Dienstleister-Auswahl und -Audit – Auftragsdatenverarbeitung und Funktionsübertragung

Inhaltsangabe „Dienstleisterauswahl & -audit“

Multiple Dienstleister und Partner im Unternehmen

  • Welche Aufgaben werden abgegeben bzw. ausgelagert?
  • Social- Media- Services
  • Office- Cloud
  • IT- Outsourcing
  • Datenverarbeitende Dienstleister / Datenschutz

Dienstleisterverzeichnis

  • Erstellung vermittelt Überblick über Dienstleister
  • Was gehört in die Dienstleister-Stammdaten (Anschrift)
  • Kontaktdaten (Hauptansprechpartner, Datenschutzbeauftragter)
  • Vertrags- und Leistungsdaten (Leistungsbeschreibungen, Zertifikate)

Auftragsdatenverarbeitung §11 BDSG

  • Weisungsbefugnis
  • Kontrollpflicht der Einhaltung der TOMs nach §9 BDSG
  • Verantwortung des Auftraggebers
  • Haftung bei Auftraggeber – keine Übermittlung
  • Beispiele: Server- Hosting, Lettershops
  • Datenweitergabe ist rechtmäßig, da keine Übermittlung,
    wenn Dienstleister in EU/EWG ansässig

Datenübermittlung in Funktionsübertragung

  • Auftraggeber und –nehmer sind verantwortliche Stelle
  • Abgrenzungskriterien zur Auftragsdatenverarbeitung
    • Eigene Nutzungsrechte
    • Handeln in eigenem Namen
    • Entscheidungsbefugnisse, keine Weisungsgebundenheit
    • Beispiele: Rechtsanwälte Mutterunternehmen
    • Datenübermittlung à Einwilligung, Rechtsgrundlage ist notwendig

Abgrenzung Werk-, Dienstvertrag

  • Leistung oder Erfolg wird geschuldet
  • Risiko der Nichterfüllung
  • Verpflichtung (AG) zur Zahlung einer Vergütung

Pflichten Auftraggeber und –nehmer bei ADV

  • TOMs definieren und einhalten
  •  Bei einem Datenschutzverstoß besteht Hinweispflicht (AN)
  • Kontrollpflicht ausüben mit Hilfe Checklisten, Datenschutzbeauftragter, Vor-Ort-Kontrollen
  • Schriftform der Auftragserteilung, Dokumentation der Prüfungen

Vertragsgestaltung bei Auftragsdatenverarbeitung

  • Standartverträge vorformulieren
  • Verpflichtung auf Datengeheimnis
  • Auslagerung spezifischer Regelungen à Anhang
  • Unterstützung bei Datenpannen
  • Führung eines Verzeichnisses
  • Sicherheitskonzept bei Cloud Computing vorlegen lassen
  • Datenportabilität, Interoperabilität sicherstellen
  • Privileg ADV gilt innerhalb EU/ EWR
  • Angebot Mster ADV-Vereinbarung,
    z.B. Auftragsdatenverarbeitung bei Agenturen oder bei IT-Dienstleistern
  • Datenschutzniveau bei Datenübermittlung ins Ausland:
    Data transfer agreement und data processors agreements for third countries