DS-GVO (3): Schwerpunkt Auftragsdaten-Verarbeitung (ADV)

Noch knapp sechs Monate und die Datenschutz-Grundverordnung (DS-GVO) ist wirksam und muss in den Unternehmen umgesetzt sein. In manchen Artikeln wird derzeit nur über enorme Strafen und von den künftig sehr hohen Bußgeldern geredet oder von der Gefahr die durch die Aufsichtsbehörden, Wettbewerber oder Abmahnungen ausgehen kann.


Die Umsetzung der Datenschutzgrundverordnung ist sicher nicht ohne Aufwand zu bewältigen. Dennoch bietet sie eine enorme Chance für die Unternehmen. Sie wird auch eine neue Dynamik in die Beziehung zwischen Unternehmen und Datenverarbeitern, also Auftraggeber und Auftragnehmern bringen. Ganz besonders natürlich für Anbieter von IT-Services.

Unternehmen, die sich in der Vergangenheit schon im Datenschutz gut aufgestellt haben, über gelebte Leit- und Richtlinien im Datenschutz verfügen, haben einen erheblichen Vorteil. Aber die Hausaufgaben, im Bereich der Auftragsdatenverarbeitung, Einwilligungen und Dokumentation ihrer Verfahren, sollten ja längst unter den Vorgaben des BDSG umgesetzt sein. Wie die aktuelle Befragung der bitcom zeigt gilt das offensichtlich nicht für alle Unternehmen. Viele haben demnach noch steilen Weg vor sich den Sie in knapp einem halben Jahr zurücklegen müssen.

Es gilt also schnellstens einen Fahrplan für die wichtigsten Anforderungen der DS-GVO zu erarbeiten. Bringen Sie schnell Licht ins Dunkel und verschaffen sich einen Überblick wo im Unternehmen personenbezogene Daten gespeichert und verarbeitet werden. Nur so kann auch sichergestellt werden, dass der Datenschutzbeauftragte im Unternehmen sinnvoll tätig werden und beraten kann.
Es empfiehlt sich die DS-GVO als Projekt anzugehen und zunächst eine schnelle Erhebung der vorhandenen Situation zu machen. Aber wo anfangen? 99 Artikel, 173 Erwägungsgründe und ein neues BDSG das ebenfalls zum 25.04 2018 wirksam wird.

Im Hinblick auf die künftigen Rechenschaftspflichten (Accountability) nach Art. 5 DS-GVO müssen Unternehmen die Einhaltung der Datenschutzbestimmungen jederzeit nachweisen können. Verantwortliche Stellen haben demnach geeignete technische und organisatorische Maßnahmen zu ergreifen um sicherzustellen, dass sie diese Nachweise jederzeit erbringen können. Bestehende Maßnahmen sind z.B. nach einem PDCA-Zyklus regelmäßig zu überprüfen, zu aktualisieren und gegebenenfalls an neuen Risiken anzupassen.

Meine Empfehlung, wenn noch wenig im Datenschutz erfolgt ist

Beginnen Sie mit der Information der Verantwortlichen im Unternehmen über die DS-GVO. Machen Sie das Projekt bekannt und stellen Sie sicher, dass Datenschutz die Aufmerksamkeit und den Stellenwert im Unternehmen erhält den es jetzt benötigt. Zeigen Sie die Risiken auf, die fehlender oder schlechter Datenschutz künftig nach sich ziehen kann. Dazu gehören nicht nur die möglichen Bußgelder sondern auch Image- und Vertrauensverlust bei Kunden, Partnern und Mitarbeitern. Gerade Auftraggeber werden Ihrem Datenschutz künftig erhebliche Aufmerksamkeit widmen. Schließlich sind Auftraggeber und Verarbeiter unter der DS-GVO beide in der Pflicht und Haftung. Auch für mögliche Schadenersatzforderungen.

