Dienstleister

Die Flaggen der EU und der USA vor blauem Himmel.

Ein Leben ohne US-Dienstleister – möglich, aber sinnlos?

Im September berichteten wir über den Chefankläger Karim Khan des Internationalen Strafgerichtshofs (IStGH), der auf die Sanktionsliste der USA geriet und seine E-Mails bei Microsoft nicht mehr abrufen konnte. Der französische Richter Nicolas Guillou vom IStGH, der ebenfalls auf der Sanktionsliste steht, schildert eindrücklich in einem Interview mit Le Monde, wie ein Leben aussieht, wenn […]

Olaf Rossow | 8. Januar 2026 | Allgemein | Datentransfer, Dienstleister, EO, EU-Bürger, EU-Unternehmen, EU-US Data Privacy Framework, Exit-Strategie, IStGH, Microsoft, Sanktionsliste, Standarddatenschutzklauseln, US-Unternehmen, USA, Visa | 1 Kommentar

Ein Lebkuchenhaus im Hintergrund ein Weihnachtsbaum im Vordergrund die Zahl 15

DIN 66399 – Ist die Norm zur Datenträgervernichtung noch aktuell?

Die im Oktober 2012 veröffentlichte DIN 66399 „Büro- und Datentechnik – Vernichten von Datenträgern“ ist eine deutsche Norm, welche die Anforderungen für die sichere Vernichtung von Datenträgern wie Papier, CDs oder Festplatten definiert. Für viele Unternehmen und Dienstleister ist sie der zentrale Anknüpfungspunkt, wenn es um die Festlegung von Sicherheitsstufen und Vorgaben zur Datenvernichtung geht. […]

Felix Schneider | 15. Dezember 2025 | Allgemein | Datenlöschung, Datenträger, Datenvernichtung, Dienstleister, DIN, DIN 66399, ISO/IEC 21964, Schutzklassen, Sicherheitsstufen, Unternehmen

Das Wort Benefit mit Buchstaben aus einer Tastatur gelegt.

Mitarbeitervorteile – Win-win für alle Beteiligten bei Einhaltung datenschutzrechtlicher Vorgaben

Von Rabatten in Onlineshops über Zuschüsse zu ÖPNV-Tickets, Fahrrädern oder Fitnesskursen, bis hin zu Kostenbeteiligungen bei Schönheits-OPs und medizinischen Behandlungen – die Bandbreite von Vorteilen und Vergünstigungen, die Arbeitgeber ihren Beschäftigten gewähren, ist groß. Die sog. Mitarbeitervorteile/-rabatte/-angebote oder Employee Benefits erfreuen sich steigender Beliebtheit, da sie die Mitarbeiterbindung und -zufriedenheit fördern und gleichzeitig für die […]

Juliane Schönwald | 12. November 2025 | Allgemein | Arbeitgeber, Arbeitnehmer, Auftragsverarbeitung, Datenverarbeitung, Dienstleister, Einwilligung, Employee Benefits, Gesundheitsdaten, Mitarbeiterangebote, Mitarbeitervorteile, Rabatte, Verantwortliche Stelle | 3 Kommentare

Backsteingebäude an dem ein blaues Schild mit der Aufschrift „Polizei“ befestigt ist.

Wann darf ein polizeiliches Führungszeugnis von externen Dienstleistern verlangt werden?

Polizeiliche Führungszeugnisse spielen eine zunehmend zentrale Rolle in sicherheitskritischen Bereichen – z. B. bei der Auswahl von IT-Personal mit Zugang zu Rechenzentren. Doch aus datenschutzrechtlicher Sicht ist der Umgang mit diesen Dokumenten heikel. Insbesondere, wenn externe Dienstleister verpflichtet werden sollen, polizeiliche Führungszeugnisse ihrer Beschäftigten zu prüfen oder vorzulegen, stellen sich grundlegende Fragen nach der rechtlichen […]

Lisa-Maria Körner | 1. Oktober 2025 | Beschäftigtendatenschutz | Amazon, Arbeitgeber, Arbeitnehmer, Art. 10 DSGVO, BDSG, Beschäftigungsverhältnis, Bußgeld, Dienstleister, polizeiliches Führungszeugnis, Rechtsgrundlage, Straftaten, Verarbeitungsverbot

BEM-Verfahren: Datenschutzverstöße durch den Dienstleister führen zur Unwirksamkeit der Kündigung

Seit einigen Jahren können wir in der Beratung vor allem bei größeren Unternehmen den Trend erkennen das gesetzlich vorgesehene betriebliche Eingliederungsmanagement (BEM) an externe Dienstleister auszugliedern. Dies sorgt u. a. für eine Arbeitsentlastung beim Arbeitgeber, da die Durchführung von BEM-Verfahren mit einem großen Aufwand verbunden sein kann. Des Weiteren kann es für betroffene Beschäftigte unter […]

Juliane Schönwald | 13. August 2025 | Beschäftigtendatenschutz | Arbeitgeber, Arbeitnehmer, BEM-Verfahren, Betrieblichen Eingliederungsmanagement, Datenverarbeitung, Dienstleister, Gesundheitsdaten, Informationen, LAG Baden-Württemberg, Verantwortlichkeit

Viele graue Ketten liegen durcheinander.

