SlideShare ist ein Scribd-Unternehmen logo

Datenverarbeitung durch Dritte

M
Michael Rohrlich

Webinar "Datenverarbeitung durch Dritte" vom 15.06.2021 für die dbb Akademie

Recht
1 von 51
Rev. Stand 3.0 15. Juni 2021, 10.00 – 11.30 Uhr Webinar Datenverarbeitung durch Dritte Inhaltlicher Stand: 31.05.2021 © RA Michael Rohrlich
Rev. Stand 3.0 Rechtsanwalt Michael Rohrlich Dozent 2 zugelassen als Rechtsanwalt seit 03/2003 TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012 Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010 Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019 Fachautor seit 1997 / Buchautor seit 2005 Dozent seit 1998 Video-Trainer bei LinkedIn Learning / Microsoft (ehem. video2brain) seit 07/2012
Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 3
Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 4
Rev. Stand 3.0 Einführung 5 verantwortliche Stelle E-Mail-Hoster Google Analytics IT-Dienstleister Cloud-Dienst Social Plugins Werbeagentur Post Hausbank Web-Hoster
Rev. Stand 3.0  Auftragsverarbeitung (AV)?  in Art. 4 DSGVO werden über 20 Begriffe definiert, u.a. auch „Auftragsverarbeiter“: „Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“ Einführung 6
Rev. Stand 3.0  Auftragsverarbeiter sind unabhängig von Organisationsform, Größe, Mitarbeiteranzahle, Branche etc. zu bewerten  Voraussetzung: Weisungsgebundenheit des Beauftragten Einführung 7
Rev. Stand 3.0  Definition des „Verantwortlichen“ (Art. 4 Nr. 7 DSGVO) zur Abgrenzung ebenfalls wichtig: „Verantwortlicher ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]“ Einführung 8
Rev. Stand 3.0  um über Zwecke bzw. Mittel entscheiden zu können, muss ein tatsächlicher oder rechtlicher Einfluss auf die Entscheidung bzgl. der Datenverarbeitung bestehen  daher sind z.B.  Betriebsarzt,  DSB,  weisungsabhängige Dienstleister,  Gleichstellungs- oder Geldwäschebeauftragte  Betriebs- / Personalrat  keine Verantwortlichen Einführung 9
Rev. Stand 3.0  Betriebsrätemodernisierungsgesetz*  -> § 79a BetrVG-neu:  „Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personen-bezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.“  * noch nicht verkündet bzw. in Kraft (Stand: 31.05.2021) Einführung 10
Rev. Stand 3.0  Regelungen bzgl. AV-Verhältnis u.a. zu  Form des AV-Vertrages  Inhalten des AV-Vertrages  Vorgaben bzgl. Datensicherheit (TOMs)  Details zu evtl. Unterauftragsverhältnissen  aber: DSGVO regelt nicht, wann ein AV-Verhältnis vorliegt bzw. wann nicht Einführung 11
Rev. Stand 3.0  nur „sichere“ Auftragsverarbeiter  Art. 28 Abs. 1 DSGVO:  „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“  „Hinreichende Garantien“ ggf. auch durch genehmigte Verhaltensregeln bzw. genehmigte Zertifizierungsverfahren gem. Art. 28 Abs. 5 DSGVO (derzeit noch nicht verfügbar) Einführung 12
Rev. Stand 3.0  Unterauftragnehmer nur mit Zustimmung  Art. 28 Abs. 2 S. 1, 2 DSGVO:  „Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.“  mögliche Haftung des Auftragsverarbeiters nicht nur für eigene Fehler, sondern auch für Fehler von Unterauftragnehmern ggü. verantwortlicher Stelle (Art 28 Abs. 4 S. 2 DSGVO) Einführung 13
Rev. Stand 3.0  Mitwirkungs- / Hinweispflicht  u.a. Art. 28 Abs. 3 S. 3 DSGVO:  „Mit Blick auf [die Unterstützung beim Nachweis der Einhaltung der DSGVO] informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.“ Einführung 14
Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 15
Rev. Stand 3.0  Welche Vorgaben für AV-Verhältnisse enthält die DSGVO?  Art. 28 Abs. 3 S. 2 lit. a):  „Dieser Vertrag […] sieht insbesondere vor, dass der Auftragsverarbeiter die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen […] verarbeitet“  -> Weisungsbefugnis des Auftraggebers ggü. Dienstleister  -> keine eigenen Interessen des Dienstleisters an den verarbeiteten pb Daten  -> aber: Dienstleister darf im AV-Verhältnis über Mittel der Verarbeitung (mit-) entscheiden AV vs. gemeins. Verantwortung 16
Rev. Stand 3.0  Gemeinsame Verantwortung (Art. 26 Abs. 1 S. 1):  „Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche.“  sog. Joint Controllership (JC) AV vs. gemeins. Verantwortung 17
Rev. Stand 3.0 AV vs. gemeins. Verantwortung 18 gemeinsame Verantwortlichkeit (Art. 26 DSGVO) AV-Verhältnis (Art. 28 DSGVO) getrennte Verantwortlichkeit wenn über Zwecke und Mittel der Verarbeitung gemeinsam entschieden wird Auftraggeber entscheidet alleine über Zwecke und Mittel der Verarbeitung jeweils eigenständige Entscheidung über Zwecke und Mittel der Verarbeitung beide verfolgen mit der Datenverarbeitung jeweils eigene Interessen Auftragnehmer als „verlängerte Arm“ bzw. „ausführendes Organ“ des Auftraggebers; keine eigenen Interessen des Auftragnehmers jeweils eigene Interessen, die unabhängig vom anderen bestehen bzw. erreicht werden können Ausmaß der Entscheidungs- möglichkeit bzw. Zugang zu den Daten irrelevant „Mittel der Datenverarbeitung“ nicht nur im techn. oder organisat. Sinne zu verstehen, sondern v.a. als Zugriffsrecht etc. i.d.R. eher zufällige Konstellation
Rev. Stand 3.0 AV vs. gemeins. Verantwortung 19 keine Möglichkeit der Kenntnisnahme der Daten durch AV (z.B. per Anonymisierung)? AV-Verhältnis? wirksamer AV-Vertrag? Datenverarbeitung in Deutschland? Datenverarbeitung innerhalb EU / EWR? zulässige Datenverarbeitung in Drittland? Checkliste Auftragsverarbeitung
Rev. Stand 3.0 AV vs. gemeins. Verantwortung 20 Checkliste Auftragsverarbeitung – Verarbeitung in Drittland anerkanntes Schutzniveau? Zertifizierung durch EU-US-Privacy-Shield (USA)? Verwendung der EU-Standardvertragsklauseln? Vorliegen von (genehmigten) Binding Corporate Rules (BCR)? für Vertragserfüllung erforderlich? Einwilligung der Betroffenen? zusätzliche Garantien?
Rev. Stand 3.0  Staaten mit „anerkanntem Schutzniveau“ (Stand: 05/2021):  Andorra  Argentinien  Kanada  Schweiz  Färöer-Inseln  Guernsey  Israel  Isle of Man  Jersey  Neuseeland  Uruguay  Japan  demnächst: Republik Korea  USA (Privacy Shield) AV vs. gemeins. Verantwortung 21
