Dienstleister

Viele graue Ketten liegen durcheinander.

Kontrollpflichten bei Auftragsverarbeitern in der Verarbeitungskette

Viele Unternehmen lagern einzelne Aufgaben an externe Dienstleister aus, da durch das sog. Outsourcing oft effizientere Lösungen gefunden werden können. Als Beispiele wären die Verwendung einer fremdgehostete HR-Software, auf der Bewerber ihre Unterlagen hochladen können, oder der Newsletter-Versand über einen externen Anbieter zu nennen. Die Dienstleister verarbeiten dann ggf. auch personenbezogene Daten im Auftrag der […]

Sophia Louzri | 3. Juli 2025 | Allgemein, Aufsichtsbehörden | Auftragsverarbeiter, Auftragsverarbeitungsvertrag, Datenverarbeitungstätigkeiten, Dienstleister, Drittlandsübermittlung, DSGVO, EDSA, Garantien, Kontrollpflicht, Risiko, Überprüfungspflicht, Unterauftragnehmer, Verantwortliche Stelle

Verschiedene Euroscheine und ein Paragraphenzeichen in Silber.

BfDI: 45 Mio. Euro Geldbuße gegen Vodafone

Das höchste, bisher verhängte Bußgeld in Deutschland für Verstöße gegen die DSGVO betrug 35,3 Mio. Euro. Seit dem 03.06.2025 steht der Titel „höchstes Bußgeld“ der Vodafone GmbH (Vodafone) zu. Das Bußgeld in Höhe von 45 Mio. Euro, verhängt von der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), setzt sich aus zwei Einzelbußgeldern zusammen. Diese […]

Dr. Sebastian Ertel | 6. Juni 2025 | Aufsichtsbehörden | Art. 28 DSGVO, Aufsichtsbehörde, Auftragsverarbeiter, Authentifizierung, BfDI, Bußgeld, Dienstleister, DSGVO, Prüfung, Sicherheitsmängel, Vodafone

Illustration eines Labyrinths in Blau mit einem gelber Pfeil der den Weg raus zeigt.

Warum Unternehmen und Organisationen eine KI-Richtlinie brauchen

Seit dem 2. Februar 2025 gilt die Schulungspflicht nach der KI-Verordnung (KI-VO), d. h. Beschäftigte, die sich mit der Nutzung oder dem Betrieb von KI-Systemen befassen, sollen nach Art. 4 KI-VO „über ein ausreichendes Maß an KI-Kompetenz“ verfügen. Mit der Umsetzung der Schulungspflicht ist es jedoch noch nicht getan, denn Unternehmen und Organisation sind gut […]

Sven Venzke-Caprarese | 25. März 2025 | Compliance, Künstliche Intelligenz – KI | Arbeitgeber, Arbeitnehmer, ChatGPT, Datenverarbeitung, Dienstleister, Hochrisiko-KI-Systeme, KI-Richtlinie, KI-Schulung, KI-System, KI-Tools, KI-VO, personenbezogene Daten, Rechtsgrundlage, Unternehmensinformationen, Verarbeitungszweck, Vertrag zur Auftragsverarbeitung

Mitarbeiterin sitzt im Büro an ihrem Schreibtisch und schaut skeptisch auf einen Berg an Unterlagen.

Als Datenschützer neu im Unternehmen: Wo fange ich an?

Mithilfe des nachfolgenden Beitrages soll allen neuen Datenschutzbeauftragten eine Orientierung gegeben werden, um im neuen Aufgabenbereich eine Priorisierung der Aufgaben vornehmen zu können und eine strukturierte Vorgehensweise zu implementieren. Spätestens in 2018 wurden viele Beschäftigte mit der Aufgabe betraut, den Datenschutz im Unternehmen zu übernehmen. Nicht wenige mussten sich mit dem Thema und der neuen […]

Christopher Haschenz | 12. März 2025 | Allgemein | Datenschutz-Managementsystem, Datenschutzbeauftragte, Datenverarbeitung, Dienstleister, Dokumentationspflicht, Jahresbericht, Projekte, Verträge

Illustration mit mehreren Zahnrädern, die ineinander greifen, zwei große Zahnräder mit der Flagge der USA und der EU.

EU-US DPF: Sind unsere Daten in den USA in Gefahr?

Wer einen US-Dienstleister nutzt, muss damit rechnen, dass die Daten entweder auf Servern in den USA verarbeitet werden oder zumindest für US-Behörden zugänglich sind. Dabei sind zwei wesentliche Regelwerke zu beachten: Das EU-US Data Privacy Framework (DPF) und der CLOUD-Act. Der CLOUD-Act, den Präsident Trump 2018 in Kraft setzte, regelt den Datenzugriff von US-Strafverfolgungsbehörden auf Daten […]

Olaf Rossow | 10. März 2025 | Allgemein | Angemessenheitsbeschluss, Cloud, Datenschutzniveau, Datentransfer, Dienstleister, Drittland, EU, EU-Kommission, EU-US DPF, PCLOB, Privacy and Civil Liberties Oversight Board, SCCs, Server, USA | 3 Kommentare

