Posts mit dem Label Auftragsdatenverarbeitung werden angezeigt. Alle Posts anzeigen
Posts mit dem Label Auftragsdatenverarbeitung werden angezeigt. Alle Posts anzeigen

Montag, 20. März 2023

Auftragsverarbeitung im Fokus der Datenschutz-Aufsicht

Auftragsverarbeitung im Fokus der Datenschutz-Aufsicht


Ausgangspunkt sind Webhosting-Verträge


Auftragsverarbeitung


Ohne Internetseite kommt heute so gut wie kein Unternehmen mehr aus. 

Dienstag, 2. Januar 2018

EU-DSGVO - Was ändert sich für Cloud-Nutzer?

Wer in Zukunft Cloud-Dienste verwenden will, muss die Vorgaben der EU-Datenschutzgrundverordnung (kurz: EU-DSGVO) beachten. Doch was ändert sich im Vergleich zu heute?


Aus Auftragsdatenverarbeitung wird Auftragsverarbeitung


Cloud Computing, also die Nutzung von IT-Ressourcen wie Rechenleistung, Applika-tionen und Speicherkapazität über das Internet, wird immer beliebter. Zwei von drei Unternehmen haben in Deutschland im Jahr 2016 Cloud Computing eingesetzt, so der Digitalverband Bitkom. Wenn in Kürze die Zahlen für 2017 vorliegen, wird zweifel-los eine weitere Steigerung festzustellen sein.

EU-DSGVO - Was ändert sich für Cloud-Nutzer?

Aus Sicht des Datenschutzes handelt es sich bei Cloud Computing in der Regel um eine Auftragsdatenverarbeitung. Diesen Begriff findet man in der Datenschutz-Grundverordnung (EU-DSGVO/GDPR), die ab 25. Mai 2018 anzuwenden ist, nicht mehr. Dort spricht man nur noch von Auftragsverarbeitung. Ist dies die einzige Änderung im Datenschutz, die Cloud-Nutzer kennen sollten? Nein, das ist sie nicht.


Montag, 22. Mai 2017

EU-Datenschutz-Experten empfehlen: Raus aus den US-Clouds!

US-Präsident Donald Trump war kaum im Amt, als er am 25. Januar 2017 direkt den Datenschutz für Europäer in Frage gestellt. Datenschutz-Experten aus der EU raten daher Unternehmen aus der EU, Cloud-Produkte nur noch von Europäischen Anbietern zu nutzen.


Deutsche und alle übrigen Europäer sind für den US-Präsidenten ganz offensichtlich Internetnutzer zweiter Klasse. Per Dekret vom 25. Januar erklärte er, dass Nicht-US-Bürger vom US-amerikanischen Datenschutzrecht auszuschließen oder zumindest ihre Rechte diesbezüglich einzuschränken sind, "soweit dies mit geltendem Recht vereinbar ist".

Der Datentransfer zwischen der EU und der USA auf Basis des Privacy Shield steht seither unter europäischem Beschuss. Das Privacy Shield ist als Nachfolger des Vorgängers Safe Harbor seit dem 12. Juli 2016 in Kraft und war von Anfang an umstritten. Es sollte eigentlich den EU-US-Datenaustausch für europäische Unternehmen mit US-Dienstleistern vereinfachen, die sich zu den darin notierten Prinzipien und organisatorischen Vorgaben bekennen. Ob sich damit aber tatsächlich ein "angemessenes Datenschutzniveau" sicherstellen lässt, das die Grundvoraussetzung für einen Datenaustausch mit anderen Unternehmen darstellt, gilt als unsicher.

EU-Datenschutz-Experten empfehlen: Raus aus den US-Clouds!
EU-Datenschutz-Experten empfehlen: Raus aus den US-Clouds!


EU-Datenschützer befürchten nun , dass der Privacy Shield unter Trump von den USA gekündigt oder zumindest nicht ernst genommen werden könnte. Wieder einmal steht der Datenaustausch europäischer Unternehmen mit Dienstleistern aus den USA unter Kritik.

Wie die Deutsche IT-Branche von diesem Streit profitieren wird


Viele deutsche Unternehmen stehen derzeit vor der Entscheidung, ob sie die nächste Server-Generation noch im eigenen Serverraum betreiben wollen oder direkt in die Cloud wechseln. Zur Zeit-Überbrückung sollen aus dem Service laufende Server länger betrieben werden. Dies zeigen z.B. die seit November 2014 stark gestiegenen Zugriffsraten auf den Blogbeitrag zum Thema "Lebensdauer Server" des IT-Dienstleister yourIT aus Hechingen.

Zusätzlich sind deutsche Unternehmen derzeit dabei, die Vorbereitung für die EU-Datenschutzgrundverordnung zu treffen, die ab dem 25. Mai 2018 gelten wird.

Unternehmen, die künftigen Ärger mit dem Datenschutz vermeiden möchte, tun gut daran, sich jetzt ausschließlich auf europäische oder noch besser deutsche Cloud-Dienstleister einzulassen, die direkt der EU-DSGVO unterliegen. Mit diesen ist relativ einfach eine Vereinbarung zur Auftragsverarbeitung machbar. Außerdem setzt die EU-DSGVO auf eine Zertifizierung der Auftragsverarbeiter.

Für Online-Backup, Cloud-Speicher, E-Mail, Kalender, Messaging und viele andere Dienste gibt es inzwischen gute Alternativen europäischer Dienstleister zu Dropbox, Google & Co. Sprechen Sie mit den Cloud- und Datenschutz-Experten von yourIT. Wir empfehlen Ihnen gerne datenschutzkonforme Produkte deutscher und europäischer Anbieter.

Das könnte Sie auch interessieren:


Datenschutz-Dienstag, 13. Juli 2021
In der Cloud ist alles besser? Eine Geschichte über E-Mail-Server nach dem HAFNIUM-Angriff

Datenschutz-Dienstag, 06. Juli 2021
Internationale Datentransfers - Das How-To

Datenschutz-Dienstag, 29. Juni 2021
Internationale Datentransfers - Dokumentieren statt abschaffen! Am Beispiel Mailchimp

Datenschutz-Dienstag, 22. Juni 2021
Microsoft 365 rechtskonform einsetzen - auf die Konfiguration kommt es an!

Datenschutz-Dienstag, 15. Juni 2021
Datentransfer in die USA – eine Dauerbaustelle? Oder ein akuter Flächenbrand?!

Freitag, 4. Juni 2021
Achtung Kontrolle - Landesdatenschutzbeauftragte verschicken Fragebögen zu internationalen Datentransfers

Donnerstag, 8. April 2021
Office 365: Was sagt der Datenschutz?

Montag, 3. August 2020
Was sagen die Aufsichtsbehörden zum Aus für das Privacy Shield? Ein erster Überblick...

