Vereinbarungen zu eingesetzten Unterauftragsverarbeitern innerhalb von Auftragsverarbeitungsverträgen (AV-Verträge oder auch AVV) führen immer wieder zu Rückfragen. Dies gilt insbesondere in Bezug auf Dienstleister aus Drittstaaten, d. h. aus Ländern außerhalb der EU bzw. des EWR. Nicht immer fallen diese unter einen Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO). In diesem Fall sind andere (geeignete) Garantien […]
Auftragsverarbeiter
Wie weit geht die Weisungsgebundenheit von Auftragsverarbeitern?
In Art. 4 Nr. 8 DSGVO wird ein Auftragsverarbeiter definiert als „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Dabei ist sicherzustellen, dass der zwischen einem datenschutzrechtlich Verantwortlichen und einem Auftragsverarbeiter zu schließende Auftragsverarbeitungsvertrag (AVV) Regelungen zur Weisungsgebundenheit enthält: Nach Art. 28 Abs. 3 S. […]
Workation – mit dem Datenschutz im Gepäck!
Die große Urlaubswelle in den Sommerferien ist längst angekommen. Immer mehr Menschen verbinden mittlerweile auch das Reisen mit der Arbeit in Form der sog. „Workation“, d. h. sie gehen ihrer beruflichen Tätigkeit an einem Urlaubsort nach. Mit dem Laptop im Café am Strand in Italien sitzen oder in der Finca auf Mallorca? Die moderne Ausstattung […]
Datenschutz beim EM-Tippspiel
In wenigen Tagen startet die Fußball-Europameisterschaft (UEFA EURO 2024) in Deutschland. Zu diesem Ereignis wird es nicht nur volle Stadien und viele Events in den Austragungsorten geben, sondern auch wieder einige „Tipprunden“. Zahlreiche Unternehmen veranstalten mittlerweile interne oder gar öffentliche Online-Tippspiele – häufig auch mit Preisen und entsprechender Bekanntgabe der Gewinner*innen. Doch was ist dabei […]
Verarbeitung personenbezogener Daten durch KI-basierte Sprachmodelle – Notwendigkeit eines Paradigmenwechsels?
KI-basierte Sprachmodelle wie ChatGPT werden zunehmend über entsprechende Programmier-Schnittstellen – auch API genannt – Software-Entwicklern zur Verfügung gestellt, um hierüber KI-Funktionalität in Fachanwendungen zu integrieren. Die Integration von Künstlicher Intelligenz in Fachanwendungen, die bislang weitgehend durch algorithmische Regeln und nicht durch heuristische Analysen geprägt war, mag zwar aus Sicht der Anwender und Nutzer oftmals zu […]
EuGH-Urteil zum Löschverlangen von Aufsichtsbehörden
Im März hat sich der Europäische Gerichtshof (EuGH, Urteil vom 14.03.2024 – C-46/23) zu der Frage geäußert, ob Datenschutzaufsichtsbehörden die Löschung personenbezogener Daten anordnen können. Ausgangspunkt war ein Meinungsstreit in Ungarn. Dieser basierte auf der Ansicht einer Verwaltungsbehörde, dass ein Löschantrag i. S. d. Art. 17 DSGVO (nur) betroffenen Personen vorbehalten sei. Die ungarische Aufsichtsbehörde […]
Kann „Microsoft Copilot with commercial Data Protection“ datenschutzkonform eingesetzt werden?
Heute beschäftigen wir uns mit der bereits im Titel dieses Blogbeitrags gestellten Frage. Die Frage ist dabei bewusst ziemlich speziell formuliert, denn wir wollen uns heute mit nur einer Ausprägung der verschiedenen Lizenzen beschäftigen, die Microsoft im Rahmen seines KI-gestützten Assistenztools „Copilot“ anbietet. Die Lizenz, um die es heute geht, nennt sich „Microsoft Copilot with […]
Verantwortliche haften für Auftragsverarbeiter – EuGH schließt sich Generalanwalt an
Der Europäische Gerichtshof (EuGH) hat sich in seinem Urteil vom 05.12.2023 (C-683/21) nicht nur mit der gemeinsamen datenschutzrechtlichen Verantwortlichkeit beschäftigt (wir berichteten). In der sechsten und letzten Vorlagefrage, die das litauische Verwaltungsgericht dem EuGH vorlegte, ging es um die Bußgeldhaftung eines Verantwortlichen für Datenverarbeitungen seines Auftragsverarbeiters. So wurde gefragt, ob … … von Art. 83 […]
Dauerbrenner Microsoft: Aufsichtsbehörden stellen Handreichung zum Einsatz von Microsoft 365 vor
Der neue Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Denis Lehmkemper, hat gemeinsam mit sechs weiteren deutschen Datenschutzaufsichtsbehörden eine Handreichung zum Umgang mit der Standard-Auftragsverarbeitungsvereinbarung von Microsoft für den Einsatz von Microsoft 365 erarbeitet, die Ende September veröffentlicht wurde. Diese enthält praktische Tipps zur datenschutzkonformen Nutzung von Microsoft 365-Produkten sowie Empfehlungen für Anpassungen des Standardvertrags zur […]
Tracking durch Softwareanbieter – wer ist verantwortlich?
