<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>Auftragsverarbeitung Archive - Datenschutz-Manager-24</title>
	<atom:link href="https://www.datenschutz-manager-24.de/infothek/auftragsverarbeitung/feed/" rel="self" type="application/rss+xml" />
	<link>https://www.datenschutz-manager-24.de/infothek/auftragsverarbeitung/</link>
	<description>Die Online-Hilfe für Datenschutzbeauftragte, Verantwortliche und Auftragsverarbeiter.</description>
	<lastBuildDate>Wed, 30 Apr 2025 09:42:58 +0000</lastBuildDate>
	<language>de</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	<generator>https://wordpress.org/?v=7.0</generator>

<image>
	<url>https://www.datenschutz-manager-24.de/wp-content/uploads/2021/04/favicon.ico</url>
	<title>Auftragsverarbeitung Archive - Datenschutz-Manager-24</title>
	<link>https://www.datenschutz-manager-24.de/infothek/auftragsverarbeitung/</link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>Data Privacy Framework – Neue Sicherheit für Datenübermittlungen in die USA?</title>
		<link>https://www.datenschutz-manager-24.de/data-privacy-framework-neue-sicherheit-fuer-datenuebermittlungen-in-die-usa/</link>
		
		<dc:creator><![CDATA[Lisa Jünemann]]></dc:creator>
		<pubDate>Tue, 15 Aug 2023 09:25:48 +0000</pubDate>
				<category><![CDATA[Uncategorized]]></category>
		<category><![CDATA[Angemessenheitsbeschluss]]></category>
		<category><![CDATA[Auftragsverarbeitung]]></category>
		<category><![CDATA[Datenübermittlung]]></category>
		<category><![CDATA[Drittland]]></category>
		<category><![CDATA[Standardvertragsklauseln]]></category>
		<guid isPermaLink="false">https://www.datenschutz-manager-24.de/?p=21460</guid>

					<description><![CDATA[<p>Am 10. Juli 2023 hat die Europäische Kommission einen Angemessenheitsbeschluss für das sogenannte EU-US Data Privacy Framework erlassen. Dieser sogenannte Angemessenheitsbeschluss stellt fest, dass die Vereinigten Staaten ein angemessenes Datenschutzniveau gewährleisten können.</p>
<p>Der Beitrag <a href="https://www.datenschutz-manager-24.de/data-privacy-framework-neue-sicherheit-fuer-datenuebermittlungen-in-die-usa/">Data Privacy Framework – Neue Sicherheit für Datenübermittlungen in die USA?</a> erschien zuerst auf <a href="https://www.datenschutz-manager-24.de">Datenschutz-Manager-24</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<h4 class="wp-block-heading"><strong>Hintergrund</strong></h4>



<p class="wp-block-paragraph">Grund für die Zweifel an einem angemessenen Datenschutzniveau sind die in den Vereinigten Staaten gültigen Massenüberwachungsgesetze, die es den Geheimdiensten ermöglichen Ausländer ohne Gerichtsbeschluss zu überwachen. Dies wurde 2013 durch Edward Snowdens Enthüllungen aufgedeckt. Die Befugnisse zur Massenüberwachung wurden nach dem 11. September 2001 zur Terrorismusbekämpfung eingeführt.</p>



<h4 class="wp-block-heading"><strong><strong><strong>Zertifizierte Unternehmen</strong></strong></strong></h4>



<p class="wp-block-paragraph">Der Beschluss erstreckt sich aber nicht auf die gesamten Vereinigten Staaten. US-Unternehmen müssen ein Selbstzertifizierungsverfahren durchlaufen, im Rahmen dessen sie sich verpflichten, bestimmte Datenschutzvorgaben zu erfüllen, um somit ein angemessenes Datenschutzniveau zu gewährleisten. Zertifizierte Unternehmen werden auf der Webseite des Data Privacy Frameworks geführt: <a href="https://www.dataprivacyframework.gov/list" target="_blank" rel="noreferrer noopener">https://www.dataprivacyframework.gov/list</a></p>



<p class="wp-block-paragraph"><strong>Kritik trotz Verbesserungen</strong></p>



<p class="wp-block-paragraph">Jedoch ist fraglich, ob das Ganze auf Dauer Bestand haben wird. Die beiden Vorgänger des Data Privacy Frameworks &#8211; „Safe Harbor“ und „Privacy Shield“ &#8211; wurden durch zwei Klagen des Datenschutzaktivisten Maximilian Schrems vor dem Europäischen Gerichtshof für unwirksam erklärt (EuGH, 06.10.2015 – <a rel="noreferrer noopener" href="https://openjur.de/u/859036.html" target="_blank">C-362/14</a> “Schrems I” und EuGH, 16.07.2020 – <a href="https://curia.europa.eu/juris/document/document.jsf?text=&amp;docid=228677&amp;pageIndex=0&amp;doclang=DE&amp;mode=req&amp;dir=&amp;occ=first&amp;part=1" target="_blank" rel="noreferrer noopener">C-311/18</a>&nbsp;“Schrems II”). Das wesentliche Problem war, dass sich die US-Geheimdienste theoretisch trotzdem über die Vereinbarungen hinwegsetzen konnten.</p>