Rev. Stand 3.0  erwartungsgemäß: EuGH kippt den „EU-US-Privacy- Shield“  „Der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US- Datenschutzschild gebotenen Schutzes ist ungültig.“ (EuGH, Urt. v. 16.07.2020, Az. C-311/18) AV vs. gemeins. Verantwortung 22
Rev. Stand 3.0  mögliche Alternativen:  EU-Standardvertragsklauseln (neue Fassung geplant)  Einwilligung (schwierig, zudem jederzeit widerrufbar)  Art. 49 (restriktiv auszulegen)  erforderlich zur Erfüllung eines Vertrages  wichtige Gründe des öffentl. Interesses  Schutz lebenswichtiger Interessen  … AV vs. gemeins. Verantwortung 23
Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 24
Rev. Stand 3.0  Wann liegt ein AV-Verhältnis vor?  Problem: keine Anhaltspunkte in der DSGVO oder im BDSG  wichtig: Abgrenzung zur gemeinsamen oder getrennten Verantwortlichkeit  Praxishilfen der dt. Aufsichtsbehörden u.a., z.B. von BayLDA, DSK, LfDI Baden-Württemberg  Tipp: „Orientierungshilfe Auftragsverarbeitung“ der DSK oder des BayLDA Typische AV-Verhältnisse 25
Rev. Stand 3.0  typische AV-Verhältnisse (1/2):  DV-technische Arbeiten für Lohn- und Gehaltsabrechnung  Outsourcing mittels Cloud-Computing  Werbeadressenverarbeitung in sog. Lettershop  Verarbeitung von Kundendaten durch Callcenter (ohne wesentliche eigene Entscheidungsspielräume)  Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z.B. Betreuung von Kontaktformularen oder Nutzeranfragen)  Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten  Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen  Datenträgerentsorgung durch Dienstleister Typische AV-Verhältnisse 26
Rev. Stand 3.0  typische AV-Verhältnisse (2/2):  Prüfung oder Wartung (z.B. Fernwartung, externer Support) automatisierter Verfahren oder von EDV-Anlagen, wenn dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann  Zentralisierung bestimmter „Shared-Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen  Apothekenrechenzentren (§ 300 SGB V)  ärztliche / zahnärztliche Verrechnungsstellen (ohne Forderungsverkauf)  Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten erheben  externe Personen, Dienstleister usw., die im Auftrag Messwerte in Mietwohnungen ablesen bzw. verarbeiten (Heizung, Strom, Wasser etc.)  Visabeschaffungsdienstleister, die hierfür vom Arbeitgeber die Beschäftigtendaten erhalten Typische AV-Verhältnisse 27
Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 28
Rev. Stand 3.0  Wann liegt kein AV-Verhältnis vor?  Problem: keine Anhaltspunkte in der DSGVO oder im BDSG  wichtig: Abgrenzung zur gemeinsamen oder getrennten Verantwortlichkeit  Praxishilfen der dt. Aufsichtsbehörden u.a., z.B. von BayLDA, DSK, LfDI Baden-Württemberg  Tipp: „Orientierungshilfe Auftragsverarbeitung“ der DSK oder des BayLDA Regelmäßig keine AV-Verhältn. 29
Rev. Stand 3.0  regelmäßig keine AV-Verhältnisse (1/5):  Tätigkeiten von Berufsgeheimnisträgern (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer, Ärzte, Apotheker…)  Inkassobüros mit Forderungsübertragung  Bankinstitute für den Geldtransfer  Postdienste für den Brief- oder Pakettransport  Tätigkeit als Verwalter z.B. für Eigentumswohnungen Regelmäßig keine AV-Verhältn. 30
Rev. Stand 3.0  regelmäßig keine AV-Verhältnisse (2/5):  Detektive (bei ihrer Observierungs-, Überwachungs- oder Ausforschungstätigkeit)  Fälle beauftragter Warenzusendung (z.B. durch Blumen- oder Weinhändler, Hersteller…)  Insolvenzverwalter  Personalvermittlung nach Auftrag von Stellensuchenden oder Arbeitgebern  Internet-Plattformbetreiber zur Vermittlung zwischen Anbietern und Nachfragern, die sich auf der Plattform treffen können (z.B. eBay, Amazon, MyHammer…) Regelmäßig keine AV-Verhältn. 31
Rev. Stand 3.0  regelmäßig keine AV-Verhältnisse (3/5):  TKG-Dienstleistungen (z.B. Deutsche Telekom, Vodafone, Telefonica, 1&1…)  Versicherungs- oder Finanzmakler bzw. -vermittler im Rahmen des Kundenvertrags  Handelsvertreter im Rahmen ihrer Beratungstätigkeit und Vertragsvermittlungen  Übersendung von Schulungsteilnehmer-Daten zur Durchführung der Schulung an einen externen Trainer, Schulungsveranstalter oder an das Tagungshotel  Fertigung individueller medizinischer Produkte, Hilfsmittel, Prothesen etc. für Patienten / Kunden Regelmäßig keine AV-Verhältn. 32
Rev. Stand 3.0  regelmäßig keine AV-Verhältnisse (4/5):  Medizinische Labore, Materiallabore usw. (Materialuntersuchung im Auftrag)  Zahlungsdienstleister für elektronische Zahlungen  von Reisebüros aufgrund Kundenvertrags vermittelte Leistungsanbieter, wie Hotels, Mietwagenfirmen, Fluggesellschaften, Busunternehmen, Versicherungen usw.  vom Vermieter beauftragte Handwerker, die dazu die nötigen Mieterdaten erhalten  Sachverständige zur Begutachtung eines Kfz-Schadens  Personenbeförderung / Krankentransportleistungen Regelmäßig keine AV-Verhältn. 33
Rev. Stand 3.0  regelmäßig keine AV-Verhältnisse (5/5):  Bewachungsdienstleistungen  Reinigungsdienstleistungen und Handwerkereinsätze in Unternehmen  Reinigung von Berufskleidung (mit Namensschildern)  Druck von Prospekten, Katalogen etc. (mit Bildern von Beschäftigten oder Fotomodellen)  Aber: Abgrenzung zu Lettershops!  Transport von Unterlagen und Waren durch Kurierdienste, Speditionen, Zeitungsausträger  Übersetzung von Texten in/aus Fremdsprachen Regelmäßig keine AV-Verhältn. 34
Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 35
Rev. Stand 3.0  Form des AV-Vertrages (Art. 28 Abs. 9 DSGVO):  „Der Vertrag [...] ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.“  nach allg. Auffassung ist auch der Abschluss des AV- Vertrages in elektr. Form zulässig (Website, App…) Der AV- / JC-Vertrag 36
