Tag: Auftragsdatenverarbeitung

Archiv

BayLfD veröffentlicht Orientierungshilfe zur Auftragsverarbeitung

Wir schreiben den 28.05.2018. Der 25. Mai ist überstanden, das Internet funktioniert, die Welt ist wider Erwarten nicht untergegangen. Mit der neuen Woche kommen neue Verträge zur Auftragsverarbeitung, die es zu prüfen und abzulegen gilt. Der BayLfD hat Freitag eine Orientierungshilfe zur Auftragsverarbeitung veröffentlicht. Sie kann auch für Unternehmen hilfreich sein. Weiterlesen

Ist die Methodik zur Risikobewertung im ADV festzulegen?

Das BayLDA hat ein ADV-Muster nach den neuen Vorgaben der DSGVO bereitgestellt. Darin findet sich auch eine Regelung, die bislang wohl Verantwortlichen und Auftragsverarbeitern nicht bekannt war und in der Praxis noch kaum Beachtung gefunden hat. Danach soll im ADV eine Regelung über die Methodik zur Risikobewertung vertraglich festgelegt werden. Ist dies wirklich im ADV notwendig? Müssen möglicherweise alle für die DSGVO vorbereiten Vereinbarungen zur Auftragsverarbeitung noch einmal überarbeitet werden? Weiterlesen

DSGVO: Bleibt es bei einer Privilegierung der Auftragsverarbeitung?

Im Rahmen von Auftragsdatenverarbeitungsverhältnissen nach § 11 Bundesdatenschutzgesetzes (BDSG) ist es bisher möglich, personenbezogene Daten ohne zusätzliche Einwilligung der Betroffenen oder sonstigen gesetzlichen Erlaubnistatbestand an einen Auftragsdatenverarbeiter weiterzugeben. Wie es sich mit dieser Privilegierung nach der Datenschutz-Grundverordnung (DSGVO) verhält, möchten wir mit folgendem Beitrag kurz skizzieren. Weiterlesen

Hilfe, ein ADV!? – Tipps für Dienstleister

Sei es das Drucken von Visitenkarten, die Gestaltung einer Homepage oder die Konfiguration von Hard- oder Software – Einzelunternehmer und kleine Agenturen verarbeiten häufig personenbezogene Daten im Auftrag. Bekommen sie von ihrem Auftraggeber einen Vertrag zur Auftragsdatenverarbeitung (sogenannter „ADV“) vorgelegt, sind gerade kleinere Unternehmen mit dem umfangreichen Vertragswerk und den darin geforderten Angaben verständlicherweise oft überfordert. Dieser Artikel enthält Tipps zum Ausfüllen eines ADV und soll eine Hilfestellung für Dienstleister bieten. Weiterlesen

Mehr Rechtssicherheit für Berufsgeheimnisträger bei Auftragsverarbeitung

Nach der derzeitigen Rechtslage steht ein Berufsgeheimnisträger (z.B. Ärzte und Rechtsanwälte) wegen der strafbewährten Schweigepflicht gemäß § 203 StGB quasi mit einem Bein im Gefängnis, wenn er einen IT- Dienstleister beauftragt, der in Berührung mit sensiblen Daten von Patienten bzw. Klienten kommt. Ein Gesetz soll mehr Rechtssicherheit schaffen. Weiterlesen

Wartungsarbeiten – Ist das eine Auftragsverarbeitung nach der DSGVO?

Das (unbeliebte) Thema Auftragsdatenverarbeitung ist aus dem Alltag eines Datenschutzbeauftragten nicht wegzudenken. Häufig ist es sehr mühsam, die Dienstleister davon zu überzeugen, dass zusätzlich zu bzw. statt einer Geheimhaltungsvereinbarung eine Vereinbarung zur Auftragsdatenverarbeitung i.S.d. § 11 BDSG abzuschließen ist. Insbesondere Dienstleister, die lediglich Wartungsarbeiten an einem Tool durchführen und dabei den Zugriff auf personenbezogenen Daten des Auftraggebers gar nicht benötigen, stellen sich quer. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung. Weiterlesen

