Veröffentlicht von:
DSGVO-Besonderheiten: TOMs treffen auf Auftragsdatenverarbeitung?
- 2 Minuten Lesezeit
In unseren DSGVO-Beiträgen erläuterten wir bereits, was sog. TOMs sind und was es mit der Auftragsdatenverarbeitung (ADV) auf sich hat:
https://www.anwalt.de/rechtstipps/dsgvo-was-sind-technische-u-organisatorische-massnahmen-toms-und-wozu-werden-sie-gebraucht_164351.html
https://www.anwalt.de/rechtstipps/dsgvo-besonderheiten-was-ist-ueberhaupt-eine-auftragsdatenverarbeitung-adv_164254.html
Die technischen und organisatorischen Maßnahmen sind laut DSGVO verpflichtend und dienen der Überwachung und Sicherung des Datenschutzes innerhalb eines Unternehmens. TOMs sind z. B. Maßnahmen für Datenverschlüsselungen durch Passwörter usw. Eine Besonderheit tritt auf, wenn TOMs auf die sog. Auftragsdatenverarbeitung treffen. Selbstverständlich muss derjenige, der externe Personen für sich mit der Verarbeitung und/oder Erhebung von Daten beauftragt, besondere Schutzmaßnahmen treffen.
Die Besonderheit: TOMs treffen auf die Auftragsdatenverarbeitung
Mit Art. 28 DSGVO ist die Auftragsdatenverarbeitung fester Bestandteil der DSGVO geworden. Hier wird ein externer Auftragsverarbeiter engagiert, der z. B. Lohnabrechnungen (Steuerberater) erstellt oder das Nutzerverhalten auswertet (Google Analytics). Da externe Dritte zur Datenverarbeitung eingeschaltet werden, ist es besonders wichtig, datenschutzkonforme TOMs in den Auftragsdatenverarbeitungsvertrag miteinzubeziehen. D. h., es muss gekennzeichnet werden, welche TOMs für welchen Datenverarbeitungsvorgang genutzt werden.
Fehlt eine konkrete schriftliche Auflistung der TOMs im Vertrag, so können Bußgelder durch die zuständige Aufsichtsbehörde erhoben werden. Die Auflistung von pauschalen Aussagen über TOMs oder die reine Übernahme von Gesetzestexten sind hier unzureichend.
Aber nicht nur das: Auch die fehlende oder falsche Umsetzung der vertraglich vorgefassten TOMs kann zu Bußgeldern führen.
Was Sie tun können:
Sie unterliegen als Auftraggeber der ständigen Pflicht zu überprüfen, wie der Auftragsverarbeiter mit ihren Daten verfährt. Sie sollten daher die konkreten TOMs im Auftragsdatenverarbeitungsvertrag festlegen und diese in Ihre Unternehmensprozesse implementieren!
Zum richtigen Konzept mithilfe unseres Beratungsansatzes
Unsere Kanzlei Hämmerling von Leitner-Scharfenberg mit Sitz in Berlin und Hamburg wird bundesweit im Bereich des Datenschutzrechts tätig. Herr Hämmerling ist als Fachanwalt und für IT-Recht, als geprüfter Datenschutzbeauftragter und Datenschutzauditor mit sämtlichen rechtlichen Fragestellungen der DSGVO vertraut.
Sie fühlen sich angesprochen? Dann rufen Sie uns gerne für eine kostenlose Ersteinschätzung an oder schreiben Sie uns eine E-Mail unter Schilderung Ihres Anliegens und unter Angabe einer Rückrufnummer..
Artikel teilen: