Wenn Unternehmen, die wirtschaftlich miteinander verwoben sind, personenbezogene Daten untereinander austauschen, sind viele gedanklich wohl bei der Überschrift zu diesem Artikel: Auftragsverarbeitung im Konzerngebilde. Unser Mitarbeiter Stefan R. Seiter hat sich diesem Thema in der aktuellen Ausgabe der Zeitschrift Datenschutz und Datensicherheit (DuD) gewidmet. Doch ist immer Auftragsverarbeitung drin, wo Auftragsverarbeitung drauf steht? Vieles spricht […]
Auftragsverarbeitung
Zur Ausgestaltung von Entgelten in Auftragsverarbeitungsverträgen für bayerische öffentliche Stellen
In Verträgen zur Auftragsverarbeitung sind die in Art. 28 DSGVO normierten Regelungen umzusetzen. Es obliegt dem Verantwortlichen, im Rahmen von Kontrollen beim Auftragsverarbeiter sicherzustellen, dass die Datenverarbeitung beim Auftragsverarbeiter in zulässiger Weise erfolgt. Art. 28 Abs. 3 lit. h DSGVO verpflichtet den Auftragsverarbeiter, dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem […]
Datenschutz im Krankenhaus: Auftragsverarbeitung bei bayerischen öffentlichen Krankenhäusern
Der Datenschutz in Krankenhäusern wird nicht nur über die DSGVO und/oder das BDSG geregelt, sondern es finden sich auch in den Landeskrankenhausgesetzen der einzelnen Bundesländer datenschutzrechtliche Regelungen. Dies führt dazu, dass die Vorgaben zu Patientendaten ganz unterschiedlich geregelt sein können. Insbesondere in Bayern waren die Handlungsmöglichkeiten in öffentlichen Krankenhäusern bei der Beauftragung von externen Dienstleistern […]
Datenschutzrechtliche Vorgaben für ERP-Systeme
In vielen produzierenden Unternehmen kommen standardmäßig ERP-Systeme zum Einsatz. Ein Enterprise-Resource-Planning-System oder kurz ERP-System dient der funktionsbereichsübergreifenden Unterstützung sämtlicher in einem Unternehmen ablaufenden Geschäftsprozesse. Entsprechend enthält es Module für die Bereiche Beschaffung/Materialwirtschaft, Produktion, Vertrieb, Forschung und Entwicklung, Anlagenwirtschaft, Personalwesen, Finanz- und Rechnungswesen, Controlling usw., die über eine (in Form einer relationalen Datenbank realisierte) gemeinsame Datenbasis […]
Keine Datenverarbeitung zu Lobbyingzwecken ohne Information der Betroffenen
Bußgeld gegen Monsanto: Die CNIL, die französische Datenschutzaufsichtsbehörde, hat Ende Juli gegen die Firma Monsanto Company, eine Firma der Bayer Gruppe, ein Bußgeld in Höhe von 400.000 Euro verhängt. Grund dieser Entscheidung ist der Verstoß gegen die Informationspflicht nach Art. 14 DSGVO und der fehlende Abschluss eines Auftragsverarbeitungsvertrages. Ausgangslage – die verhängnisvolle Datei In den […]
Auftragsverarbeitung: Vertragsschluss durch Schweigen?
Für viele Tätigkeiten, die als Dienstleistung ausgelagert werden, ist der Abschluss eines Vertrages zur Auftragsverarbeitung nach Art. 28 DSGVO vorgeschrieben. Um sich dieses Prozedere möglichst einfach zu gestalten, greift mancher Anbieter entsprechender Dienste zu äußerst kreativen Maßnahmen – nicht immer jedoch mit der gebotenen rechtlichen Verlässlichkeit. Um dem aufwändigen Unterzeichnen und Austauschen von Schriftstücken zu […]
Gesetz zur Auftragsverarbeitung im Bistum Münster
Ein Bistum besteht aus einer Vielzahl an datenschutzrechtlich Verantwortlichen. Neben dem Generalvikariat als zentrale Verwaltungsbehörde gibt es Pfarreien, Dekanate und weitere Einrichtungen. In vielen Fällen erbringt das Generalvikariat verschiedene Dienstleitungen in Rahmen von Auftragsverarbeitungen, insbesondere IT-Dienstleistungen, Archivierung, Aktenvernichtung und Support im Bereich Sozial Media. Die Auftragsvereinbarung muss dann entsprechend der Vorgaben des § 29 KDG […]
Kontrollrechte in der Auftragsverarbeitung: Wer darf den Datenschutz-Tätigkeitsbericht einsehen?
