Auftragsbearbeitung

Deut­sche Behör­den: Check­li­ste für ADV; hohe Anfor­de­run­gen an Auftragsbearbeitungsvereinbarungen

Die Auf­sichts­be­hör­den der Bun­des­län­der Ber­lin, Nie­der­sach­sen, Rhein­­land-Pfalz, Sach­sen, Sach­­sen-Anhalt und Bay­ern haben Auf­trags­be­ar­bei­tungs­ver­trä­ge (ADV) von Web­ho­­sting-Anbie­­tern geprüft. Für die­se Prü­fung haben sie gemein­sam eine Check­li­ste erstellt, die nun ver­öf­fent­licht wur­de: Kurz­mit­tei­lung und gesam­te Pres­se­mit­tei­lung Check­li­ste Aus­füll­hin­wei­se zur Check­li­ste Die Check­li­ste zeigt

AEPD (Spa­ni­en): Bus­se gegen Auf­trags­be­ar­bei­ter wegen Ver­wei­ge­rung der Datenherausgabe

Die spa­ni­sche Daten­schutz­auf­sichts­be­hör­de AEPD hat mit Datum vom 17. August 2021 eine Bus­se von EUR 100‘000 gegen einen IT-Dienst­­lei­­ster ver­hängt, der es ent­ge­gen der Bestim­mung der Auf­trags­ver­ar­bei­tungs­ver­ein­ba­rung unter­las­sen hat­te, dem Ver­ant­wort­li­chen die Auf­trags­da­ten her­aus­zu­ge­ben oder den vom Auf­trags­be­ar­bei­ter betrie­be­nen Server

CNIL: Leit­li­ni­en für die Wei­ter­ver­wen­dung von Daten durch Auftragsbearbeiter

Die fran­zö­si­sche Auf­sichts­be­hör­de, CNIL, hat am 12. Janu­ar 2022 Leit­li­ni­en für die Wei­ter­ver­wen­dung von im Auf­trag bear­bei­te­ten Per­so­nen­da­ten durch Auf­trags­be­ar­bei­ter ver­öf­fent­licht (“Sous-trai­­tants : la réuti­li­sa­ti­on de don­nées con­fiées par un respons­able de trai­te­ment”). Die CNIL geht vom Grund­satz aus, dass

Erste Reak­ti­on von Micro­soft auf Schrems II und die EDSA-Empfehlungen

Bekannt­lich hat der EuGH im Schrems-II-Urteil den Pri­va­cy Shield auf­ge­ho­ben – den euro­päi­schen, im Effekt aber auch den schwei­ze­ri­schen – und hat der EDSA letz­te Woche den Ent­wurf von (durch­aus frag­wür­di­gen) Leit­li­ni­en dazu ver­öf­fent­licht. Nach­dem die EU-Kom­­mi­s­­si­on nun auch neue

Ver­ant­wort­li­che und Auf­trags­ver­ar­bei­ter: Zu den Leit­li­ni­en des EDSA (Ent­wurf) zum “Con­trol­ler” und “Pro­ces­sor”

Der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) hat den Ent­wurf neu­er Leit­li­ni­en zu den Begrif­fen von Con­trol­ler und Pro­ces­sor (des Ver­ant­wort­li­chen und des Auf­trags­ver­ar­bei­ters) ver­öf­fent­licht (Gui­de­li­nes 07/2020 on the con­cepts of con­trol­ler and pro­ces­sor in the GDPR, Ver­si­on 1.0, 2. Sep­tem­ber 2020). Der

EDSA: Ent­wurf von Leit­li­ni­en zum “Ver­ant­wort­li­chen” und zum “Auf­trags­ver­ar­bei­ter”

Der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) hat den Ent­wurf neu­er Leit­li­ni­en zu den Begrif­fen von Con­trol­ler und Pro­ces­sor (des Ver­ant­wort­li­chen und des Auf­trags­ver­ar­bei­ters) ver­öf­fent­licht (Gui­de­li­nes 07/2020 on the con­cepts of con­trol­ler and pro­ces­sor in the GDPR, Ver­si­on 1.0, 2. Sep­tem­ber 2020). Der

LfD Nie­der­sach­sen: FAQ zur Auf­trags­ver­ar­bei­tung; Hin­wei­se zur “Schwer­punkt­theo­rie”

Das Lan­des­amt für Daten­schutz (LfD) Nie­der­sach­sens hat ein Merk­blatt mit FAQ zur Auf­trags­ver­ar­bei­tung ver­öf­fent­licht. Typi­sche Auf­trags­ver­ar­bei­tun­gen Das LfD beur­teilt etwa die fol­gen­den Tätig­kei­ten i.d.R. als Auf­trags­ver­ar­bei­tung: Ent­sor­gung (Ver­nich­tung, Löschung) von Daten­trä­gern mit per­so­nen­be­zo­ge­nen Daten, Spei­che­rung von per­so­nen­be­zo­ge­nen Daten in der Cloud, Werbeadressenverarbeitung