Heute möchten wir Sie über neue und aktualisierte Dokumente im DSMS informieren, die Ihnen bei der Berücksichtigung und Dokumentation des Datenschutzes in Ihrem Unternehmen helfen können!
Fragebogen zur Bewertung von Auftragnehmern im Drittland (TIA)
Bereits mit dem Urteil zu Schrems II und dem Wegfall des „Privacy Shield“ hatten wir Ihnen eine Arbeitshilfe bereitgestellt, womit Sie die Datenübermittlung ins Drittland bewerten und argumentativ darlegen konnten, warum der Wechsel des Auftragsverarbeiters hin zu einem europäischen Anbieter aus Ihrer Sicht nicht möglich erscheint.
Auch die neuen EU-Standardvertragsklauseln (SCC), die seit letztem Jahr nutzbar sind, fordern eine Bewertung der Datenübermittlung ins (unsichere) Drittland. Dieses „Transfer Impact Assessment“ (TIA) kann mit unserer Vorlage durchgeführt werden.
Eine endgültige Aussage dazu, ob unsere Vorlage ausreichend für das TIA ist, können wir Ihnen nicht geben, da es diesbezüglich keine Erkenntnisse, veröffentlichte Meinungen der Aufsichtsbehörden oder Urteile gibt. Zumindest wird damit aber der Nachweis erbracht werden können, dass das Thema nicht vernachlässigt wurde und entsprechende Bewertungen von Ihnen durchgeführt wurden.
Sie finden die Vorlage für die Bewertung im BK3* im Bereich „Datenübermittlung ins Drittland“.
Dateiname: „TIA – Bewertung Auftragnehmer mit Drittlandstransfer.docx“
Festlegung von „Mindestmaßnahmen“ zum AV-Vertrag anstelle einer Dokumentation des Auftragnehmers
Wir haben von einem Mandanten einen Vertrag zur Auftragsverarbeitung zur Prüfung erhalten. In diesem Vertrag wurde der Auftragnehmer nicht wie üblich aufgefordert seine eigenen technischen und organisatorischen Maßnahmen zu dokumentieren – wie es übrigens auch in unserer Vorlage der Fall ist, sondern der Auftraggeber hat auf Basis einer Risikoeinschätzung einen Katalog an Mindestmaßnahmen festgelegt, die vom Auftragnehmer verbindlich einzuhalten sind.
Was uns am vorliegenden Beispiel jedoch etwas störte: Bei allen Maßnahmen wurde „sollte“ verwendet, so dass die Maßnahmen eher einen empfehlenden Charakter bekommen haben. Im Bereich der Normungen werden Regeln jedoch i.d.R. mit einem „muss“ festgelegt.
Trotzdem fanden wir diese Idee spannend, da damit der Prozess zum Abschluss des Vertrages zur Auftragsverarbeitung deutlich verkürzt werden kann. Aus Sicht des Auftraggebers ist es nicht mehr notwendig dem Auftragnehmer um seine Dokumentation zu bitten und diese zu prüfen, denn dem Auftraggeber werden in unserem Muster klare Maßnahmen vorgegeben, die er nicht unterschreiten darf. Natürlich darf der Auftragnehmer diese Anforderung jederzeit übererfüllen.
Durch den modularen Aufbau unseres Mustervertrages zur Auftragsverarbeitung kann der Auftraggeber jederzeit entscheiden, ob er eine Dokumentation anfordern will, oder die Maßnahmen vorgeben möchte. Es reicht, die entsprechende Anlage 2 auszutauschen.
Die von uns genannten Maßnahmen sind beispielhaft zu verstehen und müssen an das jeweilige Unternehmen und an das zu erwartende Risiko für den Betroffenen, welches mit der Auftragsverarbeitung einhergeht, angepasst werden.
Sie finden die alternative Anlage ebenfalls im Ordner des Mustervertrages zur Auftragsverarbeitung im BK3* unter „Auftragsverarbeitung (Art. 28 DSGOV)“.