Die Schnittstelle – API, Webservice & GUI einfach erklärt

Sowohl Softwareanbieter als auch Webseitenbetreiber möchten ihren Nutzern ein optimales Angebot an unterschiedlichen Diensten anbieten und sind deswegen auf eine Schnittstelle angewiesen. Aber auch für Unternehmen sind Schnittstellen ein wichtiges Tool, um heterogene Systeme miteinander verbinden zu können und ineffiziente Insellösung zu vermeiden. In diesem Artikel werden ausgewählte Arten von Schnittstellen wie API, Webservice und GUI vorgestellt und voneinander abgegrenzt. Weiterlesen

EU-Standardvertragsklauseln in der Praxis – Teil 2: Controller to Controller

Die Verwendung von EU-Standardvertragsklauseln ist derzeit das Mittel der Wahl, um internationale Datentransfers in sogenannte „unsichere“ Drittstaaten zu rechtfertigen. Im ersten Teil unserer 2-teiligen Serie haben wir den Inhalt und die Anwendung des EU-Standardvertrages für das Controller to Processor-Verhältnis beschrieben. Heute im zweiten Teil geht es um die Klauseln für das Controller to Controller-Verhältnis. Weiterlesen

EU-Standardvertragsklauseln in der Praxis – Teil 1: Controller to Processor

Die Verwendung von EU-Standardvertragsklauseln ist derzeit das Mittel der Wahl, um internationale Datentransfers in sogenannte „unsichere“ Drittstaaten zu rechtfertigen. In einer zweiteiligen Serie beschreiben wir den Inhalt und die Anwendung der EU-Standardverträge. Heute im ersten Teil geht es nach einer Einführung um die Klauseln für das Controller to Processor-Verhältnis. Weiterlesen

Patientendatenschutz und die ärztliche Schweigepflicht

In der Medizin konzentriert sich der Behandlungsprozess in der Regel nicht nur auf den Hausarzt. Zur Unterstützung kommen immer häufiger technische Medizinprodukte zum Einsatz, die personenbezogene Daten der Patienten elektronisch erheben und speichern können. Bei der Verarbeitung sensibler Daten wie Gesundheitsdaten muss immer konkret geprüft werden, wer Zugriff auf die Daten erhalten darf. Dieser Artikel betrachtet den Patientendatenschutz und die ärztliche Schweigepflicht genauer. Weiterlesen

BGH: Private Versicherungsleistungen nur gegen Gesundheitsdaten

Die von einer privaten Krankenversicherung dem Patienten auferlegte Obliegenheit des Privatpatienten zur ärztlichen Untersuchung verstößt trotz der Erhebung von Gesundheitsdaten nicht gegen den Datenschutz, wenn der Versicherte Versicherungsleistungen beanspruchen will. Dies entschied der BGH in einem aktuellen Urteil vom 13.07.2016 (IV ZR 292/14). Weiterlesen

BDSG oder LDSG – Welches Recht gilt?

In Deutschland existieren aufgrund des föderalistischen Systems neben dem Bundesdatenschutzgesetz (BDSG) noch 16 Landesdatenschutzgesetze. Zwar sind diese größtenteils deckungsgleich mit dem BDSG, allerdings ergeben sich teilweise auch zu beachtende Unterschiede. Privatrechtliche Unternehmen, wie GmbH, KG, AG oder OHG sind keine öffentlichen Stellen. Nach § 2 Abs. 4 BDSG und § 1 Abs. 2 Nr. 3 BDSG gilt für diese somit das BDSG und nicht etwa das jeweilige Landesdatenschutzgesetz (LDSG). Auch für öffentliche Stellen des Bundes, beispielsweise für Bundesbehörden und Bundesämter sowie für die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit gilt das BDSG. Weiterlesen

Augen auf beim Autokauf – Datenschutz beim Auto

Moderne Autos sind kleine Datenverarbeitungsanlagen, das hat jetzt auch der Verband der Automobilindustrie erkannt. In einer gemeinsamen Erklärung mit der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat der Verband auf verschiedene im Zusammenhang mit der Nutzung von modernen Kraftfahrzeugen stehende datenschutzrechtliche Aspekte hingewiesen. Weiterlesen