Datenschutz im Unternehmen und der Daten in der Cloud

von

NetTask Blog - Datenschutz im Unternehmen und der Daten in der Cloud

Nach dem deutschen Bundesdatenschutzgesetz (BDSG) müssen Unternehmen, die personenbezogene Daten mit EDV speichern, verarbeiten oder übermitteln, einen betrieblichen Datenschutzbeauftragten zwingend bestellen.

Verpflichtung zur Benennung eine Datenschutzbeauftragten Im Unternehmen

Das Bundesdatenschutzgesetz (BDSG) verpflichtet Unternehmen zur Ernennung eines betrieblichen Datenschutzbeauftragten,

wenn ein Unternehmen Computer/EDV nutzt und mindestens vorübergehend mehr als neuen Personen beschäftigt:

  • § 4f Abs. 1 S. 3 BDSG
  • unabhängig von der Zahl der Beschäftigten, wenn ein Unternehmen
    • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung erhebt, verarbeitet oder nutzt: § 4f Abs. 1 S. 5 BDSG - z.B. Auskunfteien, Adressverlage, Markt- und Meinungsforschungsinstitute
    • unabhängig von der Zahl der Beschäftigten, wenn das Unternehmen einer Vorabkontrolle unterliegt, weil besonders sensitive Daten verarbeitet werden:  § 4f Abs. 1 S. 5 BDSG - z.B. Scoringverfahren, Religion, Gesundheitsdaten, Angaben über ethnische Herkunft, Rasse, etc. 


Ein betrieblicher Datenschutzbeauftragter ist schriftlich zu bestellen; zweckmäßig ist dabei die Festlegung der wichtigsten Aufgaben in der Bestellungsurkunde oder die Bezugnahme auf die Vorschriften der §§ 4f, 4g BDSG.

Ein Datenschutzbeauftragter kann

  • (unter Auflagen) aus den Reihen des Unternehmens (interner Datenschutzbeauftragter) oder
  • als unabhängiger, externer Dienstleister mit flexibel und frei zu vereinbarendem Aufgabenumfang

bestellt werden.

Eine Vernachlässigung dieser Pflicht kann empfindliche Folgen haben, vor allem, wenn tatsächlich etwas passieren sollte.

Da jedes dritte Unternehmen in jüngster Vergangeheit ziel von Angriffen wurde ist das vergleichsweise wahrscheinlich.

Die Wichtigkeit einer Auftragsdatenverarbeitungserklärung

Auftragsdatenverarbeitung, das Auslagern von Datenverarbeitungsprozessen durch den Auftraggeber auf externe Dienstleister (Cloud-Services), ist ein häufiges Mittel zur Kostensenkung, Personaleinsprung und der Nutzung von externem Know How — Stichwort “Outsourcing”. Sind hiervon personenbezogene Daten betroffen, findet § 11 “Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag” BDSG (Bundesdatenschutzgesetz) Anwendung.

Nachfol­gende Kri­te­rien unter­stüt­zen die Bewer­tung über das Vor­lie­gen einer Auftragsdatenverarbeitung

  • Der Auftragnehmer steht in keiner vertraglichen Beziehung zu den Betroffenen der personenbezogenen Daten.
  • Dem Auftragnehmer fehlt die Entscheidungsbefugnis über die übermittelten Daten.
  • Dem Auftragnehmer ist die Nutzung der überlassenen Daten über den eigentlichen Überlassungszweck hinaus verboten.
  • Der Auftragnehmer nutzt nur die ihm überlassenen Daten.
  • Die Datenverarbeitung wird nach außen durch den Auftraggeber vertreten.

Wann liegt eine Auftragsdatenverarbeitung vor?

Hinweis: Die nachfolgende Aufstellung bietet nur einen Auszug.

  • Outsourcing von EDV (IT- und TK-Diensten) z.B. E-Mail, Homepage etc.
  • Outsourcing des Rechenzentrums (ganz oder teilweise).
  • Marketingaktionen, Kundenumfragen, Newsletterversand durch eine externe Agentur.
  • Beauftragung eines Callcenters für Kundensupport oder Kundengewinnung.
  • Papier– und Aktenvernichtung sowie die Vernichtung von Datenträgern.
  • Externe Lohn– und Gehaltsabrechnung.
  • Externe Rechnungsbearbeitung / Buchhaltung.
  • Zugriff auf personenbezogene Daten vor Ort bei Auftraggeber

Oft vernachlässigt wird § 11 Absatz 5 des BDSG . Durch diesen Absatz finden die Regelungen zur Auftragsdatenverarbeitung ebenfalls Anwendung auf Wartungs– und Prüfungsverträge, wenn hierdurch der Zugriff auf personenbezogene Daten möglich ist. Somit ist ein weites Feld an weiteren Leistungen ebenfalls von den Regelungen des BDSG betroffen (Beispiele):

  • Wartung von Servern und Computern durch einen externen Dienstleister (wichtig: auch Fernwartung!)
  • Parametrisierung oder Pflege von Software (Updates etc.), über die Zugriff auf personenbezogene Daten möglich ist.
  • Systemmigrationen.