  • Erfassung aller Dienstleister, die für das Unternehmen personenbezogene Daten verarbeiten
  • Erfassen aller Auftraggeber, für die das Unternehmen personenbezogene Daten im Auftrag verarbeitet
  • Prüfen Sie, ob für alle Aufträge eine angemessene Dokumentation der vereinbarten Leistungen und Aufgaben und der Vertrag zur Auftragsdatenverarbeitung (noch nach § 11 BDSG i.V.m. § 9 Anlage BDSG künftig Art 28 i.V.m. Art 24 DS-GVO) vorhanden ist.

Haben Sie diese Daten vollständig erfasst sollten Sie zeitgleich einen Prozess, als Teil des künftig erforderlichen Datenschutzmanagement-Systems, etablieren, um zu gewährleisten, dass diese Informationen aktuell gehalten und insbesondere dem Datenschutzbeauftragten jederzeit zur Verfügung stehen.

Bewerten Sie, ob ihre bestehenden ADV Vereinbarungen alle Anforderungen nach der DS-GVO enthalten. Ist das nicht der Fall müssen Sie mit Ergänzungen oder neuen Vereinbarungen sicherstellen, dass die Vorgaben der DS-GVO umgesetzt werden. Spätestens jetzt sollten Auftragnehmer, künftig Verarbeiter, nicht mehr darauf warten, dass die Auftraggeber den ADV Vertrag vorlegen. Vielmehr müssen Sie selbst proaktiv sicherstellen, dass vor Beginn der Verarbeitung die entsprechenden Verträge abgeschlossen sind. Haftung trifft künftig alle Beteiligten an einer Auftragsverarbeitung. Die DS-GVO bietet auch eine neue Möglichkeit der Auftragsverarbeitung. Jetzt können zwei oder mehr Verantwortliche dieselben personenbezogenen Daten arbeitsteilig oder gemeinsam für jeweils eigene Zwecke ("joint control“ Art. 26 Abs. 1 und 2 DS-GVO) verarbeiten. Die gemeinsam Verantwortlichen müssen dann in einer Vereinbarung mindestens die folgenden Regelungen treffen:

  • Firmenname und Rechtsform der Verantwortlichen
  • Vertreter der Verantwortlichen
  • Anschrift und Kontaktdaten der Verantwortlichen
  • Übersicht der tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen
  • Zwecke und Mittel der Datenverarbeitung
  • Aufteilung der Pflichten aus der DSGVO zwischen den Verantwortlichen
  • Wahrnehmung der Informationspflichten gemäß Art. 13 und Art. 14 DSGVO
  • Wahrnehmung der Rechte der betroffenen Personen aus den Art. 15 bis Art. 22 DSGVO
  • Wahrnehmung der Pflichten aus Art. 12 Abs. 3 und 4 DSGVO
  • Einrichtung einer Anlaufstelle für betroffene Personen

Erste Muster für Vereinbarungen zur Auftragsverarbeitung nach DS-GVO finden sie hier:

https://www.bvdnet.de/bvd-arbeitskreise/arbeitskreis-medizin/
https://www.gdd.de/aktuelles/startseite/vertragsmuster-zur-auftragsverarbeitung
https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/EU-DSG/170515-Auftragsverarbeitung-Anlage-Mustervertrag-online.pdf
https://www.lda.bayern.de/media/baylda_ds-gvo_10_processor.pdf

Unter dem zweiten Link finden Sie Muster und Deutsch und Englisch.

Auch wenn die Verpflichtung zur Dokumentation des „Verzeichnisses von Verarbeitungstätigkeiten“ für KMU eine Ausnahmeregelung (Art. 30 Abs. 5 DS-GVO) enthält, empfiehlt es sich diese Dokumentation nach Art 30und 32 der DS-GVO durchzuführen. Diese ist zumeist auch die Grundlage für den Datenschutzbeauftragten zu erkennen welche Verarbeitungen im Unternehmen überhaupt stattfinden.

Die Verzeichnisse der Verarbeitungstätigkeiten müssen der Aufsichtsbehörde auf Anfrage unverzüglich zur Verfügung gestellt werden, Art. 30 Abs. 4 DS-GVO und EG 82. Anhand der Dokumentationen soll die Aufsichtsbehörde im ersten Schritt die Verarbeitungsvorgänge kontrollieren können. Allerdings entfallen die bisherigen Meldepflichten an die Aufsichtsbehörde nach § 4d und § 4e BDSG und die Verpflichtung ein allgemeines öffentliches Verfahrensverzeichnis mit einem Einsichtsrecht für jedermann bereitzustellen.

Die Aufsichtsbehörden können verlangen, dass die Verzeichnisse in deutscher Sprache geführt werden (§ 23 Abs. 1 und 2 Verwaltungsverfahrensgesetz, VwVfG). Werden Verzeichnisse elektronisch geführt können Aufsichtsbehörden Ausdrucke verlangen. Um den Grundsatz der Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) erfüllen zu können, sollten in den Verzeichnissen auch Änderungen der Verfahrungen nachvollziehbar dokumentiert werden. Auch sollte aus den Aufzeichnungen hervorgehen wer, wann, Verantwortlicher des Verfahrens war und z.B. Datenschutzbeauftragter, etc. gewesen ist.

Beinhalten die Verfahren besondere Risiken für Rechte und Freiheiten von Betroffenen oder werden besondere Kategorien von Daten verarbeitet (bisher §3 Abs. 9 BDSG, künftig auch biometrische Daten) besteht regelmäßig die Verpflichtung zur Führung des Verzeichnisses. Für jede Verarbeitung ist zu ermitteln welches Risiko für die Rechte Betroffener damit verbunden ist (Risikoanalyse). Stellt sich bei der Prüfung der geplanten Datenverarbeitung ein hohes Risiko für die Betroffenen heraus, ist eine so genannte Datenschutz-Folgenabschätzung (Art35 Abs. 1 DS-GVO) durchzuführen. Die Ergebnisse der Risikoanalyse sollten zu dem entsprechenden Verfahren mitgeführt werden. Derzeit erarbeiten die Datenschutzaufsichtsbehörden eine so genannte Blacklist, die den Unternehmen aufzeigen soll bei welchen Verfahren die Datenschutz-Folgenabschätzung zwingend vorgeschrieben ist. Kann das Unternehmen durch entsprechende technische und organisatorische Maßnahmen die Risiken nicht vollständig ausschließen, ist es verpflichtet die Aufsichtsbehörde nach Art. 26 DS-GVO einzuschalten.

Neben der Auftrags(daten)verarbeitung, die ggfs. bei erforderlicher Abstimmung mit Auftraggebern oder Verarbeitern einige Zeit in Anspruch nehmen kann, sollten jetzt unbedingt die Verfahren und Datenflüsse im Unternehmen analysiert und dokumentiert werden. Erste Muster für eine mögliche Verfahrensdokumentation finden Sie hier:

https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/

Inzwischen haben die Anbieter von Datenschutz-Software ihre Programme schon zum größten Teil an die DS-GVO angepasst und die Vorgaben zur Verfahrensdokumentation lassen sich elektronisch umsetzen.

News Flash

POW3R Konferenz in München

Die wichtigste Veranstaltung für IBM i-Anwender in diesem Jahr – nicht verpassen!

Geballte, unverzichtbare Information für Power i-Anwender: Auf der POW3R Herbst-Konferenz in München am 13. & 14. November 2017 finden Sie Informationen zur Zukunft der IBM i – Plattform, die Sie sonst nirgendwo bekommen: Strategische Vorträge für Entscheider, Fortbildung für Spezialisten (bei den angeschlossenen Common Sessions), eine IBM Keynote zu Watson - allesamt wertvolle Grundlagen für Ihre Planung und Entwicklung.

Natürlich ist auch Razlee dabei ....