Als Arbeitgeber digitale Tools einzusetzen, um den eigenen Beschäftigten Prozesse wie Zeiterfassung, Urlaubsanträge oder Reisekostenabrechnungen schnell und einfach im Self-Service zu ermöglichen, ist mittlerweile weitverbreitete Praxis. Im Normalfall ist der Anbieter der jeweiligen Software dabei Auftragsverarbeiter nach Art. 28 DSGVO – die Daten der Beschäftigten werden, soweit seitens des Dienstleisters z. B. zu Wartungszwecken im Einzelfall […]
Verhaltensregel „Trusted Data Processor“ – Ein Muss für Auftragsverarbeiter?
Durch den Status „Trusted Data Processor“ verpflichten sich Auftragsverarbeiter zu regelmäßigen Mitwirkungspflichten gegenüber Kontrollstellen und können im Gegenzug im Rechtsverkehr ein Qualitätssiegel verwenden, um ihre Nachweis- und Rechenschaftspflichten leichter zu erfüllen, rechtssicherer zu agieren und Aufwände zu reduzieren (vgl. hier). Da es sich jedoch, um eine gebührenpflichtige Verpflichtung handelt, stellt sich die Frage, ob sich […]
Art. 15 DSGVO: Sind Subunternehmen auch Empfänger – was gilt im Auftragsverhältnis innerhalb eines Konzerns?
Mit dem Urteil vom 12.01.2023 hat der EuGH klargestellt, was Datenschützer schon lange vermuteten: Verantwortliche haben bei der Bearbeitung eines Auskunftsersuchens nach Art. 15 DSGVO primär die konkreten Empfänger zu benennen und es ist ihnen nur im Ausnahmefall gestattet, auf die Kategorien von Empfängern zu verweisen (siehe auch Urteil des EuGH, 12.01.2023, C‑154/21). Im Anschluss […]
Hilfe, mein Auftragsverarbeiter will keinen Vertrag schließen!
Auch fast fünf Jahre nach Inkrafttreten der DSGVO kommt es in einigen Fällen nach wie vor zu folgender Situation: Dienstleister, die mit der Verarbeitung von personenbezogenen Daten beauftragt wurden bzw. werden sollen, zeigen keine Reaktion auf Anfragen zum Abschluss, zur Überarbeitung oder zur Aktualisierung eines Auftragsverarbeitungsvertrags. Datenschutzrechtlich Verantwortliche stellt dies wiederum vor große Herausforderungen. Auf […]
Auf schmalem Grat
Die Datenschutzkonferenz (DSK) hat einen Beschluss vom 31.01.2023 veröffentlicht, in dem es um die datenschutzrechtliche Bewertung von Zugriffsmöglichkeiten öffentlicher Stellen von Drittländern auf personenbezogene Daten geht, die innerhalb der EU bzw. dem EWR verarbeitet werden. Ohne den Elefanten im Raum zu benennen, ist dieser Beschluss vor allem im Hinblick auf den CLOUD Act der USA […]
Verarbeitung personenbezogener Daten – gemeinsame Verantwortung oder Übermittlung an eigenständigen Dritten
Bei der Beteiligung mehrerer Parteien an einer Verarbeitung personenbezogener Daten ist die richtige Einordnung der datenschutzrechtlichen Verantwortlichkeit von entscheidender Bedeutung. Je nach Art der Beteiligung sind unterschiedliche Vereinbarungen und Rechtsgrundlagen erforderlich. In den meisten Fällen wird ein Unternehmen ein anderes mit einer Dienstleistung beauftragen, so dass ein Auftragnehmer – Auftraggeber-Verhältnis vorliegt. In Teil 1 dieser […]