<p class="wp-block-paragraph">Um einem „Schrems III“ vorzubeugen, wurden im Rahmen des Frameworks weitreichendere Maßnahmen getroffen:</p>



<ul class="wp-block-list">
<li>Die US-Geheimdienste müssen nun prüfen, ob ein Zugriff auf die Daten von EU-Bürgern verhältnismäßig ist.</li>



<li>Es gibt einen Rechtsbehelfsmechanismus, im Rahmen dessen Beschwerden eingereicht und überprüft werden können.</li>
</ul>



<p class="wp-block-paragraph">Trotzdem wird auch das Data Privacy Framework von Maximilian Schrems scharf kritisiert. Die von ihm gegründete Nichtregierungsorganisation noyb hält die Verbesserungen für nicht stichhaltig und kündigt an, wieder vor den Europäischen Gerichtshof ziehen zu wollen.</p>



<h4 class="wp-block-heading"><strong>Fazit</strong></h4>



<p class="wp-block-paragraph">Eine Übermittlung von personenbezogenen Daten an US-Unternehmen, die unter dem Data Privacy Framework zertifiziert sind, ist vorerst als rechtssicher zu bezeichnen. Wenn das Framework erneut für unwirksam erklärt werden sollte, müssen Unternehmen Ihre Datenübermittlungen wieder hauptsächlich auf die Verwendung der EU-Standardvertragsklauseln stützen. Diese wurden aber ebenso schon in Frage gestellt, da sich US-Unternehmen kaum an die enthaltenen Verpflichtungen halten können. Leider geht mit dem Einsatz von US-Unternehmen immer ein gewisses Restrisiko einher.</p>
<p>Der Beitrag <a href="https://www.datenschutz-manager-24.de/data-privacy-framework-neue-sicherheit-fuer-datenuebermittlungen-in-die-usa/">Data Privacy Framework – Neue Sicherheit für Datenübermittlungen in die USA?</a> erschien zuerst auf <a href="https://www.datenschutz-manager-24.de">Datenschutz-Manager-24</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>GPS-Überwachung von Fahrzeugen</title>
		<link>https://www.datenschutz-manager-24.de/gps-ueberwachung-von-fahrzeugen/</link>
		
		<dc:creator><![CDATA[Lisa Jünemann]]></dc:creator>
		<pubDate>Tue, 23 May 2023 10:03:43 +0000</pubDate>
				<category><![CDATA[Uncategorized]]></category>
		<category><![CDATA[Auftragsverarbeitung]]></category>
		<category><![CDATA[Beschäftigtendatenschutz]]></category>
		<guid isPermaLink="false">https://www.datenschutz-manager-24.de/?p=21017</guid>

					<description><![CDATA[<p>Die Verwendung von globalen Positionsbestimmungssystemen (GPS) im Firmenfuhrpark erfreut sich immer mehr der Beliebtheit. Damit dieses Vorgehen rechtmäßig ist, gibt es aus datenschutzrechtlicher Sicht einiges zu beachten.</p>
<p>Der Beitrag <a href="https://www.datenschutz-manager-24.de/gps-ueberwachung-von-fahrzeugen/">GPS-Überwachung von Fahrzeugen</a> erschien zuerst auf <a href="https://www.datenschutz-manager-24.de">Datenschutz-Manager-24</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<h4 class="wp-block-heading">Es muss eine Rechtsgrundlage vorliegen</h4>



<p class="wp-block-paragraph">Für Datenverarbeitungen bedarf es grundsätzlich einer Rechtsgrundlage. Die Verarbeitung kann zum Beispiel erlaubt sein, wenn diese zur Erfüllung eines Vertrags mit den betroffenen Personen (hier der Fahrer der Fahrzeuge) erforderlich sind (<a href="https://www.datenschutz-manager-24.de/dsgvo/art-6-dsgvo/#abs-1-lit-b">Art. 6 Abs. 1 lit. b DSGVO</a>). Das kann auch ein Beschäftigungsverhältnis sein (<a href="https://www.datenschutz-manager-24.de/bdsg/par-26-bdsg/#abs-1">§ 26 Abs. 1 BDSG</a>). Ob die GPS-Überwachung wirklich erforderlich ist, richtet sich nach der Stellenbeschreibung und der Ausgestaltung des Arbeitsvertrags. Außerdem kann es erforderlich sein, den Betriebsrat einzubinden.</p>



<p class="wp-block-paragraph">Als Alternative kann das sog. berechtigte Interesse des Betriebs in Frage kommen (<a href="https://www.datenschutz-manager-24.de/dsgvo/art-6-dsgvo/#abs-1-lit-f">Art. 6 Abs. 1 lit. f DSGVO</a>). Hierzu müssen zunächst die Zwecke, zu denen die Ortungsdaten erfasst werden sollen, festgelegt sein. Dient die Erfassung zum Beispiel der Routenplanung oder der Missbrauchsprävention? Außerdem muss die Erfassung der Standortdaten zur Wahrung des Interesses des Betriebs erforderlich sein. Dabei dürfen die Interessen oder Grundrechte der betroffenen Personen nicht überwiegen. Diese Interessenabwägung sollte dokumentiert werden.</p>



<p class="wp-block-paragraph">Stellt sich die Standortüberwachung als schwerwiegender Eingriff dar und kann nicht auf ein Vertragsverhältnis gestützt werden, wird diese Datenverarbeitung regelmäßig unzulässig sein. Gibt es im Einzelfall eine Rechtfertigung für die Überwachung, sind die folgenden Punkte zu beachten:</p>



<h4 class="wp-block-heading"><strong>Risikoabwägung</strong></h4>



<p class="wp-block-paragraph">Die DSGVO verfolgt einen risikobasierten Ansatz. Deshalb muss für diese Datenverarbeitung eine Risikoabwägung erfolgen. Hier müssen die möglichen Risiken für die betroffenen Personen identifiziert werden. Das kann ein Überwachungsdruck, Missbrauch durch Arbeitgeber etc. sein. Wird das Risiko als „hoch“ eingeschätzt, muss eine sogenannte Datenschutz-Folgenabschätzung (<a href="https://www.datenschutz-manager-24.de/dsgvo/art-35-dsgvo/">Art. 35 DSGVO</a>) durchgeführt werden. Dabei ist der Datenschutzbeauftragte des Unternehmens einzubinden.</p>



<h4 class="wp-block-heading"><strong><strong>Speicherung der Daten</strong></strong></h4>



<p class="wp-block-paragraph">In vielen Fällen kann es ausreichend sein, wenn nur die Livedaten erfasst werden und keine andauernde Speicherung der Standortdaten erfolgt. Hier hat die hessische Datenschutzaufsicht bereits eine Anordnung gegen ein Logistikunternehmen durchgesetzt, welches die Standortdaten nicht mehr speichern, sondern nur noch live tracken durfte.</p>



<p class="wp-block-paragraph">Das vollständige Urteil zu der Anordnung finden Sie hier: <a href="https://www.rv.hessenrecht.hessen.de/bshe/document/LARE220002547" target="_blank" rel="noreferrer noopener">https://www.rv.hessenrecht.hessen.de/bshe/document/LARE220002547</a></p>



<h4 class="wp-block-heading"><strong>Transparente Information</strong></h4>



<p class="wp-block-paragraph">Die betroffenen Personen müssen vor der ersten Erfassung ihrer Daten transparent und verständlich über den Vorgang informiert werden. Die Inhalte der Information richten sich nach <a href="https://www.datenschutz-manager-24.de/dsgvo/art-13-dsgvo/">Art. 13 DSGVO</a>. Im Einzelfall muss entschieden werden, wie man den betroffenen Personen diese Information zukommen lassen kann. Mitarbeitern kann man diese sicherlich in gedruckter Form überreichen. Oftmals sind die Nutzer eines Fahrzeugs so aber nicht sicher erreichbar. Dann hat sich als besonders praktikabel die Information durch Aufkleber mit QR-Code in den Fahrzeugen erwiesen. Diese verlinken auf die erforderlichen Informationen, die auf der Internetseite des Verantwortlichen hinterlegt sind.</p>



<h4 class="wp-block-heading"><strong>Technische Besonderheiten</strong></h4>



<p class="wp-block-paragraph">Es gibt eine Reihe von Dienstleistern, die technische Lösungen für die Standortüberwachung anbieten. Bei der Auswahl sollten Sie die Funktionen der Software prüfen. Die Speicherdauer der Daten sollte anpassbar sein. Außerdem sollten die Zugriffsrechte auf die Daten auf die notwendigsten Personen begrenzt werden. In den meisten Fällen handelt es sich bei der Dienstleistung um eine Auftragsverarbeitung, für die ein entsprechender Vertrag nach <a href="https://www.datenschutz-manager-24.de/dsgvo/art-28-dsgvo/">Art. 28 DSGVO</a> abgeschlossen werden muss.</p>
<p>Der Beitrag <a href="https://www.datenschutz-manager-24.de/gps-ueberwachung-von-fahrzeugen/">GPS-Überwachung von Fahrzeugen</a> erschien zuerst auf <a href="https://www.datenschutz-manager-24.de">Datenschutz-Manager-24</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>DSK-Orientierungshilfe: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail</title>
		<link>https://www.datenschutz-manager-24.de/dsk-orientierungshilfe-massnahmen-zum-schutz-personenbezogener-daten-bei-der-uebermittlung-per-e-mail/</link>
		
