Rene's Blog

GEDÄCHTNISSTÜTZEN UND SONSTIGE ERKENNTNISSE

Die EU-DSGVO kommt – Teil 6 – Auftragsverarbeitung

von Rene Sasse am 2. April 2018, keine Kommentare

Weiter geht’s innerhalb der DSGVO (oder auch GDPR) mit dem Thema Auftragsverarbeitung.

Ich bin kein Rechtsanwalt: Dies ist entsprechend keine Rechtsberatung und ersetzt diese auch in keiner Weise! Ich schließe jede Haftung aus!

Artikel 28 der EU-DSGVO Auftragsverarbeiter schreibt die Überprüfung von externen Dienstleister vor, ob ausreichende Garantien (TOM — technische und organisatorische Maßnahmen) für die sichere Verarbeitung im Sinne der DSGVO vorliegen.

Was bedeutet das? Können oder werden dritte auf deine personenbezogenen Daten zugreifen, benötigst Du von diesen Personen/Firmen einen DSGVO-konformen AV Vertrag nach Artikel 28 EU-DSGVO.

Verarbeitet Ihr Newsletter mit einer Agentur und übermittelt ihr denen die Listen? Ihr benötigt einen AV-Vertrag (Passend zur DSGVO) von der jeweiligen  Agentur.
Lasst Ihr Datenträger vernichten? AV-Vertrag.
Ihr nutzt geschäftlich einen Mail-Service? Richtig: AV-Vertrag.
Google-Analytics? Ihr ahnt es: AV-Vertrag.

Frag auf jeden Fall Deinen Hoster danach, der der hat u.A. Zugang zur Datenbank, dem Server als auch den Backups. Kann dir dieser einen solchen Vertrag nicht liefern oder fragt, was das ist/soll… sucht euch schnell einen neuen Hoster. Du kannst dann davon ausgehen, dass dieser Hoster sich um die Datensicherheit bisher nur sehr wenig Gedanken gemacht hat.

Dazu gleich einen Hinweis: Wer von euch in Schleswig-Holstein arbeitet und Office365 nutzt… macht sich ggf schon jetzt strafbar. Das ULD kam im Rahmen seiner Prüfung u.A. zu folgenden Ergebnis:

Office 365 ist aktuell nicht geeignet, selbst personenbezogene Daten mit normalem Schutzbedarf datenschutzkonform zu verarbeiten.

Quelle: https://datenschutzzentrum.de/tb/tb35/kap07.html

Sucht mit einer Suchmaschine eures Vertrauens nach “DSGVO Auftragsverarbeitung” oder nach “§ 62 BDSG neu”…
Darin heisst es in Ziffer 1 “Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen. Die Rechte der betroffenen Personen auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Schadensersatz sind in diesem Fall gegenüber dem Verantwortlichen geltend zu machen.”

Dafür gibt’s u.A. bei der Bitkom Muster.
https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/EU-DSG/170515-Auftragsverarbeitung-Anlage-Mustervertrag-online.pdf

Oftmals haben die Anbieter einen Standardvertrag zur Verfügung.

Wichtig: Die TOMs. Technisch Organisatorische Maßnahmen. In diesen findest Du die folgenden Punkte:
Zutrittskontrolle
Zugangskontrolle
Zugriffskontrolle
Trennungskontrolle
Pseudonymisierung
Weitergabekontrolle
Eingabekontrolle
Verfügbarkeitskontrolle
Auftragskontrolle

Diese Punkte müssen alle entsprechend ausgefüllt sein. Ihr findet dort Sätze wie „Server-Passwörter sind nur ausgewählten Mitarbeitern zugänglich (Zugangskontrolle)“ oder „Der Zugang zu besonders sensiblen Bereichen ist durch eine Mehrfaktor-Authentifizierung & Protokollierung gesichert (Zutrittskontrolle)“. Hier kann ich Empfehlen den gesunden Menschenverstand heranzuziehen. Fragt euch: Ist plausibel? Und ja: Ich kann verstehen, dass nicht jeder sofort damit etwas anfangen kann. Das ist wirklich nicht leicht. Das Papier müsst ihr Unterschreiben und in der Regel auch wieder zurück senden.

Für den einfacher Blogger sollte das „Problem“ AV-Vertrag dann somit abgeschlossen sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.