Im Zuge des EuGH-Rundumschlags zum Datenschutz am 4. Mai 2023 (wir berichteten) kam es zu einer für die Praxis hoch relevanten, wenn auch nicht überraschenden Stellungnahme: Der Generalanwalt Emiliou äußerte sich in der Rechtssache C-683/21 zu der Frage, ob Bußgelder gemäß Art. 83 DSGVO gegen Verantwortliche (Art. 4 Nr. 7 DSGVO) verhängt werden können, wenn […]
Auftragsverarbeitung
Verhaltensregel „Trusted Data Processor“ – Ein Muss für Auftragsverarbeiter?
Durch den Status „Trusted Data Processor“ verpflichten sich Auftragsverarbeiter zu regelmäßigen Mitwirkungspflichten gegenüber Kontrollstellen und können im Gegenzug im Rechtsverkehr ein Qualitätssiegel verwenden, um ihre Nachweis- und Rechenschaftspflichten leichter zu erfüllen, rechtssicherer zu agieren und Aufwände zu reduzieren (vgl. hier). Da es sich jedoch, um eine gebührenpflichtige Verpflichtung handelt, stellt sich die Frage, ob sich […]
Update: Stellt die Lohn- und Gehaltsabrechnung durch einen Steuerberater eine Auftragsverarbeitung dar?
Bereits im Juli 2018 hatten wir uns mit diesem Thema in einem Blogbeitrag befasst und auf mehr Klarheit in der Zukunft gehofft. Die Zukunft ist mittlerweile eingetreten und mit ihr kam in der Tat auch mehr Klarheit. Hierzu also folgendes Update: Lange kam es darauf an Die datenschutzrechtliche Einordnung von Rechnungsprüfer*innen und Steuerberater*innen wurde in […]
Die Auftragsverarbeitung im Konzerngebilde
Wenn Unternehmen, die wirtschaftlich miteinander verwoben sind, personenbezogene Daten untereinander austauschen, sind viele gedanklich wohl bei der Überschrift zu diesem Artikel: Auftragsverarbeitung im Konzerngebilde. Unser Mitarbeiter Stefan R. Seiter hat sich diesem Thema in der aktuellen Ausgabe der Zeitschrift Datenschutz und Datensicherheit (DuD) gewidmet. Doch ist immer Auftragsverarbeitung drin, wo Auftragsverarbeitung drauf steht? Vieles spricht […]
Zur Ausgestaltung von Entgelten in Auftragsverarbeitungsverträgen für bayerische öffentliche Stellen
In Verträgen zur Auftragsverarbeitung sind die in Art. 28 DSGVO normierten Regelungen umzusetzen. Es obliegt dem Verantwortlichen, im Rahmen von Kontrollen beim Auftragsverarbeiter sicherzustellen, dass die Datenverarbeitung beim Auftragsverarbeiter in zulässiger Weise erfolgt. Art. 28 Abs. 3 lit. h DSGVO verpflichtet den Auftragsverarbeiter, dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem […]
Datenschutz im Krankenhaus: Auftragsverarbeitung bei bayerischen öffentlichen Krankenhäusern
Der Datenschutz in Krankenhäusern wird nicht nur über die DSGVO und/oder das BDSG geregelt, sondern es finden sich auch in den Landeskrankenhausgesetzen der einzelnen Bundesländer datenschutzrechtliche Regelungen. Dies führt dazu, dass die Vorgaben zu Patientendaten ganz unterschiedlich geregelt sein können. Insbesondere in Bayern waren die Handlungsmöglichkeiten in öffentlichen Krankenhäusern bei der Beauftragung von externen Dienstleistern […]
Datenschutzrechtliche Vorgaben für ERP-Systeme
In vielen produzierenden Unternehmen kommen standardmäßig ERP-Systeme zum Einsatz. Ein Enterprise-Resource-Planning-System oder kurz ERP-System dient der funktionsbereichsübergreifenden Unterstützung sämtlicher in einem Unternehmen ablaufenden Geschäftsprozesse. Entsprechend enthält es Module für die Bereiche Beschaffung/Materialwirtschaft, Produktion, Vertrieb, Forschung und Entwicklung, Anlagenwirtschaft, Personalwesen, Finanz- und Rechnungswesen, Controlling usw., die über eine (in Form einer relationalen Datenbank realisierte) gemeinsame Datenbasis […]
Keine Datenverarbeitung zu Lobbyingzwecken ohne Information der Betroffenen
Bußgeld gegen Monsanto: Die CNIL, die französische Datenschutzaufsichtsbehörde, hat Ende Juli gegen die Firma Monsanto Company, eine Firma der Bayer Gruppe, ein Bußgeld in Höhe von 400.000 Euro verhängt. Grund dieser Entscheidung ist der Verstoß gegen die Informationspflicht nach Art. 14 DSGVO und der fehlende Abschluss eines Auftragsverarbeitungsvertrages. Ausgangslage – die verhängnisvolle Datei In den […]
Auftragsverarbeitung: Vertragsschluss durch Schweigen?
Für viele Tätigkeiten, die als Dienstleistung ausgelagert werden, ist der Abschluss eines Vertrages zur Auftragsverarbeitung nach Art. 28 DSGVO vorgeschrieben. Um sich dieses Prozedere möglichst einfach zu gestalten, greift mancher Anbieter entsprechender Dienste zu äußerst kreativen Maßnahmen – nicht immer jedoch mit der gebotenen rechtlichen Verlässlichkeit. Um dem aufwändigen Unterzeichnen und Austauschen von Schriftstücken zu […]
Gesetz zur Auftragsverarbeitung im Bistum Münster
Ein Bistum besteht aus einer Vielzahl an datenschutzrechtlich Verantwortlichen. Neben dem Generalvikariat als zentrale Verwaltungsbehörde gibt es Pfarreien, Dekanate und weitere Einrichtungen. In vielen Fällen erbringt das Generalvikariat verschiedene Dienstleitungen in Rahmen von Auftragsverarbeitungen, insbesondere IT-Dienstleistungen, Archivierung, Aktenvernichtung und Support im Bereich Sozial Media. Die Auftragsvereinbarung muss dann entsprechend der Vorgaben des § 29 KDG […]
Kontrollrechte in der Auftragsverarbeitung: Wer darf den Datenschutz-Tätigkeitsbericht einsehen?
Ein großes Konfliktpotenzial in der Auftragsverarbeitung bergen die Kontrollrechte des Verantwortlichen. Diese werden zwar in der DSGVO mehr oder weniger präzise erwähnt, müssen aber häufig erst in der konkreten Situation ausgehandelt und diskutiert werden. Allen voran steht die Frage: Was darf der Kunde eines Dienstleisters als Verantwortlicher im Wege der Auftragsverarbeitung alles verlangen und einsehen? […]
Auftragsverarbeitung per default?
Die Frage, was eigentlich als Auftragsverarbeitung gilt und wie hier Abgrenzungen zu anderen Formen der Verarbeitung vorzunehmen sind, beschäftigt uns immer wieder. Grund genug, sich dieser Frage auch einmal für den bequemen Zwischendurch-Genuss vor dem Fernseher zuzuwenden. Im Mittelpunkt steht dabei das Phänomen, dass diese Verträge häufig – wenn auch nicht überwiegend, so doch zahlenmäßig […]
Videochats & Datenschutz – Heute: „Zoom“
„Was machst Du denn hier?“ – „Ich wohne hier!“ – „Aber doch nicht jetzt, um diese Zeit!“ Wie Herr Lohse in Loriots „Pappa ante Portas“ verbringt auch ein Großteil der Welt gerade vermehrt Zeit zu Hause. Anders als im Film, wurden die meisten von uns jedoch nicht in den Ruhestand geschickt, sondern sind dazu angehalten, […]
Getrennt, gemeinsam oder im Auftrag?
Bei der Übermittlung von personenbezogenen Daten zwischen Unternehmen oder öffentlichen Stellen unterscheidet das Datenschutzrecht zwischen einer getrennten Verantwortlichkeit, einer gemeinsamen Verantwortlichkeit und einer Auftragsverarbeitung. Die Auftragsverarbeitung war denjenigen bereits bekannt, für die Datenschutz schon vor dem Bußgeldkatalog der Datenschutz-Grundverordnung von Interesse war. Ebenso ist die getrennte Verantwortlichkeit für viele einleuchtend und klar festzustellen. Doch fast […]
Arbeitnehmerüberlassung keine Auftragsverarbeitung
Der Landesbeauftragter für Datenschutz und Informationsfreiheit Baden- Württemberg hat den Tätigkeitsbericht Datenschutz für 2019 veröffentlicht und geht in diesem Bericht auch auf die Arbeitnehmerüberlassung ein. Fazit: Keine Auftragsverarbeitung bei der Durchführung der Arbeitnehmerüberlassung zwischen Verleiher und Entleiher. Verleiher und Entleiher nutzen personenbezogene Daten der Leiharbeitnehmer meistens für eigene oder gemeinsame Zwecke und sind somit selbst […]