57
IT-Dienstleister und DSB in einer Person? Erfahrungen?
Hallo allerseits.
Ich bin selbstständiger IT-Dienstleister, versorge Unternehmen mit IT-Lösungen inkl. Service, Wartung, Administration, eben IT-Mädchen für alles in KMU.
Nun kommen natürlich die Anfragen, ob ich auch externer Datenschutzbeauftragter meiner Kunden werden kann. (Schulung und Zertifikat etc. natürlich vorausgesetzt).
Gibt es hier Erfahrungen von euch oder Kenntnisse über Richtlinien dazu?
Ist das A) überhaupt erlaubt und B) überhaupt sinnvoll? Gibt es Leute hier, die das so schon praktizieren?
Vielen Dank für eine kleine DIskussion zum Thema.
LIebe Grüße
puerto
Ich bin selbstständiger IT-Dienstleister, versorge Unternehmen mit IT-Lösungen inkl. Service, Wartung, Administration, eben IT-Mädchen für alles in KMU.
Nun kommen natürlich die Anfragen, ob ich auch externer Datenschutzbeauftragter meiner Kunden werden kann. (Schulung und Zertifikat etc. natürlich vorausgesetzt).
Gibt es hier Erfahrungen von euch oder Kenntnisse über Richtlinien dazu?
Ist das A) überhaupt erlaubt und B) überhaupt sinnvoll? Gibt es Leute hier, die das so schon praktizieren?
Vielen Dank für eine kleine DIskussion zum Thema.
LIebe Grüße
puerto
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 367399
Url: https://administrator.de/contentid/367399
Ausgedruckt am: 24.11.2024 um 15:11 Uhr
57 Kommentare
Neuester Kommentar
Hallo,
A) Nein, beim gleichen Kunden
Du würdest Dich damit ja selber überwachen.
B) siehe A
Stefan
A) Nein, beim gleichen Kunden
Du würdest Dich damit ja selber überwachen.
B) siehe A
Stefan
Hi,
kannst Du machen, aber nicht bei einem Kunden beides gleichzeitig. Da gibt es Interessenkonflikte.
E.
kannst Du machen, aber nicht bei einem Kunden beides gleichzeitig. Da gibt es Interessenkonflikte.
E.
Moin,
Ich würde als Laie (der sich augenblicklich mit diesem unsäglichen DSGVO/BDSG-Mist recht intensiv beschäftigen muss) da eher keine Hürden sehen - Expertise natürlich vorausgesetzt.
Es geht um die Kundendaten des Kunden ... da muss ein ein entsprechender Vertrag bezgl. des Datenschutzes zwischen Kunden und IT-Dienstleister bestehen.
LG, Thomas
kannst Du machen, aber nicht bei einem Kunden beides gleichzeitig. Da gibt es Interessenkonflikte.
welche?Ich würde als Laie (der sich augenblicklich mit diesem unsäglichen DSGVO/BDSG-Mist recht intensiv beschäftigen muss) da eher keine Hürden sehen - Expertise natürlich vorausgesetzt.
Es geht um die Kundendaten des Kunden ... da muss ein ein entsprechender Vertrag bezgl. des Datenschutzes zwischen Kunden und IT-Dienstleister bestehen.
LG, Thomas
welche?
“Eine derart exponierte Position im Hinblick auf die Datenverarbeitungsprozesse im Unternehmen ist in aller Regel unvereinbar mit den Aufgaben eines Datenschutzbeauftragten” sagt die bayerische LDA hier zum Beispiel.
lG MOS
Kurz und Knapp und wie du es vermutlich schon weisst: Nein, kannst und darfst du nicht.
Zitat von @keine-ahnung:
Moin,
Ich würde als Laie (der sich augenblicklich mit diesem unsäglichen DSGVO/BDSG-Mist recht intensiv beschäftigen muss) da eher keine Hürden sehen - Expertise natürlich vorausgesetzt.
Es geht um die Kundendaten des Kunden ... da muss ein ein entsprechender Vertrag bezgl. des Datenschutzes zwischen Kunden und IT-Dienstleister bestehen.
LG, Thomas
Moin,
kannst Du machen, aber nicht bei einem Kunden beides gleichzeitig. Da gibt es Interessenkonflikte.
welche?Ich würde als Laie (der sich augenblicklich mit diesem unsäglichen DSGVO/BDSG-Mist recht intensiv beschäftigen muss) da eher keine Hürden sehen - Expertise natürlich vorausgesetzt.
Es geht um die Kundendaten des Kunden ... da muss ein ein entsprechender Vertrag bezgl. des Datenschutzes zwischen Kunden und IT-Dienstleister bestehen.
LG, Thomas
Der Grund ist ganz simpel:
du zählst deinen Kunden an, was er im SInne des DS alles versäumt hat umzusetzen.
Er beauftragt dich, das umzusetzen, kann aber selbst nicht kontrollieren, ob du das auch tatsächlich berücksichtigt hast. Hier würde er dann den DSB beauftragen, die umgesetzten Dinge zu prüfen. Aber halt, du müsstest dich ja selbst kontrollieren. Und nur, weil du dauf dem Papier geschrieben hast, dass du nur den Ärzten Zugriff auf die Befunde gibst (in der Praxis vermutlich nicht so, da auch die HelferInnen Zugriff haben), heisst das nicht, dass du es auch so umgesetzt hast....
Das ist auch der Grund, warum IT-Leiter als DSB im eigenen Unternehmen ausscheiden....
Das wäre so, als würden die Vorstände der AUtomobilbranche auch einen hochrangigen Posten in der Politik haben. Und wo führt das dann hin? Richtig, zum Fahrverbot in Städten für Diesel-Kfzs, weil man einfach nicht die Umsetzung Schadstoffreduzierenden Maßnahmen kontrollieren konnte (aufgrund der Befangenheit)
Moin nochmal,
LG, Thomas
Eine derart exponierte Position im Hinblick auf die Datenverarbeitungsprozesse im Unternehmen ist in aller Regel unvereinbar mit den Aufgaben eines Datenschutzbeauftragten
das hat mit der Fragestellung des TO wenig zu tun, hier geht es um Mitarbeiter des Unternehmens und innerbetriebliche Interessenkonflikte.LG, Thomas
Zitat von @keine-ahnung:
Es geht um die Kundendaten des Kunden ... da muss ein ein entsprechender Vertrag bezgl. des Datenschutzes zwischen Kunden und IT-Dienstleister bestehen.
Das hat aber nichts mit dem Thema Datenschutzbeauftragter zu tun. Du meinst das Vertragsverhältnis zwischen und Kunden und Dienstleister und die Verschwiegenheit der Partner, was die Daten des jeweils anderen angeht. Und genau das wäre u.a eine Aufgabe des DSB, diesen Vertrag und dessen Einhaltung bzgl. Datenschutz zu überwachen. Das kann der Dienstleister dann nicht selbst tun.Es geht um die Kundendaten des Kunden ... da muss ein ein entsprechender Vertrag bezgl. des Datenschutzes zwischen Kunden und IT-Dienstleister bestehen.
"Haben Sie eine Fahrkarte?" - "Aber sicher doch!"
Das ist auch der Grund, warum IT-Leiter als DSB im eigenen Unternehmen ausscheiden....
Ich lese die DSGVO da etwas anders ... aber das ist wie gesagt nicht das Thema.Bei einem externen Dienstleister regelt man Inhalte über einen Dienstleistungsvertrag und ein Weisungsrecht hat die Firmenleitung gegenüber einem Externen eh nicht.
Die technischen Belange scheinen mir dabei auch nicht zu vordergründig zu sein, vielmehr geht es um Verfahrensbeurteilungen und -bewertungen sowie die Entschärfung von Schutzlücken.
Von Kollegen ist zu hören, dass die "Systembetreuer" der Praxen vermehrt den Fuss in diesen Markt pressen wollen.
LG, Thomas
Zitat von @keine-ahnung:
Bei einem externen Dienstleister regelt man Inhalte über einen Dienstleistungsvertrag und ein Weisungsrecht hat die Firmenleitung gegenüber einem Externen eh nicht.
Die technischen Belange scheinen mir dabei auch nicht zu vordergründig zu sein, vielmehr geht es um Verfahrensbeurteilungen und -bewertungen sowie die Entschärfung von Schutzlücken.
Von Kollegen ist zu hören, dass die "Systembetreuer" der Praxen vermehrt den Fuss in diesen Markt pressen wollen.
LG, Thomas
Das ist auch der Grund, warum IT-Leiter als DSB im eigenen Unternehmen ausscheiden....
Ich lese die DSGVO da etwas anders ... aber das ist wie gesagt nicht das Thema.Bei einem externen Dienstleister regelt man Inhalte über einen Dienstleistungsvertrag und ein Weisungsrecht hat die Firmenleitung gegenüber einem Externen eh nicht.
Die technischen Belange scheinen mir dabei auch nicht zu vordergründig zu sein, vielmehr geht es um Verfahrensbeurteilungen und -bewertungen sowie die Entschärfung von Schutzlücken.
Von Kollegen ist zu hören, dass die "Systembetreuer" der Praxen vermehrt den Fuss in diesen Markt pressen wollen.
LG, Thomas
Den Bock zum Gärtner machen?
Bei einem externen Dienstleister regelt man Inhalte über einen Dienstleistungsvertrag und ein Weisungsrecht hat die Firmenleitung gegenüber einem Externen eh nicht.
Bin ich ganz bei dir.Aber wer prüft denn, ob der Vertrag inhaltlich auch rechtens ist?
Du, der als DSB fungiert und sich das so formuliert, dass du als umsetzender DL "gut dabei weggkommst"?
Oder dein Kunde, der keine Ahnung hat und sich auf den DSB verlässt?
DU müsst ja strenggenommen zwei Verträge abschließen: EInen der deine Pflichten / Rechte als Dienstleister regelt und einen, der deine Rechte und Pflichten als DSB regelt. Und als beauftragter DSB musst du dann natürlich auch die Rechte/ Pflichten des "DL-Vertrages" Sichten. WÜrde dein Kunde das von einem Anwalt prüfen lassen, könnte er diesen auch direkt als DSB einsetzen (gut, der kostet vermutlich das dreifache von dir, aber...).
Aber wer prüft denn, ob der Vertrag inhaltlich auch rechtens ist?
Im Zweifel ein unabhängiges Gericht ... Würde dein Kunde das von einem Anwalt prüfen lassen, könnte er diesen auch direkt als DSB einsetzen
Dem geht nun wiederum das technische Verständnis völlig ab ...gut, der kostet vermutlich das dreifache von dir, aber...
Da würde ich jetzt nicht Sack und Pfeiffe drauf verwetten wollen Ich seh das mehr aus meiner Perspektive --> ich bin eh raus aus der Geschichte, weil ich nicht über 10 Mitarbeiter komme. Ergo werde ich mein eigener Datenschutzverantwortlicher (ich bin ja auch schon Brandschutzverantwortlicher und vermutlich auch Verantwortlicher für den Bürgerkrieg in Syrien). In einigen Praxen werden geschulte MFA die Funktion des DSB übernehmen, denen wird das technische Verständnis für Datenschutz und Datensicherung aber auch abgehen.
Wenn man einen DSB tatsächlich benötigt, müssen alle Prozesse, in denen persönliche Daten verarbeitet werden, eh einer schriftlich zu fixierenden Verfahrensbeurteilung unterworfen werden. Die können durchaus auch Vertragsbestandteil für die Funktion des externen DSB sein.
Wie nennt Ihr das immer? Pflichtenheft ...?
DU müsst ja strenggenommen zwei Verträge abschließen: EInen der deine Pflichten / Rechte als Dienstleister regelt und einen, der deine Rechte und Pflichten als DSB regelt.
Jupp. Was spricht dagegen?LG, Thomas
Das ist ja nicht "unser" Problem.
Aufgrund des geringen IT-Bedarfs und damit geringen Budgets ist das Kosten-Verhältnis es richtig zu machen recht unverhältnismäßig.
Konkretes Beispiel was ich sehr häufig zu sehen bekomme.
Zahnarztpraxis, 2 PCs mit Win7 Home, einer davon als "Server", Datensicherung mit Batchdatei auf 2 USB Festplatten, RDP Einwahl über Portweiterleitung, keiner kümmert sich um die Updates und es gibt auch kein Monitoring. Ach so und die Datensicherung funktioniert natürlich nicht.
Problem: Der IT-Dienstleister der die Praxis schon seit 15 Jahren betreut sagt dem Chef das wäre alles super und reicht aus und Datenschutz ist eh quatsch und kostet nur Geld.
Hier wäre eine personelle Trennug doch mal sinnvoll.
"Aber" die Kosten dafür und um die IT richtig zu machen sind natürlich viel höher...
Aufgrund des geringen IT-Bedarfs und damit geringen Budgets ist das Kosten-Verhältnis es richtig zu machen recht unverhältnismäßig.
Konkretes Beispiel was ich sehr häufig zu sehen bekomme.
Zahnarztpraxis, 2 PCs mit Win7 Home, einer davon als "Server", Datensicherung mit Batchdatei auf 2 USB Festplatten, RDP Einwahl über Portweiterleitung, keiner kümmert sich um die Updates und es gibt auch kein Monitoring. Ach so und die Datensicherung funktioniert natürlich nicht.
Problem: Der IT-Dienstleister der die Praxis schon seit 15 Jahren betreut sagt dem Chef das wäre alles super und reicht aus und Datenschutz ist eh quatsch und kostet nur Geld.
Hier wäre eine personelle Trennug doch mal sinnvoll.
"Aber" die Kosten dafür und um die IT richtig zu machen sind natürlich viel höher...
Zahnarztpraxis, 2 PCs mit Win7 Home
Das ist nicht der Zielbereich von DSGVO/BDSG ... es bedarf für die Bestallung eines DSB wenigstens 10 Angestellter, dass ein Zahni die hat, ist eher unwahrscheinlich. Lustiger wird es bspw. für Psychotherapeuten, die häufig in Berufsausübungsgemeinschaften arbeiten und fast kein Personal haben. Aber da zählt jeder Psychotherapeut als "Datenverarbeiter", und da brauchst Du dann schon für eine Doppelpraxis einen DSB und das darf - diese Einschränkung ist fix - keiner der Beiden sein .Da explodiert am 25. Mai eine Bombe, von der 75% der Betroffenen Stand heute nicht einmal ahnen, dass die bereits produziert und scharfgemacht ist
LG, Thomas
1
Hallo Thomas,
in Bezug auf DSB ist mir das schon klar.
Es geht um das Prinzip, dass ein Unabhängiger sich einiges mal anschaut.
Egal ob DS oder normale IT.
Stefan
in Bezug auf DSB ist mir das schon klar.
Es geht um das Prinzip, dass ein Unabhängiger sich einiges mal anschaut.
Egal ob DS oder normale IT.
Stefan
Zitat von @StefanKittel:
Hallo Thomas,
in Bezug auf DSB ist mir das schon klar.
Es geht um das Prinzip, dass ein Unabhängiger sich einiges mal anschaut.
Egal ob DS oder normale IT.
Stefan
Hallo Thomas,
in Bezug auf DSB ist mir das schon klar.
Es geht um das Prinzip, dass ein Unabhängiger sich einiges mal anschaut.
Egal ob DS oder normale IT.
Stefan
Da sind wir wohl alle(*) einer Meinung, aber schau dich nur mal im "Kollegenkreis" (hier) um, wie manchmal fragen von "professionellen" Dienstleistern gestellt wird. Das Problem stinkt hier vom Kopf, und, oftmals sind die stinkenden gerade die, mit den schönsten Zertifikaten "Ausbilder", "DS-Verantwortliche" etc - natürlich, wenn man sich eher auf Verkauf und Platzierung bemüht als um das Know How...
Das ist die technische Seite.
Aber eines haben viele Kunden noch nicht verstanden.
Der Kunde ist verantwortlich. Punkt, Ende, aus, vorbei.
Er kann vieles deligieren und anderen Personen beauftragen, aber er bleibt verantwortlich.
Sowohl für die Umsetzung als auch den Datenschutz.
Wir beraten und machen nach besten Wissen und Gewissen.
Wenn aber der DS-Prüfer kommt, sagt der Inhaber "Der IT Mensch hat das so gemacht, ich trage dafür nicht die Verantwortung", sagt der DS-Prüfer nur: "Das können Sie gerne zivilrechtlich mit einem Anwalt klären. Aber bis dahin mache ich den Laden hier erst mal dicht.".
Es wäre also für den Kunden wirklich wichtig sich regelmäßig eine 2. Meinung einzuholen.
Besonders im DS-Bereich wegen der DSGVO
Aber eines haben viele Kunden noch nicht verstanden.
Der Kunde ist verantwortlich. Punkt, Ende, aus, vorbei.
Er kann vieles deligieren und anderen Personen beauftragen, aber er bleibt verantwortlich.
Sowohl für die Umsetzung als auch den Datenschutz.
Wir beraten und machen nach besten Wissen und Gewissen.
Wenn aber der DS-Prüfer kommt, sagt der Inhaber "Der IT Mensch hat das so gemacht, ich trage dafür nicht die Verantwortung", sagt der DS-Prüfer nur: "Das können Sie gerne zivilrechtlich mit einem Anwalt klären. Aber bis dahin mache ich den Laden hier erst mal dicht.".
Es wäre also für den Kunden wirklich wichtig sich regelmäßig eine 2. Meinung einzuholen.
Besonders im DS-Bereich wegen der DSGVO
Es geht um das Prinzip, dass ein Unabhängiger sich einiges mal anschaut.
Jupp ... schadet manchmal nicht. Konterkariert den Datenschutz u.U. per se. Da läuft man Gefahr, unter der Flagge des Datenschutzes immer mehr Leuten Zugriff eben auf diese zu schützenden Daten zu geben .Hätte ich einen "IT-Betreuer" der die Kompetenz und Expertise dafür hätte und ich würde einen DSB benötigen, würde ich den sogar präferieren.
Das Problem stinkt hier vom Kopf, und, oftmals sind die stinkenden gerade die, mit den schönsten Zertifikaten "Ausbilder", "DS-Verantwortliche" etc - natürlich, wenn man sich eher auf Verkauf und Platzierung bemüht als um das Know How...
Das wird IMHO ein ganz anderes Problem. Diejenigen, die sich jetzt auf dem Markt tummeln und ihre Dienste anpreisen, werden nach Inkrafttreten der Rechtsverordnungen vermutlich die Ersten sein, die versuchen, die "Datenschutzmassnahmen" von Praxen und Firmen zu penetrieren.LG, Thomas
Hallo allerseits,
dachte medizinische Daten gehörten zu denen, die besonders geschützt werden müssen und da wäre die Anzahl der Angestellten egal, es müsste in jedem Falle ein DSB her? Ist halt lang her, dass ich darüber gelesen hat, hab ich das einfach falsch im Kopf?
LG xal
keine-ahnung schrieb:
Das ist nicht der Zielbereich von DSGVO/BDSG ... es bedarf für die Bestallung eines DSB wenigstens 10 Angestellter
Das ist nicht der Zielbereich von DSGVO/BDSG ... es bedarf für die Bestallung eines DSB wenigstens 10 Angestellter
dachte medizinische Daten gehörten zu denen, die besonders geschützt werden müssen und da wäre die Anzahl der Angestellten egal, es müsste in jedem Falle ein DSB her? Ist halt lang her, dass ich darüber gelesen hat, hab ich das einfach falsch im Kopf?
LG xal
Will nun auch mal was dazu schreiben:
DSGVO §38
(6) Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
Das das ist wohl für einen IT-Dienstleister und Auftragsverarbeiter, wie in diese Fall, etwas problematisch.
DSGVO §38
(6) Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
Das das ist wohl für einen IT-Dienstleister und Auftragsverarbeiter, wie in diese Fall, etwas problematisch.
Wieso soll ein einfacher IT-Dienstleister ausscheiden. Ganz im Gegenteil - er ist, weil er die Umgebung kennt, fast schon prädestiniert. Man bedenke: Ein "Computerfritze" verarbeitet die Daten nicht - er sorgt dafür, das die IT funktioniert. Ich sehe da keinen Interessenkonflikt.
In dem Beispiel aus Bayern von oben sieht das anders aus. Der "IT-Manager" hatte anscheinend sehr wohl was mit der Datenverarbeitung zu tun - somit Interessenkonflikt.
Aber: Datenschutz geht weit über die IT hinaus. Nehmen wir mal das Thema Personal. Vom Arbeitsvertrag bis zur Lohnabrechnung - alles ein Thema für einen Datenschutzbeauftragten. Er muss ja schließlich prüfen, ob die Daten ordnungsgemäß behandelt werden...
In dem Beispiel aus Bayern von oben sieht das anders aus. Der "IT-Manager" hatte anscheinend sehr wohl was mit der Datenverarbeitung zu tun - somit Interessenkonflikt.
Aber: Datenschutz geht weit über die IT hinaus. Nehmen wir mal das Thema Personal. Vom Arbeitsvertrag bis zur Lohnabrechnung - alles ein Thema für einen Datenschutzbeauftragten. Er muss ja schließlich prüfen, ob die Daten ordnungsgemäß behandelt werden...
Zitat von @Kraemer:
Wieso soll ein einfacher IT-Dienstleister ausscheiden. Ganz im Gegenteil - er ist, weil er die Umgebung kennt, fast schon prädestiniert. Man bedenke: Ein "Computerfritze" verarbeitet die Daten nicht - er sorgt dafür, das die IT funktioniert. Ich sehe da keinen Interessenkonflikt.