Dazu ein spannendes Konferenzprogramm mit zahlreichen wichtigen Vorträgen. Auf keinen Fall verpassen: Vortrag von Robert Engel zu DSGVO, der anstehenden Änderung zum Datenschutz, die tatsächlich ALLE Unternehmen betrifft. Wie iSecurity-Produkte Sie bei Ihren intern notwendigen Anpassungen unterstützen, erfahren Sie am ersten Veranstaltungstag (13.11.2017, 16:20 Uhr, Forum 8, P4).  

Fit für den digitalen Fortschritt: Weitere Themen, die Ihnen auf der POW3R begegnen werden:

  • Die aktuelle Generation von IBM Power Systems und IBM i, Roadmap
  • Wie RPG die Basis für moderne Anwendungen mit grafischer Oberfläche bleibt
  • Wie gut und zukunftssicher sind OpenSource Lösungen
  • Bewertung von Bezugsmodellen: Cloud, SaaS, IaaS, Managed Services…
  • Die Wahrheit über BI/BigData
  • Wie geht professionelles Dokumentenmanagement?
  • Wie viel Hochverfügbarkeit und Sicherheit muss sein? Auch für mobile Anwendungen.
  • Integration von Speicher und anderen Plattformen
  • Warum moderne ERP Systeme besser, flexibler und effektiver sind
  • Wie IT-Wissen richtig vererbt, ergänzt entwickelt werden kann

 

Seien Sie unser VIP-Gast!

Wir freuen uns, Sie auf dem IT-POW3R-Kongress in München zu begrüßen - im Vortrag oder einfach auf ein persönliches Wort! Kommen Sie als mein VIP-Gast - dann sind Catering, Veranstaltungsunterlagen und die Online-Veranstaltungs-Dokumentation aller Vorträge für Sie frei. 

Hier können sie sich direkt online / per Fax-Formular anmelden. Wichtig: Bitte tragen Sie bei Ihrer Anmeldung den Razlee-VIP-Code ein: 11P3R17RzL



 

BMU Northeim schließt Partnerschaft mit Raz-Lee Security

Rödental, 6.07.2017 ++++- Raz-Lee Security GmbH gibt bekannt, dass mit der Northeimer BMU Beratungsgesellschaft Mittelständischer Unternehmen mbH eine Vertriebsvereinbarung zur Aufnahme der iSecurity Produkte von Raz-Lee in deren Produktportfolio geschlossen wurde.

Seit 1980 ist IT-Beratung mit Vertrauen Schwerpunkt bei BMU. Zu Vertrauen gehört auch Sicherheit und so ist es kein Wunder, dass BMU auf der Suche nach einer modularen IBM i Security-Lösung für ihre Kunden auf Raz-Lee gestoßen ist. Damit wird das Produktportfolio im Bereich der Sicherheit, in dem BMU für die Bereiche Virenschutz von Client und Servern sowie Spamfilterung und E-Mail-Sicherheit schon mit anderen namhaften Herstellern zusammenarbeitet perfekt abgerundet.

Über BMU: BMU steht für eine solide, überzeugende Beratung und Ausführung mit langjähriger Tradition. Den Erfolg der Mandanten zu unterstützen ist oberstes Ziel. Nach diesem Prinzip entwickelt BMU nachhaltige Lösungen gemeinsam mit ihren Auftraggebern. Betriebswirtschaftliche Beratung sowie EDV-Konzeptionen, Implementierung und Integration von Standard-, Partner- und Individual-Software für mittelständische Unternehmen gehört zu den Schwerpunkten. Daneben ist BMU auch auf Bereiche wie Managed Services, Cloud-Computing und Mobile Lösungen spezialisiert. Hohe Beraterkompetenz in Verbindung mit umfassendem technischen Know-How ermöglicht es, für Mandanten stets die bestmögliche Lösung zu finden.

Über Raz-Lee Security GmbH und iSecurity: Raz-Lee Security ist führender internationaler Anbieter von Sicherheits-, Auditing-und Compliance (SOX, PCI, HIPAA, etc.) Lösungen für die IBM i. Zu Raz-Lee-Kunden zählen Unternehmen aller Größen, von KMUs bis zu Unternehmen mit Hunderten von Systemen, in allen vertikalen Märkten und Branchen. Finanzinstitute wie Banken und Versicherungen sind besonders zahlreich unter der Raz-Lee Klientel vertreten.

