Datenübermittlungen innerhalb einer Gruppe verbundener Unternehmen oder auch innerhalb eines Konzerns (im Folgenden Unternehmensgruppe genannt) unterstehen den gleichen datenschutzrechtlichen Vorgaben wie die Übermittlung von personenbezogenen Daten an externe Unternehmen. Die DSGVO kennt insofern kein „Konzernprivileg“, was zur Folge hat, dass gerade auch für die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe die datenschutzrechtlichen Vorgaben der DSGVO […]
Auftragsdatenverarbeitung
Verarbeitung personenbezogener Daten – gemeinsame Verantwortung oder Übermittlung an eigenständigen Dritten
Bei der Beteiligung mehrerer Parteien an einer Verarbeitung personenbezogener Daten ist die richtige Einordnung der datenschutzrechtlichen Verantwortlichkeit von entscheidender Bedeutung. Je nach Art der Beteiligung sind unterschiedliche Vereinbarungen und Rechtsgrundlagen erforderlich. In den meisten Fällen wird ein Unternehmen ein anderes mit einer Dienstleistung beauftragen, so dass ein Auftragnehmer – Auftraggeber-Verhältnis vorliegt. In Teil 1 dieser […]
Wer ist Verantwortlicher für die Verarbeitung personenbezogener Daten?
Sobald unterschiedliche Stellen an einer Verarbeitung personenbezogener Daten beteiligt sind, stellt sich die Frage der datenschutzrechtlichen Verantwortlichkeit. Diese Beitragsreihe soll einen verständlichen Überblick zu den häufigsten Situationen geben, um die eigene datenschutzrechtliche Verantwortlichkeit mit den sich daraus ableitenden Rechten und Pflichten besser einordnen zu können. Auf eine Wiedergabe der gesetzlichen Definitionen wird nach Möglichkeit verzichtet. […]
Zum datenschutzrechtlichen Verhältnis zwischen Immobilienverwalter und Wohnungseigentümergemeinschaft
Im Rahmen der Immobilienverwaltung erheben und verwalten Verwalter Daten der betreuten Wohnungseigentümergemeinschaften. Dies sind bspw. Namen und Anschriften der Eigentümer, Verbrauchserfassung und Abrechnung aber auch Daten von Mietern und Nutzern von Wohnraum sowie Daten von Dienstleistern der Wohnungseigentümergemeinschaft wie bspw. Handwerker und dergleichen. Häufig stellt sich daher die Frage, ob die Beteiligten für die Datenverarbeitung […]
Wer ist verantwortlich für eine Datenverarbeitung und wer ist Auftragsverarbeiter? – Ein Abgrenzungsversuch des Europäischen Datenschutzausschusses
Der Europäische Datenschutzausschuss (EDSA) hat am 02.09.2020 eine erste Version einer Leitlinie zu den Konzepten des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters in der DSGVO verabschiedet, die wir hier kurz vorstellen wollen. Die Leitlinie ist derzeit nur in englischer Sprache verfügbar. Die veröffentlichte, erste Version der Leitlinie ist Gegenstand einer öffentlichen Konsultation. Bis zum […]
Auftragsverarbeitung
Die Frage, was eigentlich als Auftragsverarbeitung gilt und wie Abgrenzungen zu anderen Formen der Verarbeitung vorzunehmen sind, beschäftigt uns immer wieder. Grund genug, sich dieser Frage auch einmal für den bequemen Zwischendurch-Genuss vor dem Fernseher zuzuwenden. Im Mittelpunkt steht dabei das Phänomen, dass diese Verträge häufig – wenn auch nicht überwiegend, so doch zahlenmäßig deutlich […]
PayPal – Auftragsverarbeiter ja oder nein?
Es gibt wenige Unternehmen, die noch keinen Vertrag zur Auftragsverarbeitung (AV) ihrer Geschäftspartner oder Dienstleister im Briefkasten hatten, oder aber selbst an alle ihre Geschäftskontakte einen herausgeschickt haben. Dass in vielen Fällen der AV nach Art. 28 DSGVO gar nicht das richtige Rechtsinstrument ist, ist meist erst einmal zweitrangig. Frei nach dem Motto: Lieber ein […]
Joint Controllers – Gemeinsam für die Verarbeitung Verantwortliche
Die Datenschutzgrundverordnung (DSGVO) bringt Neuerungen und Umstellungsbedarf mit sich. Ein Bereich, der vor allem in Deutschland so bisher nicht geregelt war, ist der „Gemeinsam für die Verarbeitung Verantwortliche“, den das bisherige Bundesdatenschutzgesetz (BDSG) so nicht kannte. Gesetzliche Grundlage Geregelt ist dieser Bereich in Artikel 26 DSGVO. Sobald zwei oder mehr Stellen gemeinsam über den Zweck […]
Auftragsdatenverarbeitung in der katholischen Kirche
In seinem Leitfaden zur Anpassung der Datenverarbeitung in kirchlichen Einrichtungen geht der Diözesandatenschutzbeauftragte auch auf das Thema Auftragsverarbeitung (ADV) ein. Ganz allgemein lässt sich feststellen, dass versucht wird, die kirchlichen Regelungen an die Datenschutzgrundverordnung (DSGVO) anzupassen. Bisher wird die Auftragsdatenverarbeitung in § 8 der Anordnung über den kirchlichen Datenschutz (KDO) geregelt. Im neuen Gesetz über […]
Der Streifzug geht weiter – der neue Microsoft-ADV-Vertrag
Im ersten Teil unseres Beitrags haben wir uns neben einigen „formalen“ Aspekten primär den allgemeinen Sicherheitsstandards sowie dem Thema Auditierung des ADV-Vertrags von Microsoft gewidmet. Abschließend wollen wir nun klären, welche inhaltlichen Schwerpunkte man darüber hinaus bei der Begutachtung des vertraglichen Konstrukts von Microsoft setzen sollte. Nachtwanderung Wer sich mit dem Text des Art. 28 […]
Abenteuer-Ausflug für Datenschützer – der neue Microsoft-ADV-Vertrag
Nachdem es nun weniger als ein Jahr noch ist, bis die Datenschutz-Grundverordnung (DSGVO) in Kraft tritt und damit gewissermaßen der Countdown zum Schlussspurt eingeläutet ist, wollen wir die Gelegenheit beim Schopfe packen und einen der großen Knackpunkte, der auch in der Praxis erhebliche Bedeutung hat, aufgreifen, nämlich die Auftragsdatenverarbeitung – oder nach neuer Terminologie: Auftragsverarbeitung. […]
Outsourcing trotz Berufsgeheimnis – Änderungsentwurf für § 203 StGB liegt vor
Am 15.12.2016 hat das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) den Referentenentwurf eines Gesetzes zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen veröffentlicht. Hinter dem sperrigen Namen versteckt sich u.a. ein Vorschlag für eine Änderung des § 203 StGB, die es in sich hat und auf die […]
Auftragsdatenverarbeitung – Auftragnehmer in der Pflicht
Die Rechte und Pflichten von Auftragnehmern und Auftraggebern in der Auftragsdatenverarbeitung (ADV) sind immer wieder Thema in der datenschutzrechtlichen Beraterpraxis. Einer der wesentlichen Aspekte ist hierbei der Abschluss eines schriftlichen Vertrags zur ADV. § 11 Bundesdatenschutzgesetz (BDSG) sieht dabei vor, dass für die Einhaltung dieser Pflicht der Auftraggeber verantwortlich ist. § 11 Abs. 1 Satz […]
Outsourcing und Aktenverwaltung im Krankenhaus
Der Bayerische Landesbeauftragte für den Datenschutz und das Bayerische Landesamt für Datenschutzaufsicht haben einen Leitfaden für die Auftragsdatenverarbeitung bei der Aktenverwaltung in Krankenhäusern herausgebracht. Auf der Grundlage des Bayerischen Krankenhausgesetz wird analysiert welche Möglichkeiten für ein Outsourcing bestehen. Auch wenn sich leider aufgrund des Föderalismus eine Pauschalisierung verbietet, kann die Einschätzung der Bayerischen Aufsichtsbehörde für […]
Datenschutz-Grundverordnung: Vereinbarungen zur Auftragsdatenverarbeitung umstellen
Vieles bleibt gleich, einiges ändert sich. In unserer Blogreihe zur Datenschutz-Grundverordnung (DSGVO) haben wir einen ersten Eindruck vermittelt, was auf Unternehmen zukommt. Knappe 2 Jahre bleiben nun für Unternehmen, um Vorkehrungen zu treffen. Aber womit fängt man im Unternehmen an? Unser Tipp: Mit den Verträgen zur Auftragsdatenverarbeitung. Denn die Pflicht zur Vereinbarung von Verträgen zur […]