auftragsverarbeitung

Auftragsverarbeitung — Definition, Beispiele, Massnahmen, Risiken (Update) — früher Auftragsdatenverarbeitung

von Sascha Kuhrau
16. März 20208. Dezember 2020
4 Kommentare

Auftragsverarbeitung, das Auslagern von Datenverarbeitungsprozessen durch den Auftraggeber auf externe Dienstleister, ist ein häufiges Mittel zur Kostensenkung und der Nutzung von externem Know How — Stichwort “Outsourcing”. Sind hiervon personenbezogene Daten betroffen, findet Art. 28 DSGVO Auftragsverarbeiter Anwendung.

Schnell kommt es bei der Einschätzung, ob eine Auftragsverarbeitung vorliegt, zu Mißverständnissen und der Auftraggeber läuft Gefahr, gemäß DSGVO mit Geldbußen durch die Datenschutzbehörden belegt zu werden. Von Imageschäden in der Öffentlichkeitswahrnehmung nicht zu reden. Eine sorgfältige Prüfung durch einen Berater für Datenschutz oder einen Datenschutzbeauftragten hilft, diese Risiken zu minimieren und die notwendigen Regelungen umzusetzen.

Folgende Kriterien (Auswahl) unterstützen die Bewertung über das Vorliegen einer Auftragsverarbeitung:

Dem Auftragnehmer fehlt die Entscheidungsbefugnis über die übermittelten Daten.
Dem Auftragnehmer ist die Nutzung der überlassenen Daten über den eigentlichen Überlassungszweck hinaus verboten.
Der Auftragnehmer nutzt nur die ihm überlassenen Daten.
Die Datenverarbeitung wird nach außen durch den Auftraggeber vertreten.
Der Auftragnehmer steht in keiner vertraglichen Beziehung zu den Betroffenen der personenbezogenen Daten.

Einige praktische Beispiele von Auftragsverarbeitung:

Outsourcing des Rechenzentrums (ganz oder teilweise).
Software as a Service / Cloud-Services (nicht nur reine Dateiablage).
Marketingaktionen, Kundenumfragen, Newsletterversand durch eine externe Agentur.
Beauftragung eines Callcenters für Kundensupport oder Kundengewinnung.
Papier- und Aktenvernichtung sowie die Vernichtung von Datenträgern.
Externe Lohn- und Gehaltsabrechnung.
Externe Rechnungsbearbeitung / Buchhaltung.
Zugriff auf personenbezogene Daten vor Ort bei Auftraggeber

Aber auch weitere Leistungen sind ebenfalls von den Regelungen zu Art. 28 DSGVO betroffen (Beispiele):

Wartung von Servern und Computern durch einen externen Dienstleister (wichtig: auch Fernwartung!)
Parametrisierung oder Pflege von Software (Updates etc.), über die Zugriff auf personenbezogene Daten möglich ist.
Systemmigrationen.

Was heisst das jetzt für Sie als Auftraggeber?

Liegt eine Auftragsverarbeitung vor, muss diese schriftlich geregelt werden.
Sie als Auftraggeber müssen die im Vertrag festgeschriebenen Massnahmen zum Datenschutz und zur Datensicherheit beim Auftraggeber in geeigneter Form kontrollieren — im Zweifel persönlich vor Ort beim Auftragnehmer.
Für die Einhaltung der gesetzlichen Datenschutzvorschriften sind Sie als Auftraggeber verantwortlich, nicht der Auftragnehmer (dies wird oft irrtümlich falsch eingeschätzt).
Eine einfache Erklärung des Auftragnehmers über die Einhaltung der Datenschutzvorschriften ist nicht ausreichend!

Was heisst das jetzt für Auftragnehmer?

Als Auftragnehmer haben Sie sich ebenfalls den Regelungen des Art. 28 DSGVO zu unterwerfen und stehen in der Pflicht, Ihren Auftraggeber bei der Umsetzung zu unterstützen.
Zukunftsorientierte Unternehmen haben ein stichhaltiges Datenschutzkonzept samt einer vorformulierten Vereinbarung gem. Art. 28 DSGVO bereits in der Schublade und gehen damit aktiv auf ihre Bestandskunden zu. Ein kleines, aber sehr wirkungsvolles Detail, um sich positiv vom Wettbewerb abzuheben und ihren Auftraggeber von ihrer Leistungsfähigkeit zu überzeugen.
Wenig hilfreich: den Auftraggeber vor die Wahl stellen — entweder ohne diese Vereinbarung samt Kontrollrechte zusammenzuarbeiten oder es eben sein zu lassen. Außer Sie sind sich sicher, Ihrem Auftraggeber ist Ihre Dienstleistung oder Ihr Produkt ohne Regelungen zur Auftragsverarbeitung ein Bußgeld wert.

Mit Bedacht sollten Musterverträge aus dem Internet eingesetzt werden. Teilweise entsprechen diese nicht den aktuellen Regelungen aus den letzten Novellierungen des Datenschutzrechts. Diese können zwar sinnvolle Ansatzpunkte liefern, ersetzen jedoch weder die individuell notwendige Anpassung auf die vorliegende Auftragsverarbeitung noch die rechtlich sichere Einschätzung, welche Maßnahmen hierzu notwendig sind.

Daher kann zur Vermeidung von Bußgeldern und Imageschäden nur jedem Unternehmen und Unternehmer geraten werden, einen Berater / Anwalt für Datenschutz oder Datenschutzbeauftragten hinzuzuziehen. Dieser stellt die korrekte Umsetzung sicher und haftet im Zweifel für mögliche Versäumnisse aus seiner Tätigkeit.

Hilfreiche Links und Tipps zur Auftragsverarbeitung im Internet:

“15 Irrtümer bei der Auftragsdatenverarbeitung” — sehr interessanter und aufklärender Beitrag über die zahlreichen Möglichkeiten, was bei der Bewertung und Umsetzung von Auftrags(daten)verarbeitung alles falsch gemacht werden kann
Div. Infos und Vorlagen des BayLDA zur Auftragsverarbeitung

Hilfe bei Auftragsverarbeitung

von Sascha Kuhrau
23. März 20158. Dezember 2020

Outsourcing ist ein probates Mittel zur Kostenkontrolle, aber auch um bewährtes Know How von extern in die Organisation zu holen. Sind dabei jedoch personenbezogene Daten im Spiel, dann redet die DSGVO mit Art. 28 Auftragsverarbeiter ein erhebliches Wörtchen mit.

Auf die Reihenfolge kommt es an

Was oft nicht bekannt ist, Art. 28 DSGVO schaltet sich schon weit vor dem aktiven Beginn der Zusammenarbeit ein. Zuerst muss geprüft werden, ob eine Auftragsverarbeitung vorliegt (z.B. externes Rechenzentrum, Lettershop, externer Newsletter, Fernwartung für Hard- und Software, etcpp .)

Ist das der Fall, gilt es, das Schutzniveau des Anbieters zu prüfen und das Ergebnis zu dokumentieren, die sog. Überprüfung der technischen und organisatorischen Maßnahmen (TOM). Sind diese für das notwendige Schutzniveau ausreichend, muss eine sogenannte Vereinbarung zur Auftragsverarbeitung geschlossen werden. Hinweise wie “Die Parteien vereinbaren, sich an deutsches Datenschutzrecht bzw. die DSGVO zu halten” sind Geschichte und unzureichend. Auch bei der Nutzung der diversen Vorlagen aus dem Web sollte man sehr vorsichtig sein. Oft sind diese veraltet, fehlerhaft, unvollständig oder enthalten Passagen, die massiv gegen anderes Recht verstoßen und somit ebenfalls nicht gültig.

Alles halb so schlimm?

Meinen Sie, aber auch nur, bis Sie den Bußgeldkatalog der DSGVO kennengelernt haben. Bußgelder werden fällig, wenn eine Auftragsverarbeitung gar nicht, unvollständig oder fehlerhaft umgesetzt ist. Übrigens pro Dienstleister, wie uns vor einiger Zeit der Vertreter einer Schutzbehörde erst wieder bestätigt hat.

Wieso noch selbst plagen und das Risiko tragen?

Ganz unabhängig, ob Sie einen Datenschutzbeaufragten bestellen müssen oder nicht, a.s.k Datenschutz kümmert sich um die rechtskonforme Umsetzung in Ihrer Organisation. Wir identifizieren die betroffenen Dienstleister, prüfen deren Schutzniveau, dokumentieren dieses wie vorgeschrieben, erstellen Ihnen die notwendige rechtskonforme Vereinbarung zur Auftragsverarbeitung — Sie und Ihr Dienstleister müssen nur noch unterschreiben. Den Fortschritt und die Dokumentation finden Sie jederzeit in unserem komfortablen Online Projekt Tool. Auf Wunsch übernehmen wir auch die Nachprüfung nach 12, 24 oder 36 Monaten.

Einfacher und risikofreier für Sie geht es nicht!

Sprechen Sie uns an. Günstige Pauschaltarife warten auf Sie, egal ob Ihre Dienstleister in Deutschland, der EU oder in einem sogenannten Drittland sitzen.

PC Arbeitsplatz beim Verlassen absichern: Bildschirmschoner mit Kennwort per Mausklick oder Tastatur aktivieren

von Sascha Kuhrau
27. November 20128. Dezember 2020
9 Kommentare

Anleitung: Windows Bildschirmschoner mittels Tastaturkürzel / Shortcut oder Desktop Icon aktivieren

Hintergrund:

Ihr geschäftlicher PC-Arbeitsplatz sollte stets vor Zugriffen durch Unbefugte geschützt sein. Zu diesem Zweck ist oftmals der Bildschirmschoner mit Kennwortaktivierung eingerichtet. Dieser startet nach einer gewissen Zeit der Inaktivität (wenige Minuten) automatisch und „verschließt“ quasi Ihren Arbeitsplatz. Wenn Sie weiterarbeiten und Zugriff auf Ihre Programme und Daten nehmen wollen, ist das Eingeben Ihres Passworts zwingend erforderlich.

Probleme:

Im Alltag treten nun zwei Probleme auf. Widmen Sie sich ohne Verlassen des Arbeitsplatzes einer Aufgabe, welche die Nutzung des PCs für eine Weile nicht vorsieht, so müssen Sie sich andauernd wieder neu per Passworteingabe als berechtigter Nutzer identifizieren. Oftmals wird daher das Zeitintervall für die automatische Bildschirmschoneraktivieren in einen eine „Komfortzone“ jenseits von 10 Minuten und länger verschoben.

Damit sind Sie die lästige Neueingabe Ihres Passworts zwar los, jedoch öffnen Sie damit der unberechtigten Nutzung Ihres Arbeitsplatzes und IT-Accounts Tor und Tür. Gesetzt der Fall, Sie haben die Zeitspanne wirklich auf 10 Minuten eingestellt und Sie verlassen für eine Zigarettenpause mit Tasse Kaffee Ihren Arbeitsplatz. Dann besteht 10 Minuten lang – nämlich bis zur automatischen Sperre durch den Bildschirmschoner – das nicht unerhebliche Risiko, dass Unbefugte (und dazu zählen nicht nur Fremde, sondern auch Kolleginnen und Kollegen) über Ihren Arbeitsplatz Zugriff auf Firmengeheimnisse und / oder personenbezogene Daten nehmen. In 10 Minuten kann viel passieren: Kundendaten auf einen USB-Stick kopieren (Achtung: Verlust personenbezogener Daten -> Bußgeldrisiko DSGVO), Dateien löschen (oder verändern) oder je nach Systemrechten Ihres Accounts Schad- und Schnüffelsoftware installieren, um in aller Ruhe aus der Ferne das Unternehmen ausspähen und schädigen zu können.

Aus Sicht des Datenschutzes und der Datensicherheit ein unhaltbarer Zustand.

Lösung:
Weiterlesen »PC Arbeitsplatz beim Verlassen absichern: Bildschirmschoner mit Kennwort per Mausklick oder Tastatur aktivieren

auftragsverarbeitung