		<dc:creator><![CDATA[Lisa Jünemann]]></dc:creator>
		<pubDate>Fri, 03 Mar 2023 09:52:00 +0000</pubDate>
				<category><![CDATA[Uncategorized]]></category>
		<category><![CDATA[Auftragsverarbeitung]]></category>
		<category><![CDATA[Datenschutzkonferenz (DSK)]]></category>
		<category><![CDATA[Datensicherheit]]></category>
		<category><![CDATA[Datenübermittlung]]></category>
		<category><![CDATA[E-Mail]]></category>
		<category><![CDATA[Orientierungshilfen (DSK)]]></category>
		<category><![CDATA[Technische und organisatorische Maßnahmen (TOMs)]]></category>
		<category><![CDATA[Verschlüsselung]]></category>
		<guid isPermaLink="false">https://www.datenschutz-manager-24.de/?p=20566</guid>

					<description><![CDATA[<p>Verantwortliche und Auftragsverarbeiter sind gesetzlich verpflichtet beim Umgang mit personenbezogenen Daten ausreichende Schutzmaßnahmen zu treffen. Welche Anforderungen sich an den Transportweg per E-Mail ergeben, erklärt die folgende Orientierungshilfe.</p>
<p>Der Beitrag <a href="https://www.datenschutz-manager-24.de/dsk-orientierungshilfe-massnahmen-zum-schutz-personenbezogener-daten-bei-der-uebermittlung-per-e-mail/">DSK-Orientierungshilfe: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail</a> erschien zuerst auf <a href="https://www.datenschutz-manager-24.de">Datenschutz-Manager-24</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph">Die Datenschutzkonferenz (DSK) stellt ihre Orientierungshilfen in Form von PDF-Dateien zur Verfügung. Hier finden Sie den Link zum Originaltext: <a href="https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf" data-type="link" data-id="https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf" target="_blank" rel="noreferrer noopener">DSK-Orientierungshilfe: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail</a></p>



<p class="wp-block-paragraph"></p>



<p class="wp-block-paragraph"></p>



<p class="wp-block-paragraph"></p>
<p>Der Beitrag <a href="https://www.datenschutz-manager-24.de/dsk-orientierungshilfe-massnahmen-zum-schutz-personenbezogener-daten-bei-der-uebermittlung-per-e-mail/">DSK-Orientierungshilfe: Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail</a> erschien zuerst auf <a href="https://www.datenschutz-manager-24.de">Datenschutz-Manager-24</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>DSK-Kurzpapier Nr. 12: Datenschutzbeauftragte bei Verantwortlichen und Auftragsverarbeitern</title>
		<link>https://www.datenschutz-manager-24.de/dsk-kurzpapier-12/</link>
		
		<dc:creator><![CDATA[Lisa Jünemann]]></dc:creator>
		<pubDate>Thu, 15 Sep 2022 10:25:51 +0000</pubDate>
				<category><![CDATA[Uncategorized]]></category>
		<category><![CDATA[Auftragsverarbeitung]]></category>
		<category><![CDATA[Datenschutzbeauftragte (DSB)]]></category>
		<category><![CDATA[Datenschutzkonferenz (DSK)]]></category>
		<category><![CDATA[Datenschutzorganisation]]></category>
		<category><![CDATA[Kurzpapiere (DSK)]]></category>
		<category><![CDATA[Verantwortlicher]]></category>
		<guid isPermaLink="false">https://www.datenschutz-manager-24.de/?p=19148</guid>

					<description><![CDATA[<p>Dieses Kurzpapier geht ausführlich auf die Regelugen zur Benennung eines Datenschutzbeauftragten von Verantwortlichen und Auftragsverarbeitern ein. Neben Aufgaben und Rechten werden auch die Pflichten zur Aufgabenerfüllung des Datenschutzbeauftragten erläutert.</p>
<p>Der Beitrag <a href="https://www.datenschutz-manager-24.de/dsk-kurzpapier-12/">DSK-Kurzpapier Nr. 12: Datenschutzbeauftragte bei Verantwortlichen und Auftragsverarbeitern</a> erschien zuerst auf <a href="https://www.datenschutz-manager-24.de">Datenschutz-Manager-24</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph">Die Datenschutzkonferenz (DSK) stellt ihre Kurzpapiere in Form von PDF-Dateien zur Verfügung. Hier finden Sie den Link zum Originaltext: <a href="https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_12.pdf" target="_blank" rel="noreferrer noopener">Kurzpapier Nr. 12: Datenschutzbeauftragte bei Verantwortlichen und Auftragsverarbeitern</a></p>



