Bei der Beteiligung mehrerer Parteien an einer Verarbeitung personenbezogener Daten ist die richtige Einordnung der datenschutzrechtlichen Verantwortlichkeit von entscheidender Bedeutung. Je nach Art der Beteiligung sind unterschiedliche Vereinbarungen und Rechtsgrundlagen erforderlich. In den meisten Fällen wird ein Unternehmen ein anderes mit einer Dienstleistung beauftragen, so dass ein Auftragnehmer – Auftraggeber-Verhältnis vorliegt. In Teil 1 dieser […]
Auftragsverarbeiter
Wer ist Verantwortlicher für die Verarbeitung personenbezogener Daten?
Sobald unterschiedliche Stellen an einer Verarbeitung personenbezogener Daten beteiligt sind, stellt sich die Frage der datenschutzrechtlichen Verantwortlichkeit. Diese Beitragsreihe soll einen verständlichen Überblick zu den häufigsten Situationen geben, um die eigene datenschutzrechtliche Verantwortlichkeit mit den sich daraus ableitenden Rechten und Pflichten besser einordnen zu können. Auf eine Wiedergabe der gesetzlichen Definitionen wird nach Möglichkeit verzichtet. […]
Vier gewinnt – Millionenbußgeld gegen VW
Am 26.07.2022 hat Barbara Thiel, die Landesdatenschutzbeauftrage Niedersachsens öffentlich gemacht, dass gegen die Volkswagen AG ein Bußgeld in Höhe von 1,1 Mio. EUR verhängt wurde. (Die Pressemitteilung finden Sie hier). Kurz und knapp, was war geschehen? Ein Erprobungsfahrzeug von VW wurde 2019 durch die österreichische Polizei für eine Verkehrskontrolle angehalten. Wie sich dabei herausstellte, waren […]
Die neuen Standardvertragsklauseln zur Verwendung zwischen Verantwortlichen und Auftragsverarbeitern
Im Sommer 2021 veröffentlichte die EU-Kommission neue Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer. Etwas untergegangen und zunächst vielleicht auch wieder in Vergessenheit geraten ist dabei, dass die EU-Kommission zeitgleich auch Standardvertragsklauseln zur Verwendung zwischen Verantwortlichen und Auftragsverarbeitern (wir berichteten) veröffentlicht hat. Es handelt sich dabei quasi um ein Muster für Verträge zur Auftragsverarbeitung. […]
Und täglich grüßt das Bußgeld
CNIL reagiert auf unzureichende Maßnahmen gegen Credential Stuffing Angriffe Ende Januar gab die französische Datenschutzbehörde (CNIL) bekannt, dass sie ein Bußgeld in Höhe von insgesamt 225.000 Euro gegen einen Online Shop Betreiber (i.H.v. 150.000 Euro) und dessen Auftragsverarbeiter (i.H.v. 75.000 Euro) verhängt hat. Ursache für das Bußgeld sind unzureichende technische und organisatorische Maßnahmen zur Abwehr […]
Getrennt, gemeinsam oder im Auftrag?
