puerto
Goto Top

IT-Dienstleister und DSB in einer Person? Erfahrungen?

Hallo allerseits.

Ich bin selbstständiger IT-Dienstleister, versorge Unternehmen mit IT-Lösungen inkl. Service, Wartung, Administration, eben IT-Mädchen für alles in KMU.
Nun kommen natürlich die Anfragen, ob ich auch externer Datenschutzbeauftragter meiner Kunden werden kann. (Schulung und Zertifikat etc. natürlich vorausgesetzt).

Gibt es hier Erfahrungen von euch oder Kenntnisse über Richtlinien dazu?

Ist das A) überhaupt erlaubt und B) überhaupt sinnvoll? Gibt es Leute hier, die das so schon praktizieren?

Vielen Dank für eine kleine DIskussion zum Thema.

LIebe Grüße
puerto

Content-ID: 367399

Url: https://administrator.de/forum/it-dienstleister-und-dsb-in-einer-person-erfahrungen-367399.html

Ausgedruckt am: 27.12.2024 um 04:12 Uhr

StefanKittel
StefanKittel 08.03.2018 aktualisiert um 11:18:14 Uhr
Goto Top
Hallo,

A) Nein, beim gleichen Kunden
Du würdest Dich damit ja selber überwachen.

B) siehe A

Stefan
emeriks
emeriks 08.03.2018 um 11:15:57 Uhr
Goto Top
Hi,
kannst Du machen, aber nicht bei einem Kunden beides gleichzeitig. Da gibt es Interessenkonflikte.


E.
keine-ahnung
keine-ahnung 08.03.2018 aktualisiert um 11:37:46 Uhr
Goto Top
Moin,
kannst Du machen, aber nicht bei einem Kunden beides gleichzeitig. Da gibt es Interessenkonflikte.
welche?
Ich würde als Laie (der sich augenblicklich mit diesem unsäglichen DSGVO/BDSG-Mist recht intensiv beschäftigen muss) da eher keine Hürden sehen - Expertise natürlich vorausgesetzt.
Es geht um die Kundendaten des Kunden ... da muss ein ein entsprechender Vertrag bezgl. des Datenschutzes zwischen Kunden und IT-Dienstleister bestehen.

LG, Thomas
MOS6581
MOS6581 08.03.2018 um 11:43:03 Uhr
Goto Top
Zitat von @keine-ahnung:

welche?

“Eine derart exponierte Position im Hinblick auf die Datenverarbeitungsprozesse im Unternehmen ist in aller Regel unvereinbar mit den Aufgaben eines Datenschutzbeauftragten” sagt die bayerische LDA hier zum Beispiel.

lG MOS
certifiedit.net
certifiedit.net 08.03.2018 um 11:44:01 Uhr
Goto Top
Kurz und Knapp und wie du es vermutlich schon weisst: Nein, kannst und darfst du nicht.
em-pie
em-pie 08.03.2018 um 11:44:59 Uhr
Goto Top
Zitat von @keine-ahnung:

Moin,
kannst Du machen, aber nicht bei einem Kunden beides gleichzeitig. Da gibt es Interessenkonflikte.
welche?
Ich würde als Laie (der sich augenblicklich mit diesem unsäglichen DSGVO/BDSG-Mist recht intensiv beschäftigen muss) da eher keine Hürden sehen - Expertise natürlich vorausgesetzt.
Es geht um die Kundendaten des Kunden ... da muss ein ein entsprechender Vertrag bezgl. des Datenschutzes zwischen Kunden und IT-Dienstleister bestehen.

LG, Thomas

Der Grund ist ganz simpel:
du zählst deinen Kunden an, was er im SInne des DS alles versäumt hat umzusetzen.
Er beauftragt dich, das umzusetzen, kann aber selbst nicht kontrollieren, ob du das auch tatsächlich berücksichtigt hast. Hier würde er dann den DSB beauftragen, die umgesetzten Dinge zu prüfen. Aber halt, du müsstest dich ja selbst kontrollieren. Und nur, weil du dauf dem Papier geschrieben hast, dass du nur den Ärzten Zugriff auf die Befunde gibst (in der Praxis vermutlich nicht so, da auch die HelferInnen Zugriff haben), heisst das nicht, dass du es auch so umgesetzt hast....

Das ist auch der Grund, warum IT-Leiter als DSB im eigenen Unternehmen ausscheiden....
Das wäre so, als würden die Vorstände der AUtomobilbranche auch einen hochrangigen Posten in der Politik haben. Und wo führt das dann hin? Richtig, zum Fahrverbot in Städten für Diesel-Kfzs, weil man einfach nicht die Umsetzung Schadstoffreduzierenden Maßnahmen kontrollieren konnte (aufgrund der Befangenheit) face-wink
keine-ahnung
keine-ahnung 08.03.2018 um 11:47:24 Uhr
Goto Top
Moin nochmal,
Eine derart exponierte Position im Hinblick auf die Datenverarbeitungsprozesse im Unternehmen ist in aller Regel unvereinbar mit den Aufgaben eines Datenschutzbeauftragten
das hat mit der Fragestellung des TO wenig zu tun, hier geht es um Mitarbeiter des Unternehmens und innerbetriebliche Interessenkonflikte.

LG, Thomas
emeriks
emeriks 08.03.2018 um 11:52:30 Uhr
Goto Top
Zitat von @keine-ahnung:
Es geht um die Kundendaten des Kunden ... da muss ein ein entsprechender Vertrag bezgl. des Datenschutzes zwischen Kunden und IT-Dienstleister bestehen.
Das hat aber nichts mit dem Thema Datenschutzbeauftragter zu tun. Du meinst das Vertragsverhältnis zwischen und Kunden und Dienstleister und die Verschwiegenheit der Partner, was die Daten des jeweils anderen angeht. Und genau das wäre u.a eine Aufgabe des DSB, diesen Vertrag und dessen Einhaltung bzgl. Datenschutz zu überwachen. Das kann der Dienstleister dann nicht selbst tun.
"Haben Sie eine Fahrkarte?" - "Aber sicher doch!" face-wink
keine-ahnung
keine-ahnung 08.03.2018 um 12:00:56 Uhr
Goto Top
Das ist auch der Grund, warum IT-Leiter als DSB im eigenen Unternehmen ausscheiden....
Ich lese die DSGVO da etwas anders ... aber das ist wie gesagt nicht das Thema.
Bei einem externen Dienstleister regelt man Inhalte über einen Dienstleistungsvertrag und ein Weisungsrecht hat die Firmenleitung gegenüber einem Externen eh nicht.
Die technischen Belange scheinen mir dabei auch nicht zu vordergründig zu sein, vielmehr geht es um Verfahrensbeurteilungen und -bewertungen sowie die Entschärfung von Schutzlücken.
Von Kollegen ist zu hören, dass die "Systembetreuer" der Praxen vermehrt den Fuss in diesen Markt pressen wollen.

LG, Thomas
certifiedit.net
certifiedit.net 08.03.2018 um 12:06:42 Uhr
Goto Top
Zitat von @keine-ahnung:

Das ist auch der Grund, warum IT-Leiter als DSB im eigenen Unternehmen ausscheiden....
Ich lese die DSGVO da etwas anders ... aber das ist wie gesagt nicht das Thema.
Bei einem externen Dienstleister regelt man Inhalte über einen Dienstleistungsvertrag und ein Weisungsrecht hat die Firmenleitung gegenüber einem Externen eh nicht.
Die technischen Belange scheinen mir dabei auch nicht zu vordergründig zu sein, vielmehr geht es um Verfahrensbeurteilungen und -bewertungen sowie die Entschärfung von Schutzlücken.
Von Kollegen ist zu hören, dass die "Systembetreuer" der Praxen vermehrt den Fuss in diesen Markt pressen wollen.

LG, Thomas

Den Bock zum Gärtner machen? face-smile
em-pie
em-pie 08.03.2018 um 12:08:42 Uhr
Goto Top
Bei einem externen Dienstleister regelt man Inhalte über einen Dienstleistungsvertrag und ein Weisungsrecht hat die Firmenleitung gegenüber einem Externen eh nicht.
Bin ich ganz bei dir.

Aber wer prüft denn, ob der Vertrag inhaltlich auch rechtens ist?
Du, der als DSB fungiert und sich das so formuliert, dass du als umsetzender DL "gut dabei weggkommst"?
Oder dein Kunde, der keine Ahnung hat und sich auf den DSB verlässt?

DU müsst ja strenggenommen zwei Verträge abschließen: EInen der deine Pflichten / Rechte als Dienstleister regelt und einen, der deine Rechte und Pflichten als DSB regelt. Und als beauftragter DSB musst du dann natürlich auch die Rechte/ Pflichten des "DL-Vertrages" Sichten. WÜrde dein Kunde das von einem Anwalt prüfen lassen, könnte er diesen auch direkt als DSB einsetzen (gut, der kostet vermutlich das dreifache von dir, aber...).
keine-ahnung
keine-ahnung 08.03.2018 um 12:23:45 Uhr
Goto Top
Aber wer prüft denn, ob der Vertrag inhaltlich auch rechtens ist?
Im Zweifel ein unabhängiges Gericht ... face-smile
Würde dein Kunde das von einem Anwalt prüfen lassen, könnte er diesen auch direkt als DSB einsetzen
Dem geht nun wiederum das technische Verständnis völlig ab ...
gut, der kostet vermutlich das dreifache von dir, aber...
Da würde ich jetzt nicht Sack und Pfeiffe drauf verwetten wollen face-smile
Ich seh das mehr aus meiner Perspektive --> ich bin eh raus aus der Geschichte, weil ich nicht über 10 Mitarbeiter komme. Ergo werde ich mein eigener Datenschutzverantwortlicher (ich bin ja auch schon Brandschutzverantwortlicher und vermutlich auch Verantwortlicher für den Bürgerkrieg in Syrien). In einigen Praxen werden geschulte MFA die Funktion des DSB übernehmen, denen wird das technische Verständnis für Datenschutz und Datensicherung aber auch abgehen.
Wenn man einen DSB tatsächlich benötigt, müssen alle Prozesse, in denen persönliche Daten verarbeitet werden, eh einer schriftlich zu fixierenden Verfahrensbeurteilung unterworfen werden. Die können durchaus auch Vertragsbestandteil für die Funktion des externen DSB sein.
Wie nennt Ihr das immer? Pflichtenheft ...?
DU müsst ja strenggenommen zwei Verträge abschließen: EInen der deine Pflichten / Rechte als Dienstleister regelt und einen, der deine Rechte und Pflichten als DSB regelt.
Jupp. Was spricht dagegen?

LG, Thomas
StefanKittel
StefanKittel 08.03.2018 um 12:35:33 Uhr
Goto Top
Das ist ja nicht "unser" Problem.
Aufgrund des geringen IT-Bedarfs und damit geringen Budgets ist das Kosten-Verhältnis es richtig zu machen recht unverhältnismäßig.

Konkretes Beispiel was ich sehr häufig zu sehen bekomme.
Zahnarztpraxis, 2 PCs mit Win7 Home, einer davon als "Server", Datensicherung mit Batchdatei auf 2 USB Festplatten, RDP Einwahl über Portweiterleitung, keiner kümmert sich um die Updates und es gibt auch kein Monitoring. Ach so und die Datensicherung funktioniert natürlich nicht.
Problem: Der IT-Dienstleister der die Praxis schon seit 15 Jahren betreut sagt dem Chef das wäre alles super und reicht aus und Datenschutz ist eh quatsch und kostet nur Geld.

Hier wäre eine personelle Trennug doch mal sinnvoll.
"Aber" die Kosten dafür und um die IT richtig zu machen sind natürlich viel höher...
keine-ahnung
keine-ahnung 08.03.2018 um 12:47:57 Uhr
Goto Top
Zahnarztpraxis, 2 PCs mit Win7 Home
Das ist nicht der Zielbereich von DSGVO/BDSG ... es bedarf für die Bestallung eines DSB wenigstens 10 Angestellter, dass ein Zahni die hat, ist eher unwahrscheinlich. Lustiger wird es bspw. für Psychotherapeuten, die häufig in Berufsausübungsgemeinschaften arbeiten und fast kein Personal haben. Aber da zählt jeder Psychotherapeut als "Datenverarbeiter", und da brauchst Du dann schon für eine Doppelpraxis einen DSB face-smile und das darf - diese Einschränkung ist fix - keiner der Beiden sein face-smile.
Da explodiert am 25. Mai eine Bombe, von der 75% der Betroffenen Stand heute nicht einmal ahnen, dass die bereits produziert und scharfgemacht ist face-smile

LG, Thomas
StefanKittel
StefanKittel 08.03.2018 um 12:50:46 Uhr
Goto Top
Hallo Thomas,

in Bezug auf DSB ist mir das schon klar.
Es geht um das Prinzip, dass ein Unabhängiger sich einiges mal anschaut.
Egal ob DS oder normale IT.

Stefan
certifiedit.net
certifiedit.net 08.03.2018 um 12:55:21 Uhr
Goto Top
Zitat von @StefanKittel:

Hallo Thomas,

in Bezug auf DSB ist mir das schon klar.
Es geht um das Prinzip, dass ein Unabhängiger sich einiges mal anschaut.
Egal ob DS oder normale IT.

Stefan

Da sind wir wohl alle(*) einer Meinung, aber schau dich nur mal im "Kollegenkreis" (hier) um, wie manchmal fragen von "professionellen" Dienstleistern gestellt wird. Das Problem stinkt hier vom Kopf, und, oftmals sind die stinkenden gerade die, mit den schönsten Zertifikaten "Ausbilder", "DS-Verantwortliche" etc - natürlich, wenn man sich eher auf Verkauf und Platzierung bemüht als um das Know How...
StefanKittel
StefanKittel 08.03.2018 um 13:01:05 Uhr
Goto Top
Das ist die technische Seite.

Aber eines haben viele Kunden noch nicht verstanden.
Der Kunde ist verantwortlich. Punkt, Ende, aus, vorbei.
Er kann vieles deligieren und anderen Personen beauftragen, aber er bleibt verantwortlich.
Sowohl für die Umsetzung als auch den Datenschutz.

Wir beraten und machen nach besten Wissen und Gewissen.

Wenn aber der DS-Prüfer kommt, sagt der Inhaber "Der IT Mensch hat das so gemacht, ich trage dafür nicht die Verantwortung", sagt der DS-Prüfer nur: "Das können Sie gerne zivilrechtlich mit einem Anwalt klären. Aber bis dahin mache ich den Laden hier erst mal dicht.".

Es wäre also für den Kunden wirklich wichtig sich regelmäßig eine 2. Meinung einzuholen.
Besonders im DS-Bereich wegen der DSGVO
keine-ahnung
keine-ahnung 08.03.2018 um 13:04:50 Uhr
Goto Top
Es geht um das Prinzip, dass ein Unabhängiger sich einiges mal anschaut.
Jupp ... schadet manchmal nicht. Konterkariert den Datenschutz u.U. per se. Da läuft man Gefahr, unter der Flagge des Datenschutzes immer mehr Leuten Zugriff eben auf diese zu schützenden Daten zu geben face-wink.
Hätte ich einen "IT-Betreuer" der die Kompetenz und Expertise dafür hätte und ich würde einen DSB benötigen, würde ich den sogar präferieren.
Das Problem stinkt hier vom Kopf, und, oftmals sind die stinkenden gerade die, mit den schönsten Zertifikaten "Ausbilder", "DS-Verantwortliche" etc - natürlich, wenn man sich eher auf Verkauf und Platzierung bemüht als um das Know How...
Das wird IMHO ein ganz anderes Problem. Diejenigen, die sich jetzt auf dem Markt tummeln und ihre Dienste anpreisen, werden nach Inkrafttreten der Rechtsverordnungen vermutlich die Ersten sein, die versuchen, die "Datenschutzmassnahmen" von Praxen und Firmen zu penetrieren.

LG, Thomas
xalroth
xalroth 08.03.2018 um 14:01:54 Uhr
Goto Top
Hallo allerseits,

keine-ahnung schrieb:
Das ist nicht der Zielbereich von DSGVO/BDSG ... es bedarf für die Bestallung eines DSB wenigstens 10 Angestellter

dachte medizinische Daten gehörten zu denen, die besonders geschützt werden müssen und da wäre die Anzahl der Angestellten egal, es müsste in jedem Falle ein DSB her? Ist halt lang her, dass ich darüber gelesen hat, hab ich das einfach falsch im Kopf?

LG xal
n.o.b.o.d.y
n.o.b.o.d.y 08.03.2018 um 14:32:15 Uhr
Goto Top
Will nun auch mal was dazu schreiben:

DSGVO §38

(6) Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

Das das ist wohl für einen IT-Dienstleister und Auftragsverarbeiter, wie in diese Fall, etwas problematisch.
Kraemer
Kraemer 08.03.2018 um 14:57:53 Uhr
Goto Top
Zitat von @n.o.b.o.d.y:
Das das ist wohl für einen IT-Dienstleister
Wieso soll ein einfacher IT-Dienstleister ausscheiden. Ganz im Gegenteil - er ist, weil er die Umgebung kennt, fast schon prädestiniert. Man bedenke: Ein "Computerfritze" verarbeitet die Daten nicht - er sorgt dafür, das die IT funktioniert. Ich sehe da keinen Interessenkonflikt.
In dem Beispiel aus Bayern von oben sieht das anders aus. Der "IT-Manager" hatte anscheinend sehr wohl was mit der Datenverarbeitung zu tun - somit Interessenkonflikt.

Aber: Datenschutz geht weit über die IT hinaus. Nehmen wir mal das Thema Personal. Vom Arbeitsvertrag bis zur Lohnabrechnung - alles ein Thema für einen Datenschutzbeauftragten. Er muss ja schließlich prüfen, ob die Daten ordnungsgemäß behandelt werden...
certifiedit.net
certifiedit.net 08.03.2018 um 15:00:25 Uhr
Goto Top
Zitat von @Kraemer:

Zitat von @n.o.b.o.d.y:
Das das ist wohl für einen IT-Dienstleister
Wieso soll ein einfacher IT-Dienstleister ausscheiden. Ganz im Gegenteil - er ist, weil er die Umgebung kennt, fast schon prädestiniert. Man bedenke: Ein "Computerfritze" verarbeitet die Daten nicht - er sorgt dafür, das die IT funktioniert. Ich sehe da keinen Interessenkonflikt.
In dem Beispiel aus Bayern von oben sieht das anders aus. Der "IT-Manager" hatte anscheinend sehr wohl was mit der Datenverarbeitung zu tun - somit Interessenkonflikt.

Aber: Datenschutz geht weit über die IT hinaus. Nehmen wir mal das Thema Personal. Vom Arbeitsvertrag bis zur Lohnabrechnung - alles ein Thema für einen Datenschutzbeauftragten. Er muss ja schließlich prüfen, ob die Daten ordnungsgemäß behandelt werden...

Ich sag nur "Firewall any-any" und wer richtet die Firewall ein? face-wink Selbstkontrolle fehlt.
n.o.b.o.d.y
n.o.b.o.d.y 08.03.2018 um 15:21:13 Uhr
Goto Top
Fachlich ist das sicher nicht verkehrt, dass ein IT-afiner sich der Sache annimmt. Aber was dann natürlich fehlt ist die überwachende Tätigkeit des DSB, da er sich, wie hier schon geschrieben wurde, selber kontrollieren muss. Mit der DSGVO ändern sich die Aufagen den DSB schließlich auch von demjenigen "der alles macht" zu einer beratenden und kontollierendenPosition.
keine-ahnung
keine-ahnung 08.03.2018 um 15:50:20 Uhr
Goto Top
Moin,
hab ich das einfach falsch im Kopf?
jupp. Der Umgang mit besonders geschützten personenbezogenen Daten impliziert nicht zwingend die Bestallung eines DSB.

LG, Thomas
keine-ahnung
keine-ahnung 08.03.2018 aktualisiert um 15:53:12 Uhr
Goto Top
Das das ist wohl für einen IT-Dienstleister und Auftragsverarbeiter
Wieso ist der IT-Dienstleister Auftragsverarbeiter ... face-smile ??
Aber was dann natürlich fehlt ist die überwachende Tätigkeit des DSB, da er sich, wie hier schon geschrieben wurde, selber kontrollieren muss.
Jupp ... das ist im Rechtstext aber ja nicht ausgeschlossen.

LG, Thomas
n.o.b.o.d.y
n.o.b.o.d.y 08.03.2018 um 16:13:24 Uhr
Goto Top
Zitat von @keine-ahnung:

Das das ist wohl für einen IT-Dienstleister und Auftragsverarbeiter
Wieso ist der IT-Dienstleister Auftragsverarbeiter ... face-smile ??
Wenn z.B. der IT-Dienstleister das AD des Auftraggebers administriert und die Benutzer, Gruppen, etc. anlegt ist der schon drinn in der Rolle. Aber ja, es kommt immer daruf an....

Aber was dann natürlich fehlt ist die überwachende Tätigkeit des DSB, da er sich, wie hier schon geschrieben wurde, selber kontrollieren muss.
Jupp ... das ist im Rechtstext aber ja nicht ausgeschlossen.
Wenn das keinen Interessenkonflik darstellt, sich selber auch die Finger zu schauen und zu hauen, was dann?
Ausserwoeger
Ausserwoeger 08.03.2018 um 16:50:33 Uhr
Goto Top
Hi

Ja ja die DSGVO ... Stunden habe ich schon damit verbracht und festgestellt das es einige vorgänge in Firmen gibt die nicht realisierbar sind mit der DSGVO.

In Österreich ist jeder davon betroffen auch ein 1 mann unternehmen. Ärzte haben natürlich besondere Daten (Gesundheitsdaten) die sind auch besonders schützenswert.

Der Datenschutzbeauftragte hat zwar die obsorge über die Einhaltung und bei nichteinhaltung Begrüdung der Datenverarbeitungsvorgänge sollte es aber zu einem Vorfall kommen ist der Chef der Jeweiligen Firma verantwortlich.

Mir wäre es lieber wenn ich damit nix zu tun hätte. Die Ausbildung zum geprüften Datenschutz Experten ist übrigens auch nicht billig zumindest bei uns in Österreich lassen sich das alle gut bezahlen und es gibt noch kaum Experten.

LG
MatthiasWunderlich
MatthiasWunderlich 09.03.2018 um 15:43:10 Uhr
Goto Top
Hallo Puerto,

wir betreiben ein ISO und TÜV zertifizietes Rechenzentrum. Wir sind spezialisiert auf die Themen IT-Security und Netzwerkinfrastruktur. Wenn Sie Fragen zum Thema externer DSB und ähnliches haben, kommen Sie gerne auf mich zu. Wir stellen gemeinsam mit einem Partner für viele Kunden den externen DSB. Evtl. kann ich Ihnen an dieser Stelle helfen. Ich freue mich über eine Kontaktaufnahme.

MarcanT AG
Matthias Wunderlich

mwunderlich@marcant.net
Schutzblitz
Schutzblitz 12.03.2018 um 10:58:29 Uhr
Goto Top
Die Beschränkung auf 10 Angestellte gibt es bei der DS-GVO nicht mehr! Es ist kommt nur auf die Art der persönlichen Daten an. Und Zahnarzt mit Patientendaten unterliegt definitiv der DS-GVO, auch wenn er Sekretärin, Putzfrau, Schwester und Arzt in einer Person verkörpert.
Kraemer
Kraemer 12.03.2018 um 13:09:59 Uhr
Goto Top
Zitat von @Schutzblitz:

Die Beschränkung auf 10 Angestellte gibt es bei der DS-GVO nicht mehr!
ich wüsste nun nicht, dass es da je eine gegeben hat. Kann das sein, dass du das mit dem BDSG verwechselst? Da geht es nämlich um den Datenschutbeauftragten - und den braucht man ab 10 Mitarbeitern, die ... ... ...

Gruß
certifiedit.net
certifiedit.net 12.03.2018 um 13:19:07 Uhr
Goto Top
Ich denke, wir wissen alle, dass die DS-GVO das BDSG ersetzt und daher zumindest auf dem Bundesgebiet der Ersatz hierfür ist, daher ist die Aussage schon richtig.
Kraemer
Kraemer 12.03.2018 aktualisiert um 13:24:59 Uhr
Goto Top
Zitat von @certifiedit.net:

Ich denke, wir wissen alle, dass die DS-GVO das BDSG ersetzt

der war gut face-smile
Mal was zum lesen: https://dsgvo-gesetz.de/bdsg-neu/
Zitat daraus: Diese neue Fassung des BDSG wird am 25. Mai 2018 mit der Datenschutz-Grundverordnung (DSGVO) in Kraft treten und das noch aktuelle Bundesdatenschutzgesetz komplett ersetzen.
certifiedit.net
certifiedit.net 12.03.2018 um 13:59:09 Uhr
Goto Top
Warum wird wohl das BDSG erneuert und tritt mit der DS-GVO in Kraft? - Damit das BDSG nicht der DS_GVo widerspricht und diese ggf. nur in Teilen ergänzt. Damit sind die zukünftigen elementaren Elemente des DS verordnet und nicht mehr staatlich legitimiert.
Kraemer
Kraemer 12.03.2018 um 14:13:33 Uhr
Goto Top
Ist heute Freitag? Du verrennst dich da gerade total!
Es ist richtig, dass das BDSG an die DSGVO angepasst wird - alles andere, was du geschrieben hast ist allerdings nicht richtig! Vor allem aber, dass du meinst, dass die GSGVO das BDSG ersetzt ist völlig falsch.

Die DSGVO ersetzt lediglich die "Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr".
keine-ahnung
keine-ahnung 12.03.2018 um 19:14:30 Uhr
Goto Top
Moin,
Die Beschränkung auf 10 Angestellte gibt es bei der DS-GVO nicht mehr! Es ist kommt nur auf die Art der persönlichen Daten an.
Schwachsinn ... s. §38 BDSG (2018).
Ich denke, wir wissen alle, dass die DS-GVO das BDSG ersetzt und daher zumindest auf dem Bundesgebiet der Ersatz hierfür ist
Leider auch Schwachsinn - das BDSG "regionalisiert" und präzisiert damit die DSGVO-EU für die BRD.

LG, Thomas
certifiedit.net
certifiedit.net 12.03.2018 um 20:04:02 Uhr
Goto Top
Zitat von @keine-ahnung:

Moin,
Die Beschränkung auf 10 Angestellte gibt es bei der DS-GVO nicht mehr! Es ist kommt nur auf die Art der persönlichen Daten an.
Schwachsinn ... s. §38 BDSG (2018).
Ich denke, wir wissen alle, dass die DS-GVO das BDSG ersetzt und daher zumindest auf dem Bundesgebiet der Ersatz hierfür ist
Leider auch Schwachsinn - das BDSG "regionalisiert" und präzisiert damit die DSGVO-EU für die BRD.

Richtig, das neue tut das. Das alte wird durch die DS-GVO ersetzt bzw würde...
keine-ahnung
keine-ahnung 12.03.2018 um 20:20:03 Uhr
Goto Top
Moin Krischan,
Das alte wird durch die DS-GVO ersetzt bzw würde...
nö! Das "alte" wird durch das "neue" BDSG ersetzt. Zeitgleich mit dem endständigen in Kraft treten der DSGVO-EU.

LG, Thomas
Schutzblitz
Schutzblitz 12.03.2018 um 20:33:10 Uhr
Goto Top
Schwachsinn ... s. §38 BDSG (2018).

Vielleicht solltest Du den Paragrafen mal vollständig lesen...
...Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.....
certifiedit.net
certifiedit.net 12.03.2018 um 21:16:07 Uhr
Goto Top
Über die Hierarchie kann man sich streiten, Fakt ist, dass das alte durch das neue komischerweise mit In Kraft treten der DSGVO ersetzt wird, woran wird das liegen.
StefanKittel
StefanKittel 13.03.2018 um 00:22:00 Uhr
Goto Top
Zitat von @Schutzblitz:
haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen

Ich greife kurz diesen Teil auf.
Egal ob nun BDSG 2018 oder DSGVO.

Heist doch für die meisten Firmen die Personenbezogene Daten verarbeiten, dass sie einen DSB benötigen.
Gilt doch vermutlich auch für Ärzte bei denen bis jetzt die Regel >=10 and Hauptsächlich-IT-Personen galt.
Heist dann ja, dass jeder Arzt einen benötigt und das bis Mitte Mai.
keine-ahnung
keine-ahnung 13.03.2018 aktualisiert um 08:26:44 Uhr
Goto Top
Moin nochmal,
Vielleicht solltest Du den Paragrafen mal vollständig lesen...
eventuell solltest Du die DSGVO mal vollständig und nicht fragmentarisch lesen --> der Art. 35(3) stellt u.a. auf Art. 9(1) ab und dieser schränkt dann auch sofort wieder ein.
Ergo wird in den allerseltesten Fällen bei Betriebsgrössen < 10 Mitarbeiter ein DSB notwendig werden ... wenn nicht mehrere Datenverarbeiter im Betrieb sind, bspw. in einer ärztlichen BAG. Da braucht es in der ungünstigsten Konstellation (bspw. zwei Ärzte mit keiner oder einer MFA) bereits einen DSB.

LG, Thomas
keine-ahnung
keine-ahnung 13.03.2018 um 08:27:33 Uhr
Goto Top
Heist dann ja, dass jeder Arzt einen benötigt und das bis Mitte Mai.
Nein - das sind #fakenews face-smile

LG, Thomas
Ausserwoeger
Ausserwoeger 13.03.2018 um 08:55:54 Uhr
Goto Top
Zitat von @keine-ahnung:

Heist dann ja, dass jeder Arzt einen benötigt und das bis Mitte Mai.
Nein - das sind #fakenews face-smile

LG, Thomas

Hi

Da het Thomas recht unter 10 Mitarbeitern benötigt man keinen DSB. Allerdings ist man trotzdem von der DSGVO betroffen den :

Jeder, der nur in irgendeiner Art und Weise im Unternehmen Daten mit Personenbezug (Name, Adresse, Telefonnummer,) speichert / bearbeitet / durchleitet etc fällt in die Bestimmungen der DSGVO!

Man muss somit Löschfristen usw. einhalten und sich an die bestimmungen halten.

Der DSB trägt sowieso keine Verantwortung wenn es kritisch wird ist immer der Chef der schuldige face-smile !

LG
Kraemer
Kraemer 13.03.2018 um 09:46:55 Uhr
Goto Top
Zitat von @Ausserwoeger:
Der DSB trägt sowieso keine Verantwortung wenn es kritisch wird ist immer der Chef der schuldige face-smile !
wo hast de denn den Schmarrn her?
keine-ahnung
keine-ahnung 13.03.2018 um 10:16:19 Uhr
Goto Top
Moin nochmal ...
Da het Thomas recht unter 10 Mitarbeitern benötigt man keinen DSB
das habe ich explizid nicht gesagt face-smile ! Es kann sogar kuriose Konstellationen geben, in welchen man einen DSB bestallen muss, ohne dass man einen einzigen Mitarbeiter hat.
So ein Konstrukt ist durchaus vorstellbar: ärztliche und/oder nichtärztliche Psychotherapeuten arbeiten z.B. gerne in Berufsausübungsgemeinschaften und ohne Hilfspersonal. Nach DSGVO zählt aber jeder Psychotherapeut für sich als Datenverarbeiter, mithin muss nach BDSG ein DSB existieren, da mehr als ein Datenverarbeiter existieren face-smile.
Oder Du stellst in einer Einzelpraxis einen Assistenten an --> hast Du das selbe Problem an der Backe.

LG, Thomas
Ausserwoeger
Ausserwoeger 13.03.2018 aktualisiert um 10:56:57 Uhr
Goto Top
Zitat von @Kraemer:

Zitat von @Ausserwoeger:
Der DSB trägt sowieso keine Verantwortung wenn es kritisch wird ist immer der Chef der schuldige face-smile !
wo hast de denn den Schmarrn her?

Von einem zertifizierten Datenschutzbeauftragten.

https://www.it-audits.at/

Certified Management Consultant CMC
Zertifizierter ISO/IEC 27001 Manager und Lead Auditor
Zertifizierter Datenschutzbeauftragter
ITIL Foundation

"„Datenschutz ist Chefsache“. Mit dieser Aussage ist klar geregelt, dass die Verantwortung nicht an Mitarbeiter/innen abgewälzt werden kann. Die Haftung ist somit unmissverständlich festgelegt. Die Überwachung und Einhaltung der DSGVO kann jedoch von der Firmenleitung auf einen internen Mitarbeiter/in übertragen oder an ein externes Unternehmen ausgelagert werden."

Ich habe auch persönlich mit dem zertifizierten Datenschutzbeauftragten gesprochen und mir wurde versichert das selbst wenn man ein DSB ist die verantwortung trotzdem beim Chef des unternehmens liegt. (Ich spreche hier von Österreich da ich kein Deutscher bin nehme aber an das es bei euch auch so ist da die DSGVO-EU auch bei euch gilt) Lasse mich auch gerne belehren wenn jemand etwas schriftlich hat.

LG
Ausserwoeger
Ausserwoeger 13.03.2018 um 10:53:25 Uhr
Goto Top
Zitat von @keine-ahnung:

Oder Du stellst in einer Einzelpraxis einen Assistenten an --> hast Du das selbe Problem an der Backe.

LG, Thomas

Hi

Nein ich würde einen Externen Beauftragen.

LG
keine-ahnung
keine-ahnung 13.03.2018 um 10:59:12 Uhr
Goto Top
Nein ich würde einen Externen Beauftragen.
Musst Du dann sowieso, weil Du nicht Datenverarbeiter und DSB in personam sein darfst ... face-smile

LG, Thomas
Ausserwoeger
Ausserwoeger 13.03.2018 aktualisiert um 11:04:52 Uhr
Goto Top
Zitat von @keine-ahnung:

Nein ich würde einen Externen Beauftragen.
Musst Du dann sowieso, weil Du nicht Datenverarbeiter und DSB in personam sein darfst ... face-smile

LG, Thomas

Hi

Ja deswegen gibt es auch gerade in österreich einen zuwachs an IT Beratungsunternehmen. Da aber die zuständige Prüfstelle in Österreich nur 16 Personen (für ganz Österreich) beschäftigt wird alles dauern. Wenn man hier eine Anfrage für eine Vorlage eines Datenverarbeitervertrags stellt bekommt man dokumente aus dem jahr 2000 ???

Alles noch etwas komisch es gibt sehr viele Firmen die das nie einhalten können.
Beispiel: eine Speditionsfirma die aufträge an Subfirmen vergibt. hier gibt es offt kleinen 1 mann unternehmen mit einem LKW in Frankreich. Wenn der nicht im Büro ist kann ich keinen vertrag mit ihm schliessen ? Wie den mit 80 auf der autobahn ????

LG
keine-ahnung
keine-ahnung 13.03.2018 um 11:17:49 Uhr
Goto Top
hier gibt es offt kleinen 1 mann unternehmen mit einem LKW in Frankreich. Wenn der nicht im Büro ist kann ich keinen vertrag mit ihm schliessen ?
Was hat das mit der DSGVO zu tun?

LG, Thomas
Ausserwoeger
Ausserwoeger 13.03.2018 aktualisiert um 11:23:55 Uhr
Goto Top
Zitat von @keine-ahnung:

hier gibt es offt kleinen 1 mann unternehmen mit einem LKW in Frankreich. Wenn der nicht im Büro ist kann ich keinen vertrag mit ihm schliessen ?
Was hat das mit der DSGVO zu tun?

LG, Thomas

Wenn du der Speditionsunternehmer bist und den Auftrag eines Kunden an ein Subunternehmen weitergibst musst du ihm die Daten des Kunden geben (Abholort, Name, telefonnummer usw.) somit benötigst du einen Datenverarbeitungsvertrag mit dem LKW fahrer . Wenn du noch nie mit dem 1 Mann unternehmen gearbeitet hast ist das schwer zu bekommen.In der Speditionsbranche kommt es offt vor das ein LKW in Frankreich ist und für die rückfahrt schnell eine Ladung braucht. Wie kommt man da zu einem vertrag wenn der Grad unterwegs ist ?

LG
keine-ahnung
keine-ahnung 13.03.2018 um 11:33:10 Uhr
Goto Top
Wenn du noch nie mit dem 1 Mann unternehmen gearbeitet hast ist das schwer zu bekommen.In der Speditionsbranche kommt es offt vor das ein LKW in Frankreich ist und für die rückfahrt schnell eine Ladung braucht. Wie kommt man da zu einem vertrag wenn der Grad unterwegs ist ?
Ist mir jetzt etwas zu abstract - und halt auch nicht mein Fach betreffend face-smile.
Aber wie kommt denn da ein Speditionsvertrag zustande - muss ja auch irgendwie gehen?

LG, Thomas
Ausserwoeger
Ausserwoeger 13.03.2018 um 11:40:17 Uhr
Goto Top
Zitat von @keine-ahnung:

Ist mir jetzt etwas zu abstract - und halt auch nicht mein Fach betreffend face-smile.
Aber wie kommt denn da ein Speditionsvertrag zustande - muss ja auch irgendwie gehen?

LG, Thomas

Schwer den wenn der unterwegs ist kann man das nur nach Erledigung oder vorher machen.
Wird sich alles zeigen wie sich die DSGVO in der Praxis umsetzen lässt. Die Strafen bei Nichteinhaltung sind mir persönlich zu hoch.
Aber wo kein Kläger da kein Richter. Die Konkurenz kann so wenn man die DSGVO nicht einhält Firmen aus dem weg räumen bei den Strafen.

LG
keine-ahnung
keine-ahnung 13.03.2018 um 11:49:15 Uhr
Goto Top
Die Konkurenz kann so wenn man die DSGVO nicht einhält Firmen aus dem weg räumen bei den Strafen.
Da bin ich bei Dir ... aber ich denke, es wird da eine stillschweigende "Übergangsfrist" seitens der Behörden und Gerichte geben. Stand der Dinge ist bspw. der sächsische Datenschutzbeauftragte immer noch nicht in der Lage, sich abschliessend zu einigen Fragen zu äussern, die ich ihm gestellt habe face-smile. Unsere ärztlichen "Selbstverwaltungen" sind zwei Monate vor in Kraft treten der Rechtsverordnungen eifrig dabei, Broschüren zu erarbeiten ... erscheinen sicher auch irgendwann face-sad .

Gelassenheit und viel OMMH, LG Thomas
Ausserwoeger
Ausserwoeger 13.03.2018 um 11:56:23 Uhr
Goto Top
Zitat von @keine-ahnung:

Gelassenheit und viel OMMH, LG Thomas

Danke schön und Ebenso face-smile
Kraemer
Kraemer 13.03.2018 um 12:45:46 Uhr
Goto Top
Zitat von @Ausserwoeger:
Lasse mich auch gerne belehren wenn jemand etwas schriftlich hat.
np: https://www.datenschutzbeauftragter-info.de/die-persoenliche-haftung-des ... u.a.
Ausserwoeger
Ausserwoeger 13.03.2018 aktualisiert um 12:54:07 Uhr
Goto Top
Zitat von @Kraemer:

Zitat von @Ausserwoeger:
Lasse mich auch gerne belehren wenn jemand etwas schriftlich hat.
np: https://www.datenschutzbeauftragter-info.de/die-persoenliche-haftung-des ... u.a.

Hi

Das ist schön geschrieben aber nur dann wirklich gültig wenn man einen Externen Datenschutzbeauftragten hat. Sollte man einen Firmeninternen haben (der Übrigens nicht kündbar ist) wird es rechtlich schwierig das durchzusetzen. (zumindest in Österreich)

Allerdings hast du im grunde Recht.

PS: Ich dachte auch wir reden von internen DSB und nicht von externen Firmen

LG