Ergebnis 1 bis 5 von 5

Thema: Verarbeitungsübersicht - Applikationen Auftragsverarbeiter

  1. #1
    Registriert seit
    24.07.2017
    Beiträge
    28

    Standard Verarbeitungsübersicht - Applikationen Auftragsverarbeiter

    Hallo zusammen.

    Unser Kunde möchte, dass wir ihm für seine interne Verarbeitungsübersicht, alle Applikationen nennen in denen wir in seinem Auftrag pb Daten seiner Mitarbeiter verarbeiten.

    Ist das notwendig bzw. zulässig? Denn "eigentlich" müsste er doch nur uns bzw. unsere Dienstleistung nennen. Wir wiederum haben dann ja unser eigenes Verarbeitungsverzeichnis.
    Wenn wir sämtliche Applikationen übermitteln, müssten wir ja auch jede Änderung mitteilen, was m.E. nicht verhältnismäßig ist.

    Schöne Grüße,
    mk1

  2. #2
    Registriert seit
    10.03.2017
    Beiträge
    231

    Standard

    Hallo

    meine Vermutung ist es geht hier um Cloud Lösungen die ihr nutzt. Die Cloud Anbieter wären dann soetwas wie Subunternehmer und diese wären anzugeben.

  3. #3
    Registriert seit
    24.07.2017
    Beiträge
    28

    Standard

    Hi joe,

    danke für die Antwort.

    Ich sehe ein, dass es schwierig ist auf Grund meines ersten Posts zu erkennen was wir machen . Sorry...

    Als (Geschäfts-)Reisebüro vermitteln wir u.a. Flüge, Mietwagen, Hotels, Taxi, etc. Diese Reiseleistungen werden in verschiedenen Systemen reserviert bzw. gebucht.
    Im AV mit dem Kunden wurden alle Unterauftragnehmer angegeben.

    Nun erstellt der Kunde aber noch eine Verarbeitungsübersicht, in der er alle Applikationen und Dienstleister und z.B. Löschfristen, TOM, Serverstandort, usw. aufführt. Meiner Meinung nach reicht es, wenn er hier z.B. "Reisebüro" einträgt. Er jedoch möchte, dass wir sämtliche Applikationen melden mit denen wir arbeiten.

    Gibt es dafür eine Grundlage?

  4. #4
    Registriert seit
    10.02.2011
    Beiträge
    3.710

    Standard

    Unter Umständen sogar mehrere.

    Zitat Zitat von mk1 Beitrag anzeigen
    ... alle Applikationen nennen in denen wir in seinem Auftrag pb Daten seiner Mitarbeiter verarbeiten.
    Applikationen im Einzelnen zu benennen, scheint auf den ersten Blick natürlich überbordend. Neben dem AV-Vertrag (detaillierte Regelungen?) kann man als Rechtsgrundlage Art.28 Abs.1 und 3 i.V.m. Art.32 Abs.1 bis Abs.3 i.V.m. Art.5 Abs.2 (Rechenschafts-/Nachweispflichten) i.V.m. Art.30 Abs.1 lit g und außerdem Artikel zur Rechtmäßigkeit (6-10) i.V.m weiteren Gesetzen wie dem BetrVG (§87 Abs.1 Nr.6) heranziehen. Vorstellbar ist das Auskunftsbegehren des Verantwortlichen unter diesen Aspekten: Applikationen erfüllen ggf. nicht die Anforderungen, man will eine gewisse Kontrolle über tatsächliche Gegebenheiten erfahren bzw. behalten und evtl. eigene Einschätzungen (DSFA) vornehmen (Applikation überhaupt geeignet? Berechtigungen, Löschen, Pseudonymisierung etc.); die Applikationen bedürfen der Mitbestimmung und finden namentliche Erwähnung in einer Betriebsvereinbarung (stellenweise müssen einzelne Releases in eine Abstimmung). Sicherlich sind auch noch andere Hintergründe wie Prävention, Transparenz u.ä. im Rahmen des Datenschutzmanagements möglich.

    Generell sollte es zwischen Verantwortlichem und Auftragsverarbeiter kein Geheimnis sein, mit welchen Applikationen die Daten im Auftrag verarbeitet werden. Selbst wenn der Verantwortliche die Verantwortung der Verarbeitung bis zu einem gewissen Grad dem Auftragsverarbeiter überlassen kann, und dieser in der Folge an allem Schuld ist, wird der Auftraggeber seine Verantwortung nicht gänzlich abtreten können (geeignete Garantien etc.). Ist eine Applikation z.B. dafür bekannt, unsicher zu sein oder Datenfluchtpotential zu bieten, muß sich auch der Verantwortliche überlegen, ob hier das richtige Mittel eingesetzt wird. Können mit einer Applikation die Rechte der Mitarbeiter nicht im geforderten Umfang gewährleistet werden, ist er ebenso im Zugzwang. usw.

    Mit vielen Applikationen arbeitet Ihr denn, daß die Weitergabe dieser Informationen unverhältnismäßig ist? Sollten in Euren Verzeichnissen nicht dieselben Informationen hinterlegt sein?

  5. #5
    Registriert seit
    24.07.2017
    Beiträge
    28

    Standard

    Danke für die Einschätzung!

    Der Kunde möchte von uns ja nicht nur den Namen der Applikationen, sondern auch noch 28 Informationen dazu haben.
    Ich stelle mir vor, dass möchte jeder Kunde in seinem eigenen Format haben. Dann könnten wir dafür, zumindest temporär, noch jemanden einstellen

    Nicht dass hier ein falsche Eindruck entsteht. Wir wollen uns auf keinen Fall vor solchen Anforderungen drücken, sondern natürlich alles verordnungs- und gesetzeskonform umsetzen. Auf der anderen Seite wollen wir auch nicht noch einen höheren Aufwand haben als wir aktuell schon haben

Ähnliche Themen

  1. Ist Spedition Auftragsverarbeiter?
    Von rsb im Forum AV Auftragsverarbeitung
    Antworten: 10
    Letzter Beitrag: 11.07.2018, 08:46
  2. Auftraggeber: Nicht-EU, Auftragsverarbeiter EU
    Von Karon von Jetsam im Forum Europa, Internationales
    Antworten: 11
    Letzter Beitrag: 24.05.2018, 08:12
  3. Auftragsverarbeiter
    Von VoTas im Forum ALLGEMEINES UND RECHTSFRAGEN
    Antworten: 2
    Letzter Beitrag: 18.05.2018, 19:00
  4. Benutzerdaten in Applikationen: personenbezogen nach Art.4 Nr.1 DSGVO ?
    Von ANGRE im Forum Allgemeine Rechtsfragen, Gesetze, Gesetzgebung
    Antworten: 14
    Letzter Beitrag: 21.11.2017, 07:55
  5. OWASP Top 10 Datenschutz-Risiken für Web-Applikationen - jetzt auch auf Deutsch
    Von steeler im Forum Datensicherheit, TOM, IT für den Datenschutz
    Antworten: 4
    Letzter Beitrag: 15.07.2015, 23:52

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •