Drücke "Enter", um den Text zu überspringen.

Kategorie: WIKI

Datenschutzdokumentationswahnsinn ADV Vertrag

Mit wem muss ich denn nun ADV Verträge schließen?

Die Begriffe Verarbeiter und Auftragsverarbeiter stellen eigentlich eine Vereinfachung dar. In der alten Gesetzeswelt waren Begrifflichkeiten deutlich komplexer. Dennoch, es gibt Erklärungsbedarf.

Verarbeiter ist jeder der personenbezogene Daten in irgendeiner Art verarbeitet, d.h. weiterleitet, erhebt, zugreift, speichert, verändert oder löscht. All diese Tätigkeiten fallen nun unter den Verarbeitungsbegriff.

Auftragsverarbeiter ist, wer in diesem Zusammenhang von Ihnen als Unternehmen eingekauft –also weisungsgebunden beauftragt- wird um Daten für Sie zu verarbeiten.

Gemäß Artikel 28 DSGVO sind alle Unternehmen angehalten, mit ihren Auftragsverarbeitern datenschutzkonforme Verträge abzuschließen, landläufig ADV Vertrag genannt. Die große Verunsicherung nun ist: Mit wem muss ich ADV Verträge abschließen?

Wenn man an jeden denkt, der Daten in irgendeiner Art verarbeitet, würde das in der Konsequenz ja bedeuten können, ADV Verträge mit jedem Materiallieferanten zu schließen.

In dem Augenblick, in dem Sie die Adressdaten ihres Kunden an einen Hersteller senden, um dort eine Waschmaschine auszuliefern, verarbeitet er ja Daten. Stop! Gott sei Dank dürfen Sie noch sinnbezogen arbeiten und müssen nicht mit Alles und Jedem ein Datenverarbeitungsvertrag erzeugen.

Auf Lieferantenseite sind klassischerweise mit ADV Verträgen einzupacken alle, die Zugriff auf Ihre EDV Anlagen haben, das sind externe IT-Dienstleister, das sind outgesourcte ERP-Prozesse oder outgesourcte Lohnverarbeitungsprozesse oder outgesourcte Marketingprozesse, eventuell Dienstleister mit Zugriff auf Einbruch-, Zutrittskontrollen oder sonstige Überwachungssysteme.

Nicht betroffen sind Lieferanten, die zwar theoretisch Kenntnis von Betriebsinternas erhalten können, aber dabei kein Zugriff auf EDV-Anlagen erforderlich ist, wie bei reinen Post und Lieferdiensten oder Reinigungs- und Hausmeisterservices.

Wenn Sie selbst Dienstleistungen verkaufen, die Zugriff auf EDV-Anlagen beinhalten, weil sie beispielsweise IT-Dienstleistungen an Dritte anbieten oder Zugriff auf Video-Zutrittskontrollanlagen Ihrer Kunden haben im Rahmen fester Serviceverträge, dann sollten Sie Ihren Kunden einen ADV-Vertragsabschluss anbieten.

Siehe auch:

Mustervertrag-ADV-DS-GVO

 

WIKI – Auftragsverarbeiter

 

Kommentare geschlossen.

Cookiewarnung – muss das sein?

Auf vielen Webseiten wird man mit lustigen, mehr oder weniger informativen Bannern begrüßt. Der Tenor lautet meist, herzlichen Glückwunsch wir haben ein Cookie für Sie. Gelesen wird das Banner oft nicht, in der Regel will man es nur schnell wieder los sein. Da stellt sich zurecht die Frage, muss das sein und wenn ja in welchem Umfang?

Wie sieht die gesetzliche Seite aus?