Samstag, 18. Juli 2020
Unternehmer-Tipps nach dem Aus für das "Privacy Shield" zwischen der EU und den USA

Freitag, 14. Juni 2019
EU-DSGVO - Das sollten Unternehmen bei der Nutzung von Public-Cloud-Diensten aus den USA beachten

Donnerstag, 9. Februar 2017
Was ist der Privacy Shield?

Freitag, 19. Mai 2017

Google Analytics als Auftragsdatenverarbeiter - Was Unternehmen als Nutzer jetzt beachten sollten

Der Einsatz von Google Analytics durch deutsche Unternehmen befindet sich derzeit erneut im Focus des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit (HmbBfDI) und anderer Landesdatenschutzbeauftragter. Das kostenlose Analyse-Produkt des amerikanischen Software-Herstellers Google findet sich massenhaft im Einsatz - auch auf den Websites und Blogs vieler deutscher Unternehmen.


Wieso ist Google Analytics im Datenschutz-Focus?


Da IP-Adressen in Deutschland als personenbezogene Daten gelten und Google beim Einsatz von Google Analytics auf den Websites und Blogs Ihres Unternehmens mit den IP-Adressen der Besucher eben dieser Seiten in Kontakt kommt und diese verarbeitet, handelt es sich hierbei um eine Auftragsdatenverarbeitung im Sinne von § 11 BDSG.

Der Hamburgische Datenschutzbeauftragte war bereits bisher federführend in Bezug auf erforderliche Regelungen bei Verwendung von Google Analytics. Dieser sah es nun als erforderlich an, sich erneut mit der Prüfung von Google Analytics zu befassen.

Als Ergebnis wurde ein neues Hinweisblatt zur Verwendung von Google Analytics erarbeitet. Dieses kann bei yourIT jetzt kostenlos bezogen werden. Schreiben Sie uns hierzu einfach eine kurze Nachricht mit dem Stichwort "Datenschutz Google Analytics".

Die Überarbeitung bezieht sich in erster Linie auf eine Klausel im bisherigen Vertrag zur Auftragsdatenverarbeitung, die auf das Safe-Harbor-Abkommen verwies, welches bekanntlicherweise bereits am 06.10.2015 durch eine Entscheidung des EuGH außer Kraft gesetzt worden war.

Google hat sich zwischenzeitlich nach dem Privacy Shield zertifizieren lassen und seinen Vertrag zur Auftragsdatenverarbeitung entsprechend angepasst.

Auch andere Landesdatenschutzbeauftragte stellen Anforderungen zu Google Analytics


Briefkopf Der Beauftragte für den Datenschutz Baden-Württemberg
Briefkopf Der Beauftragte für den Datenschutz Baden-Württemberg


Wie wir aus sicherer Quelle wissen, stellt auch der Landesbeauftragte für den Datenschutz Baden-Württemberg derzeit Unternehmen Fragen zum Einsatz zu Google-Analytics. Wir zitieren aus einem uns vorliegenden Anschreiben:

"[...] Aus der Datenschutzerklärung geht bezüglich der Verwendung von Google Analytics nicht hervor, ob ein Vertrag mit Google nach § 11 BDSG im Sinne der Auftragsdatenverarbeitung besteht und in welcher Art und Weise die IP-Adresse übermittelt wird. Ist dies der Fall und werden die hinteren Ziffern der IP-Adresse anonymisiert? [...]"



Auszug Anschreiben Beauftragte für den Datenschutz Baden-Württemberg zu Google Analytics
Auszug Anschreiben Beauftragte für den Datenschutz Baden-Württemberg zu Google Analytics

Die EU-DSGVO wird vermutlich noch eins drauf setzen...


Es ist zu erwarten, dass sich bei In-Kraft-Treten der EU-Datenschutzgrundverordnung (EU-DSGVO) zum 25.05.2018 erneut Änderungen hinsichtlich der Verwendung von Google Analytics ergeben werden.

Unternehmen, die Google Analytics auf ihren Websites und Blogs einsetzen, sollten
  1. jetzt eine Vereinbarung zur Auftragsdatenverarbeitung mit Google abschließen und 
  2. die Änderungen durch die kommende EU-DSGVO im Auge behalten.
Nutzen Sie jetzt unsere Erfahrung und unser Knowhow aus 10 Jahren externer Datenschutzberatung.

Fazit: Vereinbarung zur Auftragsdatenverarbeitung mit Google Analytics jetzt!


Holen Sie sich jetzt von uns kostenlos unser Hinweisblatt zu Google Analytics. Schreiben Sie uns hierzu einfach eine kurze Nachricht mit dem Stichwort "Datenschutz Google Analytics". Sie erhalten von uns ein Hinweisblatt zur konkreten Vorgehensweise sowie die aktuelle Version des Vertrages zur Auftragsdatenverarbeitung mit Google Ireland Ltd. in Dublin.

Brief an Google mit Inhalt Vereinbarung zur Auftragsdatenverarbeitung
Sie müssen die Vereinbarung zur Auftragsdatenverarbeitung mit Google dann nur noch kurz ausfüllen, unterschreiben und ab die Post!

Achtung: Neben der Vereinbarung sind weitere Schritte zu unternehmen. Gerne unterstützen wir Sie dabei.

Wie wir von yourIT Sie als Google-Analytics-Anwender unterstützen können


Unser gefördertes Beratungspaket "Datenschutzkonzept" enthält neben einigen anderen Dingen auch die Erhebung der Liste der Auftragsdatenverarbeiter und die Überprüfung der bisherigen Vertragsstände.

yourIT Beratungspaket Datenschutzkonzept für Sie als Auftraggeber

Vorteil für mittelständische Unternehmen: Unser Beratungspaket "Datenschutzkonzept" wird gefördert mit Mitteln aus dem Europäischen Sozialfonds. Sie erhalten bis zu 1.500 EUR Fördermittel.

Worauf warten Sie noch? Vereinbaren Sie jetzt einen kostenlosen Kennenlerntermin.

Ich freue mich auf Ihre Anfragen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele, Telefon 07471/930100

Thomas Ströbele

Sie möchten bei neuen Entwicklungen im Bereich Datenschutz & IT-Sicherheit informiert werden?


Dann tragen Sie sich einfach hier in unseren Newsletter ein.

Freitag, 7. April 2017

EU-Datenschutz-Grundverordnung setzt auf Zertifizierung der Auftragsdatenverarbeitung

Unsere Erfahrung als Externe Datenschutzbeauftragte zeigt: Nahezu jedes mittelständische Unternehmen arbeitet heute mit mehreren unterschiedlichen Auftragsdatenverarbeitern gemäß § 11 BDSG zusammen - auch wenn dies und die daraus resultierenden Verpflichtungen den meisten Unternehmen nicht bewußt sind. 


Ein Beispiel: Das Callcenter als Auftrags(daten)verarbeiter gemäß § 11 BDSG (Artikel 28 EU-DSGVO)


Callcenter sind für zahlreiche Unternehmen das Tor zum Kunden. Callcenter verarbeiten Millionen, teilweise sehr sensible Kundendaten für ihre Auftraggeber. Um diese sensiblen Kundendaten zu schützen, sind angemessene Sicherheitsmaßnahmen und klare Abläufe sind notwendig. Für Auftraggeber ist es daher enorm wichtig, schon bei der Auswahl des Auftragnehmers schnell erkennen zu können, ob ein Callcenter vertrauenswürdig ist oder eher nicht.

Eine Zertifizierung bringt Klarheit


Eine Datenschutz-Zertifizierung durch yourIT für Auftragsdatenverarbeiter aller Art schafft die nötige Sicherheit für Auftraggeber und Auftragnehmer.

Übersicht der notwendigen Maßnahmen zur Datenschutz-Zertifizierung für Auftragsverarbeiter
yourIT - Übersicht der notwendigen Maßnahmen zur Datenschutz-Zertifizierung für Auftragsverarbeiter

Bei einer Datenschutz-Zertifizierung von Auftragsdatenverarbeitern gemäß § 11 BDSG (bzw. Auftragsverarbeitern gemäß Artikel 28 EU-DSGVO) werden in mehreren Schritten Geschäfts- und Datenverarbeitungsprozesse untersucht und falls erforderlich an die datenschutzrechtlichen Anforderungen angepasst. Eine erfolgreich bestandene Zertifizierung eines Auftragnehmers garantiert dadurch gegenüber dem Auftraggeber, dass die von Firmen verarbeiteten personenbezogenen Daten den hohen deutschen Datenschutzstandards entsprechen.

Gleichzeitig garantiert eine Datenschutz-Zertifizierung durch yourIT ein qualifiziertes und standardisiertes Datenschutzniveau, eine sichere Auftragsdatenverarbeitung sowie Kosten- und Zeiteinsparungen unter anderem bei Datenschutzkontrollen durch Auftraggeber oder Aufsichtsbehörden.

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) setzt auf eine Zertifizierung der Auftragsdatenverarbeitung


Die kommende EU-DSGVO setzt ganz offiziell auf eine Zertifizierung von Auftragsverarbeitern gemäß Artikel 28.

Die Durchführung einer Datenschutz-Zertifizierung bereits heute ist deshalb eine gute Vorbereitung auf das neue Datenschutzrecht, das ab dem 25.05.2018 gelten wird. Das neue Recht sieht Anpassungen in den Abläufen, Verträgen und IT-Sicherheitsmaßnahmen vor und erhöht die Bußgelder für Datenschutzverstöße auf bis zu 20 Millionen Euro oder 4% des Jahresumsatzes.

Innovationspreis für die Datenschutz-Zertifizierung der yourIT


Die Initiative Mittelstand hat unsere Datenschutz-Zertifizierung für Auftragsdatenverarbeitung mit dem Innovationspreis-IT "BEST OF 2016" in der Kategorie "Consulting" ausgezeichnet.

Außerdem erhalten kleine und mittelständische Unternehmen gemäß KMU-Definition Fördermittel auf die durch yourIT durchgeführte Beratung.

yourIT - ESF-gefördertes Beratungspaket §-11-Zertifizierung für Auftragsdatenverarbeiter
Unser ESF-gefördertes Beratungspaket §-11-Zertifizierung für Auftragsdatenverarbeiter

Ich freue mich auf Ihre Projektanfragen.

Ihr Thomas Ströbele

Thomas Ströbele

Donnerstag, 7. April 2016

Auftragsdatenverarbeitung vs. Funktionsübertragung - Diese Punkte sollten Sie beachten

Häufig kommt es vor, dass Unternehmen sich nicht sicher sind, ob es sich bei einer Outsourcing-Dienstleistung datenschutzrechtlich um eine Auftragsdatenverarbeitung oder eine Funktionsübertragung handelt. Dies ist insofern wichtig, da im Falle einer Auftragsdatenverarbeitung natürlich ein ADV-Vertrag nach § 11 BDSG zwischen Auftraggeber und Auftragnehmer geschlossen werden muss.


Auftragsdatenverarbeitung


Eine Auftragsdatenverarbeitung zeichnet sich regelmäßig durch folgende Eigenschaften aus:

  • Der Outsourcing-Dienstleister/Auftragnehmer hat selber keinen Vertrag mit dem Betroffenen.
  • Er tritt gegenüber dem Betroffenen nicht mit eigenem Namen auf.
  • In der Regel hat er nur Umgang mit den Daten, die ihm der Auftraggeber zur Verfügung stellt.
  • Er hat keinerlei Befugnis, über die Daten zu entscheiden.
  • Er ist weisungsgebunden bezüglich der Daten.
  • Fiktiv tritt er als Teil des Auftraggeber-Unternehmens auf.
  • Die Nutzung der Daten zu eigenen Zwecken ist ausgeschlossen!


Datenschutz: Auftragsdatenverarbeitung vs. Funktionsübertragung - die ADV nach § 11 BDSG

Beispiele für Auftragsdatenverarbeiter


Auftragsdatenverarbeitung findet man nahezu immer im Bereich Outsourcing. Rechenzentren, Callcenter, Entsorgungsunternehmen oder Druckereien sind typische Auftragsdatenverarbeiter. Aber auch Systemhäuser sowie Hard- und Softwareunternehmen, die bei der (Fern-)Wartung beiläufig auf personenbezogene Daten treffen könnten, fallen hierunter.

Funktionsübertragung


Die Funktionsübertragung unterscheidet sich von der Auftragsdatenverarbeitung insbesondere dadurch, dass der Outsourcing-Dienstleister:
  • die Verantwortung was die Zulässigkeit der Datenverarbeitung betrifft, übernimmt. Er wird zur verantwortlichen Stelle.
  • gegenüber dem Auftraggeber weisungsfrei ist, was die Datenerhebung, -verarbeitung und -nutzung anbelangt. Der Auftraggeber hat keinen Einfluss.
  • eigenverantwortlich die Rechte der Betroffenen sicherstellen muss.
  • gegenüber dem Betroffenen unter eigenem Namen auftritt.
  • in der Regel über ein bestimmtes Fachwissen oder über Erfahrungen und Möglichkeiten verfügt, die der Auftraggeber nicht besitzt.
  • Nutzungsrechte an den Daten hat.
  • die Daten zu eigenen Zwecken verwenden kann, falls dies nicht anders geregelt ist!