In dem Beispiel aus Bayern von oben sieht das anders aus. Der "IT-Manager" hatte anscheinend sehr wohl was mit der Datenverarbeitung zu tun - somit Interessenkonflikt.
Aber: Datenschutz geht weit über die IT hinaus. Nehmen wir mal das Thema Personal. Vom Arbeitsvertrag bis zur Lohnabrechnung - alles ein Thema für einen Datenschutzbeauftragten. Er muss ja schließlich prüfen, ob die Daten ordnungsgemäß behandelt werden...
Wieso soll ein einfacher IT-Dienstleister ausscheiden. Ganz im Gegenteil - er ist, weil er die Umgebung kennt, fast schon prädestiniert. Man bedenke: Ein "Computerfritze" verarbeitet die Daten nicht - er sorgt dafür, das die IT funktioniert. Ich sehe da keinen Interessenkonflikt.
In dem Beispiel aus Bayern von oben sieht das anders aus. Der "IT-Manager" hatte anscheinend sehr wohl was mit der Datenverarbeitung zu tun - somit Interessenkonflikt.
Aber: Datenschutz geht weit über die IT hinaus. Nehmen wir mal das Thema Personal. Vom Arbeitsvertrag bis zur Lohnabrechnung - alles ein Thema für einen Datenschutzbeauftragten. Er muss ja schließlich prüfen, ob die Daten ordnungsgemäß behandelt werden...
Ich sag nur "Firewall any-any" und wer richtet die Firewall ein?
Selbstkontrolle fehlt.
Fachlich ist das sicher nicht verkehrt, dass ein IT-afiner sich der Sache annimmt. Aber was dann natürlich fehlt ist die überwachende Tätigkeit des DSB, da er sich, wie hier schon geschrieben wurde, selber kontrollieren muss. Mit der DSGVO ändern sich die Aufagen den DSB schließlich auch von demjenigen "der alles macht" zu einer beratenden und kontollierendenPosition.
Moin,
LG, Thomas
hab ich das einfach falsch im Kopf?
jupp. Der Umgang mit besonders geschützten personenbezogenen Daten impliziert nicht zwingend die Bestallung eines DSB.LG, Thomas
1Das das ist wohl für einen IT-Dienstleister und Auftragsverarbeiter
Wieso ist der IT-Dienstleister Auftragsverarbeiter ... ??Aber was dann natürlich fehlt ist die überwachende Tätigkeit des DSB, da er sich, wie hier schon geschrieben wurde, selber kontrollieren muss.
Jupp ... das ist im Rechtstext aber ja nicht ausgeschlossen.LG, Thomas
Zitat von @keine-ahnung:
??
Wenn z.B. der IT-Dienstleister das AD des Auftraggebers administriert und die Benutzer, Gruppen, etc. anlegt ist der schon drinn in der Rolle. Aber ja, es kommt immer daruf an....Das das ist wohl für einen IT-Dienstleister und Auftragsverarbeiter
Wieso ist der IT-Dienstleister Auftragsverarbeiter ... ??Aber was dann natürlich fehlt ist die überwachende Tätigkeit des DSB, da er sich, wie hier schon geschrieben wurde, selber kontrollieren muss.
Jupp ... das ist im Rechtstext aber ja nicht ausgeschlossen.
Hi
Ja ja die DSGVO ... Stunden habe ich schon damit verbracht und festgestellt das es einige vorgänge in Firmen gibt die nicht realisierbar sind mit der DSGVO.
In Österreich ist jeder davon betroffen auch ein 1 mann unternehmen. Ärzte haben natürlich besondere Daten (Gesundheitsdaten) die sind auch besonders schützenswert.
Der Datenschutzbeauftragte hat zwar die obsorge über die Einhaltung und bei nichteinhaltung Begrüdung der Datenverarbeitungsvorgänge sollte es aber zu einem Vorfall kommen ist der Chef der Jeweiligen Firma verantwortlich.
Mir wäre es lieber wenn ich damit nix zu tun hätte. Die Ausbildung zum geprüften Datenschutz Experten ist übrigens auch nicht billig zumindest bei uns in Österreich lassen sich das alle gut bezahlen und es gibt noch kaum Experten.
LG
Ja ja die DSGVO ... Stunden habe ich schon damit verbracht und festgestellt das es einige vorgänge in Firmen gibt die nicht realisierbar sind mit der DSGVO.
In Österreich ist jeder davon betroffen auch ein 1 mann unternehmen. Ärzte haben natürlich besondere Daten (Gesundheitsdaten) die sind auch besonders schützenswert.
Der Datenschutzbeauftragte hat zwar die obsorge über die Einhaltung und bei nichteinhaltung Begrüdung der Datenverarbeitungsvorgänge sollte es aber zu einem Vorfall kommen ist der Chef der Jeweiligen Firma verantwortlich.
Mir wäre es lieber wenn ich damit nix zu tun hätte. Die Ausbildung zum geprüften Datenschutz Experten ist übrigens auch nicht billig zumindest bei uns in Österreich lassen sich das alle gut bezahlen und es gibt noch kaum Experten.
LG
Hallo Puerto,
wir betreiben ein ISO und TÜV zertifizietes Rechenzentrum. Wir sind spezialisiert auf die Themen IT-Security und Netzwerkinfrastruktur. Wenn Sie Fragen zum Thema externer DSB und ähnliches haben, kommen Sie gerne auf mich zu. Wir stellen gemeinsam mit einem Partner für viele Kunden den externen DSB. Evtl. kann ich Ihnen an dieser Stelle helfen. Ich freue mich über eine Kontaktaufnahme.
MarcanT AG
Matthias Wunderlich
mwunderlich@marcant.net
wir betreiben ein ISO und TÜV zertifizietes Rechenzentrum. Wir sind spezialisiert auf die Themen IT-Security und Netzwerkinfrastruktur. Wenn Sie Fragen zum Thema externer DSB und ähnliches haben, kommen Sie gerne auf mich zu. Wir stellen gemeinsam mit einem Partner für viele Kunden den externen DSB. Evtl. kann ich Ihnen an dieser Stelle helfen. Ich freue mich über eine Kontaktaufnahme.
MarcanT AG
Matthias Wunderlich
mwunderlich@marcant.net
Die Beschränkung auf 10 Angestellte gibt es bei der DS-GVO nicht mehr! Es ist kommt nur auf die Art der persönlichen Daten an. Und Zahnarzt mit Patientendaten unterliegt definitiv der DS-GVO, auch wenn er Sekretärin, Putzfrau, Schwester und Arzt in einer Person verkörpert.
ich wüsste nun nicht, dass es da je eine gegeben hat. Kann das sein, dass du das mit dem BDSG verwechselst? Da geht es nämlich um den Datenschutbeauftragten - und den braucht man ab 10 Mitarbeitern, die ... ... ...
Gruß
Gruß
Ich denke, wir wissen alle, dass die DS-GVO das BDSG ersetzt und daher zumindest auf dem Bundesgebiet der Ersatz hierfür ist, daher ist die Aussage schon richtig.
der war gut
Mal was zum lesen: https://dsgvo-gesetz.de/bdsg-neu/
Zitat daraus: Diese neue Fassung des BDSG wird am 25. Mai 2018 mit der Datenschutz-Grundverordnung (DSGVO) in Kraft treten und das noch aktuelle Bundesdatenschutzgesetz komplett ersetzen.
Warum wird wohl das BDSG erneuert und tritt mit der DS-GVO in Kraft? - Damit das BDSG nicht der DS_GVo widerspricht und diese ggf. nur in Teilen ergänzt. Damit sind die zukünftigen elementaren Elemente des DS verordnet und nicht mehr staatlich legitimiert.
Ist heute Freitag? Du verrennst dich da gerade total!
Es ist richtig, dass das BDSG an die DSGVO angepasst wird - alles andere, was du geschrieben hast ist allerdings nicht richtig! Vor allem aber, dass du meinst, dass die GSGVO das BDSG ersetzt ist völlig falsch.
Die DSGVO ersetzt lediglich die "Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr".
Es ist richtig, dass das BDSG an die DSGVO angepasst wird - alles andere, was du geschrieben hast ist allerdings nicht richtig! Vor allem aber, dass du meinst, dass die GSGVO das BDSG ersetzt ist völlig falsch.
Die DSGVO ersetzt lediglich die "Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr".
Moin,
LG, Thomas
Die Beschränkung auf 10 Angestellte gibt es bei der DS-GVO nicht mehr! Es ist kommt nur auf die Art der persönlichen Daten an.
Schwachsinn ... s. §38 BDSG (2018).Ich denke, wir wissen alle, dass die DS-GVO das BDSG ersetzt und daher zumindest auf dem Bundesgebiet der Ersatz hierfür ist
Leider auch Schwachsinn - das BDSG "regionalisiert" und präzisiert damit die DSGVO-EU für die BRD.LG, Thomas
Zitat von @keine-ahnung:
Moin,
Moin,
Die Beschränkung auf 10 Angestellte gibt es bei der DS-GVO nicht mehr! Es ist kommt nur auf die Art der persönlichen Daten an.
Schwachsinn ... s. §38 BDSG (2018).Ich denke, wir wissen alle, dass die DS-GVO das BDSG ersetzt und daher zumindest auf dem Bundesgebiet der Ersatz hierfür ist
Leider auch Schwachsinn - das BDSG "regionalisiert" und präzisiert damit die DSGVO-EU für die BRD.Richtig, das neue tut das. Das alte wird durch die DS-GVO ersetzt bzw würde...
Moin Krischan,
LG, Thomas
Das alte wird durch die DS-GVO ersetzt bzw würde...
nö! Das "alte" wird durch das "neue" BDSG ersetzt. Zeitgleich mit dem endständigen in Kraft treten der DSGVO-EU.LG, Thomas
Schwachsinn ... s. §38 BDSG (2018).
Vielleicht solltest Du den Paragrafen mal vollständig lesen...
...Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.....
Über die Hierarchie kann man sich streiten, Fakt ist, dass das alte durch das neue komischerweise mit In Kraft treten der DSGVO ersetzt wird, woran wird das liegen.
Zitat von @Schutzblitz:
haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen
haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen
Ich greife kurz diesen Teil auf.
Egal ob nun BDSG 2018 oder DSGVO.
Heist doch für die meisten Firmen die Personenbezogene Daten verarbeiten, dass sie einen DSB benötigen.
Gilt doch vermutlich auch für Ärzte bei denen bis jetzt die Regel >=10 and Hauptsächlich-IT-Personen galt.
Heist dann ja, dass jeder Arzt einen benötigt und das bis Mitte Mai.