Rev. Stand 3.0  Pflichtinhalte eines AV-Vertrages [1/2]:  Gegenstand, Dauer, Art & Zweck der Verarbeitung  Art der personenbezogenen Daten  Kategorien der Betroffenen  Rechte & Pflichten des Verantwortlichen  AV darf Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten, sofern er nicht durch Gesetz hierzu verpflichtet ist  AV gewährleistet, dass sich die zur Datenverarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen  AV ergreift alle erforderlichen Maßnahmen zur Sicherheit der Datenverarbeitung (vgl. Art. 32 DSGVO) Der AV- / JC-Vertrag 37
Rev. Stand 3.0  Pflichtinhalte eines AV-Vertrages [2/2)]:  AV hält Bedingungen für Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters ein  AV unterstützt Verantwortlichen nach Möglichkeit mit geeigneten TOMs dabei, der Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nachzukommen  AV unterstützt Verantwortlichen unter Berücksichtigung der Art der Verarbeitung & der ihm zur Verfügung stehenden Informationen bei der Einhaltung seiner Pflichten (z.B. zur DSFA)  nach Abschluss der Erbringung der Verarbeitungsleistungen veranlasst AV Löschung bzw. Rückgabe aller Daten nach Wahl des Verantwortlichen an diesen (sofern nicht eine gesetzliche Verpflichtung zur Speicherung der Daten besteht)  AV stellt Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung seiner Pflichten zur Verfügung und ermöglicht Überprüfungen, die vom Verantwortlichen durchgeführt werden Der AV- / JC-Vertrag 38
Rev. Stand 3.0  Technisch Organisatorische Maßnahmen (TOM) im AV-Vertrag?  nach früherer Rechtslage waren TOM integraler Bestandteil des AV-Vertrages  TOMs werden heute i.d.R. als Anlage beigefügt  gem. DSGVO keine Pflicht zur Integration der TOM im AV- Vertrag  je sensibler oder umfangreicher die Daten sind, die per AV verarbeitet werden sollen, desto eher sollten die TOMs beschrieben und in den AV-Vertrag aufgenommen werden Der AV- / JC-Vertrag 39
Rev. Stand 3.0  Entgelt für Prüfungen der Voraussetzungen beim Auftragnehmer?  Pflicht des Auftragnehmers, Prüfungen durch Auftraggeber zuzulassen -> Pflicht im Vertrag zu regeln  kein Anhaltspunkt in DSGVO, dass Prüfungen kostenfrei sein müssen  ggf. Nachweis durch vorherige Prüfungen, Zertifizierungen etc. möglich -> wenn darüber hinaus eine Vor-Ort-Prüfung gewünscht wird, können angemessene Kosten ggü. Auftraggeber geltend gemacht werden (allerdings darf dabei kein Gewinn gemacht werden, es geht nur um die Kosten, die tatsächlich für die Prüfung vor Ort entstehen)  Ausnahme: wenn Anzeichen für Rechtsverletzungen, Sicherheitsmängel o.ä. vorliegen, muss kostenfreie Prüfung durch Auftraggeber möglich sein Der AV- / JC-Vertrag 40
Rev. Stand 3.0  Exkurs: Spezielles Verarbeitungsverzeichnis für Auftragsverarbeiter!  jeder Auftragsverarbeiter führt ein Verzeichnis zu allen Kategorien von Verarbeitungstätigkeiten, die im Auftrag eines Verantwortlichen durchgeführt werden  dieses Verarbeitungsverzeichnis enthält Folgendes:  den Namen und die Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist  den Namen und die Kontaktdaten des Vertreters des Verantwortlichen oder des Auftragsverarbeiters  den Namen und die Kontaktdaten eines etwaigen Datenschutzbeauftragten  die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden  ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Dokumentierung geeigneter Garantien  wenn möglich, eine allg. Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO Der AV- / JC-Vertrag 41
Rev. Stand 3.0  Form des JC-Vertrages?  es existieren keine Formvorgaben  Abfassung in Schriftform, elektronisch oder auch „per Handschlag“ möglich  aber: „Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.“ (Art. 26 Abs. 2 S. 2) Der AV- / JC-Vertrag 42
Rev. Stand 3.0  Pflichtinhalte des JC-Vertrages? [1/2]  „Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind.“ (Art. 26 Abs. 1 S. 2) Der AV- / JC-Vertrag 43
Rev. Stand 3.0  Pflichtinhalte des JC-Vertrages? [2/2]  „In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.“ (Art. 26 Abs. 1 S. 3)  „Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln.“ (Art. 26 Abs. 2 S. 1) Der AV- / JC-Vertrag 44
Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 45
Rev. Stand 3.0  EuGH, „FashionID“-Urt. v. 29.7.2019, C-40/17:  Gemeinsame Verantwortlichkeit von Facebook & Fanpage- Betreiber bzw. Nutzer von Social Plugins  Gerichtsentscheidung primär nur bzgl. Facebook & Fanpage- Betreiber, aber auch auf andere soziale Netzwerke übertragbar  Auswirkungen auf die Praxis? Social Media 46
Rev. Stand 3.0  Betrieb von Social-Media-Accounts:  Abschluss eines Vertrages über gemeinsame Verantwortlichkeit (sog. Joint Controllership gem. Art. 26 DSGVO) – z.Zt. nur bei Facebook möglich  Datenschutzerklärung für Social-Media-Account  Anpassung der Website-Datenschutzerklärung  Verweis von Social-Media-Accounts auf Website  per sprechendem Link (z.B. „Datenschutzerklärung: www.xyz.de/datenschutz“ o.ä.)  „Rückverweis“ auf soziale Medien Social Media 47
Rev. Stand 3.0 Social Media 48 Facebook Twitter LinkedIn Youtube Xing …
Rev. Stand 3.0  Einsatz sog. Social Plugins, z.B.  „Like“-Button (Facebook)  „Tweet“-Button (Twitter)  „Share“-Button (LinkedIn)  „x“-Button (Xing) Social Media 49
Rev. Stand 3.0  Einsatz von sog. „2-Klick-Lösungen“ o.ä. Techniken in der Praxis noch nicht abschließend jur. bewertet  der sog. „Düsseldorfer Kreis“ hat am 08.12.2011 beschlossen, dass jedenfalls die Einbindung von Social Plugins ohne „2-Klick-Lösung“ rechtswidrig ist  u.a. der Heise Verlag bietet eine eigene techn. Lösung dafür (c‘t Shariff), auch Erweiterungen für div. CMS- Systeme erhältlich  z.B. Cookie-Banner, der auch Social Plugins umfasst Social Media 50
Rev. Stand 3.0  Einsatz „2-Klick-Lösung“  Einbindung von Platzhalter-Grafiken (ohne sonstige Funktionen)  Infos bzgl. „Social Plugins“ bzw. „2-Klick-Lösung“ als Mouse-over-Text  Aktivierung der Social Plugins nach 1. Mausklick des Nutzers  Nutzung der Funktionen der Social Plugins erst nach 2. Mausklick des Nutzers  ausdrücklicher Hinweis auf Social Plugins in Datenschutzerklärung + Hinweis auf gemeinsame Verantwortlichkeit Social Media 51

