Auftragsbearbeitung

AEPD (Spanien): Busse gegen Auftragsbearbeiter wegen Verweigerung der Datenherausgabe

13. März 2022

Die spanische Datenschutzaufsichtsbehörde AEPD hat mit Datum vom 17. August 2021 eine Busse von EUR 100‘000 gegen einen IT-Dienstleister verhängt, der es entgegen der Bestimmung der Auftragsverarbeitungsvereinbarung unterlassen hatte, dem Verantwortlichen die Auftragsdaten herauszugeben oder den vom Auftragsbearbeiter betriebenen Server zugänglich zu machen. Der Auftragsbearbeiter

CNIL: Leitlinien für die Weiterverwendung von Daten durch Auftragsbearbeiter

25. Januar 2022

Die französische Aufsichtsbehörde, CNIL, hat am 12. Januar 2022 Leitlinien für die Weiterverwendung von im Auftrag bearbeiteten Personendaten durch Auftragsbearbeiter veröffentlicht (“Sous-traitants : la réutilisation de données confiées par un responsable de traitement”). Die CNIL geht vom Grundsatz aus, dass Auftragsbearbeiter Personendaten nur auf dokumentierte

Wie Google, Microsoft und Salesforce die neuen SCC umsetzen und was dies für Verantwortliche im EWR und in der Schweiz bedeutet

18. Oktober 2021

Ein Beitrag von Lena Götzinger und Hannes Meyle Seit dem 27. September 2021 sind für den Transfer von personenbezogenen Daten in Länder ausserhalb des EWR, welche aus Sicht der DSGVO kein angemessenes Datenschutzniveau bieten, grundsätzlich die mit Datum vom 4. Juni 2021 veröffentlichten «neuen» Standardvertragsklauseln («SCC»)

EDSA: Finale Fassung der Leitlinien zu Verantwortlichen und Auftragsverarbeitern

31. Juli 2021

Der Europäische Datenschutzausschuss EDSA hat die finale Fassung der Leitlinien zu den Konzepten des Verantwortlichen und des Auftragsverarbeiters veröffentlicht (“Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.0″, 7. Juli 2021). Ein Deltaview der finalen gegen die Entwurfsfassung ist hier

Erste Reaktion von Microsoft auf Schrems II und die EDSA-Empfehlungen

19. November 2020

Bekanntlich hat der EuGH im Schrems-II-Urteil den Privacy Shield aufgehoben – den europäischen, im Effekt aber auch den schweizerischen – und hat der EDSA letzte Woche den Entwurf von (durchaus fragwürdigen) Leitlinien dazu veröffentlicht. Nachdem die EU-Kommission nun auch neue Standardvertragsklauseln vorgelegt hat, ebenfalls als

Verantwortliche und Auftragsverarbeiter: Zu den Leitlinien des EDSA (Entwurf) zum “Controller” und “Processor”

14. September 2020

Der Europäische Datenschutzausschuss (EDSA) hat den Entwurf neuer Leitlinien zu den Begriffen von Controller und Processor (des Verantwortlichen und des Auftragsverarbeiters) veröffentlicht (Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 1.0, 2. September 2020). Der Entwurf befindet sich bis zum

EDSA: Entwurf von Leitlinien zum “Verantwortlichen” und zum “Auftragsverarbeiter”

14. September 2020

LfD Niedersachsen: FAQ zur Auftragsverarbeitung; Hinweise zur “Schwerpunkttheorie”

12. Juli 2020

Das Landesamt für Datenschutz (LfD) Niedersachsens hat ein Merkblatt mit FAQ zur Auftragsverarbeitung veröffentlicht. Typische Auftragsverarbeitungen Das LfD beurteilt etwa die folgenden Tätigkeiten i.d.R. als Auftragsverarbeitung: Entsorgung (Vernichtung, Löschung) von Datenträgern mit personenbezogenen Daten, Speicherung von personenbezogenen Daten in der Cloud, Werbeadressenverarbeitung in einem Letter-Shop, Verarbeitung von

Vorschlag für ein zweistufiges Modell des Datenaustausches zwischen Verantwortlichen

14. Juni 2020

Beim Austausch von Personendaten zwischen zwei Verantwortlichen gilt – wie immer – der Verhältnismässigkeitsgrundsatz. Oft ist es aber – aus operativen Gründen – schwierig oder kaum möglich, den Datenaustausch auf die Notwendigkeiten des Empfängers zu beschränken. Es kann z.B. sein, dass ein Konzernunternehmen Transaktionsdaten oder