Dateiname: „AVV – Anlage 2 – t. und o. Maßnahmen – VORGABE MINDESTLEVEL.docx“
IT-Notfallkarte der Allianz für Cybersicherheit vom BSI
Wenn es zu einem Zwischenfall in der IT kommt, keine eine schnelle Reaktion notwendig sein, um größere Schäden vom Unternehmen abzuwehren. Für Datenschutzvorfälle kennen Sie bereits aus dem Datenschutzhandbuch unseren Link zur Meldung von Datenpannen, aber auch in der Informationssicherheit ist eine schnelle Reaktion wichtig!
Aus diesem Grund ist es wichtig, dass die Mitarbeiter schnell und einfach darüber informiert sind, wer im Notfall zu kontaktieren ist. Mit der Notfallkarte des BSI steht ein Medium zur Verfügung, welches an die „Verhaltensregeln im Brandfall“ erinnert.
Für uns ist diese Karte ein gutes Mittel zur Sensibilisierung der Mitarbeiter. Daher freuen wir uns, dass wir als Mitglied der Allianz für Cybersicherheit diese Vorlage für Sie in unserem BK3* bereithalten können.
Dateiname: „Personal – Aushang – IT-Notfallkarte des BSI (ACS).pdf“
Rechtsgutachten der Datenschutzkonferenz zur Datenübermittlung in die USA
Die Datenschutzkonferenz (DSK), also das Gremium der Datenschutzaufsichtsbehörden in Deutschland, hat bei Prof. Stephen I. Vladeck ein Gutachten in Auftrag gegeben, welches den aktuellen Stand der Überwachungsbefugnisse der US-Behörden untersuchen sollte.
Nach dem Gutachten kann die Rechtslage wohl als „kompliziert“ betrachtet werden, auch weil einige Punkte der Rechtsvorschriften weit auszulegen seien. Rechtsbehelfe der Betroffenen sind aber wohl tatsächlich nahezu unmöglich.
Die DSK analysiert derzeit das Gutachten. Wir dürfen wohl alle gespannt sein, zu welchen Erkenntnissen man gelangen wird.
Das Gutachten haben ist frei verfügbar. Wir haben es Ihnen im BK5* im Bereich „Datenschutzkonferenz“ bereitgestellt.
Dateiname: „DSK – Rechtsgutachten USA Vladek.pdf“
Zuletzt noch ein Muster für alle IT-Dienstleister und IT-Systemhäuser:
Löschbestätigung zur Entsorgung von Datenträgern
Ein Mandant brauchte eine Vorlage, mit der dem Auftraggeber gegenüber schriftlich bestätigt werden konnte, dass ihm überlassene Datenträger vernichtet worden sind. Dabei kann diese Bestätigung auch bei der Beendigung der Zusammenarbeit genutzt werden, um dem Auftraggeber die Löschung eigener Datensicherungen oder sonstiger Datenträger zu bestätigen.
Eigentlich stammte diese Anfrage bereits aus 2019 und wurde auch zeitnah beantwortet. Normalerweise erstellen wir im Anschluss aber auch immer eine „neutrale“ Version, die allen Mandanten zur Verfügung gestellt werden kann. So auch in diesem Fall, allerdings wurde das Dokument im Anschluss nie im DSMS bereitgestellt. Dies wurde nun nachgeholt.
Dieses Muster ist im BK3* unter „Systemhäuser (Erw. Art. 28 DSGVO)“ zu finden. Natürlich können die Muster für Systemhäuser auch auf andere Branchen angepasst und dort eingesetzt werden, ein Blick in diesen Ordner kann sich also lohnen. Dateiname: „Löschbestätigung.docx“
*Was bedeutet eigentlich BK1, BK2, BK3, BK4, BK5, BK6?
Erklärung: Dokumente die wir bereitstellen
Aktuell befinden sich etwa 330 Informationen, Dokumentationen und Vorlagen in unserer Bereitstellung.