Empfohlen

Was ist ein Hinweisgebersystem?
Was ist ein Hinweisgebersystem?Was ist ein Hinweisgebersystem?
Was ist ein Hinweisgebersystem?comspace GmbH & Co. KG
 
Social Media & Datenschutzrecht
Social Media & DatenschutzrechtSocial Media & Datenschutzrecht
Social Media & DatenschutzrechtMichael Rohrlich
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOMichael Rohrlich
 
Sichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandSichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandMichael Rohrlich
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 
Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...
Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...
Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...CIO Edge
 
Implikasi UU PDP terhadap Tata Kelola Data Sektor Kesehatan - Rangkuman UU Pe...
Implikasi UU PDP terhadap Tata Kelola Data Sektor Kesehatan - Rangkuman UU Pe...Implikasi UU PDP terhadap Tata Kelola Data Sektor Kesehatan - Rangkuman UU Pe...
Implikasi UU PDP terhadap Tata Kelola Data Sektor Kesehatan - Rangkuman UU Pe...Eryk Budi Pratama
 
Significado dos sonhos
Significado dos sonhosSignificado dos sonhos
Significado dos sonhosJoao Rumpel
 

Empfohlen

Was ist ein Hinweisgebersystem?
Was ist ein Hinweisgebersystem?Was ist ein Hinweisgebersystem?
Was ist ein Hinweisgebersystem?comspace GmbH & Co. KG
 
Social Media & Datenschutzrecht
Social Media & DatenschutzrechtSocial Media & Datenschutzrecht
Social Media & DatenschutzrechtMichael Rohrlich
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOMichael Rohrlich
 
Sichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandSichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandMichael Rohrlich
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 
Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...
Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...
Digital Enterprise Festival Birmingham 13/04/17 - Ian West Cognizant VP Data ...CIO Edge
 
Implikasi UU PDP terhadap Tata Kelola Data Sektor Kesehatan - Rangkuman UU Pe...
Implikasi UU PDP terhadap Tata Kelola Data Sektor Kesehatan - Rangkuman UU Pe...Implikasi UU PDP terhadap Tata Kelola Data Sektor Kesehatan - Rangkuman UU Pe...
Implikasi UU PDP terhadap Tata Kelola Data Sektor Kesehatan - Rangkuman UU Pe...Eryk Budi Pratama
 
Significado dos sonhos
Significado dos sonhosSignificado dos sonhos
Significado dos sonhosJoao Rumpel
 
BigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar SlidesBigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar SlidesDimitri Sirota
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
1 a 38.pdf
1 a 38.pdf1 a 38.pdf
1 a 38.pdfAs Máquinas Pesadas
 
General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...Cvent
 
Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVOMichael Rohrlich
 
25 lat etyki biznesu w Polsce - raport_2019
25 lat etyki biznesu w Polsce - raport_201925 lat etyki biznesu w Polsce - raport_2019
25 lat etyki biznesu w Polsce - raport_2019Fundacja Rozwoju Menedżerskiego - Manage or Die
 
GDPR infographic
GDPR infographicGDPR infographic
GDPR infographicMarketing Team at Crown Worldwide Group
 
الاختلاط بين الجنسين حقائق وتنبيهات
الاختلاط بين الجنسين حقائق وتنبيهاتالاختلاط بين الجنسين حقائق وتنبيهات
الاختلاط بين الجنسين حقائق وتنبيهاتغايتي الجنة
 
Informationssicherheitsmanagment
InformationssicherheitsmanagmentInformationssicherheitsmanagment
InformationssicherheitsmanagmentClaus Brell
 
Nom 009-cna-2001
Nom 009-cna-2001Nom 009-cna-2001
Nom 009-cna-2001Maribel Prieto Alvarado
 
Offensive security, o que é isso?
Offensive security, o que é isso?Offensive security, o que é isso?
Offensive security, o que é isso?Paulo Renato Lopes Seixas
 
QUEIXA-CRIME CONTRA TANIA TEIXEIRA CARIMBO
QUEIXA-CRIME CONTRA TANIA TEIXEIRA CARIMBOQUEIXA-CRIME CONTRA TANIA TEIXEIRA CARIMBO
QUEIXA-CRIME CONTRA TANIA TEIXEIRA CARIMBORui Nascimento
 
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and DifferencesCMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and DifferencesPECB
 
Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Michael Rohrlich
 
Datenschutz im internet
Datenschutz im internetDatenschutz im internet
Datenschutz im internetMichael Rohrlich
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...Symposia 360°
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtMichael Rohrlich
 
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsMichael Rohrlich
 
Cloud Computing
Cloud Computing Cloud Computing
Cloud Computing RESMEDIA - Anwälte für IT-IP-Medien
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzMichael Rohrlich
 
1612011[1]
1612011[1]1612011[1]
1612011[1]gullkilla
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenMichael Rohrlich
 

Weitere ähnliche Inhalte

Was ist angesagt?

BigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar SlidesBigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar SlidesDimitri Sirota
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...Cvent
 
الاختلاط بين الجنسين حقائق وتنبيهات
الاختلاط بين الجنسين حقائق وتنبيهاتالاختلاط بين الجنسين حقائق وتنبيهات
الاختلاط بين الجنسين حقائق وتنبيهاتغايتي الجنة
 
Informationssicherheitsmanagment
InformationssicherheitsmanagmentInformationssicherheitsmanagment
InformationssicherheitsmanagmentClaus Brell
 
QUEIXA-CRIME CONTRA TANIA TEIXEIRA CARIMBO
QUEIXA-CRIME CONTRA TANIA TEIXEIRA CARIMBOQUEIXA-CRIME CONTRA TANIA TEIXEIRA CARIMBO
QUEIXA-CRIME CONTRA TANIA TEIXEIRA CARIMBORui Nascimento
 
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and DifferencesCMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and DifferencesPECB
 

Was ist angesagt? (13)

BigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar SlidesBigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar Slides
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
1 a 38.pdf
1 a 38.pdf1 a 38.pdf
1 a 38.pdf
 
General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...General Data Protection Regulations (GDPR): Do you understand it and are you ...
General Data Protection Regulations (GDPR): Do you understand it and are you ...
 
Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVO
 
25 lat etyki biznesu w Polsce - raport_2019
25 lat etyki biznesu w Polsce - raport_201925 lat etyki biznesu w Polsce - raport_2019
25 lat etyki biznesu w Polsce - raport_2019
 
GDPR infographic
GDPR infographicGDPR infographic
GDPR infographic
 
الاختلاط بين الجنسين حقائق وتنبيهات
الاختلاط بين الجنسين حقائق وتنبيهاتالاختلاط بين الجنسين حقائق وتنبيهات
الاختلاط بين الجنسين حقائق وتنبيهات
 
Informationssicherheitsmanagment
InformationssicherheitsmanagmentInformationssicherheitsmanagment
Informationssicherheitsmanagment
 
Nom 009-cna-2001
Nom 009-cna-2001Nom 009-cna-2001
Nom 009-cna-2001
 
Offensive security, o que é isso?
Offensive security, o que é isso?Offensive security, o que é isso?
Offensive security, o que é isso?
 
QUEIXA-CRIME CONTRA TANIA TEIXEIRA CARIMBO
QUEIXA-CRIME CONTRA TANIA TEIXEIRA CARIMBOQUEIXA-CRIME CONTRA TANIA TEIXEIRA CARIMBO
QUEIXA-CRIME CONTRA TANIA TEIXEIRA CARIMBO
 
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and DifferencesCMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and Differences
 

Ähnlich wie Datenverarbeitung durch Dritte

Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Michael Rohrlich
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...Symposia 360°
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtMichael Rohrlich
 
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsMichael Rohrlich
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzMichael Rohrlich
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenMichael Rohrlich
 
Datenschutz 2013 bernd_fuhlert
Datenschutz 2013 bernd_fuhlertDatenschutz 2013 bernd_fuhlert
Datenschutz 2013 bernd_fuhlertBernd Fuhlert
 
Impressum & Datenschutzerklärung
Impressum & DatenschutzerklärungImpressum & Datenschutzerklärung
Impressum & DatenschutzerklärungMichael Rohrlich
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzMichael Rohrlich
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...Symposia 360°
 
nuances newsletter - February 2014
nuances newsletter - February 2014nuances newsletter - February 2014
nuances newsletter - February 2014nuances
 
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Raabe Verlag
 
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...Symposia Media
 
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Inxmail GmbH
 
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMCOnlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMCAllFacebook.de
 

Ähnlich wie Datenverarbeitung durch Dritte (20)

Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Datenschutz Update Juli 2021
Datenschutz Update Juli 2021
 
Datenschutz im internet
Datenschutz im internetDatenschutz im internet
Datenschutz im internet
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im Datenschutzrecht
 
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des Datenschutzrechts
 
Cloud Computing
Cloud Computing Cloud Computing
Cloud Computing
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
 
1612011[1]
1612011[1]1612011[1]
1612011[1]
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
 
Datenschutz 2013 bernd_fuhlert
Datenschutz 2013 bernd_fuhlertDatenschutz 2013 bernd_fuhlert
Datenschutz 2013 bernd_fuhlert
 
Datenschutz im Internet
Datenschutz im InternetDatenschutz im Internet
Datenschutz im Internet
 
Impressum & Datenschutzerklärung
Impressum & DatenschutzerklärungImpressum & Datenschutzerklärung
Impressum & Datenschutzerklärung
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
 
nuances newsletter - February 2014
nuances newsletter - February 2014nuances newsletter - February 2014
nuances newsletter - February 2014
 
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
 
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
 
Cloud Compendium
Cloud CompendiumCloud Compendium
Cloud Compendium
 
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO) Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
 
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMCOnlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
 

Mehr von Michael Rohrlich

Grundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & DatenschutzrechtGrundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & DatenschutzrechtMichael Rohrlich
 
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen PraxisElektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen PraxisMichael Rohrlich
 
Datenschutz-Folgenabschätzung
Datenschutz-FolgenabschätzungDatenschutz-Folgenabschätzung
Datenschutz-FolgenabschätzungMichael Rohrlich
 
Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Michael Rohrlich
 
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...Michael Rohrlich
 
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess aufOnlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess aufMichael Rohrlich
 
E-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - VertragsfragenE-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - VertragsfragenMichael Rohrlich
 
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess aufE-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess aufMichael Rohrlich
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...Michael Rohrlich
 
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes ImpressumE-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes ImpressumMichael Rohrlich
 
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenMichael Rohrlich
 
E-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer WerbungE-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer WerbungMichael Rohrlich
 
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreichDer Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreichMichael Rohrlich
 
DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?Michael Rohrlich
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umMichael Rohrlich
 

Mehr von Michael Rohrlich (17)

Grundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & DatenschutzrechtGrundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & Datenschutzrecht
 
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen PraxisElektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
 
Datenschutz-Folgenabschätzung
Datenschutz-FolgenabschätzungDatenschutz-Folgenabschätzung
Datenschutz-Folgenabschätzung
 
Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?
 
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
 
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess aufOnlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
 
E-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - VertragsfragenE-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - Vertragsfragen
 
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess aufE-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
 
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes ImpressumE-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
 
Social Media Recht
Social Media RechtSocial Media Recht
Social Media Recht
 
E-Commerce-Recht
E-Commerce-RechtE-Commerce-Recht
E-Commerce-Recht
 
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachten
 
E-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer WerbungE-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
 
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreichDer Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
 
DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?DSGVO: Was tun bei einer Abmahnung?
DSGVO: Was tun bei einer Abmahnung?
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
 

