Mein Datenschutz-Blog - #THEPRIVÄCY

Hier bloggt das Deutsche Zentrum für Datenschutz & Informationssicherheit (DZDI) als Teil der yourIT Group. Seit über 15 Jahren ist unser Team für Sie tätig als Berater, Implementer, Auditor, Trainer sowie als externer Informationssicherheits- (ISB) und Datenschutzbeauftragter (DSB) rund um EU-DSGVO, BDSG-neu und ISO 27001. Unsere Kunden sind u.a. mittelständische und Konzern-Unternehmen, Praxen, Kanzleien, etc. Dabei nutzen wir sofern möglich die Ihrem Unternehmen zustehenden Fördermittel.

Posts mit dem Label Kontrolle Auftragsdatenverarbeitung werden angezeigt. Alle Posts anzeigen

Montag, 5. Oktober 2015

Auftragsdatenverarbeitung ohne korrekte ADV-Vereinbarung kann teuer werden

Das Bayrische Landesamt für Datenschutz (BayLDA) verhängte laut eigenen Angaben vom 20.08.2015 erstmals ein Bußgeld in fünfstelliger Höhe gegen einen Auftraggeber, der Auftragnehmer mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt hatte, ohne mit diesen gemäß § 11 BDSG hinreichende Vereinbarungen zur Auftragsdatenverarbeitung zu treffen. Speziell die Festlegung konkreter (!) technischer und organisatorischer Maßnahmen (TOM) wurde vernachlässigt (vgl. § 11 (1) Abs. 3 BDSG).

Das betroffene und nun abgestrafte Unternehmen hatte stattdessen nur pauschale Aussagen und Wiederholungen des Gesetzestextes in die Vereinbarungen mit den Auftragnehmern geschrieben. Dies reicht laut dem BayLDA keinesfalls aus. Denn der Auftraggeber ist und bleibt für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz auch in Fällen einer Auftragsdatenverarbeitung verantwortlich.

Auftragsdatenverarbeitung ohne korrekte schriftliche Vereinbarung kann teuer werden

Als Datenschutzbeauftragte bekommen wir aber nicht selten genau diese pauschalen Aussagen und Wiederholungen aus dem Gesetzestext statt konkreter technischer und organisatorischer Maßnahmen zu lesen, wenn wir eine Vereinbarung zur Auftragsdatenverarbeitung schließen wollen. Wenn ich dann konkrete Maßnahmen einfordere, höre ich nicht selten, ich wäre der erste Datenschutzbeauftragte, der sich mit dem "Standard" nicht zufrieden geben möchte.

Aber ganz ehrlich: Wie will ein Auftraggeber seiner gesetzlich auferlegten Datenschutz-Verantwortung nachkommen, wenn er die konkreten technischen und organisatorischen Maßnahmen des Auftragnehmers nicht kennt und daher auch nicht überprüft. Wie kann er dann wissen, ob sein ausgewählter Dienstleister überhaupt in der Lage ist, für Sicherheit und Schutz der Daten zu sorgen - die in seinem Verantwortungsbereich liegen?

Der Datenschutzbeauftragte des Auftraggebers muss sich gemäß Anlage zu § 9 BDSG über die Verhältnisse der

Zutrittskontrolle,
Zugangskontrolle,
Zugriffskontrolle,
Weitergabekontrolle,
Eingabekontrolle,
Auftragskontrolle,
Verfügbarkeitskontrolle und
Trennungsgebot

beim Auftragnehmer ein Bild machen - z.B. durch Kontaktaufnahme mit dem Datenschutzbeauftragten des Auftragnehmers. Falls notwendig muss er auch für die Einführung weiterer geeigneter technisch-organisatorischer Maßnahmen sorgen. Gibt es auf Seiten des Auftragnehmers keinen Datenschutzbeauftragten, wird der Datenschutzbeauftragte des Auftraggebers auch diese Arbeiten durchführen müssen.

Der Auftraggeber muss eine dem § 11 BDSG entsprechende Vereinbarung schließen. Die Haftung bleibt bei ihm, solange sich der Auftragnehmer wie vereinbart verhält. Der Auftraggeber wird auch die Kosten dieser Tätigkeiten seines Datenschutzbeauftragten sowohl beim Auftraggeber als auch beim Auftragnehmer tragen müssen. Es ist aber denkbar, diese zumindest teilweise an den Auftragnehmer weiter zu reichen.

