LibCat » Книги » Приключения » unrecognised » DSGVO - BDSG - TTDSG

DSGVO - BDSG - TTDSG

Здесь есть возможность читать онлайн «DSGVO - BDSG - TTDSG» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Жанр: unrecognised, на немецком языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
DSGVO - BDSG - TTDSG
Автор:
Неизвестный Автор
Жанр:
unrecognised / на немецком языке
Год:
неизвестен
ISBN:
нет данных
Рейтинг книги:
3 / 5. Голосов: 1
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 60
- 1
- 2
- 3
- 4
- 5

DSGVO - BDSG - TTDSG: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «DSGVO - BDSG - TTDSG»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Mit der EU-Datenschutzgrundverordnung (DSGVO) wurde ein neues Kapitel im Datenschutzrecht aufgeschlagen, das datenverarbeitende Stellen mit Herausforderungen konfrontiert, deren Nichtbeachtung zu erheblichen Bußgeldzahlungen führen kann. Transparenz- und Dokumentationspflichten sowie die Pflicht zur Rechenschaft über getroffene Maßnahmen zur Gewährleistung der Datensicherheit, die vorzunehmende Datenschutzfolgenabschätzung, die verschärften Meldepflichten bei Datenpannen, die erweiterte Verantwortlichkeit der Auftragsverarbeiter, die Interessenabwägungen im Rahmen des risikobasierten Ansatzes der DSGVO sowie die Anforderungen an den internationalen Datentransfer sind Themen, mit denen sich jeder Verantwortliche intensiv auseinandersetzen muss.
Die DSGVO enthält zahlreiche Öffnungsklauseln, die der Gesetzgeber mit dem Bundesdatenschutzgesetz (BDSG) schließen musste und dazu nutzte, bereichsspezifische Regelungen einzuführen, etwa zum Scoring, zur Videoüberwachung und zum Beschäftigtendatenschutz.
Das Werk kommentiert leicht verständlich, aktuell und praxisnah die DSGVO sowie das BDSG und – neu – auch das TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz). Verantwortliche erhalten damit eine umfassende Darstellung mit Handlungsempfehlungen zum gesamten neuen Datenschutzrecht. Betriebliche Datenschutzbeauftragte können sich an den fundierten Kommentierungen orientieren, in denen Literatur und Rechtsprechung aktuell berücksichtigt wurden.

DSGVO - BDSG - TTDSG — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «DSGVO - BDSG - TTDSG», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

252

Zu beachten ist hierbei, dass sich die Zwecksetzungsbefugnisstets auf die Verarbeitung eines konkreten Datensatzes bezieht. Insofern steht es Auftragsverarbeitern grundsätzlich frei, einen Verarbeitungszweck abstrakt zu bestimmen, etwa indem sie eine spezielle datenverarbeitende Tätigkeit am Markt anbieten. Zur Bestimmung der datenschutzrechtlichen Verantwortlichkeit ist vielmehr entscheidend, dass der Auftraggeber sich dazu entscheidet, die angebotene Leistung des Auftragnehmers in Anspruch zu nehmen, mithin in seiner datenschutzrechtlichen Verantwortlichkeit stehende personenbezogene Daten vom Auftragnehmer (nach dessen abstrakter Zweckbestimmung) verarbeiten zu lassen.498

253

Die Entscheidungsbefugnis über die Mittelder Verarbeitung ist demgegenüber zweitrangig. Sie hat eine Verantwortlichkeit für die Verarbeitung nur dann zur Folge, wenn über wesentliche Aspekte der Mittel entschieden wird.499 Die Entscheidung über bestimmte technische oder organisatorische Mittel der Verarbeitung kann daher vom Verantwortlichen durchaus auf den Auftragsverarbeiter delegiert werden, ohne seine Stellung als Auftragsverarbeiter zu gefährden.500 Es ist auch durchaus möglich, dass ausschließlich der Auftragsverarbeiter über die (unwesentlichen) technischen und organisatorischen Mittel entscheidet (vgl. obiges Beispiel eines spezialisierten Dienstleisters).501 Durch Inanspruchnahme der Dienstleistung und das damit einhergehende Akzeptieren der vom Auftragsverarbeiter festgelegten Mittel der Datenverarbeitung übernimmt der Auftraggeber auch die datenschutzrechtliche Verantwortung für die jeweilige Verarbeitungsaktivität.502

