☐ der Auftragsverarbeiter muss sicherstellen, dass die Datenverarbeitungspersonen einer Vertrauenspflicht unterliegen; Der für die Verarbeitung Verantwortliche ist verpflichtet, dafür zu sorgen, dass sein Datenverarbeiter die DSGVO einhält, aber der Datenverarbeiter muss auch sicherstellen, dass er sich selbst behält und Aufzeichnungen über seine Tätigkeiten führt, da die Auftragsverarbeiter, wenn sie in einen Verstoß verwickelt sind, nach der DSGVO viel stärker rechenschaftspflichtig sind als bisher nach der DPA 1998. ☐ der Auftragsverarbeiter einen Unterauftragsverarbeiter nur mit vorheriger Genehmigung des für die Verarbeitung Verantwortlichen und im Rahmen eines schriftlichen Vertrags in Auftrag geben darf; Bei der Auswahl der Lieferanten muss stets auf Datenschutz und Informationssicherheit geachtet werden. Der für die Verarbeitung Verantwortliche muss sicherstellen, dass jeder Subunternehmer, den er zu engagieren beabsichtigt, sich seiner Verpflichtungen bewusst ist und diese angemessen erfüllen kann. Es gibt kein Zertifizierungssystem, um zu beweisen, dass ein Unternehmen “DSGVO-konform” ist, und ich habe von konkreten Plänen zur Einführung eines solchen Systems nichts gehört. Dennoch ermutigen die amtlichen Stellen die Berufsverbände, Verhaltenskodizes auszuarbeiten, die von den Menschen unterzeichnet werden können, um zu zeigen, dass sie die Regeln kennen und bereit sind, sie zu befolgen, und Fragebögen werden zunehmend in Auswahlverfahren und in Ausschreibungsunterlagen verwendet. Natürlich ist es möglich, eine Zertifizierung im Bereich der Informationssicherheit zu erhalten, aber die Zertifizierungspfade sind stark auf große Organisationen ausgerichtet und nicht für jedes Unternehmen oder jede Organisation ein tragfähiges Angebot. Fragen Sie Ihren zukünftigen Lieferanten immer nach seiner Informationssicherheitsrichtlinie und den entsprechenden Maßnahmen und beziehen Sie beide Aspekte in Ihre Auswahlkriterien ein. Führen Sie schließlich Aufzeichnungen über die von Ihnen gesammelten Unterlagen. Schutz der Daten standardmäßig: (Privacy by Design) Beschränkung des Zugangs zu bestimmten personenbezogenen Daten an autorisierte Personen; Bei der Zuweisung einer Aufgabe ist es wichtig, dass Sie einige Vertragsklauseln zum Datenschutz haben. Der beste Weg, dies zu tun, ist in Form einer Datenverarbeitungsvereinbarung. Dies kann ein Anhang zu einem anderen Vertrag oder eine Rahmenvereinbarung sein. Einige allgemeine Klauseln können natürlich auch in Ihre Allgemeinen Geschäftsbedingungen aufgenommen werden. Auch wenn Sie schon lange mit einem Subunternehmer zusammenarbeiten, müssen Sie dennoch sicherstellen, dass der Subunternehmer die DSGVO einhält.

Angesichts der Unterschiede zwischen der DSGVO und den früheren Rechtsvorschriften, die weniger Wert auf die Verpflichtungen des Auftragsverarbeiters legten, ist es ratsam, eine geänderte Fassung Ihrer Datenverarbeitungsvereinbarung zu erstellen. Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen, soweit dies möglich ist, bei der Erfüllung seiner Verpflichtung zur Beantwortung von Anträgen auf Ausübung der Rechte der betroffenen Person: Recht auf Zugang, Berichtigung, Löschung und Widerspruch, Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit, Recht auf nicht automatisierte Einzelentscheidung (einschließlich Profiling). Es liegt in der Verantwortung des für die Verarbeitung Verantwortlichen, die betroffenen Personen zum Zeitpunkt der Datenerhebung zu informieren. Verarbeitung der Daten ausschließlich für den Zweck(en), der dem Untervertrag unterliegt Der Vertrag oder ein anderer Rechtsakt enthält Bedingungen oder Klauseln, die besagt, dass: Der Auftragsverarbeiter ist berechtigt, im Auftrag des für die Verarbeitung Verantwortlichen die erforderlichen personenbezogenen Daten für die Erbringung von Dienstleistungen zu verarbeiten, die in den Allgemeinen Nutzungsbedingungen (AGB) beschrieben sind. Zusätzlich zu den oben genannten empfehlungen, dass Sie die relevanten Leitlinien des ICO überprüfen und Rechtsberatung in Bezug auf Compliance-Verfahren und Dokumentation einholen. Sie müssen nicht nur sicherstellen, dass Ihre internen Verfahren DSGVO-konform sind, sondern ein Rechtsexperte wäre auch in der Lage, Ihre Datenschutzrechte und -verpflichtungen in allen schriftlichen Vereinbarungen, die Sie mit Kunden haben, zu überprüfen und zu beraten. Die Kategorien der betroffenen Personen sind: die Kunden und Partner des für die Verarbeitung Verantwortlichen, der auf die Dienste zugreift, die Nutzer des für die Verarbeitung Verantwortlichen alle Personen, die Zugriff auf die Dienste haben, und die Aufzeichnung von Daten, ob der Kunde oder die Nutzer.

Font size
Colors