<p class="wp-block-paragraph"><strong><strong>Achtung!</strong> </strong>Der Originaltext wird derzeit durch die DSK aktualisiert. </p>
<p>Der Beitrag <a href="https://www.datenschutz-manager-24.de/dsk-kurzpapier-12/">DSK-Kurzpapier Nr. 12: Datenschutzbeauftragte bei Verantwortlichen und Auftragsverarbeitern</a> erschien zuerst auf <a href="https://www.datenschutz-manager-24.de">Datenschutz-Manager-24</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>DSK-Kurzpapier Nr. 13: Auftragsverarbeitung – Art. 28 DSGVO</title>
		<link>https://www.datenschutz-manager-24.de/dsk-kurzpapier-13/</link>
		
		<dc:creator><![CDATA[Lisa Jünemann]]></dc:creator>
		<pubDate>Thu, 15 Sep 2022 10:16:08 +0000</pubDate>
				<category><![CDATA[Uncategorized]]></category>
		<category><![CDATA[Auftragsverarbeitung]]></category>
		<category><![CDATA[Datenschutzkonferenz (DSK)]]></category>
		<category><![CDATA[Gemeinsame Verantwortung]]></category>
		<category><![CDATA[Kurzpapiere (DSK)]]></category>
		<category><![CDATA[Technische und organisatorische Maßnahmen (TOMs)]]></category>
		<category><![CDATA[Verantwortlicher]]></category>
		<guid isPermaLink="false">https://www.datenschutz-manager-24.de/?p=19144</guid>

					<description><![CDATA[<p>Dieses Kurzpapier befasst sich mit den Neuerungen der DSGVO zum Thema Auftragsverarbeitung. Es werden Details zu Verantwortlichkeiten, Rechten und Pflichten zur Auftragsverarbeitung erläutert und Beispiele zum Vorliegen von Auftragsverarbeitungen benannt.</p>
<p>Der Beitrag <a href="https://www.datenschutz-manager-24.de/dsk-kurzpapier-13/">DSK-Kurzpapier Nr. 13: Auftragsverarbeitung – Art. 28 DSGVO</a> erschien zuerst auf <a href="https://www.datenschutz-manager-24.de">Datenschutz-Manager-24</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph">Die Datenschutzkonferenz (DSK) stellt ihre Kurzpapiere in Form von PDF-Dateien zur Verfügung. Hier finden Sie den Link zum Originaltext: <a href="https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_13.pdf" target="_blank" rel="noreferrer noopener">Kurzpapier Nr. 13: Auftragsverarbeitung &#8211; Art. 28 DSGVO</a></p>



<p class="wp-block-paragraph"><strong><strong>Achtung!</strong></strong> Der Originaltext wird derzeit durch die DSK aktualisiert. </p>
<p>Der Beitrag <a href="https://www.datenschutz-manager-24.de/dsk-kurzpapier-13/">DSK-Kurzpapier Nr. 13: Auftragsverarbeitung – Art. 28 DSGVO</a> erschien zuerst auf <a href="https://www.datenschutz-manager-24.de">Datenschutz-Manager-24</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>DSK-Kurzpapier Nr. 16: Gemeinsam für die Verarbeitung Verantwortliche – Art. 26 DSGVO</title>
		<link>https://www.datenschutz-manager-24.de/dsk-kurzpapier-16/</link>
		
		<dc:creator><![CDATA[Lisa Jünemann]]></dc:creator>
		<pubDate>Thu, 15 Sep 2022 09:50:10 +0000</pubDate>
				<category><![CDATA[Uncategorized]]></category>
		<category><![CDATA[Auftragsverarbeitung]]></category>
		<category><![CDATA[Datenschutzkonferenz (DSK)]]></category>
		<category><![CDATA[Gemeinsame Verantwortung]]></category>
		<category><![CDATA[Kurzpapiere (DSK)]]></category>
		<category><![CDATA[Verantwortlicher]]></category>
		<guid isPermaLink="false">https://www.datenschutz-manager-24.de/?p=19132</guid>

