Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 12

Thema: Datenschutzniveau sicherstellen bei EU-Unternehmen mit Zweigstellen in Drittland

  1. #1
    Registriert seit
    04.05.2017
    Beiträge
    29

    Standard Datenschutzniveau sicherstellen bei EU-Unternehmen mit Zweigstellen in Drittland

    Hallo zusammen,

    bei folgendem Szenario benötige ich leider Hilfe:

    Die Mitarbeiter benötigen personalisierte Lizenzen eines Produktes/einer Software. Hierzu erstellen sie ein Profil auf der Seite des entsprechenden Unternehmens. Dieses Unternehmen hat seinen Hauptsitz in der EU. In der Datenschutzerklärung weißt es allerdings auch auf Büro/Zweigstellen in einem Drittland hin, welches aufgrund der täglichen Arbeiten Zugriff auf die Daten hat.

    Ich sehe hier erstmal keine AV, lasse mich aber gerne korrigieren Die Frage wäre für mich also: Wie stellt man in solch einen Fall ein ausreichendes Schutzniveau her?

    Vielen Dank für die Hilfe!

    DSA2

  2. #2
    Registriert seit
    23.02.2017
    Beiträge
    319

    Standard

    Hallo DSA2

    ich sehe hier erstmal eine AVV, durch diese kann Ihr Softwarelizenzgeber, der Zugriff aus pbD Ihrer Mitarbeiter hat, nachweisen, dass auch beim Sussubsubsusbsub Unternehmer, der auch Zugriff auf die Daten Ihrer MA hat und in einem Drittland sitzt, ggf. ein Datenschutzniveau xy erreicht ist.

    In dieser AVV werden die Subunternehmer üblicherweise gelistet, der Zweck des Zugriffs auf die Daten Ihrer MA beschrieben und ferner die Kopie eines z.B. EU - Standardvertrages mit dem Subsubsusbsubsub..., beigefügt.

    In diesem EU Standardvertrag finden Sie möglicherweise die im Drittland getroffenen organisatorischen und technischen Massnahmen zum Schutz der Daten Ihrer MA und können im vollsten darauf vertrauen????, das ein angemessenes Datenschutzniveau vorherrscht.

    Oder so ähnlich.

    Grüße

    Dataparanoia

  3. #3
    Registriert seit
    04.05.2017
    Beiträge
    29

    Standard

    Hallo Dataparanoia,

    wenn es eine AVV ist, dann ist es relativ einfach mit dem Datenschutzniveau

    Macht aber jede Registrierung eines Mitarbeiters bei einem Unternehmen (Forum, personalisierter Software/Tools download z.B. für Lizenzierung) immer eine AVV notwendig? Dachte eher das in diesem Fall die Unternehmen nicht wirklich Weisungsgebunden sind, sondern jeher ein Kauf- bzw. Nutzungsvertrag für das jeweilige Produkt/die Anwendung vorliegt und die Registrierung noch sicherstellen soll, dass auch nur dieser Mitarbeiter diese nutzt. Ansonsten müsste ja ein Unternehmen auch eine AVV abschließen mit diesem Forum, wenn der DSB es im Rahmen seiner Tätigkeit nutzt, oder hab ich da was völlig falsch verstanden?

    Grüß,
    Timur

  4. #4
    Registriert seit
    23.02.2017
    Beiträge
    319

    Standard

    Hallo DSA2

    möglicherweise hab auch ich Ihren Prozeß falsch gedeutet.

    Ich sehe das so.
    1. Sie haben bei einem Softwareunternehmen z.B. 10 Lizenzen erworben für Ihre Mitarbeiter. Diese Lizenzen sind personenbezogen.
    2. Der Softwarehersteller hat Zugriff, z.B. zu Wartungszwecken auf die personenbezogenen Daten von 10 Mitarbeitern.
    3. Der Softwarehersteller hat zahlreiche Unterauftragnehmer u.a in einem Drittland.

    Sie benötigen eine AV mit dem Softwarehersteller für Ihre 10MA.

    Sollten Sie mehrere solcher Konstellationen haben, dann müssen Sie mehrere Verträge haben.

    Auch wir haben verschiedene Dienstleister und mit jedem, der Zugriff auf die Daten unsere MA hat entsprechende Verträge.

    Nicht aber ein Vertrag mit jedem Subsub des Dienstleisters, falls dies Ihre Frage war.

    Gruß

    Dataparanoia

  5. #5
    Registriert seit
    10.02.2011
    Beiträge
    3.710

    Standard

    Zitat Zitat von DSA2 Beitrag anzeigen
    wenn es eine AVV ist, dann ist es relativ einfach mit dem Datenschutzniveau
    Hmmnö. Erst kürzlich wies das EU-Parlament auf die unzureichenden Bedingungen des Privacy Shields hin und forderte in einer Entschließung die Nachbesserung ansonsten Aussetzung, da das Parlament die Auffassung vertritt, "dass die derzeitige Datenschutzschild-Regelung nicht das angemessene Schutzniveau bietet, das nach dem EU-Datenschutzrecht und der EU-Charta gemäß der Auslegung durch den Europäischen Gerichtshof erforderlich ist". (http://www.europarl.europa.eu/sides/...DOC+XML+V0//DE). Und das hat mit Auftragsverarbeitung erst einmal nichts zu tun. Hier geht's um die Grundsätze.

  6. #6
    Registriert seit
    04.05.2017
    Beiträge
    29

    Standard

    Der Ablauf ist mehr so:
    - Mitarbeiter registriert sich
    - Nach der Registrierung erhält er eine Lizenz
    - Die nutzt er um das Tool/Programm zu Nutzen (ohne Pflege/Wartung)

    Die Registrierung erfolgt rein zum Erhalt der personalisierten Lizenz und teilweise zur Verifizierung bei der Nutzung. Weiter werden die Daten nicht verwendet.