Typische Fälle von Auftragsdatenverarbeitung

Auftragsdatenverarbeitung sind laut dem BayLDA regelmäßig z. B. folgende Dienstleistungen:

die edv-technischen Arbeiten für die Lohn- und Gehaltsabrechnungen oder die Finanzbuchhaltung,
Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing,
die Werbeadressenverarbeitung in einem Lettershop,
die Kontaktdatenerhebung durch ein Callcenter,
die Auslagerung eines Teils des eigenen Telekommunikationsanlagenbetriebs (soweit nicht TKG),
die Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten,
die Datenerfassung, die Datenkonvertierung oder das Einscannen von Dokumenten,
die Backup-Sicherheitsspeicherung und andere Archivierungen,
die Datenträgerentsorgung,
usw.

Diese Liste erhebt keinen Anspruch auf Vollständigkeit.

Was Sie als Auftraggeber jetzt tun sollten

Sie sind laut § 11 BDSG in der Pflicht, eine hinreichende schriftliche Vereinbarung mit allen Auftragsdatenverarbeitern zu schließen. Falls Sie das nicht tun, zahlen Sie gegebenenfalls das Bußgeld. Falls noch nicht geschehen, sollten Sie jetzt eine Liste Ihrer Auftragsdatenverarbeiter aufstellen. Auf Anfrage liefern wir Ihnen gerne ein kostenloses Muster einer solchen Liste der Auftragsdatenverarbeiter. Danach sollten Sie überprüfen, mit welchen der in der Liste notierten Auftragsdatenverarbeiter bereits schriftliche Vereinbarungen getroffen wurden und ob diese den Anforderungen des § 11 BDSG entsprechen. Mit allen anderen sollten Sie schnellstmöglich entsprechende Vereinbarungen treffen.

Wie wir von yourIT Sie als Auftraggeber unterstützen können

Unser gefördertes Beratungspaket "Datenschutzkonzept" enthält neben einigen anderen Dingen auch die Erhebung der Liste der Auftragsdatenverarbeiter und die Überprüfung der bisherigen Vertragsstände.

yourIT Beratungspaket Datenschutzkonzept für Sie als Auftraggeber

Vorteil für mittelständische Unternehmen: Unser Beratungspaket "Datenschutzkonzept" wird gefördert mit Mitteln aus dem Europäischen Sozialfonds. Sie erhalten bis zu 1.500 EUR Fördermittel - aber nur bei Durchführung der Beratung bis 31.12.2016.

Worauf warten Sie noch? Vereinbaren Sie jetzt einen kostenlosen Kennenlerntermin.

Ich freue mich auf Ihre Anfragen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele, Telefon 07471/930100

Sie möchten bei neuen Entwicklungen im Bereich Datenschutz & IT-Sicherheit informiert werden?

Dann tragen Sie sich einfach hier in unseren Newsletter ein.

Hinweis: Auch für Auftragnehmer haben wir ein passendes Beratungspaket geschnürt:

Die §-11-Zertifizierung für Auftragsdatenverarbeiter

yourIT Beratungspaket §-11-Zertifizierung für Auftragsdatenverarbeiter

Wenn Sie Ihren Auftraggeber unterstützen und diesem seine gemäß § 11 BDSG auferlegten Aufgaben so einfach wie möglich machen wollen, lassen Sie Ihr Unternehmen als Auftragsdatenverarbeiter durch uns von yourIT kontrollieren und zertifizieren. In diesem Fall erstellen wir ein Zertifikat, da Ihr Auftragsdatenverarbeiter direkt als Nachweis verwenden kann.

Donnerstag, 23. Juli 2015

Gefördertes Angebot - §11-BDSG-Zertifikat zur Auftragsdatenverarbeitung

Sie haben ein Anschreiben eines Kunden (hier: Auftraggeber) erhalten, der mit Ihnen eine Vereinbarung zur Auftragsdatenverarbeitung nach § 11 BDSG schließen möchte? Sie haben nicht so wirklich einen Plan, was nun zu tun ist? Dann sind Sie hier richtig. Wir verhelfen Ihnen schnell und unkompliziert - und im besten Fall noch staatlich gefördert - zur notwendigen §11-Zertifizierung.