					<description><![CDATA[<p>Die DSK stellt mit dem Kurzpapier Nr. 16 nähere Informationen zum Begriff der gemeinsamen Verantwortlichkeit zur Verfügung. Verpflichtungen, Haftungsfragen sowie Anwendungsbeispiele zur Definition von Gemeinsamen Verantwortlichkeiten werden in dem Text ebenso erläutert, wie Besonderheiten in weiteren Bereichen der DSGVO.</p>
<p>Der Beitrag <a href="https://www.datenschutz-manager-24.de/dsk-kurzpapier-16/">DSK-Kurzpapier Nr. 16: Gemeinsam für die Verarbeitung Verantwortliche – Art. 26 DSGVO</a> erschien zuerst auf <a href="https://www.datenschutz-manager-24.de">Datenschutz-Manager-24</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph">Die Datenschutzkonferenz (DSK) stellt ihre Kurzpapiere in Form von PDF-Dateien zur Verfügung. Hier finden Sie den Link zum Originaltext: <a href="https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_16.pdf" target="_blank" rel="noreferrer noopener">Kurzpapier Nr. 16: Gemeinsam für die Verarbeitung Verantwortliche – Art. 26 DSGVO</a></p>



<p class="wp-block-paragraph"><strong><strong>Achtung!</strong> </strong>Der Originaltext wird derzeit durch die DSK aktualisiert. </p>
<p>Der Beitrag <a href="https://www.datenschutz-manager-24.de/dsk-kurzpapier-16/">DSK-Kurzpapier Nr. 16: Gemeinsam für die Verarbeitung Verantwortliche – Art. 26 DSGVO</a> erschien zuerst auf <a href="https://www.datenschutz-manager-24.de">Datenschutz-Manager-24</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Neue Standardverträge für internationale Datenübermittlungen</title>
		<link>https://www.datenschutz-manager-24.de/neue-standardvertraege-fuer-internationale-datenuebermittlungen/</link>
		
		<dc:creator><![CDATA[Lisa Jünemann]]></dc:creator>
		<pubDate>Thu, 11 Nov 2021 09:43:23 +0000</pubDate>
				<category><![CDATA[Uncategorized]]></category>
		<category><![CDATA[Angemessenheitsbeschluss]]></category>
		<category><![CDATA[Auftragsverarbeitung]]></category>
		<category><![CDATA[Datensicherheit]]></category>
		<category><![CDATA[Drittland]]></category>
		<category><![CDATA[Standardvertragsklauseln]]></category>
		<guid isPermaLink="false">https://www.datenschutz-manager-24.de/?p=13974</guid>

					<description><![CDATA[<p>Nach diversen Urteilen des EuGHs (europäischen Gerichtshofs) und auch der Einführung der DSGVO hat nun die Europäische Kommission die schon länger notwendige Überarbeitung der SCCs (Standard contractual closes bzw. Standardvertragsklauseln) vorgenommen. Diese sind die häufigste Grundlage für Datenübermittlungen an Unternehmen mit dem Sitz im EU-Ausland. Betroffen sind dabei auch Unternehmen in der EU mit Konzerngesellschaften im EU-Ausland (beispielsweise Microsoft, Google oder Amazon).</p>
<p>Der Beitrag <a href="https://www.datenschutz-manager-24.de/neue-standardvertraege-fuer-internationale-datenuebermittlungen/">Neue Standardverträge für internationale Datenübermittlungen</a> erschien zuerst auf <a href="https://www.datenschutz-manager-24.de">Datenschutz-Manager-24</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<h4 class="wp-block-heading"><strong>Fristen zur Umstellung der Vertragswerke</strong></h4>



<p class="wp-block-paragraph">Wenn Sie (oder Ihre Dienstleister) mit solchen Unternehmen zusammenarbeiten, dann müssen Sie die neuen Standardvertragsklauseln vereinbaren. Hierfür haben Sie bei Altverträgen bis zum 27.12.2022 Zeit. Neuverträge dürfen seit dem 29.09.2021 nur nach den neuen Klauseln abgeschlossen werden.</p>



<p class="wp-block-paragraph">Aufgrund der Fülle der Arbeiten (siehe Handlungsempfehlungen) sollten Sie mit der Umsetzung nicht zu lange warten. Gute Dienstleister sollten sich diesbezüglich auch schon aktiv bei Ihnen gemeldet haben oder derzeit daran arbeiten.</p>



<h4 class="wp-block-heading"><strong>Besonderheit Vereinigtes Königreich (UK)</strong></h4>



<p class="wp-block-paragraph">Nach dem Austritt von UK aus der EU war lange Zeit unklar, wie mit Datenübermittlungen nach UK umzugehen ist. Zwischenzeitlich hat die EU aber für Klarheit gesorgt und einen sogenannten Angemessenheitsbeschluss erlassen. Dieser attestiert UK ein angemessenes Datenschutzniveau und Daten können wie mit einem Land innerhalb der EU ausgetauscht werden.</p>



