Karsten U. Bartels LL.M.

Juli 31, 2018

Auftragsverarbeitung? Ja, nein, vielleicht?

Wonach entscheidet sich beim Outsourcen einer Datenverarbeitung, ob eine Vereinbarung zur Auftragsverarbeitung („AV“) zu schließen ist? Diese Frage beschäftigt nahezu alle Unternehmen. Liegt kein Fall der AV vor, wäre eine andere Rechtsgrundlage für die zulässige Verarbeitung zu finden. Handelt es sich um eine AV, sind die diversen Voraussetzungen des Art. 28 DSGVO zu erfüllen.

Lesen Sie weiter >

Juni 14, 2018

TeleTrusT veröffentlicht revidierte und erweiterte Fassung der Handreichung zum „Stand der Technik“

Mit dem „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz) verfolgt der Gesetzgeber das Ziel, Defizite in der IT-Sicherheit abzubauen. Daneben gilt seit dem 25.05.2018 die EU-Datenschutz-Grundverordnung (DSGVO) mit ihren hohen Anforderungen an die technischen und organisatorischen Maßnahmen. Beide Rechtsquellen fordern die Orientierung der IT-Sicherheit am Stand der Technik, lassen aber unbeantwortet, was im Detail darunter zu verstehen ist. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat seine Handreichung zum Stand der Technik überarbeitet und im Lichte neuer Erkenntnisse erweitert.

Lesen Sie weiter >

Mai 18, 2018

Wettbewerbsvorteil Datenschutz?

Die Quelle ist unbekannt, aber seit Jahren wird kolportiert, deutsche Unternehmen hätten einen Standortvorteil, ja einen Wettbewerbsvorteil durch das hiesige Datenschutzrecht. Bislang vor allem in Form des BDSG. Bemüht man die Suchmaschine seiner Wahl zu „Wettbewerbsvorteil DSGVO“ sind sich offenbar Viele einig: auch und gerade die DSGVO werde – nunmehr den Unternehmen der EU – einen Wettbewerbsvorteil bringen. Der Grund für diese Annahme liegt zwischen Wunschdenken und Realitätsverlust. Einen Beweis für diese Behauptung gibt es jedenfalls nicht.

Lesen Sie weiter >

Februar 27, 2018

Die Auftragsverarbeitung nach Lesart der Datenschutzkonferenz

Auch zur Auftragsverarbeitung nach Art. 28 DSGVO haben die deutschen Datenschutzbehörden ein Kurzpapier zur Orientierung „im praktischen Vollzug“ erstellt. Das ist schön für Einsteiger und nutzlos für den Rest.

Lesen Sie weiter >

Dezember 6, 2017

Ran an den Zweck!

Kern des hiesigen Datenschutzrechts ist seit Jahrzehnten: Erst muss der Zweck einer Verarbeitung von personenbezogenen Daten festgelegt werden, dann darf verarbeitet werden. Und zwar in den Grenzen eben dieser Zweckbestimmung.

Lesen Sie weiter >

Oktober 27, 2017

Unterschreiten des Stands der Technik

Entscheidungsspielräume und Rechtsfolgen von Fehlentscheidungen nach Datenschutz-Grundverordnung und IT-Sicherheitsgesetz

Lesen Sie weiter >

Juli 6, 2017

Neue Haftung – neue ADV!

Der Abschluss einer ADV-Vereinbarung kann im Einzelfall zäh sein. Entsprechend dürfte sich der Eifer in Grenzen halten, diese im Hinblick auf die DSGVO nachzuverhandeln. Das kann sich allerdings rächen. Die DSGVO verschiebt nämlich die Haftung für Verstöße teilweise zum Auftragsverarbeiter.

Lesen Sie weiter >

April 1, 2017

Datenschutz-Folgenabschätzung

Wer eine Datenverarbeitung plant, die voraussichtlich ein hohes Risiko für die Betroffenen mit sich bringt, hat künftig eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) vorzunehmen. Ergibt sich ein hohes Risiko, muss die Datenschutzaufsichtsbehörde konsultiert werden.

Lesen Sie weiter >