Home | Veranstaltungen | Wir über uns | Mitglieder | Mitgliedschaft | Sponsoren | Partner | Kontakt

Veranstaltungen

Am 04.12.2013 lautete unser Thema:


Auftragsdatenverarbeitung - Zertifizierung von Dienstleistern und vertragliche Feinheiten

Die Auftragsdatenverarbeitung (ADV) nach § 11 BDSG, § 80 SGB X oder den Datenschutzgesetzen der Kirchen ist aus der unternehmerischen Praxis nicht mehr wegzudenken. Dabei liegt eine Auftragsdatenverarbeitung bereits dann vor, wenn IT-Systeme durch einen Dienstleister geprüft oder gewartet werden (z.B. Remote per Fernzugriff) und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Ohne schriftlichen Vertrag, der eine Vielzahl von Detailregelungen zu treffen hat, z.B. zur Weisungsgebundenheit, der Zulässigkeit von Subunternehmern oder den durchzuführenden Kontrollen, ist die Verarbeitung der personenbezogenen Daten durch ein Unternehmen im Auftrag eines anderes Unternehmen datenschutzrechtswidrig; Zuwiderhandlungen werden mit Bußgeldern belegt.
 
Beide Seiten einer Auftragsdatenverarbeitung - Auftraggeber und Auftragnehmer - haben ein erhebliches Interesse daran, die Auftragsdatenverarbeitung gesetzeskonform zu gestalten. Hierbei helfen nicht nur Standardisierungen der an einen Auftragsdatenverarbeiter zu richtenden Erwartungen, sondern insbesondere auch vertragliche Bestimmungen, die ggf. deutlich von den üblichen Mustern (z.B. GDD, Bitcom) abweichen. Gleichwohl wird das Thema in der Praxis vielfach noch ignoriert oder mangelhaft umgesetzt, weil die die beteiligten Parteien mangels eigener Fachkunde erheblichen Mehraufwand befürchten oder schlichtweg nicht um die Notwendigkeit einer schriftlichen Vereinbarung zur Auftragsdatenverarbeitung wissen.
 
Die Veranstaltung gibt im ersten Teil einen Überblick über den im Sommer 2013 von den Fachverbänden "Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V." und "Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V." für die Auftragsdatenverarbeitung entwickelten Datenschutzstandard "DS-BvD-GDD-01" und das zugehörige Datenschutzsiegel (Details). Der Datenschutzstandard gilt für alle Branchen und Dienstleistungen. Er beschreibt, insbesondere welche Anforderungen ein Auftragnehmer erfüllen muss, darunter Auftragsmanagement, Datenschutzkonzept und IT-Sicherheitskonzept sowie die zugehörigen Managementsysteme.
 
Im zweiten Teil der Veranstaltung werden sodann Feinheiten der Vertragsgestaltung bei der Auftragsdatenverarbeitung dargestellt, dies aus Sicht von Auftragnehmer und Auftraggeber. Dabei geht es u.a. um die Verteilung von Kosten, Aktualisierungspflichten für Datenschutzkonzepte, Anpassungen von ADV-Vereinbarungen an geänderte rechtliche Rahmenbedingungen, Vorgaben für Vor-Ort-Kontrollen und Audits, Möglichkeiten der Einbeziehung von Subunternehmern und Bestimmungen über Pönalen bei Zuwiderhandlungen. Ziel ist es, ein Verständnis für denkbare Regelungen zu schaffen, die über den gesetzlichen Mindestinhalt eines solchen Vertrags die Lage zu Lasten des Auftragdatenverarbeiters verschärfen oder diesem im gesetzlich zulässigen Rahmen Freiräume verschaffen.
 
Die Veranstaltung richtet sich an Juristen, IT-Verantwortliche und Datenschutzbeauftragte in Unternehmen.
Begleitend ist Raum für Fragen und Diskussion vorgesehen. Persönliche Erfahrungen können während der Veranstaltung ausgetauscht und typische Probleme im Einzelnen besprochen werden.
 
Im Anschluss an die Veranstaltung können bei einem Glas Kölsch und einen kleinem Imbiss persönliche und fachliche Kontakte gepflegt werden - ein wesentliches Kennzeichen des Arbeitskreises.

Referenten


Herr Rechtsanwalt Andreas Jaspers ist als Geschäftsführer der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) u.a. mit der Unterstützung und Beratung der Datenschutzbeauftragten und -verantwortlichen von Unternehmen und Behörden betraut. Im Rahmen der GDD-Datenschutz-Akademie ist er als Referent bei der Aus- und Weiterbildung betrieblicher Datenschutzbeauftragter tätig.
 
Herr Sascha Kremer ist Geschäftsführer der LLR Data Security and Consulting GmbH und als externer Datenschutzbeauftragter (zertifiziert, TÜV Rheinland) tätig. Daneben ist er Rechtsanwalt und Partner der Sozietät LLR LegerlotzLaschet Rechtsanwälte in Köln. Seit Beginn seiner beruflichen Tätigkeit ist Sascha Kremer auf das Informationstechnologie-Recht und das Datenschutzrecht spezialisiert, ebenso auf die praktische Umsetzung des Datenschutzes und der Informationssicherheit in Unternehmen. Sascha Kremer berät international tätige Unternehmen, Behörden und Einrichtungen, darunter Sparkassen, Banken, Investmentgesellschaften, Softwareentwickler, Landeskirchen und Sportspitzenverbände.

 

Download weiterführender Informationen