Was bedeutet dies für Sie als Auftraggeber?

  • Liegt eine Auftragsdatenverarbeitung vor, muss diese schriftlich geregelt werden.
  • Sie als Auftraggeber müssen die im Vertrag festgeschriebenen Massnahmen zum Datenschutz und zur Datensicherheit beim Auftraggeber in geeigneter Form kontrollieren — im Zweifel persönlich vor Ort beim Auftragnehmer.
  • Für die Einhaltung der gesetzlichen Datenschutzvorschriften sind Sie als Auftraggeber verantwortlich, nicht der Auftragnehmer (dies wird oft irrtümlich falsch eingeschätzt).
  • Eine einfache Erklärung des Auftragnehmers über die Einhaltung der Datenschutzvorschriften ist nicht ausreichend!

Fazit:

Externe Dienstleister und ordentliche Cloud-Service-Provider haben ein stichhaltiges Datenschutzkonzept samt einer vorformulierten Vereinbarung gem. § 11 BDSG bereits in der Schublade und gehen damit aktiv auf ihre Kunden zu.

Sie sind bereits Kunde von NetTask oder wollen unsere Cloud Services zukünftig nutzen?

Sprechen Sie uns auf die komplee Thematik Datenschutz an. Gern übersenden wir Ihnen eine Auftragsdatenverarbeitungserklärung sowie unsere technischen und organistaorischen Maßnahmen zum Datenschutz.

War der Artikel "Datenschutz im Unternehmen und der Daten in der Cloud" hilfreich für Sie?

0/5 Sterne (0 Stimmen)
0 5

NetTask: Cloud Services für modernes Arbeiten

Die NetTask GmbH bietet Unternehmen und Systemintegratoren umfassende Cloud- sowie ITK-Services aus einer Hand: von der Telefonie, Datenübertragung, Housing, Hosting bis zu IT-Outsourcing und IT-Consulting.

Basierend auf einer eigenen, in deutschen Rechenzentren betriebenen, Infrastruktur-as-a-Service Plattform, bietet NetTask fortlaufend innovative Cloud Services: Hosted Microsoft Exchange, Hosted Microsoft Skype for Business (Lync) und Hosted Microsoft SharePoint für die moderne Unternehmenskommunikation und –zusammenarbeit in den Unternehmen an.

NetTask gehört dabei zu den führenden Anbietern von Cloud-Lösungen, welche die Zusammenarbeit in Unternehmen maßgeblich bereichern. Mit ihnen lässt sich das gemeinsame Arbeiten interaktiver, motivierender und produktiver gestalten. NetTask bietet integrierte Lösungen, bestehend aus Hardware, Software und Serviceleistungen, die bedienerfreundlich, für herausragende Leistungen gestaltet sind.

Hosted Exchange ist eine mandantenfähige gehosteten Groupware Cloud-Plattform, mit der Sie problemlos Ihre gesamte Kommunikation wie E-Mail, Terminplanung oder Verwaltung von Aufgaben und Kontaktadressen ortsunabhängig und geräteneutral im Unternehmen oder mit Geschäftspartnern abwickeln können. Ein integrierter Unified Messaging Service ermöglicht per Telefon eine direkte Sprach-Interaktionen mit dem jeweiligen Postfach sowie VoiceMessaging inkl. Mailboxansageregeln. Ein zubuchbarer Fax-Service ergänzt den Unified Messaging Service.

Hosted Skype for Business (Lync) vereint interne und externe Sprachkommunikation (öffentliches Telefonnetz), Instant Messaging (Chat), Audio-, Video- und Webkonferenzen sowie die Freigabe und Präsentation von Programmen oder dem gesamten Desktop - in einem innovativen Produkt. Die Kommunikationslösung ermöglicht optimierte Zusammenarbeit, bequeme Nutzung und einfachen Zugriff. Ein völlig neues Kommunikationserlebnis!

Hosted SharePoint ist eine moderne webbasierte Plattform für Zusammenarbeit, Projekt- und Dokumentenmanagement im Unternehmen. Ein umfangreicher App-Katalog bietet unter anderem wichtige Tools für agiles Projektmanagement und Vorgangsbearbeitung.

Zurück

Feed abonnieren

Was interessiert Sie?

Mitgliedschaften

Blogverzeichnis - Blog Verzeichnis bloggerei.de  Blogverzeichnis