In vielen produzierenden Unternehmen kommen standardmäßig ERP-Systeme zum Einsatz. Ein Enterprise-Resource-Planning-System oder kurz ERP-System dient der funktionsbereichsübergreifenden Unterstützung sämtlicher in einem Unternehmen ablaufenden Geschäftsprozesse. Entsprechend enthält es Module für die Bereiche Beschaffung/Materialwirtschaft, Produktion, Vertrieb, Forschung und Entwicklung, Anlagenwirtschaft, Personalwesen, Finanz- und Rechnungswesen, Controlling usw., die über eine (in Form einer relationalen Datenbank realisierte) gemeinsame Datenbasis […]
Auftragsverarbeitung

Keine Datenverarbeitung zu Lobbyingzwecken ohne Information der Betroffenen
Bußgeld gegen Monsanto: Die CNIL, die französische Datenschutzaufsichtsbehörde, hat Ende Juli gegen die Firma Monsanto Company, eine Firma der Bayer Gruppe, ein Bußgeld in Höhe von 400.000 Euro verhängt. Grund dieser Entscheidung ist der Verstoß gegen die Informationspflicht nach Art. 14 DSGVO und der fehlende Abschluss eines Auftragsverarbeitungsvertrages. Ausgangslage – die verhängnisvolle Datei In den […]

Auftragsverarbeitung: Vertragsschluss durch Schweigen?
Für viele Tätigkeiten, die als Dienstleistung ausgelagert werden, ist der Abschluss eines Vertrages zur Auftragsverarbeitung nach Art. 28 DSGVO vorgeschrieben. Um sich dieses Prozedere möglichst einfach zu gestalten, greift mancher Anbieter entsprechender Dienste zu äußerst kreativen Maßnahmen – nicht immer jedoch mit der gebotenen rechtlichen Verlässlichkeit. Um dem aufwändigen Unterzeichnen und Austauschen von Schriftstücken zu […]

Gesetz zur Auftragsverarbeitung im Bistum Münster
Ein Bistum besteht aus einer Vielzahl an datenschutzrechtlich Verantwortlichen. Neben dem Generalvikariat als zentrale Verwaltungsbehörde gibt es Pfarreien, Dekanate und weitere Einrichtungen. In vielen Fällen erbringt das Generalvikariat verschiedene Dienstleitungen in Rahmen von Auftragsverarbeitungen, insbesondere IT-Dienstleistungen, Archivierung, Aktenvernichtung und Support im Bereich Sozial Media. Die Auftragsvereinbarung muss dann entsprechend der Vorgaben des § 29 KDG […]

Kontrollrechte in der Auftragsverarbeitung: Wer darf den Datenschutz-Tätigkeitsbericht einsehen?
Ein großes Konfliktpotenzial in der Auftragsverarbeitung bergen die Kontrollrechte des Verantwortlichen. Diese werden zwar in der DSGVO mehr oder weniger präzise erwähnt, müssen aber häufig erst in der konkreten Situation ausgehandelt und diskutiert werden. Allen voran steht die Frage: Was darf der Kunde eines Dienstleisters als Verantwortlicher im Wege der Auftragsverarbeitung alles verlangen und einsehen? […]