Datenverarbeitung durch Dritte

  • 1. Rev. Stand 3.0 15. Juni 2021, 10.00 – 11.30 Uhr Webinar Datenverarbeitung durch Dritte Inhaltlicher Stand: 31.05.2021 © RA Michael Rohrlich
  • 2. Rev. Stand 3.0 Rechtsanwalt Michael Rohrlich Dozent 2 zugelassen als Rechtsanwalt seit 03/2003 TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012 Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010 Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019 Fachautor seit 1997 / Buchautor seit 2005 Dozent seit 1998 Video-Trainer bei LinkedIn Learning / Microsoft (ehem. video2brain) seit 07/2012
  • 3. Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 3
  • 4. Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 4
  • 6. Rev. Stand 3.0  Auftragsverarbeitung (AV)?  in Art. 4 DSGVO werden über 20 Begriffe definiert, u.a. auch „Auftragsverarbeiter“: „Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“ Einführung 6
  • 7. Rev. Stand 3.0  Auftragsverarbeiter sind unabhängig von Organisationsform, Größe, Mitarbeiteranzahle, Branche etc. zu bewerten  Voraussetzung: Weisungsgebundenheit des Beauftragten Einführung 7
  • 8. Rev. Stand 3.0  Definition des „Verantwortlichen“ (Art. 4 Nr. 7 DSGVO) zur Abgrenzung ebenfalls wichtig: „Verantwortlicher ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]“ Einführung 8
  • 9. Rev. Stand 3.0  um über Zwecke bzw. Mittel entscheiden zu können, muss ein tatsächlicher oder rechtlicher Einfluss auf die Entscheidung bzgl. der Datenverarbeitung bestehen  daher sind z.B.  Betriebsarzt,  DSB,  weisungsabhängige Dienstleister,  Gleichstellungs- oder Geldwäschebeauftragte  Betriebs- / Personalrat  keine Verantwortlichen Einführung 9
  • 10. Rev. Stand 3.0  Betriebsrätemodernisierungsgesetz*  -> § 79a BetrVG-neu:  „Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten. Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personen-bezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.“  * noch nicht verkündet bzw. in Kraft (Stand: 31.05.2021) Einführung 10
  • 11. Rev. Stand 3.0  Regelungen bzgl. AV-Verhältnis u.a. zu  Form des AV-Vertrages  Inhalten des AV-Vertrages  Vorgaben bzgl. Datensicherheit (TOMs)  Details zu evtl. Unterauftragsverhältnissen  aber: DSGVO regelt nicht, wann ein AV-Verhältnis vorliegt bzw. wann nicht Einführung 11
  • 12. Rev. Stand 3.0  nur „sichere“ Auftragsverarbeiter  Art. 28 Abs. 1 DSGVO:  „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“  „Hinreichende Garantien“ ggf. auch durch genehmigte Verhaltensregeln bzw. genehmigte Zertifizierungsverfahren gem. Art. 28 Abs. 5 DSGVO (derzeit noch nicht verfügbar) Einführung 12
  • 13. Rev. Stand 3.0  Unterauftragnehmer nur mit Zustimmung  Art. 28 Abs. 2 S. 1, 2 DSGVO:  „Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.“  mögliche Haftung des Auftragsverarbeiters nicht nur für eigene Fehler, sondern auch für Fehler von Unterauftragnehmern ggü. verantwortlicher Stelle (Art 28 Abs. 4 S. 2 DSGVO) Einführung 13
  • 14. Rev. Stand 3.0  Mitwirkungs- / Hinweispflicht  u.a. Art. 28 Abs. 3 S. 3 DSGVO:  „Mit Blick auf [die Unterstützung beim Nachweis der Einhaltung der DSGVO] informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.“ Einführung 14
  • 15. Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 15
  • 16. Rev. Stand 3.0  Welche Vorgaben für AV-Verhältnisse enthält die DSGVO?  Art. 28 Abs. 3 S. 2 lit. a):  „Dieser Vertrag […] sieht insbesondere vor, dass der Auftragsverarbeiter die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen […] verarbeitet“  -> Weisungsbefugnis des Auftraggebers ggü. Dienstleister  -> keine eigenen Interessen des Dienstleisters an den verarbeiteten pb Daten  -> aber: Dienstleister darf im AV-Verhältnis über Mittel der Verarbeitung (mit-) entscheiden AV vs. gemeins. Verantwortung 16
  • 17. Rev. Stand 3.0  Gemeinsame Verantwortung (Art. 26 Abs. 1 S. 1):  „Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche.“  sog. Joint Controllership (JC) AV vs. gemeins. Verantwortung 17
  • 18. Rev. Stand 3.0 AV vs. gemeins. Verantwortung 18 gemeinsame Verantwortlichkeit (Art. 26 DSGVO) AV-Verhältnis (Art. 28 DSGVO) getrennte Verantwortlichkeit wenn über Zwecke und Mittel der Verarbeitung gemeinsam entschieden wird Auftraggeber entscheidet alleine über Zwecke und Mittel der Verarbeitung jeweils eigenständige Entscheidung über Zwecke und Mittel der Verarbeitung beide verfolgen mit der Datenverarbeitung jeweils eigene Interessen Auftragnehmer als „verlängerte Arm“ bzw. „ausführendes Organ“ des Auftraggebers; keine eigenen Interessen des Auftragnehmers jeweils eigene Interessen, die unabhängig vom anderen bestehen bzw. erreicht werden können Ausmaß der Entscheidungs- möglichkeit bzw. Zugang zu den Daten irrelevant „Mittel der Datenverarbeitung“ nicht nur im techn. oder organisat. Sinne zu verstehen, sondern v.a. als Zugriffsrecht etc. i.d.R. eher zufällige Konstellation
  • 19. Rev. Stand 3.0 AV vs. gemeins. Verantwortung 19 keine Möglichkeit der Kenntnisnahme der Daten durch AV (z.B. per Anonymisierung)? AV-Verhältnis? wirksamer AV-Vertrag? Datenverarbeitung in Deutschland? Datenverarbeitung innerhalb EU / EWR? zulässige Datenverarbeitung in Drittland? Checkliste Auftragsverarbeitung
  • 20. Rev. Stand 3.0 AV vs. gemeins. Verantwortung 20 Checkliste Auftragsverarbeitung – Verarbeitung in Drittland anerkanntes Schutzniveau? Zertifizierung durch EU-US-Privacy-Shield (USA)? Verwendung der EU-Standardvertragsklauseln? Vorliegen von (genehmigten) Binding Corporate Rules (BCR)? für Vertragserfüllung erforderlich? Einwilligung der Betroffenen? zusätzliche Garantien?
  • 21. Rev. Stand 3.0  Staaten mit „anerkanntem Schutzniveau“ (Stand: 05/2021):  Andorra  Argentinien  Kanada  Schweiz  Färöer-Inseln  Guernsey  Israel  Isle of Man  Jersey  Neuseeland  Uruguay  Japan  demnächst: Republik Korea  USA (Privacy Shield) AV vs. gemeins. Verantwortung 21
  • 22. Rev. Stand 3.0  erwartungsgemäß: EuGH kippt den „EU-US-Privacy- Shield“  „Der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US- Datenschutzschild gebotenen Schutzes ist ungültig.“ (EuGH, Urt. v. 16.07.2020, Az. C-311/18) AV vs. gemeins. Verantwortung 22