Datenschutz: Auftragsdatenverarbeitung vs. Funktionsübertragung - die Funktionsübertragung

Beispiele für Funktionsübertragung


Beispiele für Funktionsübertragung finden sich insbesondere im Falle von Ärzten, Rechtsanwälten, Steuerkanzleien, Inkassounternehmen oder Privatdetektiven. Es ist ganz klar zu erkennen, dass der Auftraggeber hier ja gar nicht in der Lage wäre, dem Dienstleister Anweisungen oder Vorgaben für die Durchführung des Auftrags zu geben. Somit fallen auch viele Datenweitergaben innerhalb eines Konzerns unter die Funktionsübertragung, z.B. die Bildung einer zentralen Konzern-Personalverwaltung.

Tipp: Auch Funktionsübertragung vertraglich regeln!


Auch wenn bei der Funktionsübertragung keine gesetzliche Pflicht zum Abschluss eines Vertrages besteht, ist es insofern aufgrund haftungsrechtlicher Überlegungen und zum Schutz von Betroffenen im Einzelfall sinnvoll, die in § 11 BDSG aufgeführten Kriterien auch bei der Funktionsübertragung als Maßstab für die Auswahl des Outsourcingnehmers und die Vertragsgestaltung anzuwenden. Hier kann der Auftraggeber für ihn wichtige Dinge konkret ausformulieren, z.B.

  • Verantwortlichkeiten
  • Zweckbindung
  • Hinweispflichten
  • Geheimhaltungspflichten
  • Pflicht zur Bestellung eines Datenschutzbeauftragten
  • Festlegung der technischen und organisatorischen Maßnahmen
  • Prüfungs- und Kontrollrechte
  • Unterauftragsverhältnisse
Ich empfehle in der Regel, speziell auch das Thema Haftungsübernahme durch den Outsourcingnehmer explizit schriftlich zu regeln. Nicht dass hier Missverständnisse bleiben.

BEST OF CONSULTING 2016 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2016 ausgezeichnet.


Gerne unterstützen wir auch Ihr Unternehmen. Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 

Montag, 5. Oktober 2015

Auftragsdatenverarbeitung ohne korrekte ADV-Vereinbarung kann teuer werden

Das Bayrische Landesamt für Datenschutz (BayLDA) verhängte laut eigenen Angaben vom 20.08.2015 erstmals ein Bußgeld in fünfstelliger Höhe gegen einen Auftraggeber, der Auftragnehmer mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt hatte, ohne mit diesen gemäß § 11 BDSG hinreichende Vereinbarungen zur Auftragsdatenverarbeitung zu treffen. Speziell die Festlegung konkreter (!) technischer und organisatorischer Maßnahmen (TOM) wurde vernachlässigt (vgl. § 11 (1) Abs. 3 BDSG).


Das betroffene und nun abgestrafte Unternehmen hatte stattdessen nur pauschale Aussagen und Wiederholungen des Gesetzestextes in die Vereinbarungen mit den Auftragnehmern geschrieben. Dies reicht laut dem BayLDA keinesfalls aus. Denn der Auftraggeber ist und bleibt für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz auch in Fällen einer Auftragsdatenverarbeitung verantwortlich.

Auftragsdatenverarbeitung ohne korrekte schriftliche Vereinbarung kann teuer werden


Als Datenschutzbeauftragte bekommen wir aber nicht selten genau diese pauschalen Aussagen und Wiederholungen aus dem Gesetzestext statt konkreter technischer und organisatorischer Maßnahmen zu lesen, wenn wir eine Vereinbarung zur Auftragsdatenverarbeitung schließen wollen. Wenn ich dann konkrete Maßnahmen einfordere, höre ich nicht selten, ich wäre der erste Datenschutzbeauftragte, der sich mit dem "Standard" nicht zufrieden geben möchte.

Aber ganz ehrlich: Wie will ein Auftraggeber seiner gesetzlich auferlegten Datenschutz-Verantwortung nachkommen, wenn er die konkreten technischen und organisatorischen Maßnahmen des Auftragnehmers nicht kennt und daher auch nicht überprüft. Wie kann er dann wissen, ob sein ausgewählter Dienstleister überhaupt in der Lage ist, für Sicherheit und Schutz der Daten zu sorgen - die in seinem Verantwortungsbereich liegen?

Der Datenschutzbeauftragte des Auftraggebers muss sich gemäß Anlage zu § 9 BDSG über die Verhältnisse der

  • Zutrittskontrolle,
  • Zugangskontrolle,
  • Zugriffskontrolle, 
  • Weitergabekontrolle,
  • Eingabekontrolle,
  • Auftragskontrolle,
  • Verfügbarkeitskontrolle und
  • Trennungsgebot

beim Auftragnehmer ein Bild machen - z.B. durch Kontaktaufnahme mit dem Datenschutzbeauftragten des Auftragnehmers. Falls notwendig muss er auch für die Einführung weiterer geeigneter technisch-organisatorischer Maßnahmen sorgen. Gibt es auf Seiten des Auftragnehmers keinen Datenschutzbeauftragten, wird der Datenschutzbeauftragte des Auftraggebers auch diese Arbeiten durchführen müssen.

Der Auftraggeber muss eine dem § 11 BDSG entsprechende Vereinbarung schließen. Die Haftung bleibt bei ihm, solange sich der Auftragnehmer wie vereinbart verhält. Der Auftraggeber wird auch die Kosten dieser Tätigkeiten seines Datenschutzbeauftragten sowohl beim Auftraggeber als auch beim Auftragnehmer tragen müssen. Es ist aber denkbar, diese zumindest teilweise an den Auftragnehmer weiter zu reichen.

Typische Fälle von Auftragsdatenverarbeitung


Auftragsdatenverarbeitung sind laut dem BayLDA regelmäßig z. B. folgende Dienstleistungen:

  • die edv-technischen Arbeiten für die Lohn- und Gehaltsabrechnungen oder die Finanzbuchhaltung,
  • Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing,
  • die Werbeadressenverarbeitung in einem Lettershop,
  • die Kontaktdatenerhebung durch ein Callcenter,
  • die Auslagerung eines Teils des eigenen Telekommunikationsanlagenbetriebs (soweit nicht TKG),
  • die Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten,
  • die Datenerfassung, die Datenkonvertierung oder das Einscannen von Dokumenten,
  • die Backup-Sicherheitsspeicherung und andere Archivierungen,
  • die Datenträgerentsorgung, 
  • usw.


Diese Liste erhebt keinen Anspruch auf Vollständigkeit.

Was Sie als Auftraggeber jetzt tun sollten


Sie sind laut § 11 BDSG in der Pflicht, eine hinreichende schriftliche Vereinbarung mit allen Auftragsdatenverarbeitern zu schließen. Falls Sie das nicht tun, zahlen Sie gegebenenfalls das Bußgeld. Falls noch nicht geschehen, sollten Sie jetzt eine Liste Ihrer Auftragsdatenverarbeiter aufstellen. Auf Anfrage liefern wir Ihnen gerne ein kostenloses Muster einer solchen Liste der Auftragsdatenverarbeiter. Danach sollten Sie überprüfen, mit welchen der in der Liste notierten Auftragsdatenverarbeiter bereits schriftliche Vereinbarungen getroffen wurden und ob diese den Anforderungen des § 11 BDSG entsprechen. Mit allen anderen sollten  Sie schnellstmöglich entsprechende Vereinbarungen treffen.