Ein großes Konfliktpotenzial in der Auftragsverarbeitung bergen die Kontrollrechte des Verantwortlichen. Diese werden zwar in der DSGVO mehr oder weniger präzise erwähnt, müssen aber häufig erst in der konkreten Situation ausgehandelt und diskutiert werden. Allen voran steht die Frage: Was darf der Kunde eines Dienstleisters als Verantwortlicher im Wege der Auftragsverarbeitung alles verlangen und einsehen? […]
Auftragsverarbeitung per default?
Die Frage, was eigentlich als Auftragsverarbeitung gilt und wie hier Abgrenzungen zu anderen Formen der Verarbeitung vorzunehmen sind, beschäftigt uns immer wieder. Grund genug, sich dieser Frage auch einmal für den bequemen Zwischendurch-Genuss vor dem Fernseher zuzuwenden. Im Mittelpunkt steht dabei das Phänomen, dass diese Verträge häufig – wenn auch nicht überwiegend, so doch zahlenmäßig […]
Videochats & Datenschutz – Heute: „Zoom“
“Was machst Du denn hier?” – “Ich wohne hier!” – “Aber doch nicht jetzt, um diese Zeit!“ Wie Herr Lohse in Loriots „Pappa ante Portas“ verbringt auch ein Großteil der Welt gerade vermehrt Zeit zu Hause. Anders als im Film, wurden die meisten von uns jedoch nicht in den Ruhestand geschickt, sondern sind dazu angehalten, […]
Getrennt, gemeinsam oder im Auftrag?
Bei der Übermittlung von personenbezogenen Daten zwischen Unternehmen oder öffentlichen Stellen unterscheidet das Datenschutzrecht zwischen einer getrennten Verantwortlichkeit, einer gemeinsamen Verantwortlichkeit und einer Auftragsverarbeitung. Die Auftragsverarbeitung war denjenigen bereits bekannt, für die Datenschutz schon vor dem Bußgeldkatalog der Datenschutz-Grundverordnung von Interesse war. Ebenso ist die getrennte Verantwortlichkeit für viele einleuchtend und klar festzustellen. Doch fast […]
Arbeitnehmerüberlassung keine Auftragsverarbeitung
Der Landesbeauftragter für Datenschutz und Informationsfreiheit Baden- Württemberg hat den Tätigkeitsbericht Datenschutz für 2019 veröffentlicht und geht in diesem Bericht auch auf die Arbeitnehmerüberlassung ein. Fazit: Keine Auftragsverarbeitung bei der Durchführung der Arbeitnehmerüberlassung zwischen Verleiher und Entleiher. Verleiher und Entleiher nutzen personenbezogene Daten der Leiharbeitnehmer meistens für eigene oder gemeinsame Zwecke und sind somit selbst […]
Datenschutzrechtliche Besonderheiten für Belegärzte
Die meisten Krankenhäuser haben mittlerweile verstanden, dass die Gesundheit der Patienten zwar stets die erste Priorität ist, der Datenschutz jedoch auch nicht auf die leichte Schulter genommen werden sollte. Dies dürfte den Verantwortlichen spätestens klar geworden sein, als die Datenschutzaufsichtsbehörden einem portugiesischen und einem holländischen Krankenhaus Strafen von 400.000 € bzw. 460.000 € auferlegt haben, […]
Kontrollrechte des Verantwortlichen gegenüber Subauftragsverarbeitern im Sinne des Art. 28 Abs. 4 DSGVO
Thema dieses Beitrags ist die Frage, ob dem Verantwortlichen beim Vorliegen einer Auftragsverarbeitung auch ein Inspektionsrecht gegenüber weiteren Auftragnehmern (im Folgenden: Subauftragsverarbeitern) eingeräumt werden muss. Also, ob ein Auftragsverarbeiter der Subauftragsverarbeiter einschaltet in den Auftragsverarbeitungsvertrag ein Inspektionsrecht im Sinne des Art. 28 Abs. 3 lit. h) DSGVO für den Verantwortlichen aufnehmen muss? Die Frage ist […]
Labore – datenschutzrechtliche Auftragsverarbeiter?
Eine datenschutzrechtliche Betrachtung der Situation im medizinischen Untersuchungsalltag Das Thema Auftragsverarbeitung zwischen Arzt und Untersuchungslabor beschäftigt die Beteiligten seit Jahren. Nachdem im bisherigen Datenschutzrecht sinnvolle Lösungen gefunden wurden, muss(te) man sich mit dieser Frage durch die DS-GVO erneut beschäftigen. Der zuvor vertretene Ansatz der Funktionsübertragung ließ sich nicht mehr fortführen, so dass eine aktuelle, den […]
1 2