen Sie jetzt Ihre Auftragsdatenverarbeiter gemäß § 11 BDSG überprüfen

Doch wie soll ein Unternehmen nun diesen Kontrollpflichten effektiv nachkommen? Meist gibt es niemanden im Unternehmen, der die Kontrolle durchführen kann. Auch unerfahrene interne Datenschutzbeauftragte haben damit erfahrungsgemäß ihre Mühe. Im Falle einer Auftragsdatenverarbeitung im Konzern ist die Überprüfung durch einen externen Dienstleitser wie yourIT meist angenehmer zu gestalten.

Hier hilft meist nur die Beauftragung eines erfahrenen Dienstleisters wie unseren Beratern für Datenschutz & IT-Sicherheit von yourIT.

Die Vorprüfung: Anlegen einer Liste der Auftragsdatenverarbeiter


Zuallererst prüfen wir, welche Lieferanten überhaupt als Auftragsdatenverarbeiter im Sinne von § 11 BDSG für Ihr Unternehmen tätig sind. Typische Beispiele für Auftragsdatenverarbeitung sind:
  • Ihr Callcenter soll die Kunden des Auftraggebers anrufen;
  • Ihr Lettershop soll Briefe an die Kunden des Auftraggebers adressieren;
  • Ihr IT- / TK-Systemhaus wartet die IT-Systeme des Auftraggebers per Fernwartung;
  • Sie stellen das Rechenzentrum für Ihren Auftraggeber;
  • Sie entsorgen Papier und/oder Datenträger für Ihren Auftraggeber.
Keine Auftragsdatenverarbeitung liegt z.B. vor bei reinem Postversand oder Bankgeschäften.

Durchführung der Kontrolle:

Die Berater von yourIT erfassen, analysieren und bewerten die beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen (TOM) für Datenschutz & IT-Sicherheit.
  1. Aufnahme des Ist-Zustandes der TOM beim Auftragnehmer vor Ort (Erstbegehung) und Feststellung von Datenschutz-Schwachstellen.
  2. Aufnahme der Schwachstellen im IT-Netzwerk (unter Einsatz von QualysGuard).
  3. Aufnahme weiterer datenschutz- und sicherheitsrelevanter Informationen anhand strukturierter Checklisten.
  4. Bewertung der gefundenen Schwachstellen nach Gefährdungen und Risiken.
  5. Erstellung eines ausführlichen Prüfberichts über den Stand des Datenschutzes und der auf die Auftragsdatenverarbeitung bezogenen IT-Sicherheit. Zur Behebung festgestellter Schwachstellen werden Maßnahmenempfehlungen gegeben.
Diese Kontrollen können durch unsere Berater sowohl vor der Aufnahme der Auftragsdatenverarbeitung (Erstkontrolle) als bei laufenden Verarbeitungen regelmäßig vorgenommen werden.

Wir würden uns freuen, wenn auch Sie uns künftig mit der Kontrolle Ihrer Auftragsdatenverarbeiter beauftragen würden.

Gerne beantworte ich Ihre Fragen und erstelle Ihnen ein individuelles, auf Ihre Bedürfnisse zugeschnittenes Angebot. Fordern Sie uns!

Unsere Datenschutz-Beratung - sponsored by ESF


Sie tun sich schwer damit, für Ihr Unternehmen schriftliche Richtlinien für Datenschutz & IT-Sicherheit zu formulieren? Wir übernehmen das gerne für Sie. Mit unserem Beratungspaket "Datenschutzkonzept Phase A+B" legen wir die Grundlage für die Erstellung von zu Ihrem Unternehmen passenden Datenschutzrichtlinien und IT-Sicherheitsrichtlinien.

Aktuell werden unsere Erstberatungen im Bereich Datenschutz von der BAFA mit Mitteln aus dem Europäischen Sozialfonds gefördert.

Unser gefördertes Datenschutz-Beratungskonzept Phase A+B

Weitere Infos hierzu finden Sie auf unserer Fördermittelseite http://www.mitgroup.eu/unsere-beratungspakete/3-datenschutzkonzept

Ich freue mich auf Ihre Projektanfrage. Fordern Sie uns!

Ihr Thomas Ströbele

Thomas Ströbele