Der Europäische Gerichtshof (EuGH) hat sich in seinem Urteil vom 05.12.2023 (C-683/21) nicht nur mit der gemeinsamen datenschutzrechtlichen Verantwortlichkeit beschäftigt (wir berichteten). In der sechsten und letzten Vorlagefrage, die das litauische Verwaltungsgericht dem EuGH vorlegte, ging es um die Bußgeldhaftung eines Verantwortlichen für Datenverarbeitungen seines Auftragsverarbeiters. So wurde gefragt, ob … … von Art. 83 […]
Auftragsverarbeitung
AVATAR – Die Macht warmer Technologie
Name: AV1, knapp 30 Zentimeter groß und ziemlich niedlich anzusehen. Auch bekannt als Telepräsenzroboter oder -Avatar, tauchen diese kleinen Helferlein mit steigender Tendenz auch in deutschen Schulen auf. Eine smarte Lösung, um am Unterricht teilzunehmen und die sozialen Kontakte weiterhin zu pflegen, ohne persönlich anwesend zu sein. Denn soziale Isolation wirkt sich sowohl auf die […]
Parallelnutzung von Clouddaten – Auftragsverarbeitung and beyond
Der Siegeszug der Clouddienstleister ist unübersehbar. Während es früher üblich war, Software zu kaufen und auf den eigenen Firmenservern (on premise) zu installieren, setzen sich immer mehr die Angebote durch, bei denen die Software lediglich auf Zeit gemietet wird und auf den Rechnern des Anbieters ausgeführt wird. Stichwort: Software as a Service (SaaS). Dies erscheint […]
Datenschutz für Auftragnehmer
Wer als Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO personenbezogene Daten von einer verantwortlichen Stelle verarbeitet, hat verschiedene datenschutzrechtliche Verpflichtungen zu erfüllen. Ein gut umgesetztes Datenschutz-Managementsystem kann dabei für die potenziellen Auftraggeber ein Argument für eine Zusammenarbeit sein. Neben der eigentlich angebotenen Dienstleistung, hat auch die datenschutzrechtliche Implementierung und Umsetzung einen Einfluss auf die Wahl […]
Generalanwalt des EuGH bejaht: Verantwortliche trifft Bußgeldhaftung für Auftragsverarbeiter
Im Zuge des EuGH-Rundumschlags zum Datenschutz am 4. Mai 2023 (wir berichteten) kam es zu einer für die Praxis hoch relevanten, wenn auch nicht überraschenden Stellungnahme: Der Generalanwalt Emiliou äußerte sich in der Rechtssache C-683/21 zu der Frage, ob Bußgelder gemäß Art. 83 DSGVO gegen Verantwortliche (Art. 4 Nr. 7 DSGVO) verhängt werden können, wenn […]
Verhaltensregel „Trusted Data Processor“ – Ein Muss für Auftragsverarbeiter?
Durch den Status „Trusted Data Processor“ verpflichten sich Auftragsverarbeiter zu regelmäßigen Mitwirkungspflichten gegenüber Kontrollstellen und können im Gegenzug im Rechtsverkehr ein Qualitätssiegel verwenden, um ihre Nachweis- und Rechenschaftspflichten leichter zu erfüllen, rechtssicherer zu agieren und Aufwände zu reduzieren (vgl. hier). Da es sich jedoch, um eine gebührenpflichtige Verpflichtung handelt, stellt sich die Frage, ob sich […]
Update: Stellt die Lohn- und Gehaltsabrechnung durch einen Steuerberater eine Auftragsverarbeitung dar?
Bereits im Juli 2018 hatten wir uns mit diesem Thema in einem Blogbeitrag befasst und auf mehr Klarheit in der Zukunft gehofft. Die Zukunft ist mittlerweile eingetreten und mit ihr kam in der Tat auch mehr Klarheit. Hierzu also folgendes Update: Lange kam es darauf an Die datenschutzrechtliche Einordnung von Rechnungsprüfer*innen und Steuerberater*innen wurde in […]
Die Auftragsverarbeitung im Konzerngebilde
Wenn Unternehmen, die wirtschaftlich miteinander verwoben sind, personenbezogene Daten untereinander austauschen, sind viele gedanklich wohl bei der Überschrift zu diesem Artikel: Auftragsverarbeitung im Konzerngebilde. Unser Mitarbeiter Stefan R. Seiter hat sich diesem Thema in der aktuellen Ausgabe der Zeitschrift Datenschutz und Datensicherheit (DuD) gewidmet. Doch ist immer Auftragsverarbeitung drin, wo Auftragsverarbeitung drauf steht? Vieles spricht […]
Zur Ausgestaltung von Entgelten in Auftragsverarbeitungsverträgen für bayerische öffentliche Stellen
In Verträgen zur Auftragsverarbeitung sind die in Art. 28 DSGVO normierten Regelungen umzusetzen. Es obliegt dem Verantwortlichen, im Rahmen von Kontrollen beim Auftragsverarbeiter sicherzustellen, dass die Datenverarbeitung beim Auftragsverarbeiter in zulässiger Weise erfolgt. Art. 28 Abs. 3 lit. h DSGVO verpflichtet den Auftragsverarbeiter, dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem […]
Datenschutz im Krankenhaus: Auftragsverarbeitung bei bayerischen öffentlichen Krankenhäusern
Der Datenschutz in Krankenhäusern wird nicht nur über die DSGVO und/oder das BDSG geregelt, sondern es finden sich auch in den Landeskrankenhausgesetzen der einzelnen Bundesländer datenschutzrechtliche Regelungen. Dies führt dazu, dass die Vorgaben zu Patientendaten ganz unterschiedlich geregelt sein können. Insbesondere in Bayern waren die Handlungsmöglichkeiten in öffentlichen Krankenhäusern bei der Beauftragung von externen Dienstleistern […]
Datenschutzrechtliche Vorgaben für ERP-Systeme
In vielen produzierenden Unternehmen kommen standardmäßig ERP-Systeme zum Einsatz. Ein Enterprise-Resource-Planning-System oder kurz ERP-System dient der funktionsbereichsübergreifenden Unterstützung sämtlicher in einem Unternehmen ablaufenden Geschäftsprozesse. Entsprechend enthält es Module für die Bereiche Beschaffung/Materialwirtschaft, Produktion, Vertrieb, Forschung und Entwicklung, Anlagenwirtschaft, Personalwesen, Finanz- und Rechnungswesen, Controlling usw., die über eine (in Form einer relationalen Datenbank realisierte) gemeinsame Datenbasis […]
Keine Datenverarbeitung zu Lobbyingzwecken ohne Information der Betroffenen
Bußgeld gegen Monsanto: Die CNIL, die französische Datenschutzaufsichtsbehörde, hat Ende Juli gegen die Firma Monsanto Company, eine Firma der Bayer Gruppe, ein Bußgeld in Höhe von 400.000 Euro verhängt. Grund dieser Entscheidung ist der Verstoß gegen die Informationspflicht nach Art. 14 DSGVO und der fehlende Abschluss eines Auftragsverarbeitungsvertrages. Ausgangslage – die verhängnisvolle Datei In den […]
Auftragsverarbeitung: Vertragsschluss durch Schweigen?
Für viele Tätigkeiten, die als Dienstleistung ausgelagert werden, ist der Abschluss eines Vertrages zur Auftragsverarbeitung nach Art. 28 DSGVO vorgeschrieben. Um sich dieses Prozedere möglichst einfach zu gestalten, greift mancher Anbieter entsprechender Dienste zu äußerst kreativen Maßnahmen – nicht immer jedoch mit der gebotenen rechtlichen Verlässlichkeit. Um dem aufwändigen Unterzeichnen und Austauschen von Schriftstücken zu […]
Gesetz zur Auftragsverarbeitung im Bistum Münster
Ein Bistum besteht aus einer Vielzahl an datenschutzrechtlich Verantwortlichen. Neben dem Generalvikariat als zentrale Verwaltungsbehörde gibt es Pfarreien, Dekanate und weitere Einrichtungen. In vielen Fällen erbringt das Generalvikariat verschiedene Dienstleitungen in Rahmen von Auftragsverarbeitungen, insbesondere IT-Dienstleistungen, Archivierung, Aktenvernichtung und Support im Bereich Sozial Media. Die Auftragsvereinbarung muss dann entsprechend der Vorgaben des § 29 KDG […]
Kontrollrechte in der Auftragsverarbeitung: Wer darf den Datenschutz-Tätigkeitsbericht einsehen?
Ein großes Konfliktpotenzial in der Auftragsverarbeitung bergen die Kontrollrechte des Verantwortlichen. Diese werden zwar in der DSGVO mehr oder weniger präzise erwähnt, müssen aber häufig erst in der konkreten Situation ausgehandelt und diskutiert werden. Allen voran steht die Frage: Was darf der Kunde eines Dienstleisters als Verantwortlicher im Wege der Auftragsverarbeitung alles verlangen und einsehen? […]