Auftragsverarbeitung per default?
Die Frage, was eigentlich als Auftragsverarbeitung gilt und wie hier Abgrenzungen zu anderen Formen der Verarbeitung vorzunehmen sind, beschäftigt uns immer wieder. Grund genug, sich dieser Frage auch einmal für den bequemen Zwischendurch-Genuss vor dem Fernseher zuzuwenden. Im Mittelpunkt steht dabei das Phänomen, dass diese Verträge häufig – wenn auch nicht überwiegend, so doch zahlenmäßig […]
Videochats & Datenschutz – Heute: „Zoom“
„Was machst Du denn hier?“ – „Ich wohne hier!“ – „Aber doch nicht jetzt, um diese Zeit!“ Wie Herr Lohse in Loriots „Pappa ante Portas“ verbringt auch ein Großteil der Welt gerade vermehrt Zeit zu Hause. Anders als im Film, wurden die meisten von uns jedoch nicht in den Ruhestand geschickt, sondern sind dazu angehalten, […]
Getrennt, gemeinsam oder im Auftrag?
Bei der Übermittlung von personenbezogenen Daten zwischen Unternehmen oder öffentlichen Stellen unterscheidet das Datenschutzrecht zwischen einer getrennten Verantwortlichkeit, einer gemeinsamen Verantwortlichkeit und einer Auftragsverarbeitung. Die Auftragsverarbeitung war denjenigen bereits bekannt, für die Datenschutz schon vor dem Bußgeldkatalog der Datenschutz-Grundverordnung von Interesse war. Ebenso ist die getrennte Verantwortlichkeit für viele einleuchtend und klar festzustellen. Doch fast […]
Arbeitnehmerüberlassung keine Auftragsverarbeitung
Der Landesbeauftragter für Datenschutz und Informationsfreiheit Baden- Württemberg hat den Tätigkeitsbericht Datenschutz für 2019 veröffentlicht und geht in diesem Bericht auch auf die Arbeitnehmerüberlassung ein. Fazit: Keine Auftragsverarbeitung bei der Durchführung der Arbeitnehmerüberlassung zwischen Verleiher und Entleiher. Verleiher und Entleiher nutzen personenbezogene Daten der Leiharbeitnehmer meistens für eigene oder gemeinsame Zwecke und sind somit selbst […]
Datenschutzrechtliche Besonderheiten für Belegärzte
Die meisten Krankenhäuser haben mittlerweile verstanden, dass die Gesundheit der Patienten zwar stets die erste Priorität ist, der Datenschutz jedoch auch nicht auf die leichte Schulter genommen werden sollte. Dies dürfte den Verantwortlichen spätestens klar geworden sein, als die Datenschutzaufsichtsbehörden einem portugiesischen und einem holländischen Krankenhaus Strafen von 400.000 € bzw. 460.000 € auferlegt haben, […]
Kontrollrechte des Verantwortlichen gegenüber Subauftragsverarbeitern im Sinne des Art. 28 Abs. 4 DSGVO
Thema dieses Beitrags ist die Frage, ob dem Verantwortlichen beim Vorliegen einer Auftragsverarbeitung auch ein Inspektionsrecht gegenüber weiteren Auftragnehmern (im Folgenden: Subauftragsverarbeitern) eingeräumt werden muss. Also, ob ein Auftragsverarbeiter der Subauftragsverarbeiter einschaltet in den Auftragsverarbeitungsvertrag ein Inspektionsrecht im Sinne des Art. 28 Abs. 3 lit. h) DSGVO für den Verantwortlichen aufnehmen muss? Die Frage ist […]
Labore – datenschutzrechtliche Auftragsverarbeiter?
Eine datenschutzrechtliche Betrachtung der Situation im medizinischen Untersuchungsalltag Das Thema Auftragsverarbeitung zwischen Arzt und Untersuchungslabor beschäftigt die Beteiligten seit Jahren. Nachdem im bisherigen Datenschutzrecht sinnvolle Lösungen gefunden wurden, muss(te) man sich mit dieser Frage durch die DS-GVO erneut beschäftigen. Der zuvor vertretene Ansatz der Funktionsübertragung ließ sich nicht mehr fortführen, so dass eine aktuelle, den […]
Wie sind Freelancer datenschutzrechtlich zu bewerten?
Kaum ein Thema unter der DSGVO bringt derart viel Verunsicherung wie die „Auftragsverarbeitung“ nach Art. 28 DSGVO. Immer noch bestehen Abgrenzungsschwierigkeiten zu den vielfältigen Anwendungsfällen, die beispielsweise die Eigenverantwortlichkeit des Dienstleisters bzw. eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorsehen können. Besonders bei Agenturen und kleineren Unternehmen stellt sich dann noch die zusätzliche Frage, wie […]
Kleiner Rundumschlag zur Auftragsverarbeitung
Es gibt gewisse Dinge im Leben – auch eines Datenschützers – die nie alt werden. Dazu gehört das Einbinden von externen Dienstleistern in verschiedenen Konstellationen beim Umgang mit personenbezogenen Daten, kurzum die sogenannte Auftragsverarbeitung. Dann und wann glaubt man, bereits alles Erdenkliche dazu gelesen, alles Gelesene dazu erdacht zu haben, und trotzdem wird man gelegentlich […]
Auftragsverarbeitung in einem Drittland – was ist rechtlich erforderlich?
Die Regelungen zur Auftragsverarbeitung sind schon seit jeher Gegenstand von Diskussionen, sei es bezüglich der generellen Erforderlichkeit des Abschlusses eines Vertrages, der konkreten Ausgestaltung der technischen und organisatorischen Maßnahmen oder eines verhängten Bußgeldes wegen einer vermeintlich fehlenden vertraglichen Vereinbarung. Seit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) stellt sich nun noch eine weitere Frage: Bedarf es bei der […]