Mit einer proaktiven §11-Zertifizierung sparen Sie als Auftragnehmer bei der Auftragsdatenverarbeitung sich und Ihrem Auftraggeber sehr viel Prüfaufwand und damit Zeit und Geld.

Zertifizierung für Auftragsdatenverarbeiter gemäß §11 BDSG - von yourIT

Was bedeutet Auftragsdatenverarbeitung?

Datenverarbeitung im Auftrag liegt immer dann vor, wenn personenbezogene Daten Im Auftrag von einem Dienstleistungsunternehmen erhoben, verarbeitet oder genutzt werden.

Ihr Auftraggeber, also Ihr Kunde, muss Sie in regelmäßigen Abständen prüfen ob Sie ausreichende technische und organisatorische Maßnahmen zum Datenschutz eingerichtet haben und diese auch eingehalten werden. Wie diese Überprüfung durchzuführen ist, hat der Gesetzgeber nicht näher bestimmt, die Überprüfung ist aber zu dokumentieren und in regelmäßigen Abständen zu wiederholen. Dasselbe gilt im Umkehrschluss für Sie, wenn Sie in der Position als Auftraggeber fungieren.

Die Verantwortung für die Einhaltung der Datenschutzvorschriften verbleibt beim Auftraggeber! Der Mindestumfang des Vertragsinhalts wird im Gesetz konkret und umfassend vorgegeben.

Wird die Überprüfung des Auftragnehmers unterlassen oder der Vertrag nicht, nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise abgeschlossen, erfüllt dies den Tatbestand einer Ordnungswidrigkeit und ist mit einem Bußgeld bis zu 50.000 € belegt. Daher das Interesse Ihres Auftraggebers, diesen Vertrag nun korrekt mit Ihnen zu schließen.

Die Vorprüfung: Sind Sie überhaupt ein Auftragsdatenverarbeiter?

Zuallererst prüfen wir, ob Sie im fraglichen Fall überhaupt ein Auftragsdatenverarbeiter sind. Typische Beispiele für Auftragsdatenverarbeitung sind:

Ihr Callcenter ruft die Kunden des Auftraggebers an und erhebt Kontaktdaten;
Ihr Lettershop adressiert Werbe-Briefe an die Kunden des Auftraggebers;
Ihr IT-Systemhaus wartet die IT-Systeme des Auftraggebers, z.B. auch per Fernwartung;
Sie stellen das Rechenzentrum für Ihren Auftraggeber;
Sie betreiben eine (online) Backup-Sicherheits-Speicherung oder andere Archivierung für Ihre Kunden;
Sie betreiben ein Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing;
Sie betreiben zumindest teilweise die Telekommunikationsanlage Ihres Auftraggebers (soweit nicht TKG);
Sie erfassen und/oder konvertieren für Ihre Kunden Daten und scannen dessen Dokumente ein;
Sie entsorgen Papier und/oder andere Datenträger für Ihren Auftraggeber.

Die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen sind kraft Gesetzes (§ 11 Abs. 5 BDSG) Datenverarbeitung im Auftrag nach § 11 BDSG. Das gilt bereits dann, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

Keine Auftragsdatenverarbeitung liegt z.B. vor bei Unternehmensberatung, reinem Postversand, reiner Transport- oder Telekommunikationsdienstleistung im Sinne des TKG oder Bankgeschäften, Reinigungsdienstleistungen. Strittig ist aktuell die Rolle des Steuerberaters.

Aber auch hier gilt: Ohne Vertrag geht nichts! Die insoweit mit dem Aufgabenübernehmer zu treffenden vertraglichen Vereinbarungen müssen im Hinblick auf die zu berücksichtigenden Interessenlagen der betroffenen Personen und die Zweckbindung für die Daten (vgl. § 28 Abs. 5 BDSG) oft einen vergleichbaren Inhalt wie Verträge nach § 11 BDSG haben.

