CNIL reagiert auf unzureichende Maßnahmen gegen Credential Stuffing Angriffe Ende Januar gab die französische Datenschutzbehörde (CNIL) bekannt, dass sie ein Bußgeld in Höhe von insgesamt 225.000 Euro gegen einen Online Shop Betreiber (i.H.v. 150.000 Euro) und dessen Auftragsverarbeiter (i.H.v. 75.000 Euro) verhängt hat. Ursache für das Bußgeld sind unzureichende technische und organisatorische Maßnahmen zur Abwehr […]
Auftragsverarbeiter
Getrennt, gemeinsam oder im Auftrag?
Bei der Übermittlung von personenbezogenen Daten zwischen Unternehmen oder öffentlichen Stellen unterscheidet das Datenschutzrecht zwischen einer getrennten Verantwortlichkeit, einer gemeinsamen Verantwortlichkeit und einer Auftragsverarbeitung. Die Auftragsverarbeitung war denjenigen bereits bekannt, für die Datenschutz schon vor dem Bußgeldkatalog der Datenschutz-Grundverordnung von Interesse war. Ebenso ist die getrennte Verantwortlichkeit für viele einleuchtend und klar festzustellen. Doch fast […]
Homeoffice für Auftragsverarbeiter
Die Arbeit im Homeoffice ist für viele Menschen in Deutschland in den letzten Tagen zur Normalität geworden. Ganz ohne Zweifel kann es für die Betroffenen ein großer Vorteil sein, wenn sie von zuhause arbeiten können. Die Betreuung von Kindern lässt sich besser gewährleisten und die Ansteckungsgefahr im Hinblick auf den Coronavirus wird gesenkt, wenn der […]
Kontrollrechte des Verantwortlichen gegenüber Subauftragsverarbeitern im Sinne des Art. 28 Abs. 4 DSGVO
Thema dieses Beitrags ist die Frage, ob dem Verantwortlichen beim Vorliegen einer Auftragsverarbeitung auch ein Inspektionsrecht gegenüber weiteren Auftragnehmern (im Folgenden: Subauftragsverarbeitern) eingeräumt werden muss. Also, ob ein Auftragsverarbeiter der Subauftragsverarbeiter einschaltet in den Auftragsverarbeitungsvertrag ein Inspektionsrecht im Sinne des Art. 28 Abs. 3 lit. h) DSGVO für den Verantwortlichen aufnehmen muss? Die Frage ist […]
PayPal – Auftragsverarbeiter ja oder nein?
Es gibt wenige Unternehmen, die noch keinen Vertrag zur Auftragsverarbeitung (AV) ihrer Geschäftspartner oder Dienstleister im Briefkasten hatten, oder aber selbst an alle ihre Geschäftskontakte einen herausgeschickt haben. Dass in vielen Fällen der AV nach Art. 28 DSGVO gar nicht das richtige Rechtsinstrument ist, ist meist erst einmal zweitrangig. Frei nach dem Motto: Lieber ein […]
Der Streifzug geht weiter – der neue Microsoft-ADV-Vertrag
Im ersten Teil unseres Beitrags haben wir uns neben einigen „formalen“ Aspekten primär den allgemeinen Sicherheitsstandards sowie dem Thema Auditierung des ADV-Vertrags von Microsoft gewidmet. Abschließend wollen wir nun klären, welche inhaltlichen Schwerpunkte man darüber hinaus bei der Begutachtung des vertraglichen Konstrukts von Microsoft setzen sollte. Nachtwanderung Wer sich mit dem Text des Art. 28 […]
Abenteuer-Ausflug für Datenschützer – der neue Microsoft-ADV-Vertrag
Nachdem es nun weniger als ein Jahr noch ist, bis die Datenschutz-Grundverordnung (DSGVO) in Kraft tritt und damit gewissermaßen der Countdown zum Schlussspurt eingeläutet ist, wollen wir die Gelegenheit beim Schopfe packen und einen der großen Knackpunkte, der auch in der Praxis erhebliche Bedeutung hat, aufgreifen, nämlich die Auftragsdatenverarbeitung – oder nach neuer Terminologie: Auftragsverarbeitung. […]
Auftragsdatenverarbeitung – Auftragnehmer in der Pflicht
Die Rechte und Pflichten von Auftragnehmern und Auftraggebern in der Auftragsdatenverarbeitung (ADV) sind immer wieder Thema in der datenschutzrechtlichen Beraterpraxis. Einer der wesentlichen Aspekte ist hierbei der Abschluss eines schriftlichen Vertrags zur ADV. § 11 Bundesdatenschutzgesetz (BDSG) sieht dabei vor, dass für die Einhaltung dieser Pflicht der Auftraggeber verantwortlich ist. § 11 Abs. 1 Satz […]
Datenschutz-Grundverordnung: Vereinbarungen zur Auftragsdatenverarbeitung umstellen
Vieles bleibt gleich, einiges ändert sich. In unserer Blogreihe zur Datenschutz-Grundverordnung (DSGVO) haben wir einen ersten Eindruck vermittelt, was auf Unternehmen zukommt. Knappe 2 Jahre bleiben nun für Unternehmen, um Vorkehrungen zu treffen. Aber womit fängt man im Unternehmen an? Unser Tipp: Mit den Verträgen zur Auftragsdatenverarbeitung. Denn die Pflicht zur Vereinbarung von Verträgen zur […]