Wie wir von yourIT Sie als Auftraggeber unterstützen können


Unser gefördertes Beratungspaket "Datenschutzkonzept" enthält neben einigen anderen Dingen auch die Erhebung der Liste der Auftragsdatenverarbeiter und die Überprüfung der bisherigen Vertragsstände.

yourIT Beratungspaket Datenschutzkonzept für Sie als Auftraggeber

Vorteil für mittelständische Unternehmen: Unser Beratungspaket "Datenschutzkonzept" wird gefördert mit Mitteln aus dem Europäischen Sozialfonds. Sie erhalten bis zu 1.500 EUR Fördermittel - aber nur bei Durchführung der Beratung bis 31.12.2016.

Worauf warten Sie noch? Vereinbaren Sie jetzt einen kostenlosen Kennenlerntermin.


Ich freue mich auf Ihre Anfragen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele, Telefon 07471/930100

Thomas Ströbele

Sie möchten bei neuen Entwicklungen im Bereich Datenschutz & IT-Sicherheit informiert werden?


Dann tragen Sie sich einfach hier in unseren Newsletter ein.



Hinweis: Auch für Auftragnehmer haben wir ein passendes Beratungspaket geschnürt:

Die §-11-Zertifizierung für Auftragsdatenverarbeiter


yourIT Beratungspaket §-11-Zertifizierung für Auftragsdatenverarbeiter


Wenn Sie Ihren Auftraggeber unterstützen und diesem seine gemäß § 11 BDSG auferlegten Aufgaben so einfach wie möglich machen wollen, lassen Sie Ihr Unternehmen als Auftragsdatenverarbeiter durch uns von yourIT kontrollieren und zertifizieren. In diesem Fall erstellen wir ein Zertifikat, da Ihr Auftragsdatenverarbeiter direkt als Nachweis verwenden kann.

Donnerstag, 23. Juli 2015

Gefördertes Angebot - §11-BDSG-Zertifikat zur Auftragsdatenverarbeitung

Sie haben ein Anschreiben eines Kunden (hier: Auftraggeber) erhalten, der mit Ihnen eine Vereinbarung zur Auftragsdatenverarbeitung nach § 11 BDSG schließen möchte? Sie haben nicht so wirklich einen Plan, was nun zu tun ist? Dann sind Sie hier richtig. Wir verhelfen Ihnen schnell und unkompliziert - und im besten Fall noch staatlich gefördert - zur notwendigen §11-Zertifizierung.


Mit einer proaktiven §11-Zertifizierung sparen Sie als Auftragnehmer bei der Auftragsdatenverarbeitung sich und Ihrem Auftraggeber sehr viel Prüfaufwand und damit Zeit und Geld.

Zertifizierung für Auftragsdatenverarbeiter gemäß §11 BDSG - von yourIT

Was bedeutet Auftragsdatenverarbeitung?


Datenverarbeitung im Auftrag liegt immer dann vor, wenn personenbezogene Daten Im Auftrag von einem Dienstleistungsunternehmen erhoben, verarbeitet oder genutzt werden.

Ihr Auftraggeber, also Ihr Kunde, muss Sie in regelmäßigen Abständen prüfen ob Sie ausreichende technische und organisatorische Maßnahmen zum Datenschutz eingerichtet haben und diese auch eingehalten werden. Wie diese Überprüfung durchzuführen ist, hat der Gesetzgeber nicht näher bestimmt, die Überprüfung ist aber zu dokumentieren und in regelmäßigen Abständen zu wiederholen. Dasselbe gilt im Umkehrschluss für Sie, wenn Sie in der Position als Auftraggeber fungieren.

Die Verantwortung für die Einhaltung der Datenschutzvorschriften verbleibt beim Auftraggeber! Der Mindestumfang des Vertragsinhalts wird im Gesetz konkret und umfassend vorgegeben.

Wird die Überprüfung des Auftragnehmers unterlassen oder der Vertrag nicht, nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise abgeschlossen, erfüllt dies den Tatbestand einer Ordnungswidrigkeit und ist mit einem Bußgeld bis zu 50.000 € belegt. Daher das Interesse Ihres Auftraggebers, diesen Vertrag nun korrekt mit Ihnen zu schließen.

Die Vorprüfung: Sind Sie überhaupt ein Auftragsdatenverarbeiter?


Zuallererst prüfen wir, ob Sie im fraglichen Fall überhaupt ein Auftragsdatenverarbeiter sind. Typische Beispiele für Auftragsdatenverarbeitung sind:
  • Ihr Callcenter ruft die Kunden des Auftraggebers an und erhebt Kontaktdaten;
  • Ihr Lettershop adressiert Werbe-Briefe an die Kunden des Auftraggebers;
  • Ihr IT-Systemhaus wartet die IT-Systeme des Auftraggebers, z.B. auch per Fernwartung;
  • Sie stellen das Rechenzentrum für Ihren Auftraggeber;
  • Sie betreiben eine (online) Backup-Sicherheits-Speicherung oder andere Archivierung für Ihre Kunden;
  • Sie betreiben ein Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing;
  • Sie betreiben zumindest teilweise die Telekommunikationsanlage Ihres Auftraggebers (soweit nicht TKG);
  • Sie erfassen und/oder konvertieren für Ihre Kunden Daten und scannen dessen Dokumente ein;
  • Sie entsorgen Papier und/oder andere Datenträger für Ihren Auftraggeber.
Die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen sind kraft Gesetzes (§ 11 Abs. 5 BDSG) Datenverarbeitung im Auftrag nach § 11 BDSG. Das gilt bereits dann, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

Keine Auftragsdatenverarbeitung liegt z.B. vor bei Unternehmensberatung, reinem Postversand, reiner Transport- oder Telekommunikationsdienstleistung im Sinne des TKG oder Bankgeschäften, Reinigungsdienstleistungen. Strittig ist aktuell die Rolle des Steuerberaters.

Aber auch hier gilt: Ohne Vertrag geht nichts! Die insoweit mit dem Aufgabenübernehmer zu treffenden vertraglichen Vereinbarungen müssen im Hinblick auf die zu berücksichtigenden Interessenlagen der betroffenen Personen und die Zweckbindung für die Daten (vgl. § 28 Abs. 5 BDSG) oft einen vergleichbaren Inhalt wie Verträge nach § 11 BDSG haben.

