Argana Consulting GmbH
 Ihr externer Partner für Informationssicherheit, Datenschutz und Risikomanagement

Themen zum Datenschutz

Auftragsverarbeitung (Art. 28 DSGVO)

Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet – typischerweise IT-Dienstleister oder Cloud-Provider. Sie werden nur nach dokumentierten Anweisungen tätig; die Datenverantwortung verbleibt beim ursprünglichen Unternehmen. Grundlage ist der Auftragsverarbeitungsvertrag (AVV) mit zehn Mindestinhalten – von Gegenstand und Dauer der Verarbeitung bis zu Audit-Rechten und Gerichtsstand. Beim Kettenoutsourcing über mehrere Auftragsverarbeiter sind die Pflichten entlang der gesamten Kette durchzureichen. Der AVV sollte von juristisch qualifizierten Personen und dem Datenschutzbeauftragten erstellt bzw. geprüft werden.



Drittlandtransfer: Angemessenheitsbeschluss und Standardvertragsklauseln

Für die Übermittlung personenbezogener Daten in Länder außerhalb des EWR gilt ein klarer Entscheidungsweg: Liegt ein Angemessenheitsbeschluss der EU-Kommission vor, bietet das Drittland ein angemessenes Datenschutzniveau und die Übermittlung ist zulässig. Fehlt er, kommen die Standardvertragsklauseln (SCC) zum Einsatz – standardisierte vertragliche Regelungen der EU-Kommission, die unverändert übernommen werden und Rechtssicherheit vor Sanktionen bieten. Maßgeblich ist der Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021; die deutsche Fassung der SCC steht hier zum Download bereit.


Datenschutz und Cloud Computing

Cloud-Dienste ermöglichen die sichere Speicherung personenbezogener Daten – doch die Verantwortung bleibt beim Unternehmen, auch bei Nutzung externer Anbieter. Deshalb gilt: Cloud-Provider sorgfältig auswählen, geeignete Sicherheitsvorkehrungen treffen, den Auftragsverarbeitungsvertrag abschließen und bei Anbietern außerhalb des EWR den Drittlandtransfer über Angemessenheitsbeschluss oder SCC absichern.



NIS2 und Datenschutz

Cybersicherheit und Datenschutz greifen ineinander: Nach der NIS-2-Richtlinie erfolgt die Verarbeitung personenbezogener Daten durch Anbieter öffentlicher elektronischer Kommunikationsnetze gemäß dem Datenschutzrecht der Union. Wesentliche und wichtige Einrichtungen dürfen personenbezogene Daten im erforderlichen und verhältnismäßigen Umfang zur Sicherung ihrer Netz- und Informationssysteme verarbeiten – als Erfüllung einer rechtlichen Verpflichtung. Der Europäische Datenschutzbeauftragte (EDSB) hat in seiner Stellungnahme empfohlen, dass NIS-2 die bestehenden Datenschutzvorgaben – insbesondere die DSGVO – korrekt ergänzt und klare Mechanismen für die Zusammenarbeit der Behörden geschaffen werden; seine Empfehlungen reichen von Verschlüsselung über Lieferketten bis zu Datenschutzverletzungen. Mehr zur Richtlinie selbst finden Sie im Bereich Informationssicherheit unter NIS-2.