Kontrollpflichten bei Auftragsverarbeitern in der Verarbeitungskette

Viele Unternehmen lagern einzelne Aufgaben an externe Dienstleister aus, da durch das sog. Outsourcing oft effizientere Lösungen gefunden werden können. Als Beispiele wären die Verwendung einer fremdgehostete HR-Software, auf der Bewerber ihre Unterlagen hochladen können, oder der Newsletter-Versand über einen externen Anbieter zu nennen. Die Dienstleister verarbeiten dann ggf. auch personenbezogene Daten im Auftrag der […]

Sophia Louzri | 3. Juli 2025 | Allgemein, Aufsichtsbehörden | Auftragsverarbeiter, Auftragsverarbeitungsvertrag, Datenverarbeitungstätigkeiten, Dienstleister, Drittlandsübermittlung, DSGVO, EDSA, Garantien, Kontrollpflicht, Risiko, Überprüfungspflicht, Unterauftragnehmer, Verantwortliche Stelle

Verschiedene Euroscheine und ein Paragraphenzeichen in Silber.

BfDI: 45 Mio. Euro Geldbuße gegen Vodafone

Das höchste, bisher verhängte Bußgeld in Deutschland für Verstöße gegen die DSGVO betrug 35,3 Mio. Euro. Seit dem 03.06.2025 steht der Titel „höchstes Bußgeld“ der Vodafone GmbH (Vodafone) zu. Das Bußgeld in Höhe von 45 Mio. Euro, verhängt von der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), setzt sich aus zwei Einzelbußgeldern zusammen. Diese […]

Dr. Sebastian Ertel | 6. Juni 2025 | Aufsichtsbehörden | Art. 28 DSGVO, Aufsichtsbehörde, Auftragsverarbeiter, Authentifizierung, BfDI, Bußgeld, Dienstleister, DSGVO, Prüfung, Sicherheitsmängel, Vodafone

Illustration eines Labyrinths in Blau mit einem gelber Pfeil der den Weg raus zeigt.

Warum Unternehmen und Organisationen eine KI-Richtlinie brauchen

Seit dem 2. Februar 2025 gilt die Schulungspflicht nach der KI-Verordnung (KI-VO), d. h. Beschäftigte, die sich mit der Nutzung oder dem Betrieb von KI-Systemen befassen, sollen nach Art. 4 KI-VO „über ein ausreichendes Maß an KI-Kompetenz“ verfügen. Mit der Umsetzung der Schulungspflicht ist es jedoch noch nicht getan, denn Unternehmen und Organisation sind gut […]

Sven Venzke-Caprarese | 25. März 2025 | Compliance, Künstliche Intelligenz – KI | Arbeitgeber, Arbeitnehmer, ChatGPT, Datenverarbeitung, Dienstleister, Hochrisiko-KI-Systeme, KI-Richtlinie, KI-Schulung, KI-System, KI-Tools, KI-VO, personenbezogene Daten, Rechtsgrundlage, Unternehmensinformationen, Verarbeitungszweck, Vertrag zur Auftragsverarbeitung

Mitarbeiterin sitzt im Büro an ihrem Schreibtisch und schaut skeptisch auf einen Berg an Unterlagen.

Als Datenschützer neu im Unternehmen: Wo fange ich an?

Mithilfe des nachfolgenden Beitrages soll allen neuen Datenschutzbeauftragten eine Orientierung gegeben werden, um im neuen Aufgabenbereich eine Priorisierung der Aufgaben vornehmen zu können und eine strukturierte Vorgehensweise zu implementieren. Spätestens in 2018 wurden viele Beschäftigte mit der Aufgabe betraut, den Datenschutz im Unternehmen zu übernehmen. Nicht wenige mussten sich mit dem Thema und der neuen […]

Christopher Haschenz | 12. März 2025 | Allgemein | Datenschutz-Managementsystem, Datenschutzbeauftragte, Datenverarbeitung, Dienstleister, Dokumentationspflicht, Jahresbericht, Projekte, Verträge

Illustration mit mehreren Zahnrädern, die ineinander greifen, zwei große Zahnräder mit der Flagge der USA und der EU.

EU-US DPF: Sind unsere Daten in den USA in Gefahr?

