Technisch organisatorische Maßnahmen

Art. 28 DSGVO – Auftragsverarbeiter

Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete  technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. 1Der Auftragsverarbeiter nimmt…

…Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen können dazu insbesondere gehören: technische und organisatorische Maßnahmen um sicherzustellen, dass die Verarbeitung gemäß der Verordnung (EU)…

Art. 32 DSGVO – Sicherheit der Verarbeitung

bei einem physischen oder technische Zwischenfall rasch wiederherzustellen; ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der  technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust…

Art. 5 DSGVO – Grundsätze für die Verarbeitung personenbezogener Daten

…es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technische und organisatorische Maßnahmen die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende…

 

Auftragsverarbeitung

…zu unterscheiden, die zusammen die Zwecke und die Mittel der Datenverarbeitung festlegen und für diese auch gemeinsam einstehen. Der Verantwortliche hat bei der Auswahl des Auftragsverarbeiters sicherzustellen, dass dieser ausreichende technische und organisatorische Maßnahmen implementiert, so dass die Vorschriften der Verordnung eingehalten werden. In den meisten Fällen erfolgt die Auftragsverarbeitung…

…internationale Organisation, Angaben über die Rechtsgrundlage der Verarbeitung, die vorgesehenen Fristen für die Löschung oder die Überprüfung der Erforderlichkeit der Speicherung der verschiedenen Kategorien personenbezogener Daten und eine allgemeine Beschreibung der technische und organisatorische Maßnahmen gemäß § 64. Der Auftragsverarbeiter hat ein Verzeichnis aller Kategorien von Verarbeitungen zu führen, die…

Art. 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten

…oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien; wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien; wenn möglich, eine allgemeine Beschreibung der technische und organisatorische Maßnahmen gemäß Artikel 32 Absatz 1. Jeder Auftragsverarbeiter und…

 

Art. 25 DSGVO – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

…die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete  technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der…

Privacy by Design

…wieder. Laut Erwägungsgrund 46 dieser Richtlinie müssen bereits zum Zeitpunkt der Planung eines Verarbeitungssystems technische und organisatorische Maßnahmen (TOMs) getroffen werden, um insbesondere die Sicherheit der Daten zu gewährleisten. Hinter dem Begriff „Privacy by design“ verbirgt sich nichts Weiteres als „Datenschutz durch Technikgestaltung“. Dahinter verbirgt sich der Gedanke, dass der…

 

Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technische und organisatorische Maßnahmen zu…

 

DSGVO  Auftragsverarbeitung

Die Datenschutz-Grundverordnung bietet europaweit einheitlich die Möglichkeit zur sog. Auftragsverarbeitung. Die Auftragsverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragsverarbeiter gemäß den Weisungen des für die Datenverarbeitung Verantwortlichen auf Grundlage eines Vertrages.

Die entsprechenden Vorschriften zur Auftragsverarbeitung finden dabei schon dann Anwendung, wenn die Verar-beitung einen Zusammenhang mit Tätigkeiten einer Niederlassung in der Union aufweist. Das bedeutet, dass es ausreichend ist, wenn entweder der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung in der Union betreibt und die Verarbeitung mit der Arbeit in dieser zusammenhängt. Von der Konstellation der Auftragsver-arbeitung ist die der gemeinsam Verantwortlichen (Art. 26 EU-DSGVO) zu unterscheiden, die zusammen die Zwecke und die Mittel der Datenverarbeitung festlegen und für diese auch gemeinsam einstehen. Der Verantwortliche hat bei der Auswahl des Auftragsverarbeiters sicherzustellen, dass dieser ausreichende technische und organisatorische Maßnahmen implementiert, so dass die Vorschriften der Verordnung eingehalten werden.

In den meisten Fällen erfolgt die Auftragsverarbeitung auf Grundlage eines Vertrags. Der Art. 28 Abs. 3 DSGVO gibt dabei dessen inhaltliche Mindestanforderungen vor. So muss dieser unter anderem unbedingt enthalten, welche Art von personenbezogenen Daten verarbeitet werden sowie was Gegenstand und was Zweck der Verarbeitung sind. Darüber hinaus bestehen für den Auftragsverarbeiter weitere Pflichten. Beispielweise muss er auch ein Verzeichnis über die Verarbeitungstätigkeiten führen, welche den Namen und die Kontaktdaten jedes Verantwortlichen umfasst, in dessen Auftrag er tätig ist sowie die Kategorien von Verarbeitungen, die dabei durchgeführt werden. Des Weiteren umfasst das Verzeichnis gegebenenfalls eine Übermittlung von personenbezogenen Daten in Drittländer und nach Möglichkeit eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.

Grundsätzlich ist der Verantwortliche der erste Ansprechpartner für Betroffene und für die Einhaltung der datenschutzrechtlichen Vorgaben zuständig. Das bedeutet aber nicht, dass der Auftragsverarbeiter frei von Haftung wäre. Nach Art. 82 EU-DSGVO haftet er mit dem Verantwortlichen gemeinsam. Jedoch beschränkt sich seine Haftung nach Abs. 2 auf Verstöße gegen speziell ihm auferlegte Pflichten. Beiden Parteien steht die Möglichkeit der Exkulpation zur Verfügung. Dazu müssen sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.

Passende Artikel der DSGVO

Art. 4 DSGVO Begriffsbestimmungen Art. 27 DSGVO Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern Art. 28 DSGVO Auftragsverarbeiter Art. 29 DSGVO Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters Art. 30 DSGVO Verzeichnis von Verarbeitungstätigkeiten Art. 40 DSGVO Verhaltensregeln Art. 42 DSGVOZertifizierung Art. 44 DSGVO Allgemeine Grundsätze der Datenübermittlung Art. 45 DSGVODatenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses Art. 46 DSGVODatenübermittlung vorbehaltlich geeigneter Garantien Art. 47 DSGVO Verbindliche interne Datenschutzvorschriften Art. 82 DSGVO Haftung und Recht auf Schadenersatz

Passende Erwägungsgründe

(24) Anwendung auf Verarbeiter außerhalb der Union bei Profilerstellung von Betroffenen innerhalb der Union (36) Festlegung der Hauptniederlassung (80) Benennung eines Vertreters (81) Heranziehung eines Auftragsverarbeiters (82) Verzeichnis der Verarbeitungstätigkeiten (98) Erstellung von Verhaltensregeln durch Verbände und Vereinigungen (99) Konsultation von Interessenträgern und Betroffenen bei der Ausarbeitung von Verhaltensregeln (101) Grundsätze des internationalen Datenverkehrs (108) Geeignete Garantien (109) Standard-Datenschutzklauseln (146) Schadenersatz(147) Gerichtsbarkeit