  • 23. Rev. Stand 3.0  mögliche Alternativen:  EU-Standardvertragsklauseln (neue Fassung geplant)  Einwilligung (schwierig, zudem jederzeit widerrufbar)  Art. 49 (restriktiv auszulegen)  erforderlich zur Erfüllung eines Vertrages  wichtige Gründe des öffentl. Interesses  Schutz lebenswichtiger Interessen  … AV vs. gemeins. Verantwortung 23
  • 24. Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 24
  • 25. Rev. Stand 3.0  Wann liegt ein AV-Verhältnis vor?  Problem: keine Anhaltspunkte in der DSGVO oder im BDSG  wichtig: Abgrenzung zur gemeinsamen oder getrennten Verantwortlichkeit  Praxishilfen der dt. Aufsichtsbehörden u.a., z.B. von BayLDA, DSK, LfDI Baden-Württemberg  Tipp: „Orientierungshilfe Auftragsverarbeitung“ der DSK oder des BayLDA Typische AV-Verhältnisse 25
  • 26. Rev. Stand 3.0  typische AV-Verhältnisse (1/2):  DV-technische Arbeiten für Lohn- und Gehaltsabrechnung  Outsourcing mittels Cloud-Computing  Werbeadressenverarbeitung in sog. Lettershop  Verarbeitung von Kundendaten durch Callcenter (ohne wesentliche eigene Entscheidungsspielräume)  Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z.B. Betreuung von Kontaktformularen oder Nutzeranfragen)  Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten  Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen  Datenträgerentsorgung durch Dienstleister Typische AV-Verhältnisse 26
  • 27. Rev. Stand 3.0  typische AV-Verhältnisse (2/2):  Prüfung oder Wartung (z.B. Fernwartung, externer Support) automatisierter Verfahren oder von EDV-Anlagen, wenn dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann  Zentralisierung bestimmter „Shared-Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen  Apothekenrechenzentren (§ 300 SGB V)  ärztliche / zahnärztliche Verrechnungsstellen (ohne Forderungsverkauf)  Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten erheben  externe Personen, Dienstleister usw., die im Auftrag Messwerte in Mietwohnungen ablesen bzw. verarbeiten (Heizung, Strom, Wasser etc.)  Visabeschaffungsdienstleister, die hierfür vom Arbeitgeber die Beschäftigtendaten erhalten Typische AV-Verhältnisse 27
  • 28. Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 28
  • 29. Rev. Stand 3.0  Wann liegt kein AV-Verhältnis vor?  Problem: keine Anhaltspunkte in der DSGVO oder im BDSG  wichtig: Abgrenzung zur gemeinsamen oder getrennten Verantwortlichkeit  Praxishilfen der dt. Aufsichtsbehörden u.a., z.B. von BayLDA, DSK, LfDI Baden-Württemberg  Tipp: „Orientierungshilfe Auftragsverarbeitung“ der DSK oder des BayLDA Regelmäßig keine AV-Verhältn. 29
  • 30. Rev. Stand 3.0  regelmäßig keine AV-Verhältnisse (1/5):  Tätigkeiten von Berufsgeheimnisträgern (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer, Ärzte, Apotheker…)  Inkassobüros mit Forderungsübertragung  Bankinstitute für den Geldtransfer  Postdienste für den Brief- oder Pakettransport  Tätigkeit als Verwalter z.B. für Eigentumswohnungen Regelmäßig keine AV-Verhältn. 30
  • 31. Rev. Stand 3.0  regelmäßig keine AV-Verhältnisse (2/5):  Detektive (bei ihrer Observierungs-, Überwachungs- oder Ausforschungstätigkeit)  Fälle beauftragter Warenzusendung (z.B. durch Blumen- oder Weinhändler, Hersteller…)  Insolvenzverwalter  Personalvermittlung nach Auftrag von Stellensuchenden oder Arbeitgebern  Internet-Plattformbetreiber zur Vermittlung zwischen Anbietern und Nachfragern, die sich auf der Plattform treffen können (z.B. eBay, Amazon, MyHammer…) Regelmäßig keine AV-Verhältn. 31
  • 32. Rev. Stand 3.0  regelmäßig keine AV-Verhältnisse (3/5):  TKG-Dienstleistungen (z.B. Deutsche Telekom, Vodafone, Telefonica, 1&1…)  Versicherungs- oder Finanzmakler bzw. -vermittler im Rahmen des Kundenvertrags  Handelsvertreter im Rahmen ihrer Beratungstätigkeit und Vertragsvermittlungen  Übersendung von Schulungsteilnehmer-Daten zur Durchführung der Schulung an einen externen Trainer, Schulungsveranstalter oder an das Tagungshotel  Fertigung individueller medizinischer Produkte, Hilfsmittel, Prothesen etc. für Patienten / Kunden Regelmäßig keine AV-Verhältn. 32
  • 33. Rev. Stand 3.0  regelmäßig keine AV-Verhältnisse (4/5):  Medizinische Labore, Materiallabore usw. (Materialuntersuchung im Auftrag)  Zahlungsdienstleister für elektronische Zahlungen  von Reisebüros aufgrund Kundenvertrags vermittelte Leistungsanbieter, wie Hotels, Mietwagenfirmen, Fluggesellschaften, Busunternehmen, Versicherungen usw.  vom Vermieter beauftragte Handwerker, die dazu die nötigen Mieterdaten erhalten  Sachverständige zur Begutachtung eines Kfz-Schadens  Personenbeförderung / Krankentransportleistungen Regelmäßig keine AV-Verhältn. 33
  • 34. Rev. Stand 3.0  regelmäßig keine AV-Verhältnisse (5/5):  Bewachungsdienstleistungen  Reinigungsdienstleistungen und Handwerkereinsätze in Unternehmen  Reinigung von Berufskleidung (mit Namensschildern)  Druck von Prospekten, Katalogen etc. (mit Bildern von Beschäftigten oder Fotomodellen)  Aber: Abgrenzung zu Lettershops!  Transport von Unterlagen und Waren durch Kurierdienste, Speditionen, Zeitungsausträger  Übersetzung von Texten in/aus Fremdsprachen Regelmäßig keine AV-Verhältn. 34
  • 35. Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 35
  • 36. Rev. Stand 3.0  Form des AV-Vertrages (Art. 28 Abs. 9 DSGVO):  „Der Vertrag [...] ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.“  nach allg. Auffassung ist auch der Abschluss des AV- Vertrages in elektr. Form zulässig (Website, App…) Der AV- / JC-Vertrag 36
  • 37. Rev. Stand 3.0  Pflichtinhalte eines AV-Vertrages [1/2]:  Gegenstand, Dauer, Art & Zweck der Verarbeitung  Art der personenbezogenen Daten  Kategorien der Betroffenen  Rechte & Pflichten des Verantwortlichen  AV darf Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten, sofern er nicht durch Gesetz hierzu verpflichtet ist  AV gewährleistet, dass sich die zur Datenverarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen  AV ergreift alle erforderlichen Maßnahmen zur Sicherheit der Datenverarbeitung (vgl. Art. 32 DSGVO) Der AV- / JC-Vertrag 37