Zitat:“

Wie Deutschland mit den Vorgaben der EU-Cookie-Richtlinie umgeht

In Deutschland wurde die Cookie-Richtlinie der EU -2009/136/EG- bis heute NICHT eigens mit einem neuen Gesetz umgesetzt. Der Grund: Die Bundesregierung sieht die Richtlinie bereits mit dem deutschen Telemediengesetz (TMG) als erfüllt an. Jedoch deckt das TMG die Forderungen der EU-Richtlinie nicht umfassend ab. Denn viele verstehen die Cookie-Richtlinie der EU als Anordnung einer Opt-in-Pflicht, wogegen das TMG allein eine Opt-out-Variante vorschreibt. Datenschützer kritisieren deshalb die schwache Umsetzung der EU-Richtlinie. (Anmerkung der Redaktion: Ich nicht, im Gegenteil: Denn meines Erachtens sind Warnungen die ohnehin nicht gelesen werden so überflüssig wie sauerer Hoing)

Da das TMG momentan geltendes deutsches Recht darstellt, müssen Website-Betreiber in Deutschland lediglich folgende Anforderungen erfüllen:

  • Die Nutzer müssen über die Datenspeicherung verständlich und umfassend informiert werden.
  • Die Nutzer müssen der Datenspeicherung widersprechen können.
  • Die Daten dürfen nur anonymisiert gespeichert werden – außer die Nutzer stimmen der Speicherung personalisierter Daten zu.

Zitatende

Quelle: https://hosting.1und1.de/digitalguide/websites/online-recht/die-eu-cookie-richtlinie-teil-1-was-gilt-in-deutschland/

Daran ändert auch die DSGVO ab 25.Mai 2018 nichts. Denn mit den oben genannten Punkten sind die Informationspflichten aus Artikel 13 DSGVO hinreichend erfüllt.

Was ich Seitenbetreibern empfehle:

Machen Sie sich Gedanken um ihren technischen Aufbau der Seite. Stellen Sie folgende Fragen:

Setzen wir Cookies ein und zu welchem Zeck, sind sie notwendig für die Funktion der Seite oder haben sie andere Zwecke. Welche Daten genau werden dabei erhoben, wie und wie lange gespeichert und ist die Anonymität wirklich gegeben??

Diese Punkte haben Auswirkung auf die Zulässigkeit und alle Antworten sollten auf ihrer Datenschutzerklärung der Webseite zu finden sein.

Geben Sie bitte keine Daten an Dritte weiter. Der Verkauf von Analysedaten -auch anonymisiert- ist ein absolutes no go.

 

 

Kommentare geschlossen.

WIKI – personenbezogene Daten

Im Sinne der DSGVO Artikel 4 Satz 1. bezeichnet der Ausdruck:  Zitat“

„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;“

Zitatende

Kommentare geschlossen.

WIKI – Bestellpflicht DSB

WIKI – Bestellpflicht DSB

Ab wann ist ein Datenschutzbeauftragter (DSB) zu bestellen / zu benennen / zu berufen?

Quelle: BDSG-neu §38

Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Kommentare geschlossen.

WIKI – Auftragsverarbeiter

WIKI – Verarbeitung personenbezogener Daten im Auftrag ( Auftragsverarbeitung )

Definitionen:

„Verarbeitung“ bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

„Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Quelle: BDSG-neu §46

Kommentare geschlossen.

Ausgabenachweis-Geraet

» Zurück zu: Downloadbereich Kunden

Ausgabenachweis Gerät.docx

Dieses Dokument wird empfohlen, um MitarbeiterInnen nachweislich auf den Umgang mit ihrem mobilen internetfähigen Gerät einzuweisen.

Aus Datenschutzgründen ist mindestens wichtig, dass – sofern vorhanden – über die Ortungsfunktion informiert ist (Seite 2), sowie dass es eine Verpflichtung zur sofortigen Information an den Betrieb bei Verlust oder Verdacht auf ein Sicherheitsrisiko gibt.
Viele andere Punkte darin sind optional. Bitte prüfen Sie alles hinsichtlich Ihres internen Bedarfs und nehmen ggf. Änderungen vor.

Dubletten-Dokumentation ist zu vermeiden.