Das tun wir für Sie

Wir haben Sie als Auftragsdatenverarbeiter klassifiziert. Nun klären wir mit Ihnen im Rahmen unserer Schwachstellenanalyse die notwendigen Unterlagen und Auditfragen. Sollten Unterlagen fehlen, können wir Ihnen in den meisten Fällen mit Mustern aushelfen, die Sie dann nur noch an Ihr Unternehmen anpassen müssen. Dann bekommen Sie von uns Zeit, sich auf ein erfolgreiches Audit vorzubereiten. Wir vereinbaren den Audittermin mit Ihnen und führen das Audit durch. Wir erstellen einen schriftlichen Beratungbericht und - falls die Anforderungen erfüllt wurden - Ihr §11-Zertifikat. Die Rezertifizierung kann durch uns regelmäßig durchgeführt werden.

Das alles erhalten Sie von uns im Rahmen des Auftrags

Sie erhalten von uns:

die Zertifizierungs-Urkunde gemäß §11 BDSG Auftragsdatenverarbeitung;
einen schriftlichen Beratungsbericht;
die notwendigen Checklisten und Fragebögen;
fehlende Dokumente / Formulare zur Anpassung an Ihr Unternehmen;
jede Menge Tipps zur Optimierung Ihrer datenschutzrechtlichen Abläufe.

Der erste Tipp vorweg: Nutzen Sie Ihre §11-Zertifizierung werblich. Sie bringt Ihnen Vorteile bei der erfolgreichen Akquise neuer Kunden.

Ihr Nutzen

Folgenden Nutzen bringt Ihnen die §11-Zertifizierung:

Sie können die angeforderte Vereinbarung zur Auftragsdatenverarbeitung zeitnah und guten Gewissens unterzeichnen;
für künftige Anfragen anderer Auftraggeber sind Sie gut vorbereitet;
in der Regel ersparen Sie sich weitere Prüfungen durch den Auftraggeber;
da Ihr Auftraggeber die Kontrolle sonst durchführen müsste, sparen Sie diesem Zeit und Kosten bei der Vergabe von Aufträgen an Sie;
Sie erhalten ein günstiges Werbemittel, mit dem Sie sich von den meisten Mitbewerbern abgrenzen können.

Die §11-Zertifizierung durch yourIT wird aktuell mit Mitteln aus dem ESF gefördert. Worauf warten Sie noch?

Achtung: Die §11-Zertifizierung durch unser Beratungsunternehemen ist im Jahr 2017 noch förderfähig! Mehr zu diesem und unseren anderen staatlich geförderten Beratungspaketen haben wir auf einer Webseite zusammengestellt: http://www.mITgroup.eu

Das yourIT Beratungskonzept in 4 Phasen

Holen Sie sich Fördermittel bis zu 1.500 EUR. Die Bedingungen finden Sie hier.

Die §11-Zertifizierung bieten wir erfolgreich bundesweit an. Unsere Methodik und modernste Technik ermöglicht es uns in den meisten Fällen, das Audit schnell und unkompliziert auch ohne vor-Ort-Termin durchzuführen. Ihr Auftraggeber sollte nicht unnötig warten müssen, oder?

Worauf warten Sie noch? Sprechen Sie mich an.

Ihr Thomas Ströbele

Dienstag, 10. April 2012

Lassen Sie jetzt Ihre Auftragsdatenverarbeiter gemäß § 11 BDSG überprüfen

Die Novellen des Bundesdatenschutzgesetzes aus dem Jahre 2009 haben für viele Unternehmen Änderungen mitgebracht. Eine der wichtigsten war die Neuordung des § 11 BDSG Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag. Kaum ein Unternehmen ist von diesen neuen Regelungen nicht betroffen.

Neben den anderen Punkten wird in diesem neuen § 11 BDSG erstmals geregelt, dass der Auftraggeber den Auftragnehmer sorgfältig auszuwählen hat. § 11 Abs. 2 S.4 regelt die Pflicht des Auftraggebers, sich vor Beginn in einer Erstkontrolle und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Die Missachtung dieser Pflicht ist im Übrigen bußgeldbewehrt (§ 43 Abs. 1 Nr. 2 b BDSG). Das Ergebnis ist zu dokumentieren. (Vergleiche hierzu BDSG Kommentar Gola/Schomerus, 10. Auflage, Verlag CH. Beck, München)

Lassen Sie jetzt Ihre Auftragsdatenverarbeiter gemäß § 11 BDSG überprüfen

Doch wie soll ein Unternehmen nun diesen Kontrollpflichten effektiv nachkommen? Meist gibt es niemanden im Unternehmen, der die Kontrolle durchführen kann. Auch unerfahrene interne Datenschutzbeauftragte haben damit erfahrungsgemäß ihre Mühe. Im Falle einer Auftragsdatenverarbeitung im Konzern ist die Überprüfung durch einen externen Dienstleitser wie yourIT meist angenehmer zu gestalten.

Hier hilft meist nur die Beauftragung eines erfahrenen Dienstleisters wie unseren Beratern für Datenschutz & IT-Sicherheit von yourIT.

Die Vorprüfung: Anlegen einer Liste der Auftragsdatenverarbeiter

Zuallererst prüfen wir, welche Lieferanten überhaupt als Auftragsdatenverarbeiter im Sinne von § 11 BDSG für Ihr Unternehmen tätig sind. Typische Beispiele für Auftragsdatenverarbeitung sind:

Ihr Callcenter soll die Kunden des Auftraggebers anrufen;
Ihr Lettershop soll Briefe an die Kunden des Auftraggebers adressieren;
Ihr IT- / TK-Systemhaus wartet die IT-Systeme des Auftraggebers per Fernwartung;
Sie stellen das Rechenzentrum für Ihren Auftraggeber;
Sie entsorgen Papier und/oder Datenträger für Ihren Auftraggeber.

Keine Auftragsdatenverarbeitung liegt z.B. vor bei reinem Postversand oder Bankgeschäften.

Durchführung der Kontrolle:

Die Berater von yourIT erfassen, analysieren und bewerten die beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen (TOM) für Datenschutz & IT-Sicherheit.

Aufnahme des Ist-Zustandes der TOM beim Auftragnehmer vor Ort (Erstbegehung) und Feststellung von Datenschutz-Schwachstellen.
Aufnahme der Schwachstellen im IT-Netzwerk (unter Einsatz von QualysGuard).
Aufnahme weiterer datenschutz- und sicherheitsrelevanter Informationen anhand strukturierter Checklisten.
Bewertung der gefundenen Schwachstellen nach Gefährdungen und Risiken.
Erstellung eines ausführlichen Prüfberichts über den Stand des Datenschutzes und der auf die Auftragsdatenverarbeitung bezogenen IT-Sicherheit. Zur Behebung festgestellter Schwachstellen werden Maßnahmenempfehlungen gegeben.

Diese Kontrollen können durch unsere Berater sowohl vor der Aufnahme der Auftragsdatenverarbeitung (Erstkontrolle) als bei laufenden Verarbeitungen regelmäßig vorgenommen werden.

Wir würden uns freuen, wenn auch Sie uns künftig mit der Kontrolle Ihrer Auftragsdatenverarbeiter beauftragen würden.

Gerne beantworte ich Ihre Fragen und erstelle Ihnen ein individuelles, auf Ihre Bedürfnisse zugeschnittenes Angebot. Fordern Sie uns!

Unsere Datenschutz-Beratung - sponsored by ESF

Sie tun sich schwer damit, für Ihr Unternehmen schriftliche Richtlinien für Datenschutz & IT-Sicherheit zu formulieren? Wir übernehmen das gerne für Sie. Mit unserem Beratungspaket "Datenschutzkonzept Phase A+B" legen wir die Grundlage für die Erstellung von zu Ihrem Unternehmen passenden Datenschutzrichtlinien und IT-Sicherheitsrichtlinien.

Aktuell werden unsere Erstberatungen im Bereich Datenschutz von der BAFA mit Mitteln aus dem Europäischen Sozialfonds gefördert.

Unser gefördertes Datenschutz-Beratungskonzept Phase A+B

Weitere Infos hierzu finden Sie auf unserer Fördermittelseite http://www.mitgroup.eu/unsere-beratungspakete/3-datenschutzkonzept

Ich freue mich auf Ihre Projektanfrage. Fordern Sie uns!

Ihr Thomas Ströbele