  • 38. Rev. Stand 3.0  Pflichtinhalte eines AV-Vertrages [2/2)]:  AV hält Bedingungen für Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters ein  AV unterstützt Verantwortlichen nach Möglichkeit mit geeigneten TOMs dabei, der Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nachzukommen  AV unterstützt Verantwortlichen unter Berücksichtigung der Art der Verarbeitung & der ihm zur Verfügung stehenden Informationen bei der Einhaltung seiner Pflichten (z.B. zur DSFA)  nach Abschluss der Erbringung der Verarbeitungsleistungen veranlasst AV Löschung bzw. Rückgabe aller Daten nach Wahl des Verantwortlichen an diesen (sofern nicht eine gesetzliche Verpflichtung zur Speicherung der Daten besteht)  AV stellt Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung seiner Pflichten zur Verfügung und ermöglicht Überprüfungen, die vom Verantwortlichen durchgeführt werden Der AV- / JC-Vertrag 38
  • 39. Rev. Stand 3.0  Technisch Organisatorische Maßnahmen (TOM) im AV-Vertrag?  nach früherer Rechtslage waren TOM integraler Bestandteil des AV-Vertrages  TOMs werden heute i.d.R. als Anlage beigefügt  gem. DSGVO keine Pflicht zur Integration der TOM im AV- Vertrag  je sensibler oder umfangreicher die Daten sind, die per AV verarbeitet werden sollen, desto eher sollten die TOMs beschrieben und in den AV-Vertrag aufgenommen werden Der AV- / JC-Vertrag 39
  • 40. Rev. Stand 3.0  Entgelt für Prüfungen der Voraussetzungen beim Auftragnehmer?  Pflicht des Auftragnehmers, Prüfungen durch Auftraggeber zuzulassen -> Pflicht im Vertrag zu regeln  kein Anhaltspunkt in DSGVO, dass Prüfungen kostenfrei sein müssen  ggf. Nachweis durch vorherige Prüfungen, Zertifizierungen etc. möglich -> wenn darüber hinaus eine Vor-Ort-Prüfung gewünscht wird, können angemessene Kosten ggü. Auftraggeber geltend gemacht werden (allerdings darf dabei kein Gewinn gemacht werden, es geht nur um die Kosten, die tatsächlich für die Prüfung vor Ort entstehen)  Ausnahme: wenn Anzeichen für Rechtsverletzungen, Sicherheitsmängel o.ä. vorliegen, muss kostenfreie Prüfung durch Auftraggeber möglich sein Der AV- / JC-Vertrag 40
  • 41. Rev. Stand 3.0  Exkurs: Spezielles Verarbeitungsverzeichnis für Auftragsverarbeiter!  jeder Auftragsverarbeiter führt ein Verzeichnis zu allen Kategorien von Verarbeitungstätigkeiten, die im Auftrag eines Verantwortlichen durchgeführt werden  dieses Verarbeitungsverzeichnis enthält Folgendes:  den Namen und die Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist  den Namen und die Kontaktdaten des Vertreters des Verantwortlichen oder des Auftragsverarbeiters  den Namen und die Kontaktdaten eines etwaigen Datenschutzbeauftragten  die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden  ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Dokumentierung geeigneter Garantien  wenn möglich, eine allg. Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO Der AV- / JC-Vertrag 41
  • 42. Rev. Stand 3.0  Form des JC-Vertrages?  es existieren keine Formvorgaben  Abfassung in Schriftform, elektronisch oder auch „per Handschlag“ möglich  aber: „Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.“ (Art. 26 Abs. 2 S. 2) Der AV- / JC-Vertrag 42
  • 43. Rev. Stand 3.0  Pflichtinhalte des JC-Vertrages? [1/2]  „Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind.“ (Art. 26 Abs. 1 S. 2) Der AV- / JC-Vertrag 43
  • 44. Rev. Stand 3.0  Pflichtinhalte des JC-Vertrages? [2/2]  „In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.“ (Art. 26 Abs. 1 S. 3)  „Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln.“ (Art. 26 Abs. 2 S. 1) Der AV- / JC-Vertrag 44
  • 45. Rev. Stand 3.0 1. Einführung 2. Auftragsverarbeitung (AV) vs. gemeinsame Verantwortlichkeit 3. Typische AV-Verhältnisse 4. Regelmäßig keine AV-Verhältnisse 5. Der AV- / JC-Vertrag 6. Besonderheiten in den sozialen Medien Agenda 45
  • 46. Rev. Stand 3.0  EuGH, „FashionID“-Urt. v. 29.7.2019, C-40/17:  Gemeinsame Verantwortlichkeit von Facebook & Fanpage- Betreiber bzw. Nutzer von Social Plugins  Gerichtsentscheidung primär nur bzgl. Facebook & Fanpage- Betreiber, aber auch auf andere soziale Netzwerke übertragbar  Auswirkungen auf die Praxis? Social Media 46
  • 47. Rev. Stand 3.0  Betrieb von Social-Media-Accounts:  Abschluss eines Vertrages über gemeinsame Verantwortlichkeit (sog. Joint Controllership gem. Art. 26 DSGVO) – z.Zt. nur bei Facebook möglich  Datenschutzerklärung für Social-Media-Account  Anpassung der Website-Datenschutzerklärung  Verweis von Social-Media-Accounts auf Website  per sprechendem Link (z.B. „Datenschutzerklärung: www.xyz.de/datenschutz“ o.ä.)  „Rückverweis“ auf soziale Medien Social Media 47
  • 49. Rev. Stand 3.0  Einsatz sog. Social Plugins, z.B.  „Like“-Button (Facebook)  „Tweet“-Button (Twitter)  „Share“-Button (LinkedIn)  „x“-Button (Xing) Social Media 49
  • 50. Rev. Stand 3.0  Einsatz von sog. „2-Klick-Lösungen“ o.ä. Techniken in der Praxis noch nicht abschließend jur. bewertet  der sog. „Düsseldorfer Kreis“ hat am 08.12.2011 beschlossen, dass jedenfalls die Einbindung von Social Plugins ohne „2-Klick-Lösung“ rechtswidrig ist  u.a. der Heise Verlag bietet eine eigene techn. Lösung dafür (c‘t Shariff), auch Erweiterungen für div. CMS- Systeme erhältlich  z.B. Cookie-Banner, der auch Social Plugins umfasst Social Media 50
  • 51. Rev. Stand 3.0  Einsatz „2-Klick-Lösung“  Einbindung von Platzhalter-Grafiken (ohne sonstige Funktionen)  Infos bzgl. „Social Plugins“ bzw. „2-Klick-Lösung“ als Mouse-over-Text  Aktivierung der Social Plugins nach 1. Mausklick des Nutzers  Nutzung der Funktionen der Social Plugins erst nach 2. Mausklick des Nutzers  ausdrücklicher Hinweis auf Social Plugins in Datenschutzerklärung + Hinweis auf gemeinsame Verantwortlichkeit Social Media 51

Hinweis der Redaktion

  1. Die Informationen auf diesen Sprechernotizen werden eingegeben über [Einfügen] [Kopf- und Fußzeilen] Die Formatierung z. B. kursiv bei © dbb akademie wird im Notizenmaster durch Formatierung des Fußzeilen-Platzhalters erreicht