<p class="wp-block-paragraph">Aber Vorsicht: Der Beschluss gilt zunächst nur für vier Jahre!</p>



<h4 class="wp-block-heading"><strong>Handlungsempfehlungen</strong></h4>



<ol class="wp-block-list">
<li><strong>Bestandsaufnahme:</strong> Prüfen Sie, ob Daten Ihrer Kunden, Mitarbeiter oder anderen Personen in Ländern außerhalb der EU verarbeitet werden. Fragen Sie diesbezüglich auch bei Auftragsverarbeitern nach. Dabei ist zu beachten, dass Auftragsverarbeiter ggf. mit Konzerngesellschaften oder anderen Dienstleistern außerhalb der EU zusammenarbeiten, die Zugriff haben können.</li>



<li><strong>Anfrage nach neuen SCCs: </strong>Wenn notwendig, führen Sie bezüglich der neuen Standardvertragsklauseln eine Anfrage bei den betroffenen Partnern an. Wenn diese wiederum Dienstleister einsetzen, fragen Sie nach dem Stand der Verträge hierzu und fordern Sie ggf. eine Kopie der Vereinbarungen zum Nachweis an. Prüfen Sie in jedem Fall auch, ob die gelieferten SCCs die richtigen sind, da es vier verschiedene Module gibt.</li>



<li><strong>Anfrage nach Sicherheitsmaßnahmen:</strong> Der Abschluss von SCCs allein reicht nicht aus. Es müssen eventuell besondere Sicherheitsmaßnahmen (beispielsweise Serverstandort in der EU, Pseudonymisierung oder Verschlüsselung) umgesetzt werden. Fragen Sie diese bei den Dienstleistern an. Prüfen Sie in jedem Fall, ob durch die Sicherheitsmaßnahmen ein angemessenes Datenschutzniveau hergestellt wird.</li>



<li><strong>Protokollierung:</strong> Zum Nachweis protokollieren Sie bitte alle Vorgänge. Die Aufsichtsbehörden prüfen internationalen Datenverkehr derzeit über verschiedene Wege.</li>
</ol>
<p>Der Beitrag <a href="https://www.datenschutz-manager-24.de/neue-standardvertraege-fuer-internationale-datenuebermittlungen/">Neue Standardverträge für internationale Datenübermittlungen</a> erschien zuerst auf <a href="https://www.datenschutz-manager-24.de">Datenschutz-Manager-24</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Auftragsverarbeitung bei Wartung von IT-Systemen</title>
		<link>https://www.datenschutz-manager-24.de/auftragsverarbeitung-bei-wartung-von-it-systemen/</link>
		
		<dc:creator><![CDATA[Lisa Jünemann]]></dc:creator>
		<pubDate>Thu, 23 Sep 2021 06:03:15 +0000</pubDate>
				<category><![CDATA[Uncategorized]]></category>
		<category><![CDATA[Auftragsverarbeitung]]></category>
		<category><![CDATA[Datenschutzkonferenz (DSK)]]></category>
		<category><![CDATA[Europäischer Datenschutzausschuss (EDSA)]]></category>
		<guid isPermaLink="false">https://www.datenschutz-manager-24.de/?p=13216</guid>

					<description><![CDATA[<p>Häufig wird die Wartung von IT-Systemen pauschal als Auftragsverarbeitung eingestuft, unabhängig davon, wie umfangreich die Zugriffe auf personenbezogene Daten sind. Ebenso häufig kommt es zwischen den verantwortlichen Unternehmen und den IT-Dienstleistern zu Diskussionen, ob eine Vereinbarung zur Auftragsverarbeitung abgeschlossen werden soll oder nicht. Der Europäische Datenschutzausschuss sieht hier jedenfalls einen gewissen Spielraum.</p>
<p>Der Beitrag <a href="https://www.datenschutz-manager-24.de/auftragsverarbeitung-bei-wartung-von-it-systemen/">Auftragsverarbeitung bei Wartung von IT-Systemen</a> erschien zuerst auf <a href="https://www.datenschutz-manager-24.de">Datenschutz-Manager-24</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<h4 class="wp-block-heading">Bisherige Einschätzung der Datenschutzkonferenz (DSK)</h4>



<p class="wp-block-paragraph">Die Datenschutzkonferenz (Zusammenschluss der Aufsichtsbehörden des Bundes und der Länder) stuft bereits eine Wartung von IT-Systemen, bei denen eine Kenntnisnahme von personenbezogenen Daten nicht ausgeschlossen werden kann, als eine Auftragsverarbeitung mit der entsprechenden Notwendigkeit eines Vertrags ein (siehe Seite 3 <a href="https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_13.pdf" data-type="URL" data-id="https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_13.pdf" target="_blank" rel="noreferrer noopener">Kurzpapier Nr: 13</a>).</p>