Das tun wir für Sie


Wir haben Sie als Auftragsdatenverarbeiter klassifiziert. Nun klären wir mit Ihnen im Rahmen unserer Schwachstellenanalyse die notwendigen Unterlagen und Auditfragen. Sollten Unterlagen fehlen, können wir Ihnen in den meisten Fällen mit Mustern aushelfen, die Sie dann nur noch an Ihr Unternehmen anpassen müssen. Dann bekommen Sie von uns Zeit, sich auf ein erfolgreiches Audit vorzubereiten. Wir vereinbaren den Audittermin mit Ihnen und führen das Audit durch. Wir erstellen einen schriftlichen Beratungbericht und - falls die Anforderungen erfüllt wurden - Ihr §11-Zertifikat. Die Rezertifizierung kann durch uns regelmäßig durchgeführt werden.

Das alles erhalten Sie von uns im Rahmen des Auftrags


Sie erhalten von uns:
  • die Zertifizierungs-Urkunde gemäß §11 BDSG Auftragsdatenverarbeitung;
  • einen schriftlichen Beratungsbericht;
  • die notwendigen Checklisten und Fragebögen;
  • fehlende Dokumente / Formulare zur Anpassung an Ihr Unternehmen;
  • jede Menge Tipps zur Optimierung Ihrer datenschutzrechtlichen Abläufe.
Der erste Tipp vorweg: Nutzen Sie Ihre §11-Zertifizierung werblich. Sie bringt Ihnen Vorteile bei der erfolgreichen Akquise neuer Kunden.

Ihr Nutzen


Folgenden Nutzen bringt Ihnen die §11-Zertifizierung:
  • Sie können die angeforderte Vereinbarung zur Auftragsdatenverarbeitung zeitnah und guten Gewissens unterzeichnen;
  • für künftige Anfragen anderer Auftraggeber sind Sie gut vorbereitet;
  • in der Regel ersparen Sie sich weitere Prüfungen durch den Auftraggeber;
  • da Ihr Auftraggeber die Kontrolle sonst durchführen müsste, sparen Sie diesem Zeit und Kosten bei der Vergabe von Aufträgen an Sie;
  • Sie erhalten ein günstiges Werbemittel, mit dem Sie sich von den meisten Mitbewerbern abgrenzen können.

Achtung: Die §11-Zertifizierung durch unser Beratungsunternehemen ist im Jahr 2017 noch förderfähig! Mehr zu diesem und unseren anderen staatlich geförderten Beratungspaketen haben wir auf einer Webseite zusammengestellt: http://www.mITgroup.eu


Das yourIT Beratungskonzept in 4 Phasen


Holen Sie sich Fördermittel bis zu 1.500 EUR. Die Bedingungen finden Sie hier.

Die §11-Zertifizierung bieten wir erfolgreich bundesweit an. Unsere Methodik und modernste Technik ermöglicht es uns in den meisten Fällen, das Audit schnell und unkompliziert auch ohne vor-Ort-Termin durchzuführen. Ihr Auftraggeber sollte nicht unnötig warten müssen, oder?

Worauf warten Sie noch? Sprechen Sie mich an.

Ihr Thomas Ströbele

Thomas Ströbele

Dienstag, 29. Juli 2014

So machen Sie Ihr Unternehmen sicherer

Kein Unternehmen kommt heute mehr ohne Computer, Internet und Firmenwebseite aus, wenn es den Anschluss nicht verpassen möchte. Gleichzeitig rüsten auch die Datendiebe auf und interessieren sich nicht nur für die Großen der Branchen, sondern auch für den kleinen Mittelständler von nebenan. Aus diesem Grund ist es besonders wichtig, dass Ihr Unternehmen sicher ist. Besonders in kleineren und mittleren Unternehmen wird die Gefahr von Cyberattacken leicht unterschätzt. Dabei sind diese von besonders häufig betroffen, weil ihr Schutz oft geringer ist. Früher reichte es meistens, ein Antivirenprogramm einfach zu installieren, wohingegen heutzutage die Kriminellen im Internet immer raffinierter und geschickter vorgehen.


Welche Bedrohungen gibt es?


Schäden durch Insider: Eine große Schwachstelle, durch die Schäden entstehen können, sind USB-Speicher. Bekommen Angestellte auf einer Messe diese als Werbegeschenk, stecken sie die USB-Sticks oft ohne Prüfung in die Firmen-PCs. Inzwischen gibt es Geräte, die sich als Speicher tarnen und mit denen sich hervorragend Firmenspionage betreiben oder eine Schadsoftware starten lässt.
Lösung: Sämtliche USB-Anschlüsse lassen sich im Netzwerk sperren und können nur durch den Administrator einzeln freigegeben werden. Damit Mitarbeiter diese Sperren nicht umgehen können, bleibt dem Unternehmen eigentlich nur, Krypto-USB-Sticks für die Mitarbeiter zu finanzieren und nur diese im Firmennetz zu erlauben.


Schäden durch Internet-Kriminelle: Industriespione und Hacker sammeln systematisch Daten. Werden diese per Internet übertragen, lassen sie sich relativ einfach auslesen. Lagern die Daten irgendwo auf Speichern, können diese das Ziel von Hackerangriffen werden. Ob beim Online-Banking, Phishing  oder Spam: Nicht immer sind die Angriffe leicht als solche zu enttarnen. Trotzdem gehen viele Firmen recht sorglos mit Passwörtern um, wählen nur einfache aus und verwenden diese mehrfach.  Datendiebe recherchieren diese gezielt in sozialen Netzwerken und probieren den Namen des  Nutzers mit Passwort auf allen Systemen aus. Ebenso sind ungesicherte Firmennetzwerke ein Einfallstor für Kriminelle. Ein kabelvernetztes Netzwerk ist sicherer, als ein Funknetzwerk. Dazu Portsperren für die LAN-Anschlüsse und eine gute Firewall.
Lösung: Ein sicheres Passwort hat mindestens 12 Zeichen, die möglichst scheinbar sinnlos aufeinander folgen und mindestens einen Großbuchstaben, ein Sonderzeichen und eine Zahl  enthalten. Mit einem Satz, der sich geschickt abkürzen lässt, bleibt ein solches Passwort besser im Gedächtnis. 

Spionage durch Mitbewerber: Ob Kundendaten oder Geschäftsinterna: Die Konkurrenz kann damit das Meiste anfangen. Besonders leicht lassen sich die Daten stehlen, wenn sie auf mobilen Geräten leicht zugänglich sind.
Lösung: Hier ist auf der sicheren Seite, wer den Teil der Festplatte verschlüsselt, auf dem die sensiblen Daten liegen. Dafür gibt es vorinstallierte Programme für Unternehmen. Macht eine zusätzliche Software die Informationen gezielt unleserlich, sind diese noch sicherer.

10 Schritte zum sicheren Unternehmen:


  • Scannen Sie Ihre Schwachstellen regelmäßig und lassen Sie die Patches automatisch erneuern (Angebot: Sicherheitsaudit Webapplikationen bzw. Infrastruktur);
 
yourIT - Wir bieten Sicherheit auf Knopfdruck

  • Definieren Sie Richtlinien, nach denen die Mitarbeiter mobil unterwegs sind, auch in den sozialen Medien, und kontrollieren Sie deren Einhaltung; 
  • Nutzen Sie in besonders sensiblen Bereichen mehrstufige Sicherheitslösungen (auch Zwei-Faktor-Authentifizierung) 
  • Sichern Sie auch die Daten, die sich außerhalb des Unternehmens befinden;
  • Halten Sie Ihre IT auf einem aktuellen Stand: Ältere Systeme sind gegen Angriffe schlechter gewappnet;
  • Überwachen Sie die Sicherheitsmeldungen; 
  • Reduzieren Sie die gespeicherten Datenmengen (Tipp: Proaktive Datendeduplizierung);
  • Stellen Sie sicher, dass auch Drittanbieter die nötige Sicherheit bieten (Stichwort: §-11-Zertifizierung für Auftragsdatenverarbeiter); 
  • Arbeiten Sie nur mit Partnern zusammen, denen Sie vertrauen;
  • Ändern Sie regelmäßig Ihre Kennwörter nach den oben genannten Merkmalen.


Wenn Sie nicht nur im Verdachtsfall das IT-Systemhaus Ihres Vertrauens fragen, sondern bereits vorher
Ihre Hard- und Software, den Datenschutz sowie die Prozesse und Schwachstellen von ihm checken lassen, können Sie unbesorgt online unterwegs sein.

yourIT - wir stehen für Sicherheit in allen IT-Fragen


Ich freue mich auf Ihre Projektanfrage. Fordern Sie uns!

Ihr Thomas Ströbele

Thomas Ströbele

BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Am 16.03.2015 wurden unsere Beratungspakete
beim Innovationspreis-IT der Initative Mittelstand in die Liste BEST OF CONSULTING 2015 aufgenommen.

Signet Innovationspreis-IT für yourIT-Beratungspakete

Montag, 24. Juni 2013

Tipps für die datenschutzkonforme Gestaltung des internationalen Datentransfers in Ihrem Unternehmen

Bedingt durch die Globalisierung und internationale Geschäftsbeziehungen bzw. Konzernverknüpfungen werden immer öfter Daten auch in andere Länder übermittelt. Dabei ist zu unterscheiden, ob es sich um ein Land mit einem anerkannten Datenschutzniveau oder um ein sogenanntes Drittland handelt. Besonders gilt dies, wenn Dienstleistungen an Dritte vergeben werden und Ihre direkten Lieferanten nur noch den Service wahrnehmen, wie z.B. bei Software as a Service (SaaS), Active Service Providing (ASP) oder Cloud Computing.

Als Ihr Datenschutz-Berater ist mir bekannt, wie ein rechts- und datenschutzkonformer Datentransfer mit EU/EWR-Ländern und Drittstaaten gewährleistet werden kann. Gerne helfe ich Ihnen bei Ihren speziellen Anforderungen. Fordern Sie mich!

Ob Sie das Tor aufmachen für den Datentransfer zu Ihrer Konzernmutter in Frankreich oder zu einem SaaS-Software-Anbieter in Indien - ich werde Ihnen helfen, die richtigen Vorkehrungen treffen. Besondere Sorgfalt ist empfohlen, wenn in Ihrem international aufgestellten Konzern ein gemeinsames Human Resource Management (wie z.B. SAP HR) eingeführt werden soll und Sie zum Datentransfer von Mitarbeiterdaten aufgerufen werden. Auch wenn Sie Kundendaten liefern sollen, damit konzernweite Kundenumfragen gemacht werden können - denken Sie an den Datenschutz. Wissen Sie, wie dort mit den Daten Ihre Kunden weiter verfahren wird? Das sollten Sie auch, denn Sie haften am Ende für den Datenschutz-gerechten Umgang mit den Daten. Lassen Sie uns gemeinsam die Vereinbarungen formulieren, die das alles regeln - bevor das Kind in den Brunnen gefallen ist.

Internationaler Datentransfer im Konzern datenschutzgerecht gestalten

Wenn Sie Daten an Drittländer liefern, sollten wir mit den richtigen EU-Standardvertragsklauseln arbeiten. Sind Sie wirklich der Auftraggeber, wenn Ihre Konzernmutter Daten von Ihnen abverlangt? Im Zweifelsfall sollten Sie sich fragen, welche Weisungsbefugnis und Kontrollrechte sie haben. Wenn diese eher gering ausfallen, müssen wir statt von einer Auftragsdatenverarbeitung (controller-processor) von einer Datenübermittlung (controller-controller) ausgehen. Das hat vor allem haftungsrechtliche Hintergründe. Bei der Auftragsdatenverarbeitung wird der Auftragsnehmer quasi in Ihr Datenschutzkonzept einverleibt. Die Haftung bleibt bei Ihnen als Auftraggeber. Fehlt die Weisungsbefugnis, sollten Sie Ihre Konzernmutter unbedingt selbst zum Controller machen und die Haftung dorthin weitergeben. Auslagerung der Daten bedeutet damit auch Aulagerung der Verantwortung für die Daten. Dazu müssen wir besondere EU-Standardvertragsklauseln nutzen und eine Vereinbarung mit Ihrer Konzernmutter schliessen.

Ihr Nutzen durch die Zusammenarbeit Ihres Unternehmens mit yourIT:
  • Ich helfe Ihnen, bei internationalen Datentransfers Ihres Unternehmens für Datenschutz zu sorgen.
  • Ich gestalte Ihnen die grenzüberschreitende Auftragsdatenverarbeitung und die Datenübermittlung rechtssicher.
  • Ich kenne die Regelungen zum Schutz von Kunden- und Mitarbeiterdaten genau.
  • Gemeinsam wenden wir die verschiedenen EU-Standardvertragsklauseln für conroller-controller und controller-processor richtig an.
  • Ich kenne auch die anderen Möglichkeiten wie Safe Harbour mit deren Vorzügen und Nachteilen.
  • Sie erhalten von mir wertvolle Tipps, die Ihnen die praktische Arbeit erleichtern.
  • Ich stelle für Sie ein "angemessenes Datenschutzniveau" sicher.
Möchten auch Sie unseren Weg ins Thema Datenschutz kennenlernen? Kontaktieren Sie uns jetzt über unsere Kontaktseite unter dem Stichwort "Datenschutz" oder rufen Sie mich an.

Dienstag, 6. März 2012

Datenschutz & Schwachstellenmanagement

Wie kontrolliert eigentlich ein Auftraggeber seinen Outsourcing-Dienstleister (siehe §11 Abs. 2 BDSG Auftragsdatenverarbeitung)

Seit der Änderung des Bundesdatenschutzgesetzes im Juli 2009 stellen sich für Auftraggeber (AG) von EDV-Outsourcing-Verträgen im Bezug auf die Kontrolle der Auftragsdatenverarbeitung (ADV) folgende Fragen:
1. Wie ist die Kontrolle zu gewährleisten?
2. Womit kann die Kontrolle technisch durchgeführt werden?

Zu 1. Wie ist die Kontrolle zu gewährleisten?
Die Neuregelung des Bundesdatenschutzgesetzes (BDSG) stellt eine Reaktion auf in der Praxis festgestellte Mängel bei der Auftragserteilung dar. In der neuen Fassung des §11 Abs. 2 BDSG werden die schriftlich festzulegenden Bedingungen der Auftragsdatenverarbeitung aufgezählt. Der Auftraggeber hat sich erstmals vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Aus Gründen der Nachweisbarkeit ist dies zu dokumentieren ist. Bei Verstößen drohen Bußgelder bis zu 50.000 oder sogar bis zu 300.000 Euro.

Die Dokumentation sollte zwingend folgendes beinhalten:
· Angaben zu den Beteiligten (Verfahrensverantwortlicher, konkreter Prüfer, Datenschutzbeauftragter (DSB), CIO)
· Angaben zur betroffenen ADV (Auftragnehmer (AN), Beginn/Ende, Art der ADV, Kritikalität, Angaben wo der ADV Vertrag vorgehalten wird)
· Angaben zur Kontrolle (Wann? Wo? Prüfer? Erstkontrolle/laufende Kontrolle? Zeitpunkt der letzten Kontrolle?)
· Art und Umfang der Kontrolle (vor Ort, teiweise/vollständig)
· Feststellungen (vertragliche, gesetzliche, techn. organisatorische Anforderungen eingehalten/nicht eingehalten; sonstige Verstöße)
· Weitere Maßnahmen (Zeitpunkt der nächsten Kontrolle/Nachkontrolle)
· Unterschrift des Prüfers

Jedoch ist nach der Gesetzesbegründung eine persönliche oder Vorort-Kontrolle nicht zwingend erforderlich. Eine schriftliche Auskunft des AN über die getroffenen Maßnahmen bzw. die Vorlage eines Testats/Zertifikats eines Sachverständigen wäre ebenfalls denkbar.

Zu 2. Womit kann die Kontrolle technisch durchgeführt werden?
In solchen Outsourcing-Verträgen werden typischerweise Regelungen zum Schwachstellen-Management getroffen, deren Einhaltung sich direkt auf die Datensicherheit und den Datenschutz auswirken. Für den AG sollte es also durchaus interessant sein, zu erfahren, ob sich der AN an die Vertragsvereinbarungen hält.

Doch wie soll der AG dies mit machbarem Aufwand kontrollieren?

Als technisch ausgereifte Lösung setzen wir von yourIT hierzu seit 2007 auf eine Schwachstellenanalyse (vulnerability management), die das gesamte EDV-Netzwerk auf Knopfdruck analysiert. Neben vielen anderen Informationen wird so die Einhaltung der Security-Policies kontrolliert und protokolliert.

Dabei halten sich die Kosten im Rahmen: Ein einmaliger Scan über 100 IP-Adressen kostet etwa 2.500 EUR incl. Beratung. Auch eine dauerhafte Kontrolle durch den AG ist möglich.

Im Übrigen kann natürlich auch der Auftragnehmer (= der Auftragsdatenverarbeiter) die Schwachstellenanalyse bei Experten wie yourIT beauftragen. Der sich ergebende Schwachstellen-Report gilt dann gegenüber dem Auftraggeber als Nachweis.

Donnerstag, 19. Mai 2011

Schluss mit Datenmissbrauch!

Wenn personenbezogene Daten im Müll landen ist das meist der Anfang vom Ende.

Ein Beispiel aus der Datenschutz-Praxis: Ein Unternehmen verwahrt eingegangene aber vorerst abgelehnte Bewerbungen eine gewisse Zeit auf, für den Fall, dass nach kurzer Zeit doch noch entsprechender Personalbedarf entsteht. Nach Ablauf der Aufbewahrungsfrist oder wenn der Platz knapp wird geht man an die Entsorgung der Bewerbungen. Dazu werden die fähigsten Mitarbeiter ausgewählt - 2 Auszubildende. Ohne weitere Datenschutz-Einweisung gehen diese an die Vernichtung, und da am nächsten Tag sowieso von einem Verein Papier abgeholt wir, landen die Bewerbungen am Straßenrand neben den alten Zeitungen...

Sie denken, sowas kommt bei Ihnen nicht vor? Dass dachten die im oben genannten Fall betroffenen Geschäftsführer auch.

Oft wird auch vergessen, dass falsch entsorgte Unternehmensdaten für Industriespionage genutzt werden können - mit erheblichen wirtschaftlichen Schäden.

Was können Sie dagegen tun?
  1. Lassen Sie Ihren Datenschutzbeauftragten eine Betriebsvereinbarung bzw. Benutzerordnung für das Vernichten von Dokumenten und Datenträgern ausarbeiten und in Ihrem Unternehmen installieren und schulen.
  2. Kalkulieren Sie, ob sich für Sie ein externer Datenentsorger und/oder ein bis mehrere Inhouse-Aktenvernichter lohnen.
Achtung: Der externe Datenentsorger ist ein Auftragsdatenverarbeiter gemäß § 11 BDSG. Sie müssen ihn mit einem entsprechenden Auftragsdatenverarbeitungsvertrag in Ihr Datenschutzkonzept einbinden.

Sie wissen nicht, welchen Aktenvernichter und welche Sicherheitsstufe Sie für Ihre individuellen Anforderungen brauchen? Die folgende Liste hilft Ihnen dabei:
  • Sicherheitsstufe 4: Für geheim zu haltendes Schriftgut im Verwaltungsbereich, bei Forschung und Entwicklung sowie auf Geschäftsleitungsebene
  • Sicherheitsstufe 3: Für vertrauliche und persönliche Daten bei Anwälten, Gerichten, Steuerberatern, banken, Versicherungen, im Bildungs- und Gesundheitswesen, in Unternehmen, in Personalabteilungen etc.
  • Sicherheitsstufe 2: Standardstufe für internes Schriftgut in Unternehmen
Alle anderen Sicherheitsstufen sind in der Regel für "normale" Unternehmen uninteressant.

Praxistipp: Wählen Sie Ihren neuen Aktenvernichter am besten eine Nummer größer, als Sioe ihn bei normaler Dokumentenmenge benötigen. Damit stellen Sie sicher, dass Ihre Mitarbeiter auch bei "Lastspitzen" komfortabel und sicher arbeiten können.

Unser Systemhaus yourIT ist übrigens Fachhandelspartner der Aktenvernichter-Marken EBA und IDEAL. Unsere Spezialisten beraten Sie gerne. Fordern Sie uns!