Kaum einer kennt „DViA“, aber fast alle nutzen diese …

[lizenzdoc 237]

Moin,

 

wenn ich einen Kunden frage: „Haben Sie einen „DViA-Vertrag“ für Ihre personenbezogener Daten?“
Schaue ich viel zu oft in „große Kinderaugen“.

 

DViA = Datenverarbeitung im Auftrag – auch Auftragsdatenverarbeitung genannt – dient dazu,
das Outsourcing von Datenverarbeitung datenschutzrechtlich abzusichern.
Der Auftraggeber stellt dem Auftragnehmer auf der Grundlage eines Vertrages über die Verarbeitung personenbezogener Daten
die zu verarbeitenden personenbezogenen Daten in einem festgelegten Weitergabe- bzw. Übermittlungsverfahren bereit.
Zuvor muss sich der Auftragnehmer vergewissern, dass er die vereinbarten Datenschutz- und Datensicherheitsmaßnahmen
erfüllen kann.

Einige nachlesbare Maßnahmen:
http://www.gesetze-im-internet.de/bdsg_1990/anlage_79.html

 

Beispiele für Auftragsdatenverarbeitungs-Verhältnisse sind:

• Verträge über die Auslagerung der Lohnbuchhaltung und Gehaltsabrechnung
• Verträge mit Archivierungs-Dienstleistern
• Verträge mit Aktenvernichtungs-Dienstleistern
• Verträge mit Call-Centern oder Direktmarketing-Agenturen
  (Mailings, Newsletter-Versand, Lettershops)
• Verträge mit Unternehmen, die HR-Systeme oder Kundenverwaltungs-Systeme(CRM) anbieten
• Verträge mit externen Prüfern und Wartungsfirmen
• andere Verträge über die Zurverfügungstellung von IT-Ressourcen
  (z.B. Application Service Providing, Cloud Computing, Software as a Service, Online-Speicherplatz, Payment Service Provider).

Gut nachzulesen > http://de.wikipedia.org/wiki/Datenverarbeitung_im_Auftrag

In Deutschland ist die Datenverarbeitung im Auftrag u. a. in
 § 11 Bundesdatenschutzgesetz und § 80 Zehntes Buch Sozialgesetzbuch geregelt.

 

Weitere  „Verhältnisse“ müssen beleuchte, geprüft werden, ob eine DViA vorgeschrieben ist,
z.B.
in einem Unternehmensverbund übernimmt eine „Tochter“ zentral die Verarbeitung  von „personenbezogener Daten“ …
DViA fällig  zw. allen beteiligten Unternehmen?

 

Ein europaweites oder weltweites Unternehmen, mit vielen „Ländergesellschaften“ …
DViA-Verträge  zw. jeder einzelnen „Ländergesellschaften“ nötig?

 

In vielen Ländern gilt nicht die DViA aus Deutschland, da wird dann „EU Model Clauses“ genutzt.

Anm.: Es können bei Verstößen Bußgelder von 300.000 € je Einzelfall verhängt werden.

 

Datenschutz und Informationsschutz ist ein Bestandteil der Unternehmens-Compliance, sorry!

 

VG, Franz

[Pitti259 15]

Hallo Franz,

 

Du hast noch meine persönliche Cash-Cow vergessen, bestehen Unternehmen aus mehreren selbständigen Firmen, z.B. eine Holding und einige GmbHs, müssen zwischen all diesen Firmen entsprechende DViA-Verträge abgeschlossen werden. In den DViA-Verträgen müssen ja die auszutauschenden Informationen benannt und der Umgang und der Schutz derselben definiert werden. Was für ein Spaß :rolleyes:

 

Durch diesen Passus in der Novellierung von 2009 habe ich schon viel Geld verdient... Der Vorteil für die Unternehmen besteht darin, dass sie sich tatsächlich mal über den Schutzbedarf ihrer Informationen bewusst werden. Ob sie dann auch was draus machen steht auf einem anderen Blatt.

 

Ciao

  Pitti

[lizenzdoc 237]

Hallo Pitti,

 

ja, die Holding-Strukturen hatte ich vergessen, danke!

 

:) "Schutzbedarfsfestellung" auch so ein "neues Unwort" :)
 

VG, Franz

[Pitti259 15]

:) "Schutzbedarfsfestellung" auch so ein "neues Unwort" :)

 

 

Geht noch besser: Schutzbedarfsfeststellungsanalysen auf Basis einer risikotheoretischen Berechnung. :D

[daabm 1.429]

Alles ein alter Hut, wenn Du im Bankwesen als Rechenzentrale unterwegs bist :D

[lizenzdoc 237]

Hi Martin,

 

Banken-RZ ... wäre sehr traurig, wenn Ihr es nicht kennen würdet.

Regeln für den Umgang/Handhabung/Schutz von
„personenbezogener Daten“ und "personenbeziehbare Daten"

sollten regelmäßig gechecked werden ....

Genauso wie das Interfacing zw. internen und externen Systemen :)
 

VG, Franz
 

[daabm 1.429]

Das wäre nicht nur traurig, sondern geschäftsgefährdend. Die BaFin ist inzwischen doch recht aufmerksam...