Wer einen US-Dienstleister nutzt, muss damit rechnen, dass die Daten entweder auf Servern in den USA verarbeitet werden oder zumindest für US-Behörden zugänglich sind. Dabei sind zwei wesentliche Regelwerke zu beachten: Das EU-US Data Privacy Framework (DPF) und der CLOUD-Act. Der CLOUD-Act, den Präsident Trump 2018 in Kraft setzte, regelt den Datenzugriff von US-Strafverfolgungsbehörden auf Daten […]

Olaf Rossow | 10. März 2025 | Allgemein | Angemessenheitsbeschluss, Cloud, Datenschutzniveau, Datentransfer, Dienstleister, Drittland, EU, EU-Kommission, EU-US DPF, PCLOB, Privacy and Civil Liberties Oversight Board, SCCs, Server, USA

Geschäfstmann untersucht Papier mit einer Lupe

Verweise auf (zu viele) Unterauftragsverarbeiter in AV-Verträgen

Vereinbarungen zu eingesetzten Unterauftragsverarbeitern innerhalb von Auftragsverarbeitungsverträgen (AV-Verträge oder auch AVV) führen immer wieder zu Rückfragen. Dies gilt insbesondere in Bezug auf Dienstleister aus Drittstaaten, d. h. aus Ländern außerhalb der EU bzw. des EWR. Nicht immer fallen diese unter einen Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO). In diesem Fall sind andere (geeignete) Garantien […]

Elena Folkerts | 14. Oktober 2024 | Allgemein | Angemessenheitsbeschluss, Auftraggeber, Auftragnehmer, Auftragsverarbeiter, AV-Vertrag, AVV, Dienstleister, Drittstaat, Unterauftragsverarbeiter, Verantwortlicher, Verträge

Zwei Geschäftspartner sitzen im Büro an einem Tisch, der eine hält einen Vertrag in der Hand und macht ein unzufriedenes Gesicht.

Datenschutzrechtliche Betrachtung von Dienstleistern und deren Zuverlässigkeit

Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO sind ein wichtiger Standard und gehören datenschutzrechtlich gewissermaßen zum guten Ton, wenn ein Verantwortlicher einen Dienstleister für seine Zwecke einspannen möchte. Im Informationszeitalter sind sie angesichts „cloud-technischer“ Omnipräsenz Massenware und in mannigfaltiger Form anzutreffen. Es gibt zahlreiche Vorlagen und Muster, sowohl aus der Feder verschiedener Interessenverbände als auch […]

Stefan R. Seiter | 29. Januar 2024 | Allgemein | Art. 28 DSGVO, Auftraggeber, AV-Vertrag, Datenschutz, Dienstleister, Verantwortlicher, Vertragsklauseln, Vertragsmuster, Zuverlässigkeit

Mann unterscheibt ein Dokument mit einem Kugelschreiber am Schreibtisch.

Hilfe, mein Auftragsverarbeiter will keinen Vertrag schließen!

Auch fast fünf Jahre nach Inkrafttreten der DSGVO kommt es in einigen Fällen nach wie vor zu folgender Situation: Dienstleister, die mit der Verarbeitung von personenbezogenen Daten beauftragt wurden bzw. werden sollen, zeigen keine Reaktion auf Anfragen zum Abschluss, zur Überarbeitung oder zur Aktualisierung eines Auftragsverarbeitungsvertrags. Datenschutzrechtlich Verantwortliche stellt dies wiederum vor große Herausforderungen. Auf […]

Elena Folkerts | 28. März 2023 | Allgemein | Aufsichtsbehörde, Auftraggeber, Auftragnehmer, Auftragsverarbeiter, Auftragsverarbeitungsvertrag, AVV, Bußgeld, Datenzugriff, Dienstleister, DSGVO, Verantwortlicher, Vertragsentwurf

„8.10 Information deletion“ – Neue Controls in der ISO/IEC 27002:2022 – Blogreihe

Die Norm ISO/IEC 27002 ist 2022 in neuem Gewand erschienen (wir berichteten) und hält einige neue Referenzmaßnahmen (sog. Controls) bereit, die wir in dieser Blogreihe näher betrachten. Das neue Control „8.10 Information deletion“ wird in der ebenfalls neu gewählten Struktur den „Technological controls“ zugeordnet. Die Maßnahme befasst sich mit der Löschung von Informationen und bezieht […]

Lino Goedecke | 17. Februar 2023 | Informationssicherheit | Aufbewahrungspflichten, Blogreihe, Control 8.10, Datenspeicher, Datenträger, Dienstleister, Endgeräte, Information deletion, Informationssysteme, ISO/IEC 27002:2022, Löschen von Informationen, Löschkonzept, Richtlinien

Cloud_Wolke_mit_Schloss_AdobeStock_168828392

„5.23 Information security for use of cloud services“ – Neue Controls in der ISO/IEC 27002:2022 – Blogreihe

Heutzutage setzen sich Cloud-Anwendungen bzw. Cloud-Services bei immer mehr Unternehmen durch – von kleinen Hilfsprogrammen bis hin zu mächtigen Office-Anwendungen. Da sich bei der Nutzung von solchen Cloud-Services aus Sicht der Informationssicherheit durchaus einige Besonderheiten und Abweichungen zu reinen On-Premises-Anwendungen ergeben, wurde nun im Abschnitt 5 „Organizational controls“ hierzu ein eigenes Kapitel in die ISO/IEC […]

Christoph Brunner | 13. Juli 2022 | Informationssicherheit | Blogreihe, Cloud-Services, Control 5.23, Dienstleister, Gemeinsame Verantwortlichkeit, Informationssicherheitsmaßnahmen, ISO/IEC 27002:2022, ISO/IEC 27017, ISO/IEC 27018, Kunden, Organizational controls, pb-privacy-train