Geschäfstmann untersucht Papier mit einer Lupe

Verweise auf (zu viele) Unterauftragsverarbeiter in AV-Verträgen

Vereinbarungen zu eingesetzten Unterauftragsverarbeitern innerhalb von Auftragsverarbeitungsverträgen (AV-Verträge oder auch AVV) führen immer wieder zu Rückfragen. Dies gilt insbesondere in Bezug auf Dienstleister aus Drittstaaten, d. h. aus Ländern außerhalb der EU bzw. des EWR. Nicht immer fallen diese unter einen Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO). In diesem Fall sind andere (geeignete) Garantien […]

Elena Folkerts | 14. Oktober 2024 | Allgemein | Angemessenheitsbeschluss, Auftraggeber, Auftragnehmer, Auftragsverarbeiter, AV-Vertrag, AVV, Dienstleister, Drittstaat, Unterauftragsverarbeiter, Verantwortlicher, Verträge

Zwei Geschäftspartner sitzen im Büro an einem Tisch, der eine hält einen Vertrag in der Hand und macht ein unzufriedenes Gesicht.

Datenschutzrechtliche Betrachtung von Dienstleistern und deren Zuverlässigkeit

Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO sind ein wichtiger Standard und gehören datenschutzrechtlich gewissermaßen zum guten Ton, wenn ein Verantwortlicher einen Dienstleister für seine Zwecke einspannen möchte. Im Informationszeitalter sind sie angesichts „cloud-technischer“ Omnipräsenz Massenware und in mannigfaltiger Form anzutreffen. Es gibt zahlreiche Vorlagen und Muster, sowohl aus der Feder verschiedener Interessenverbände als auch […]

Stefan R. Seiter | 29. Januar 2024 | Allgemein | Art. 28 DSGVO, Auftraggeber, AV-Vertrag, Datenschutz, Dienstleister, Verantwortlicher, Vertragsklauseln, Vertragsmuster, Zuverlässigkeit

Mann unterscheibt ein Dokument mit einem Kugelschreiber am Schreibtisch.

Hilfe, mein Auftragsverarbeiter will keinen Vertrag schließen!

Auch fast fünf Jahre nach Inkrafttreten der DSGVO kommt es in einigen Fällen nach wie vor zu folgender Situation: Dienstleister, die mit der Verarbeitung von personenbezogenen Daten beauftragt wurden bzw. werden sollen, zeigen keine Reaktion auf Anfragen zum Abschluss, zur Überarbeitung oder zur Aktualisierung eines Auftragsverarbeitungsvertrags. Datenschutzrechtlich Verantwortliche stellt dies wiederum vor große Herausforderungen. Auf […]

Elena Folkerts | 28. März 2023 | Allgemein | Aufsichtsbehörde, Auftraggeber, Auftragnehmer, Auftragsverarbeiter, Auftragsverarbeitungsvertrag, AVV, Bußgeld, Datenzugriff, Dienstleister, DSGVO, Verantwortlicher, Vertragsentwurf

„8.10 Information deletion“ – Neue Controls in der ISO/IEC 27002:2022 – Blogreihe

Die Norm ISO/IEC 27002 ist 2022 in neuem Gewand erschienen (wir berichteten) und hält einige neue Referenzmaßnahmen (sog. Controls) bereit, die wir in dieser Blogreihe näher betrachten. Das neue Control „8.10 Information deletion“ wird in der ebenfalls neu gewählten Struktur den „Technological controls“ zugeordnet. Die Maßnahme befasst sich mit der Löschung von Informationen und bezieht […]

Lino Goedecke | 17. Februar 2023 | Informationssicherheit | Aufbewahrungspflichten, Blogreihe, Control 8.10, Datenspeicher, Datenträger, Dienstleister, Endgeräte, Information deletion, Informationssysteme, ISO/IEC 27002:2022, Löschen von Informationen, Löschkonzept, Richtlinien

Cloud_Wolke_mit_Schloss_AdobeStock_168828392

„5.23 Information security for use of cloud services“ – Neue Controls in der ISO/IEC 27002:2022 – Blogreihe

Heutzutage setzen sich Cloud-Anwendungen bzw. Cloud-Services bei immer mehr Unternehmen durch – von kleinen Hilfsprogrammen bis hin zu mächtigen Office-Anwendungen. Da sich bei der Nutzung von solchen Cloud-Services aus Sicht der Informationssicherheit durchaus einige Besonderheiten und Abweichungen zu reinen On-Premises-Anwendungen ergeben, wurde nun im Abschnitt 5 „Organizational controls“ hierzu ein eigenes Kapitel in die ISO/IEC […]

Christoph Brunner | 13. Juli 2022 | Informationssicherheit | Blogreihe, Cloud-Services, Control 5.23, Dienstleister, Gemeinsame Verantwortlichkeit, Informationssicherheitsmaßnahmen, ISO/IEC 27002:2022, ISO/IEC 27017, ISO/IEC 27018, Kunden, Organizational controls, pb-privacy-train