Moin nochmal,
Ergo wird in den allerseltesten Fällen bei Betriebsgrössen < 10 Mitarbeiter ein DSB notwendig werden ... wenn nicht mehrere Datenverarbeiter im Betrieb sind, bspw. in einer ärztlichen BAG. Da braucht es in der ungünstigsten Konstellation (bspw. zwei Ärzte mit keiner oder einer MFA) bereits einen DSB.
LG, Thomas
Vielleicht solltest Du den Paragrafen mal vollständig lesen...
eventuell solltest Du die DSGVO mal vollständig und nicht fragmentarisch lesen --> der Art. 35(3) stellt u.a. auf Art. 9(1) ab und dieser schränkt dann auch sofort wieder ein.Ergo wird in den allerseltesten Fällen bei Betriebsgrössen < 10 Mitarbeiter ein DSB notwendig werden ... wenn nicht mehrere Datenverarbeiter im Betrieb sind, bspw. in einer ärztlichen BAG. Da braucht es in der ungünstigsten Konstellation (bspw. zwei Ärzte mit keiner oder einer MFA) bereits einen DSB.
LG, Thomas
Heist dann ja, dass jeder Arzt einen benötigt und das bis Mitte Mai.
Nein - das sind #fakenews LG, Thomas
Zitat von @keine-ahnung:
LG, Thomas
Heist dann ja, dass jeder Arzt einen benötigt und das bis Mitte Mai.
Nein - das sind #fakenews LG, Thomas
Hi
Da het Thomas recht unter 10 Mitarbeitern benötigt man keinen DSB. Allerdings ist man trotzdem von der DSGVO betroffen den :
Jeder, der nur in irgendeiner Art und Weise im Unternehmen Daten mit Personenbezug (Name, Adresse, Telefonnummer,) speichert / bearbeitet / durchleitet etc fällt in die Bestimmungen der DSGVO!
Man muss somit Löschfristen usw. einhalten und sich an die bestimmungen halten.
Der DSB trägt sowieso keine Verantwortung wenn es kritisch wird ist immer der Chef der schuldige
!LG
Zitat von @Ausserwoeger:
Der DSB trägt sowieso keine Verantwortung wenn es kritisch wird ist immer der Chef der schuldige !
wo hast de denn den Schmarrn her?Der DSB trägt sowieso keine Verantwortung wenn es kritisch wird ist immer der Chef der schuldige
!
Moin nochmal ...
! Es kann sogar kuriose Konstellationen geben, in welchen man einen DSB bestallen muss, ohne dass man einen einzigen Mitarbeiter hat.
So ein Konstrukt ist durchaus vorstellbar: ärztliche und/oder nichtärztliche Psychotherapeuten arbeiten z.B. gerne in Berufsausübungsgemeinschaften und ohne Hilfspersonal. Nach DSGVO zählt aber jeder Psychotherapeut für sich als Datenverarbeiter, mithin muss nach BDSG ein DSB existieren, da mehr als ein Datenverarbeiter existieren.
Oder Du stellst in einer Einzelpraxis einen Assistenten an --> hast Du das selbe Problem an der Backe.
LG, Thomas
Da het Thomas recht unter 10 Mitarbeitern benötigt man keinen DSB
das habe ich explizid nicht gesagt ! Es kann sogar kuriose Konstellationen geben, in welchen man einen DSB bestallen muss, ohne dass man einen einzigen Mitarbeiter hat.So ein Konstrukt ist durchaus vorstellbar: ärztliche und/oder nichtärztliche Psychotherapeuten arbeiten z.B. gerne in Berufsausübungsgemeinschaften und ohne Hilfspersonal. Nach DSGVO zählt aber jeder Psychotherapeut für sich als Datenverarbeiter, mithin muss nach BDSG ein DSB existieren, da mehr als ein Datenverarbeiter existieren
.Oder Du stellst in einer Einzelpraxis einen Assistenten an --> hast Du das selbe Problem an der Backe.
LG, Thomas
Zitat von @Kraemer:
Zitat von @Ausserwoeger:
Der DSB trägt sowieso keine Verantwortung wenn es kritisch wird ist immer der Chef der schuldige !
wo hast de denn den Schmarrn her?Der DSB trägt sowieso keine Verantwortung wenn es kritisch wird ist immer der Chef der schuldige
!Von einem zertifizierten Datenschutzbeauftragten.
https://www.it-audits.at/
Certified Management Consultant CMC
Zertifizierter ISO/IEC 27001 Manager und Lead Auditor
Zertifizierter Datenschutzbeauftragter
ITIL Foundation
"„Datenschutz ist Chefsache“. Mit dieser Aussage ist klar geregelt, dass die Verantwortung nicht an Mitarbeiter/innen abgewälzt werden kann. Die Haftung ist somit unmissverständlich festgelegt. Die Überwachung und Einhaltung der DSGVO kann jedoch von der Firmenleitung auf einen internen Mitarbeiter/in übertragen oder an ein externes Unternehmen ausgelagert werden."
Ich habe auch persönlich mit dem zertifizierten Datenschutzbeauftragten gesprochen und mir wurde versichert das selbst wenn man ein DSB ist die verantwortung trotzdem beim Chef des unternehmens liegt. (Ich spreche hier von Österreich da ich kein Deutscher bin nehme aber an das es bei euch auch so ist da die DSGVO-EU auch bei euch gilt) Lasse mich auch gerne belehren wenn jemand etwas schriftlich hat.
LG
Zitat von @keine-ahnung:
Oder Du stellst in einer Einzelpraxis einen Assistenten an --> hast Du das selbe Problem an der Backe.
LG, Thomas
Oder Du stellst in einer Einzelpraxis einen Assistenten an --> hast Du das selbe Problem an der Backe.
LG, Thomas
Hi
Nein ich würde einen Externen Beauftragen.
LG
Nein ich würde einen Externen Beauftragen.
Musst Du dann sowieso, weil Du nicht Datenverarbeiter und DSB in personam sein darfst ... LG, Thomas
Zitat von @keine-ahnung:
LG, Thomas
Nein ich würde einen Externen Beauftragen.
Musst Du dann sowieso, weil Du nicht Datenverarbeiter und DSB in personam sein darfst ... LG, Thomas
Hi
Ja deswegen gibt es auch gerade in österreich einen zuwachs an IT Beratungsunternehmen. Da aber die zuständige Prüfstelle in Österreich nur 16 Personen (für ganz Österreich) beschäftigt wird alles dauern. Wenn man hier eine Anfrage für eine Vorlage eines Datenverarbeitervertrags stellt bekommt man dokumente aus dem jahr 2000 ???
Alles noch etwas komisch es gibt sehr viele Firmen die das nie einhalten können.
Beispiel: eine Speditionsfirma die aufträge an Subfirmen vergibt. hier gibt es offt kleinen 1 mann unternehmen mit einem LKW in Frankreich. Wenn der nicht im Büro ist kann ich keinen vertrag mit ihm schliessen ? Wie den mit 80 auf der autobahn ????
LG
hier gibt es offt kleinen 1 mann unternehmen mit einem LKW in Frankreich. Wenn der nicht im Büro ist kann ich keinen vertrag mit ihm schliessen ?
Was hat das mit der DSGVO zu tun?LG, Thomas
Zitat von @keine-ahnung:
LG, Thomas
hier gibt es offt kleinen 1 mann unternehmen mit einem LKW in Frankreich. Wenn der nicht im Büro ist kann ich keinen vertrag mit ihm schliessen ?
Was hat das mit der DSGVO zu tun?LG, Thomas
Wenn du der Speditionsunternehmer bist und den Auftrag eines Kunden an ein Subunternehmen weitergibst musst du ihm die Daten des Kunden geben (Abholort, Name, telefonnummer usw.) somit benötigst du einen Datenverarbeitungsvertrag mit dem LKW fahrer . Wenn du noch nie mit dem 1 Mann unternehmen gearbeitet hast ist das schwer zu bekommen.In der Speditionsbranche kommt es offt vor das ein LKW in Frankreich ist und für die rückfahrt schnell eine Ladung braucht. Wie kommt man da zu einem vertrag wenn der Grad unterwegs ist ?
LG
Wenn du noch nie mit dem 1 Mann unternehmen gearbeitet hast ist das schwer zu bekommen.In der Speditionsbranche kommt es offt vor das ein LKW in Frankreich ist und für die rückfahrt schnell eine Ladung braucht. Wie kommt man da zu einem vertrag wenn der Grad unterwegs ist ?
Ist mir jetzt etwas zu abstract - und halt auch nicht mein Fach betreffend .Aber wie kommt denn da ein Speditionsvertrag zustande - muss ja auch irgendwie gehen?
LG, Thomas
Zitat von @keine-ahnung:
Ist mir jetzt etwas zu abstract - und halt auch nicht mein Fach betreffend.
Aber wie kommt denn da ein Speditionsvertrag zustande - muss ja auch irgendwie gehen?
LG, Thomas
Ist mir jetzt etwas zu abstract - und halt auch nicht mein Fach betreffend
.Aber wie kommt denn da ein Speditionsvertrag zustande - muss ja auch irgendwie gehen?
LG, Thomas
Schwer den wenn der unterwegs ist kann man das nur nach Erledigung oder vorher machen.
Wird sich alles zeigen wie sich die DSGVO in der Praxis umsetzen lässt. Die Strafen bei Nichteinhaltung sind mir persönlich zu hoch.
Aber wo kein Kläger da kein Richter. Die Konkurenz kann so wenn man die DSGVO nicht einhält Firmen aus dem weg räumen bei den Strafen.
LG
Die Konkurenz kann so wenn man die DSGVO nicht einhält Firmen aus dem weg räumen bei den Strafen.
Da bin ich bei Dir ... aber ich denke, es wird da eine stillschweigende "Übergangsfrist" seitens der Behörden und Gerichte geben. Stand der Dinge ist bspw. der sächsische Datenschutzbeauftragte immer noch nicht in der Lage, sich abschliessend zu einigen Fragen zu äussern, die ich ihm gestellt habe . Unsere ärztlichen "Selbstverwaltungen" sind zwei Monate vor in Kraft treten der Rechtsverordnungen eifrig dabei, Broschüren zu erarbeiten ... erscheinen sicher auch irgendwann 
.Gelassenheit und viel OMMH, LG Thomas
Zitat von @Kraemer:
np: https://www.datenschutzbeauftragter-info.de/die-persoenliche-haftung-des ... u.a.
np: https://www.datenschutzbeauftragter-info.de/die-persoenliche-haftung-des ... u.a.
Hi
Das ist schön geschrieben aber nur dann wirklich gültig wenn man einen Externen Datenschutzbeauftragten hat. Sollte man einen Firmeninternen haben (der Übrigens nicht kündbar ist) wird es rechtlich schwierig das durchzusetzen. (zumindest in Österreich)
Allerdings hast du im grunde Recht.
PS: Ich dachte auch wir reden von internen DSB und nicht von externen Firmen
LG