Prüfen Sie den Bedarf für dieses Dokument bitte intern oder in Abstimmung mit Ihrer DSB, denn ggf. sind -sofern vorhanden- die Formulierungen zum Umgang mit mobilen Geräten in Ihren MDM (Mobile Device Management) Richtlinien bereits ausreichend beschrieben.

Kommentare geschlossen.

Verpflichtung-Datengeheimnis-MitarbeiterInnen

» Zurück zu: Downloadbereich Kunden

Verpflichtung-Datengeheimnis-Mitarbeiter.docx

Dieses Dokument wird empfohlen, um MitarbeiterInnen nachweislich auf ihre Verpflichtung zur Einhaltung der Datenschutzgesetze sowie der allgemeinen Geheimhaltungspflichten hinzuweisen.

Die Seite 2 „Merkblatt Datenschutz für MitarbeiterInnen“ nimmt Bezug auf die Kontaktdaten des Datenschutzbeauftragten. Wenn Sie keinen DSB bestellt haben, nennen sie eine andere Stelle als Ansprechpartner, z.B. die Personalabteilung oder den Chef / die Chefin.

Tipp: Dubletten-Dokumentation vermeiden.

Prüfen Sie den Bedarf für dieses Dokument bitte intern oder in Abstimmung mit Ihrer DSB, denn ggf. sind -wenn vorhanden- die Formulierungen zu Datenschutz-, Geheimhaltungs- und Vertraulichkeitspflichten in Ihrem betrieblichen Standard-Arbeitsvertrag bereits ausreichend.

 

Kommentare geschlossen.

WIKI – Technische und organisatorische Maßnahmen (TOM)

Laut DSGVO Artikel 32 sind geeignete technische und organisatorische Maßnahmen zur Sicherung des Datenschutzniveaus zu treffen. Diese sind beispielsweise:

1. Zutrittskontrolle
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Typische Maßnahmen (nur Stichworte) sind z.B.:

Alarmanlage
Absicherung von Gebäudeschächten
Automatisches Zugangskontrollsystem
Chipkarten-/Transponder-Schließsystem
Schließsystem mit Codesperre
Manuelles Schließsystem
Biometrische Zugangssperren
Videoüberwachung der Zugänge
Lichtschranken / Bewegungsmelder
Sicherheitsschlösser
Schlüsselregelung (Schlüsselausgabe etc.)
Personenkontrolle beim Pförtner / Empfang
Protokollierung der Besucher
Sorgfältige Auswahl von Reinigungspersonal
Sorgfältige Auswahl von Wachpersonal
Tragepflicht von Berechtigungsausweisen

2. Zugangskontrolle
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Typische Maßnahmen (nur Stichworte) sind z.B.:

Zuordnung von Benutzerrechten
Erstellen von Benutzerprofilen
Passwortvergabe
Authentifikation mit biometrischen Verfahren
Authentifikation mit Benutzername / Passwort
Zuordnung von Benutzerprofilen zu IT-Systemen
Gehäuseverriegelungen
Einsatz von VPN-Technologie
Sperren von externen Schnittstellen (USB etc.)
Sicherheitsschlösser
Schlüsselregelung (Schlüsselausgabe etc.)
Personenkontrolle beim Pförtner / Empfang
Protokollierung der Besucher
Sorgfältige Auswahl von Reinigungspersonal
Sorgfältige Auswahl von Wachpersonal
Tragepflicht von Berechtigungsausweisen
Einsatz von Intrusion-Detection-Systemen
Verschlüsselung von mobilen Datenträgern
Verschlüsselung von Smartphone-Inhalten
Einsatz von zentraler Smartphone-Administrations-Software (z.B. zum externen Löschen von Daten)
Einsatz von Anti-Viren-Software
Verschlüsselung von Datenträgern in Laptops / Notebooks
Einsatz einer Hardware-Firewall
Einsatz einer Software-Firewall

3. Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Spei-cherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Typische Maßnahmen (nur Stichworte) sind z.B.:

Erstellen eines Berechtigungskonzepts
Verwaltung der Rechte durch Systemadministrator
Anzahl der Administratoren auf das „Notwendigste“ reduziert
Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
Sichere Aufbewahrung von Datenträgern
physische Löschung von Datenträgern vor Wiederverwendung
ordnungsgemäße Vernichtung von Datenträgern (DIN 66399)
Einsatz von Aktenvernichtern bzw. Dienstleistern (nach Möglichkeit mit Datenschutz-Gütesiegel)
Protokollierung der Vernichtung
Verschlüsselung von Datenträgern

4. Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Über-tragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Typische Maßnahmen (nur Stichworte) sind z.B.:

Einrichtungen von Standleitungen bzw. VPN-Tunneln
Weitergabe von Daten in anonymisierter oder pseudonymisierter Form
E-Mail-Verschlüsselung
Erstellen einer Übersicht von regelmäßigen Abruf- und Übermittlungsvorgängen
Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen
Beim physischen Transport: sichere Transportbehälter/-verpackungen
Beim physischen Transport: sorgfältige Auswahl von Transportpersonal und –fahrzeugen

5. Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Typische Maßnahmen (nur Stichworte) sind z.B.:

Protokollierung der Eingabe, Änderung und Löschung von Daten
Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen welche Daten ein-gegeben, geändert und gelöscht werden können.
Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen über-nommen worden sind
Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Be-rechtigungskonzepts

6. Auftragskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Typische Maßnahmen (nur Stichworte) sind z.B.:

Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
vorherige Prüfung der und Dokumentation der beim Auftragnehmer getroffenen Sicher-heitsmaßnahmen
schriftliche Weisungen an den Auftragnehmer (z.B. durch Auftragsdatenverarbeitungsver-trag) i.S.d. § 11 Abs. 2 BDSG
Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis (§ 5 BDSG)
Auftragnehmer hat Datenschutzbeauftragten bestellt
Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart
laufende Überprüfung des Auftragnehmers und seiner Tätigkeiten
Vertragsstrafen bei Verstößen

7. Verfügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Typische Maßnahmen (nur Stichworte) sind z.B.:

Unterbrechungsfreie Stromversorgung (USV)
Klimaanlage in Serverräumen
Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
Schutzsteckdosenleisten in Serverräumen
Feuer- und Rauchmeldeanlagen
Feuerlöschgeräte in Serverräumen
Alarmmeldung bei unberechtigten Zutritten zu Serverräumen
Erstellen eines Backup- & Recoverykonzepts
Testen von Datenwiederherstellung
Erstellen eines Notfallplans
Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
Serverräume nicht unter sanitären Anlagen
In Hochwassergebieten: Serverräume über der Wassergrenze

8. Trennungsgebot
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Typische Maßnahmen (nur Stichworte) sind z.B.:

physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
Logische Mandantentrennung (softwareseitig)
Erstellung eines Berechtigungskonzepts
Verschlüsselung von Datensätzen, die zu demselben Zweck verarbeitet werden
Versehen der Datensätze mit Zweckattributen/Datenfeldern
Bei pseudonymisierten Daten: Trennung der Zuordnungsdatei und der Aufbewahrung auf einem getrennten, abgesicherten IT-System
Festlegung von Datenbankrechten
Trennung von Produktiv- und Testsystem

 

Kommentare geschlossen.

WIKI – Verzeichnis der Verarbeitungstätigkeiten

Ab 250 Mitarbeiter ist die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO Pflicht. Auch in kleineren Unternehmen muss ein solches Verzeichnis erstellt werden, wenn zum Beispiel die vorgenommene, regelmäßige Verarbeitung ein erhebliches Risiko für die Rechte und Freiheiten der betroffenen Personen beinhaltet oder wenn bestimmte Datenkategorien (Art. 9 Abs. 1 DS-GVO) bearbeitet werden, zum Beispiel medizinische Daten.

Kommentare geschlossen.