    Ist das nicht mehr eine Lieferung von Ware (Lizenz) an den Mitarbeiter, wozu die Adresse (Registrierung) benötigt wird, um den Vertrag (Nutzung des Tools/Zugangs/Software) zu erfüllen?
    Also eher DSGVO Art. 6 Abs. 1 lit. b.

    Wartung und Fernzugriff (wofür eine AVV notwendig) bezieht sich ja nur auf die Zugriffsmöglichkeiten in der eigenen Infrastruktur des Auftraggebers nicht auf die Daten die zur Erfüllung der Softwarelieferung notwendig sind. Diese Daten fallen dann ja eher wieder in DSGVO Art. 6 Abs. 1 lit. b.
    Geändert von DSA2 (12.07.2018 um 14:01 Uhr) Grund: Ergänzung der Verifizierung

  7. #7
    Registriert seit
    23.02.2017
    Beiträge
    319

    Standard

    Hallo DSA2

    Jetz bin ich schon eher bei Ihnen. Sie meinen eine Software, die bis auf den Namen des Users keine personenbezogenen Daten enthält.

    Beispiel: Wir haben eine Software von einer Anwaltskanzlei. Diese läuft auf deren server. Um sicherzustellen, das wir hier, immer nach gültigen Rechtsvorschriften arbeiten, erinnert uns die Software an fällige Termine und ordnet Gesetzesänderungen (z.B. Energie, Umwelt, Sicherheit... der jeweiligen vorher bestimmten Abteilung bzw. Person zu.

    wenn ich mich dort mit meinem Passwort anmelde, sehe ich z.B. Ob sich ein Gesetz geändert hat und/oder ob ich einen Antrag an z.B.: Die bundesnetzagentur bis zum Datum XXX stellen muss um Ansprüche nicht verfallen zu lassen.

    Hier hake ich meine Aufgaben ab und dort klicke ich ob ein gesetz mich auch wirklich betrifft.

    Nein, da habe ich keinen AVV gemacht. Das ist für mich keine Verarbeitung personenbezogener Daten im Auftrag.

    Gruß

    Dataparanoia

  8. #8
    Registriert seit
    04.05.2017
    Beiträge
    29

    Standard

    Jiep, denke dass passt eher zu dem was ich meine. Sorry, wenn ich das etwas umständlich formuliert habe

    Wenn jetzt aber aus irgendeinem Grund diese Anwaltskanzlei (um bei diesem Beispiel zu bleiben) eine weiters Büro in einem Drittland betreibt, welches auch Zugriff auf diese personenbezogenen Daten hat, wie kann ich da ein gewisses Datenschutzniveau sicherstellen? Das ist mir irgendwie noch nicht ganz klar.

  9. #9
    Registriert seit
    23.02.2017
    Beiträge
    319

    Standard

    Unser Vertragspartner ist eine speziallisierte Anwaltskanzlei mit mehreren Standorten.

    Die Software läuft auf einem Server hier in Deutschland. Kunden aus anderen Länder arbeiten auf dem gleichen server, wenn sie sich mit passwort einloggen.

    Unabhängig davon ist die Anwaltskanzlei auch ohne Vertrag eine eigens verantwortliche Stelle, die die Verantwortung für Ihre Kundendaten genauso trägt, wie in allen anderen Ländern.

    Die von Ihnen genannte Konstellation in Drittland betrifft aber nicht die Daten Ihrer MA. Auch ohne AVV stellt doch das Marktortprinzip sicher, das Ihre Daten hier nach DSGVO geschützt sind.

    Warum denken Sie das Datenschutzniveau im Drittland anpassen zu müssen?

    Möglich, das ich jetzt was falsch deute.

    Gruß

    Dataparanoia

  10. #10
    Registriert seit
    04.05.2017
    Beiträge
    29

    Standard

    Vielen Dank erstmal an Dataparanoia für die geduldige und ausführliche Hilfe hier!

    Zitat Zitat von Dataparanoia Beitrag anzeigen
    Warum denken Sie das Datenschutzniveau im Drittland anpassen zu müssen?
    Weil die eingesetzte Software zur Erfassung des VV vorsieht, dass man "Geplante Übermittlungen ins Ausland" angibt. Dann EU und/oder Drittland auswählen kann und für das Drittland dann ein Datenschutzniveau angibt.

    Da in den Datenschutzerklärungen des Vertragspartners drin steht, dass das Büro im Drittland Zugriff auf die Daten hat, war das erstmal für mich eine "Geplante Übermittlung ins Ausland" und in diesem Fall ins Drittland. Wusste dann nur nicht, was ich als Datenschutzniveau eintrage.

    Aber evtl. schieße ich da auch etwas über das Ziel hinaus?

    Gruß,
    DSA2

Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. Datentransfer im Konzern mit Server im Drittland
    Von siam im Forum AV Auftragsverarbeitung
    Antworten: 1
    Letzter Beitrag: 05.05.2014, 12:07
  2. Datentransfer Konzern mit Server im Drittland
    Von siam im Forum AV Auftragsverarbeitung
    Antworten: 1
    Letzter Beitrag: 30.04.2014, 12:20
  3. Antworten: 6
    Letzter Beitrag: 23.09.2013, 11:42
  4. Datenschutzniveau in Norwegen
    Von DaSchuBe im Forum Europa, Internationales
    Antworten: 3
    Letzter Beitrag: 22.11.2012, 08:22
  5. Zweigstellen im Ausland
    Von effjot im Forum Europa, Internationales
    Antworten: 16
    Letzter Beitrag: 24.05.2011, 11:39

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •