- Anzeigen -

Sie sind hier: Home » Markt » Hinweise & Tipps

Vier Fragen zum Thema Auftragsverarbeitung


In nahezu allen Branchen steigt die Bedeutung des Outsourcings von Daten
Artikel 4 Nummer 8 der DSGVO zufolge kann "eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet", als Auftragsverarbeiter fungieren

- Anzeigen -





Jeder, der sich in den vergangenen Monaten mit der Datenschutz-Grundverordnung, kurz DSGVO, beschäftigt hat, stieß dabei unwiderruflich auf den Begriff Auftragsverarbeitung. Die Regeln zur Auftragsverarbeitung finden sich in den Artikeln 28 und 29 der DSGVO. Doch nur die wenigsten wissen auch, was sich wirklich dahinter verbirgt. Haye Hösel, Geschäftsführer und Gründer der Hubit Datenschutz GmbH & Co. KG., beantwortet die vier wichtigsten Fragen zum Thema Auftragsverarbeitung und erklärt, warum diese für fast alle Unternehmen ein "Muss" darstellt:

Was ist die Auftragsverarbeitung?
In nahezu allen Branchen steigt die Bedeutung des Outsourcing von Daten. Der Grund: Um Ressourcen wie Kosten, Raum und Zeit zu sparen, nutzen viele Unternehmen nicht nur externe Speicher, sondern lagern zudem immer mehr Arbeitsprozesse vollständig an externe Dienstleister aus – sei es die Nutzung eines externen Rechenzentrums oder die Beauftragung eines Callcenters oder einer Marketingagentur, die in irgendeiner Form Kundendaten verarbeitet. Das Hauptmerkmal der Auftragsverarbeitung besteht darin, dass Unternehmen als Auftraggeber externe Dienstleister, in diesem Fall Auftragnehmer genannt, damit beauftragen, personenbezogene Daten weisungsgebunden zu verarbeiten.

Was zeichnet einen Auftragsverarbeiter aus?
Artikel 4 Nummer 8 der DSGVO zufolge kann "eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet", als Auftragsverarbeiter fungieren. Auch wenn der Auftragsverarbeiter bestimmte Entscheidungen selbst treffen kann, hat er hinsichtlich des Zweckes der Verarbeitung keine Entscheidungsgewalt. So zählen beispielsweise EDV-, Telekommunikations- oder IT-Dienstleister mit Fernzugriff auf Unternehmensdaten, externe Rechenzentren, Agenturen, Callcenter, aber auch E-Mail-Provider oder Cloud-Anbieter zum Auftragsverarbeiter. Der Auftragsverarbeiter muss garantieren, dass seine technischen und organisatorischen Maßnahmen den Datenschutzbestimmungen entsprechen.

Wer trägt die Verantwortung?
Die Hauptverantwortung für die Einhaltung datenschutzrechtlicher Anforderungen bei der Verarbeitung von personenbezogenen Daten liegt noch immer beim Auftraggeber, denn eine Auslagerung der Datenverarbeitung befreit ihn nicht von seinen datenschutzrechtlichen Pflichten. Das bedeutet: Das Unternehmen, das den Auftrag erteilt, fungiert weiterhin als Ansprechpartner hinsichtlich der Betroffenenrechte, beispielsweise bei Auskunftsanfragen oder Löschanliegen. Der Auftragnehmer, der in diesem Fall als Auftragsverarbeiter bezeichnet wird, erhält je nach vertraglicher Gestaltung die Befugnisse hinsichtlich der Auswahl der Datenverarbeitungsmittel. In jedem Falle gibt der Auftraggeber die technischen und organisatorischen Maßnahmen vor, die der Auftragsverarbeiter einhalten muss. Für gewöhnlich hat der Auftragsverarbeiter hier aber noch Spielräume. So wird beispielsweise vorgegeben, dass das Netzwerk durch eine Firewall gesichert werden muss, jedoch nicht Hersteller oder Modell der Firewall. Zudem darf der Auftragsverarbeiter die Daten nicht für seine eigenen Zwecke nutzen. Bei der Auswahl des Auftragsverarbeiters muss der Verantwortliche sicherstellen, dass dieser die Vorgaben der Datenschutz-Grundverordnung einhält. Grundlage der Auftragsverarbeitung stellt ein Vertrag zwischen Verantwortlichen und Auftragsverarbeiter dar.

Existieren hinsichtlich des Vertrages Besonderheiten?
Der DSGVO zufolge muss der Vertrag schriftlich zwischen dem Verantwortlichen und dem Auftragsverarbeiter abgefasst werden, was auch in einem elektronischen Format erfolgen kann. Er muss eine genaue Tätigkeitsbeschreibung beinhalten, zudem muss für jede Form der Datenverarbeitung ein konkreter zuordenbarer Auftrag des Verantwortlichen existieren. Außerdem muss er eine detaillierte Beschreibung aller Verarbeitungsmodalitäten enthalten. Darüber hinaus beinhaltet der Artikel 28 weitere Punkte, wie beispielsweise Regelungen, ob und unter welchen Bedingungen Unterauftragnehmer eingesetzt werden dürfen. (Hubit: ra)

eingetragen: 17.08.19
Newsletterlauf: 02.10.19

Hubit Datenschutz: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Stolperfalle Datenschutz

    Bereits vor knapp zwei Jahren verabschiedete das Parlament in Brüssel die einheitliche EU-Datenschutzgrundverordnung (DSGVO). In den meisten digitalen Betrieben war - trotz zweijähriger Übergangszeit - große Verwirrung die Folge und noch heute fällt vielen die Umsetzung des umfangreichen Beschlusses schwer. Doch auch wenn hohe Komplexität schnell zu Verwirrung und Unsicherheit führt, gilt es Nachlässigkeiten bei der Durchführung oder gar Untätigkeit zu vermeiden. Drohenden Strafzahlungen entgehen zum Beispiel Onlinehändler oder Betreiber von Internetseiten und Portalen, indem sie verschiedene Punkte wie die folgenden beachten.

  • Organisationen und ihre strenge IT-Richtlinien

    Bei der Entscheidung, einen Großteil der Mitarbeiter nach Hause zu schicken, müssen Unternehmen zuvor die betrieblichen Risiken durchdenken und passende Maßnahmen ergreifen. Sie sollten sich fragen, ob sie in der Lage sind, eine große Anzahl von gleichzeitigen VPN-Verbindungen zu ihrer Infrastruktur und ihren Diensten zu unterstützen. Sollte dies nicht der Fall sein, ist das an sich kein Sicherheitsrisiko, jedoch kann es zu erheblichen Unterbrechungen der Arbeitsabläufe führen und möglicherweise eine bereits am Limit befindliche IT-Abteilung zusätzlich belasten.

  • Automatisiert zu mehr Datenschutz & IT-Absicherung

    Bürger sind zu einem sicheren Umgang mit ihren privaten Informationen in Zeiten des Internets aufgerufen. Daneben sind auch Unternehmen gefragt und gefordert, die eigenen Daten, die der Kunden und die ihrer Mitarbeiter zu schützen. Das erhöht einerseits das Vertrauen in den Konzern und andererseits die Abschirmung der gesamten Organisation gegen Hacker-Angriffe. Besonders der zurzeit sehr beliebten Methode des ‚Social Engineering' kann so der Wind aus den Segeln genommen werden: Dabei versuchen die Kriminellen das Arbeitskonto eines Mitarbeiters zu übernehmen, um Zugriff auf die Systeme der Firma zu erlangen, oder sich im Rahmen einer Hochstapelei am Telefon als Führungskraft auszugeben. Dies gelingt natürlich umso erfolgreicher, je mehr Informationen die Hacker zuvor über ihr Opfer sammeln konnten - über Social Media, Datenlecks oder Phishing-Angriffe.

  • Datenethik für KI wird zur Top-Priorität

    Wir befinden uns inmitten der vierten industriellen Revolution. Daten sind zu einem der wertvollsten Güter geworden, nicht zuletzt deshalb, weil Künstliche Intelligenz stark von ihnen abhängt. KI und Maschinelles Lernen werden derzeit in vielen Bereichen im Rekordtempo eingeführt, bei Regierungen, dem Gesundheitswesen, der Landwirtschaft, Polizei und Finanzinstituten. Damit machen sich diese Bereiche in Teilen von den Daten abhängig, mit denen ihre Entscheidungsfindung automatisiert wird. Die Folgen über den Schaden, den missgeleitete KI-Lösungen anrichten können, zeigen sich beispielsweise im öffentlichen Misstrauen gegenüber Social-Networking-Plattformen. Der Skandal um Cambridge Analytica zeigte, wie Facebook und Co. persönliche Informationen nutzen und welche soziale Dimension die Algorithmen der Plattformen bereits einnehmen. KI-gestützte Werkzeuge können also, absichtlich - oder versehentlich, in die Privatsphäre eindringen oder Schaden, Ungerechtigkeit oder moralisches Unrecht verursachen. Bedenken über den potenziellen Missbrauch können folglich nicht einfach ignoriert werden.

  • Ansprüche Compliance-fest dokumentieren

    Der Schutz des Intellectual Property im produzierenden Gewerbe ist angesichts globaler Wirtschaftsverflechtungen ein virulentes Problem: Der Schaden, der der deutschen Wirtschaft im vergangenen Jahr durch kriminelle Attacken entstanden ist, übersteigt laut einer aktuellen Bitkom Studie bereits die 100 Milliarden Euro-Grenze. 75 Prozent der befragten Unternehmen waren von einer solchen Attacke betroffen. Besonders auf dem Vormarsch dabei: Das Social Engineering. Dabei werden Mitarbeiter manipuliert, um sie zur Preisgabe von Informationen oder zur unwissentlichen Einschleusung von Spionagesoftware zu bringen.