<h4 class="wp-block-heading"><strong>Auffassung des Europäischen Datenschutzausschusses (EDSA)</strong></h4>



<p class="wp-block-paragraph">Der Europäische Datenschutzausschuss hat hierzu eine etwas differenzierte Einschätzung. Es komme darauf an, ob der Auftragnehmer überhaupt mit der Verarbeitung von personenbezogenen Daten beauftragt wird und ob personenbezogene Daten bei der Wartung lediglich zufällig und in begrenztem Umfang zur Kenntnis genommen werden. In diesen Fällen sei es ausreichend, angemessene technische und organisatorische Maßnahmen zu treffen. Dies könnte z.B. eine Geheimhaltungsvereinbarung oder Vertraulichkeitsverpflichtung für den Dienstleister sein. Eine weitere organisatorische Maßnahme könnte eine Vorgabe an die eigenen Mitarbeiter sein, vor einem Wartungseinsatz Anwendungen und Dokumente mit vertraulichen Daten zu schließen (siehe <a href="https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_en">Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO Version 2.0, Seite 32 Nr. 83: &#8222;Beispiel: IT-Berater, der einen Software-Fehler behebt&#8220;</a>).</p>



<h4 class="wp-block-heading">Fazit</h4>



<p class="wp-block-paragraph">Sollte ein Dienstleister im Rahmen eines allgemeinen IT-Supports umfangreichen, systematischen Zugriff auf personenbezogene Daten haben, wird der Abschluss einer Vereinbarung zur Auftragsverarbeitung regelmäßig erforderlich sein. Bei wenigen gelegentlichen Wartungseinsätzen, bei denen ein Zugriff auf personenbezogene Daten auf ein zufälliges Minimum reduziert werden kann, könnte demnach eine Vereinbarung zur Auftragsverarbeitung entbehrlich sein.</p>
<p>Der Beitrag <a href="https://www.datenschutz-manager-24.de/auftragsverarbeitung-bei-wartung-von-it-systemen/">Auftragsverarbeitung bei Wartung von IT-Systemen</a> erschien zuerst auf <a href="https://www.datenschutz-manager-24.de">Datenschutz-Manager-24</a>.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>EDSA-Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO</title>
		<link>https://www.datenschutz-manager-24.de/edsa-leitlinien-07-2020-zu-den-begriffen-verantwortlicher-und-auftragsverarbeiter-in-der-dsgvo/</link>
		
		<dc:creator><![CDATA[Lisa Jünemann]]></dc:creator>
		<pubDate>Wed, 07 Jul 2021 09:29:08 +0000</pubDate>
				<category><![CDATA[Uncategorized]]></category>
		<category><![CDATA[Auftragsverarbeitung]]></category>
		<category><![CDATA[Europäischer Datenschutzausschuss (EDSA)]]></category>
		<category><![CDATA[Leitlinien (EDSA)]]></category>
		<category><![CDATA[Verantwortlicher]]></category>
		<guid isPermaLink="false">https://www.datenschutz-manager-24.de/?p=21136</guid>

					<description><![CDATA[<p>Innerhalb dieser Leitlinien werden die Begrifflichkeiten „Verantwortlicher“, „gemeinsam Verantwortliche“, „Auftragsverarbeiter“ und „Dritter/Empfänger“ erörtert sowie wer für die Einhaltung der verschiedenen Datenschutzvorschriften verantwortlich ist. Außerdem wird näher auf die Aufgaben und Folgen eingegangen, die sich aus den unterschiedlichen Rollen ergeben.</p>
<p>Der Beitrag <a href="https://www.datenschutz-manager-24.de/edsa-leitlinien-07-2020-zu-den-begriffen-verantwortlicher-und-auftragsverarbeiter-in-der-dsgvo/">EDSA-Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO</a> erschien zuerst auf <a href="https://www.datenschutz-manager-24.de">Datenschutz-Manager-24</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph">Der EDSA stellt Leitlinien in Form von PDF-Dateien zur Verfügung. Hier finden Sie den Link zum Originaltext: <a href="https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_de" target="_blank" rel="noreferrer noopener">Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO</a></p>



<p class="wp-block-paragraph"></p>



<p class="wp-block-paragraph"></p>



<p class="wp-block-paragraph"></p>
<p>Der Beitrag <a href="https://www.datenschutz-manager-24.de/edsa-leitlinien-07-2020-zu-den-begriffen-verantwortlicher-und-auftragsverarbeiter-in-der-dsgvo/">EDSA-Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO</a> erschien zuerst auf <a href="https://www.datenschutz-manager-24.de">Datenschutz-Manager-24</a>.</p>
]]></content:encoded>
					
		
		
			</item>
	</channel>
</rss>
