lizenzdoc 207 Geschrieben 12. Januar 2015 Melden Teilen Geschrieben 12. Januar 2015 Moin, wenn ich einen Kunden frage: „Haben Sie einen „DViA-Vertrag“ für Ihre personenbezogener Daten?“Schaue ich viel zu oft in „große Kinderaugen“. DViA = Datenverarbeitung im Auftrag – auch Auftragsdatenverarbeitung genannt – dient dazu,das Outsourcing von Datenverarbeitung datenschutzrechtlich abzusichern.Der Auftraggeber stellt dem Auftragnehmer auf der Grundlage eines Vertrages über die Verarbeitung personenbezogener Datendie zu verarbeitenden personenbezogenen Daten in einem festgelegten Weitergabe- bzw. Übermittlungsverfahren bereit.Zuvor muss sich der Auftragnehmer vergewissern, dass er die vereinbarten Datenschutz- und Datensicherheitsmaßnahmenerfüllen kann. Einige nachlesbare Maßnahmen:http://www.gesetze-im-internet.de/bdsg_1990/anlage_79.html Beispiele für Auftragsdatenverarbeitungs-Verhältnisse sind: Verträge über die Auslagerung der Lohnbuchhaltung und Gehaltsabrechnung Verträge mit Archivierungs-Dienstleistern Verträge mit Aktenvernichtungs-Dienstleistern Verträge mit Call-Centern oder Direktmarketing-Agenturen(Mailings, Newsletter-Versand, Lettershops) Verträge mit Unternehmen, die HR-Systeme oder Kundenverwaltungs-Systeme(CRM) anbieten Verträge mit externen Prüfern und Wartungsfirmen andere Verträge über die Zurverfügungstellung von IT-Ressourcen(z.B. Application Service Providing, Cloud Computing, Software as a Service, Online-Speicherplatz, Payment Service Provider). Gut nachzulesen > http://de.wikipedia.org/wiki/Datenverarbeitung_im_Auftrag In Deutschland ist die Datenverarbeitung im Auftrag u. a. in § 11 Bundesdatenschutzgesetz und § 80 Zehntes Buch Sozialgesetzbuch geregelt. Weitere „Verhältnisse“ müssen beleuchte, geprüft werden, ob eine DViA vorgeschrieben ist,z.B.in einem Unternehmensverbund übernimmt eine „Tochter“ zentral die Verarbeitung von „personenbezogener Daten“ …DViA fällig zw. allen beteiligten Unternehmen? Ein europaweites oder weltweites Unternehmen, mit vielen „Ländergesellschaften“ …DViA-Verträge zw. jeder einzelnen „Ländergesellschaften“ nötig? In vielen Ländern gilt nicht die DViA aus Deutschland, da wird dann „EU Model Clauses“ genutzt. Anm.: Es können bei Verstößen Bußgelder von 300.000 € je Einzelfall verhängt werden. Datenschutz und Informationsschutz ist ein Bestandteil der Unternehmens-Compliance, sorry! VG, Franz 1 Zitieren Link zu diesem Kommentar
Pitti259 15 Geschrieben 12. Januar 2015 Melden Teilen Geschrieben 12. Januar 2015 Hallo Franz, Du hast noch meine persönliche Cash-Cow vergessen, bestehen Unternehmen aus mehreren selbständigen Firmen, z.B. eine Holding und einige GmbHs, müssen zwischen all diesen Firmen entsprechende DViA-Verträge abgeschlossen werden. In den DViA-Verträgen müssen ja die auszutauschenden Informationen benannt und der Umgang und der Schutz derselben definiert werden. Was für ein Spaß :rolleyes: Durch diesen Passus in der Novellierung von 2009 habe ich schon viel Geld verdient... Der Vorteil für die Unternehmen besteht darin, dass sie sich tatsächlich mal über den Schutzbedarf ihrer Informationen bewusst werden. Ob sie dann auch was draus machen steht auf einem anderen Blatt. Ciao Pitti Zitieren Link zu diesem Kommentar
lizenzdoc 207 Geschrieben 12. Januar 2015 Autor Melden Teilen Geschrieben 12. Januar 2015 Hallo Pitti, ja, die Holding-Strukturen hatte ich vergessen, danke! :) "Schutzbedarfsfestellung" auch so ein "neues Unwort" :) VG, Franz Zitieren Link zu diesem Kommentar
Pitti259 15 Geschrieben 12. Januar 2015 Melden Teilen Geschrieben 12. Januar 2015 :) "Schutzbedarfsfestellung" auch so ein "neues Unwort" :) Geht noch besser: Schutzbedarfsfeststellungsanalysen auf Basis einer risikotheoretischen Berechnung. :D Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 12. Januar 2015 Melden Teilen Geschrieben 12. Januar 2015 Alles ein alter Hut, wenn Du im Bankwesen als Rechenzentrale unterwegs bist :D Zitieren Link zu diesem Kommentar
lizenzdoc 207 Geschrieben 13. Januar 2015 Autor Melden Teilen Geschrieben 13. Januar 2015 Hi Martin, Banken-RZ ... wäre sehr traurig, wenn Ihr es nicht kennen würdet. Regeln für den Umgang/Handhabung/Schutz von„personenbezogener Daten“ und "personenbeziehbare Daten" sollten regelmäßig gechecked werden .... Genauso wie das Interfacing zw. internen und externen Systemen :) VG, Franz Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 13. Januar 2015 Melden Teilen Geschrieben 13. Januar 2015 Das wäre nicht nur traurig, sondern geschäftsgefährdend. Die BaFin ist inzwischen doch recht aufmerksam... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.