d) Weisungsgebundenheit

254

Kennzeichnend für eine Auftragsverarbeitung ist ferner, dass die datenverarbeitende Stelle „im Auftrag“ des Auftraggebers handelt und an dessen Weisungengebunden ist. Die Tätigkeit als Auftragsverarbeiter ist demgemäß in erster Linie dadurch charakterisiert, dass der Auftragsverarbeiter Datenverarbeitungsverfahren im Auftrag durchführt, für die der Auftraggeber Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO ist. Vor diesem Hintergrund ist die Auftragsverarbeitung von einer Tätigkeit abzugrenzen, die der Auftragnehmer zwar im Auftrag des Verantwortlichen, jedoch nicht weisungsgebunden erbringt.

255

Anknüpfungspunkt für die Weisungsgebundenheitist dabei die Verarbeitung der personenbezogenen Daten des Auftraggebers, nicht hingegen die Erbringung der vertragsgegenständlichen Leistung.503 Freilich wird sich dies in den meisten Fällen nicht trennscharf voneinander abgrenzen lassen. Insofern führt eine weisungsfrei zu erbringende, inhaltliche Leistung in aller Regel dazu, dass der Auftragnehmer bei der hierfür erforderlichen Verarbeitung der vom Auftraggeber zur Verfügung gestellten personenbezogenen Daten ebenfalls keinen Weisungen unterliegt.504 Insofern genügt es nicht, dass der Auftraggeber generell bestimmt, dass die jeweils betroffenen personenbezogenen Daten ausschließlich zur Erbringung der geschuldeten Leistungen verarbeitet werden dürfen, ohne anschließend jedoch wesentlichen Einfluss auf Verarbeitung durch den Auftragnehmer im Rahmen der Leistungserbringung zu nehmen bzw. nehmen zu können. Beispiel hierfür sind etwa Beratungsleistungen, zu deren Erbringung der Auftragnehmer personenbezogene Daten vom Auftraggeber erhält, etwa Rechtsanwälte, Unternehmensberater, Wirtschaftsprüfer, Steuerberater, Marktforschungsunternehmen, Softwareentwickler usw. Anderes Beispiel ist etwa das Outsourcing von Kundenservice-Dienstleistungen, sofern der Auftragnehmer die vertraglich geschuldeten Leistungen eigenständig und eigenverantwortlich durchführt.

256

Sofern der Auftragsverarbeiter weisungswidrighandelt, wird er für die von den Weisungen des Auftraggebers abweichenden Verarbeitungsvorgänge selbst zum Verantwortlichen und hat entsprechend weitergehende datenschutzrechtliche Verpflichtungen.505

3. Notwendigkeit einer (aktiven) Verarbeitung

257

Der Wortlaut von Art. 4 Nr. 8 DSGVO spricht dafür, dass eine Auftragsverarbeitungskonstellation nur dort gegeben ist, wo tatsächlich auch eine (aktive) Verarbeitungi.S.v. Art. 4 Nr. 2 DSGVO im Auftrag erfolgt. Dies wird noch der Fall sein, wo zumindest eine Kenntnisnahme der Daten durch den Datenempfänger ausdrücklich gewünscht ist,506 es sei denn, es handelt sich um eine eigenverantwortliche Verarbeitungstätigkeit des jeweiligen Dienstleisters.507

258

Betreffen die Tätigkeiten im eigentlichen Kernnicht die Verarbeitung von personenbezogenen Daten, sondern ist der Kontakt mit personenbezogenen Daten nur möglich oder ein unvermeidliches „Beiwerk“, unterfallen diese in der Regel nicht dem Regime der Auftragsverarbeitung.508 Dies ergibt sich denknotwendig auch schon aus dem Umstand, dass der Auftragnehmer nicht den Weisungen des Auftraggebers in Bezug auf die Verarbeitung von personenbezogenen Daten unterliegen kann, sofern eine solche Verarbeitung gar nicht Gegenstand der vertraglichen Leistung ist. Zu diesen Tätigkeiten zählen etwa Transportleistungen von Post- oder Kurierdiensten, Übertragungsleistungen von öffentlichen Telekommunikationsdiensten, Bewachungsdienste, Reinigungs- und Handwerksdienstleistungen oder Server-Housing. Unbeschadet etwaiger besonderer Geheimhaltungsverpflichtungen, wie dem Post-, Telekommunikations- oder Bankgeheimnis, reicht in solchen Konstellationen im Regelfall eine Geheimhaltungsverpflichtung der externen Personen aus.509

259

Ähnlich verhält es sich bei der Wartungvon Datenverarbeitungsanlagen, etwa in Fällen, in denen ein Dienstleister per Remote auf IT-Systeme des Kunden zugreift, um Updates aufzuspielen oder Störungen zu beheben. § 11 Abs. 5 BDSG a.F. schrieb in solchen Konstellationen eine entsprechende Anwendung der Regelungen zur Auftragsverarbeitung vor, da der Zugriff auf personenbezogene Daten durch den Dienstleister nicht ausgeschlossen werden könne.510 Demgegenüber enthält Art. 28 DSGVO keine dem § 11 Abs. 5 BDSG a.F. vergleichbare Regelung.511 Nach der hier vertretenen Ansicht sind die Voraussetzungen einer aktiven Verarbeitung deshalb nicht erfüllt, wenn nur gelegentlich einer anderen Tätigkeit (z.B. einer Reinigungs- oder Wartungsleistung) ein Zugriff auf personenbezogene Daten möglich, aber eben nicht auftragsgegenständlich ist.512 Sofern jedoch eine (aktive) Verarbeitung notwendig ist, um die jeweiligen Wartungsarbeiten vorzunehmen, ist zu prüfen, ob diese Tätigkeiten einer Auftragsverarbeitung zugänglich sind oder es sich vielmehr um eine eigenverantwortliche, datenschutzrechtlich zu rechtfertigende Verarbeitungstätigkeit des Dienstleisters handelt.513 Im letzteren Fall ist dann auch auf Seite des Kunden sicherzustellen, dass ein entsprechender Erlaubnistatbestand vorliegt, der es rechtfertigt, die personenbezogenen Daten durch den Dienstleister verarbeiten zu lassen.

260

Nicht von der DSGVO geregelt sind jene Konstellationen, in denen der Auftragnehmer zwar ohne Zweifel personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, für ihn jedoch keine Möglichkeit zur inhaltlichen Kenntnisnahmebesteht. Dies kann etwa vorliegen, wenn der Auftragnehmer ausschließlich verschlüsselte Daten verarbeitet, ohne jedoch über eine Möglichkeit zur Entschlüsselung der Daten zu verfügen (z.B. Hosting von verschlüsselten Daten). In solchen Fällen ist zu beachten, dass es sich für den Auftragnehmer dabei nicht um personenbezogene Daten handelt, dies jedenfalls, sofern ihm keine „Mittel“ vernünftigerweise zur Verfügung stehen, die Daten zu entschlüsseln und so einen Personenbezug herzustellen.514 In Konsequenz würde der Auftragnehmer dann (jedenfalls aus seiner Sicht) auch keine personenbezogenen Daten im Auftrag verarbeiten. Demgemäß spricht in solchen Konstellationen vieles dafür, weder eine Auftragsverarbeitung noch eine datenschutzrechtlich relevante Verarbeitung durch bzw. Übermittlung an den Auftragnehmer anzunehmen. Da dem Auftragnehmer keine schutzbedürftigen, personenbezogenen Daten offengelegtwerden, entsteht insoweit auch nicht das einer Auftragsverarbeitung ansonsten stets inhärente Risiko für die jeweils Betroffenen.515 Die (an den Auftragnehmer ausgelagerte) Verarbeitung durch den Auftraggeber unterliegt freilich datenschutzrechtlichen Limitierungen, sofern er die jeweiligen Daten entschlüsseln kann. Vor diesem Hintergrund erscheint auch der Abschluss eines Vertrags nach Art. 28 DSGVO obsolet. Freilich ist in solchen Konstellationen stets im Einzelfall zu prüfen, ob für den Auftragnehmer nicht doch eine Möglichkeit zur Entschlüsselung der Daten besteht, etwa da er in bestimmten Konstellationen einen entsprechenden vertraglichen Anspruch gegen den Auftraggeber hat.