 

Für weitere Informationen kontaktieren Sie bitte:
Robert Engel
Raz-Lee Security GmbH
Schulstr. 32
96472 Rödental
Tel. +49 9563 7406-31
E-Mail robert.engel@razlee.de

 

 

IT Power Services schließt Partnerschaft mit Raz-Lee Security

IT Power Services schließt Partnerschaft mit Raz-Lee Security 

Rödental, 8.03.2017 - Raz-Lee Security GmbH gibt bekannt, dass die österreichische IT Power Services GmbH künftig auch die iSecurity Produkte von Raz-Lee im Portfolio hat.

IT Power Services sind spezialisiert auf Enterprise Services, Infrastruktur, Software und Cloud-Lösungen in Banken-Umgebungen, aber auch in einer breit aufgestellten Klientel aus allen Branchen. Viele Jahre arbeiteten Mitarbeiter von IT Power Services bereits als Dienstleister mit iSecurity Modulen von Raz-Lee. Das Know how ist die Basis für qualifizierte Leistungen im Bereich der IT Sicherheit auf IBM Power i Systemen die nun um die iSecurity Module von Raz-Lee ergänzt werden. IT Power Services ergänzt mit den Raz-Lee Produkten die Kompetenz im IBM i Security Umfeld um leistungsfähige Software.


Weiterlesen ...

KI Systemgefährten schließt Partnerschaft mit Raz-Lee Security

KI Systemgefährten schließt Partnerschaft mit Raz-Lee Security

Rödental, 11.01.2017 - Raz-Lee Security GmbH gibt bekannt, dass KI Systemgefährten, die „Andersdenker“ aus Bielefeld künftig auch iSecurity Produkte von Raz-Lee im Portfolio haben.

Kontakte zueinander knüpften Raz-Lee und KI Systemgefährten auf einer System i update Veranstaltung. Nach kurzem „Beschnuppern“ wurden bereits erste Projekte pragmatisch und innerhalb kürzester Zeit realisiert. Die Philosophie für Kunden ohne großen Aufwand Security zu implementieren, kommt der Struktur beider Unternehmen sowie den Wünschen der Kunden entgegen. Mit den Produkten von Raz-Lee wird das Portfolio der KI Systemgefährten um wichtige Sicherheitsfunktionen für IBM Power i Systeme im Bereich externe Zugriffe, Betriebssysteminternas und Datenbankänderungen ergänzt.


Weiterlesen ...

Artikel von Robert Engel aus DV-Dialog 12/2016

Mehr Sicherheit für IBM i

BESSERE AUTOMATION WICHTIGER SECURITY-AUFGABEN

Jeder Blick über den Tellerrand bringt neue Erkenntnisse. Das gilt auch für die Sicherheit der IBM-Serverplattform Power i. Zahllose Security-Projekte beginnen und enden mit der Firewall, motiviert durch die Vorstellung, man müsse lediglich die Zugriffe auf IBM i regulieren um Sicherheit zu schaffen (siehe DV-Dialog 10/2016, Seite 4). Doch es gibt eine große Bandbreite weiterer Sicherheits-Aspekte, die nicht vernachlässigt werden dürfen - jenseits des Tellerrands.


Weiterlesen ...

Partner

IT Power Services

 

 

KI Systemgefährten

 

 

BluVisio

 

 

UBL Informationssysteme

 

 

EPOS

EPOS GmbH Consult & Training

 

CPB Software

 

 

KCV

 KCV

 

Gerd Gesner

 Gerd Gesner

 

Lupprich EDV-Beratung

Lupprich EDV-Beratung

 

Michael Weiß IT-Consulting & Datenschutz

Michael Weiß IT-Consulting & Datenschutz

 

pheron technologies group

 pheron technologies group GmbH

 

Referenzen

Free Download