DSGVO Spezial: Die Auftragsverarbeitung in der Praxis

Einführung

• Definition und rechtliche Einordnung der Auftragsverarbeitung
• Merkmale der Auftragsverarbeitung
• Interne und externe Auftragsverarbeitung
• Abgrenzung der Auftragsverarbeitung von anderen Vertragsformen
• Rechte und Pflichten des Verantwortlichen bzw. Auftragsverarbeiters gemäß DSGVO

Praxis: Beispiele für Auftragsverarbeitungen, Lösung herausfordernder Fallkonstellationen

Aktuelle Herausforderungen beim internationalen Datentransfer

• Aktuelle Entscheidungen der Behörden und Gerichte zum Datentransfer
• Der Ort der Erbringung der Auftragsverarbeitung und seine rechtliche Bedeutung
• Staaten mit und ohne angemessenem Datenschutzniveau, Auswirkungen
• Standardvertragsklauseln und ihr korrekter Abschluss
• Zusatzmaßnahmen und TIA (Transfer Impact Assessment)

Praxis: Beispiele für besondere Herausforderungen, Lösungsansätze

Gestaltung der Auftragsverarbeitungsvereinbarung (AVV)

• Notwendige Inhalte einer AVV
• Standardvertragsklauseln im Kontext der AVV
• Das Verhältnis zwischen Hauptvertrag und AVV
• TOM als integraler Bestandteil der AVV
• Vertragliche Gestaltungsmöglichkeiten seitens des Verantwortlichen
• Rechtsfolgen einer mangelhaften oder fehlenden AVV
• Die Haftung des Verantwortlichen und des Auftragsverarbeiters

Exklusiv für Sie: Sie erhalten praxisbezogene Musterklauseln

Prüfpflichten

• Die Prüfpflichten des Verantwortlichen
• Umsetzung der Prüfpflichten

Exklusiv für Sie: Sie erhalten eine Checkliste zur Auftragsverarbeitungsvereinbarung

Mag. Christoph Riesenfelder, CISM, CPP, CISSP, SSCP, ISMS LA, CRISC
Information Risk Management Consulting
Ing. Mag. Boris Treml, LL.M.
Cerha Hempel Rechtsanwälte GmbH

Technische und organisatorische Maßnahmen (TOM)

• Notwendige Inhalte einer TOM-Darstellung
• Merkmale einer angemessenen und geeigneten TOM-Beschreibung
• Häufige Missverständnisse bei der TOM-Dokumentation

Praxis: Beispiele aussagekräftiger und inakzeptabler TOM-Beschreibungen, Beispiel TOM für Fernwartung

Standards, Normen und Zertifizierungen im Zusammenhang mit Sicherheitsmaßnahmen

• Hilfreiche Standards und Normen zur Auswahl eines Auftragsverarbeiters
• Richtiges Lesen und Einordnen von Zertifizierungen
• Aktuelles betreffend die neue ISO-Norm 27002:2022 zu Daten- und IT-Sicherheit

Beschaffung von Cloud-Lösungen im Kontext Auftragsverarbeitung

• Worauf bei der Auswahl von Cloud-Anbietern zu achten ist
• Cloud-Lösungen als Teil einer Beschaffungsstrategie
• Beschaffungsalternativen und ihre jeweiligen Vor- und Nachteile

Datenschutz-Folgenabschätzungen im Zusammenwirken mit dem Auftragsverarbeiter

• Die Rolle des Auftragsverarbeiters bei der Datenschutz-Folgenabschätzung
• Aufbau einer Datenschutz-Folgenabschätzung
• Risikoanalyse mit dem Blickwinkel der betroffenen Personen

Exklusiv für Sie: Sie erhalten eine bewährte Strukturvorlage zur Risikobewertung

Der Data Breach im Kontext der Auftragsverarbeitung

• Wer unter welchen Umständen haftet
• Reduktion von Haftungsrisiken
• Meldepflichten über die DSGVO hinaus
• Entscheidungen zu diesem Thema

Exklusiv für Sie: Sie erhalten eine Vorlage zur nachvollziehbaren Berechnung von Risikograden im Fall von Data Breaches

Mag. Christoph Riesenfelder, CISM, CPP, CISSP, SSCP, ISMS LA, CRISC
Information Risk Management Consulting