Bei der Übermittlung von personenbezogenen Daten zwischen Unternehmen oder öffentlichen Stellen unterscheidet das Datenschutzrecht zwischen einer getrennten Verantwortlichkeit, einer gemeinsamen Verantwortlichkeit und einer Auftragsverarbeitung. Die Auftragsverarbeitung war denjenigen bereits bekannt, für die Datenschutz schon vor dem Bußgeldkatalog der Datenschutz-Grundverordnung von Interesse war. Ebenso ist die getrennte Verantwortlichkeit für viele einleuchtend und klar festzustellen. Doch fast […]
Homeoffice für Auftragsverarbeiter
Die Arbeit im Homeoffice ist für viele Menschen in Deutschland in den letzten Tagen zur Normalität geworden. Ganz ohne Zweifel kann es für die Betroffenen ein großer Vorteil sein, wenn sie von zuhause arbeiten können. Die Betreuung von Kindern lässt sich besser gewährleisten und die Ansteckungsgefahr im Hinblick auf den Coronavirus wird gesenkt, wenn der […]
Kontrollrechte des Verantwortlichen gegenüber Subauftragsverarbeitern im Sinne des Art. 28 Abs. 4 DSGVO
Thema dieses Beitrags ist die Frage, ob dem Verantwortlichen beim Vorliegen einer Auftragsverarbeitung auch ein Inspektionsrecht gegenüber weiteren Auftragnehmern (im Folgenden: Subauftragsverarbeitern) eingeräumt werden muss. Also, ob ein Auftragsverarbeiter der Subauftragsverarbeiter einschaltet in den Auftragsverarbeitungsvertrag ein Inspektionsrecht im Sinne des Art. 28 Abs. 3 lit. h) DSGVO für den Verantwortlichen aufnehmen muss? Die Frage ist […]
PayPal – Auftragsverarbeiter ja oder nein?
Es gibt wenige Unternehmen, die noch keinen Vertrag zur Auftragsverarbeitung (AV) ihrer Geschäftspartner oder Dienstleister im Briefkasten hatten, oder aber selbst an alle ihre Geschäftskontakte einen herausgeschickt haben. Dass in vielen Fällen der AV nach Art. 28 DSGVO gar nicht das richtige Rechtsinstrument ist, ist meist erst einmal zweitrangig. Frei nach dem Motto: Lieber ein […]
Der Streifzug geht weiter – der neue Microsoft-ADV-Vertrag
Im ersten Teil unseres Beitrags haben wir uns neben einigen „formalen“ Aspekten primär den allgemeinen Sicherheitsstandards sowie dem Thema Auditierung des ADV-Vertrags von Microsoft gewidmet. Abschließend wollen wir nun klären, welche inhaltlichen Schwerpunkte man darüber hinaus bei der Begutachtung des vertraglichen Konstrukts von Microsoft setzen sollte. Nachtwanderung Wer sich mit dem Text des Art. 28 […]
Abenteuer-Ausflug für Datenschützer – der neue Microsoft-ADV-Vertrag
Nachdem es nun weniger als ein Jahr noch ist, bis die Datenschutz-Grundverordnung (DSGVO) in Kraft tritt und damit gewissermaßen der Countdown zum Schlussspurt eingeläutet ist, wollen wir die Gelegenheit beim Schopfe packen und einen der großen Knackpunkte, der auch in der Praxis erhebliche Bedeutung hat, aufgreifen, nämlich die Auftragsdatenverarbeitung – oder nach neuer Terminologie: Auftragsverarbeitung. […]
Auftragsdatenverarbeitung – Auftragnehmer in der Pflicht
Die Rechte und Pflichten von Auftragnehmern und Auftraggebern in der Auftragsdatenverarbeitung (ADV) sind immer wieder Thema in der datenschutzrechtlichen Beraterpraxis. Einer der wesentlichen Aspekte ist hierbei der Abschluss eines schriftlichen Vertrags zur ADV. § 11 Bundesdatenschutzgesetz (BDSG) sieht dabei vor, dass für die Einhaltung dieser Pflicht der Auftraggeber verantwortlich ist. § 11 Abs. 1 Satz […]
Datenschutz-Grundverordnung: Vereinbarungen zur Auftragsdatenverarbeitung umstellen
Vieles bleibt gleich, einiges ändert sich. In unserer Blogreihe zur Datenschutz-Grundverordnung (DSGVO) haben wir einen ersten Eindruck vermittelt, was auf Unternehmen zukommt. Knappe 2 Jahre bleiben nun für Unternehmen, um Vorkehrungen zu treffen. Aber womit fängt man im Unternehmen an? Unser Tipp: Mit den Verträgen zur Auftragsdatenverarbeitung. Denn die Pflicht zur Vereinbarung von Verträgen zur […]