Privacy Policy

Ziele und Definitionen

Datenverantwortlicher

WEDDINGITALY Srl (nachfolgend auch „Verantwortlicher für die Datenverarbeitung“ oder „Organisation“) ist gemäß der EU-Verordnung 2016/679 und dem italienischen Gesetzesdekret 196/2003, dem Kodex zum Schutz personenbezogener Daten (nachfolgend auch „Datenschutzgesetz“), der Verantwortliche für die Verarbeitung der Daten, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen und die er zur Ausübung seiner Tätigkeit und zur Verfolgung seiner institutionellen Zwecke benötigt.Dieses Dokument erläutert die Verarbeitungstätigkeiten des Verantwortlichen für die Datenverarbeitung und beschreibt das von der Organisation angewandte „Datenschutz-Organisationsmodell“. Dieses umfasst die Richtlinien, betrieblichen Bestimmungen und internen Dokumente zur Regelung der Verarbeitung personenbezogener Daten durch die Organisation. Die Organisation hat ihren Sitz in einem öffentlich zugänglichen Büro in der Viale Venezia 6, 33100 Udine.

Definitionen

Verordnung : Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (nachfolgend auch „DSGVO“ – Datenschutz-Grundverordnung) genannt, Gesetzesdekret 2003/196 (geändert durch Gesetzesdekret 2018/101), nachfolgend auch „Datenschutzgesetz“.

Datenverantwortlicher : Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

Datenverarbeiter : Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Personenbezogene Daten : Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (die betroffene Person) beziehen.

Besondere Kategorien personenbezogener Daten : Hierbei handelt es sich um Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen können, sowie um die Verarbeitung genetischer Daten. Biometrische Daten, die dazu bestimmt sind, eine natürliche Person eindeutig zu identifizieren, Daten über die Gesundheit, das Sexualleben oder die sexuelle Orientierung der Person. Gemäß Artikel 22 Absatz 2 des Gesetzesdekrets 101/2028 können sie auch als „sensible Daten“ bezeichnet werden.

Biometrische Daten : Personenbezogene Daten, die sich aus einer spezifischen technischen Verarbeitung der physischen, physiologischen oder verhaltensbezogenen Merkmale einer natürlichen Person ergeben und die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie z. B. Gesichtsbilder oder daktyloskopische Daten.

Gesundheitsdaten : Personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen, einschließlich der Erbringung von Gesundheitsdienstleistungen, und die Informationen über ihren Gesundheitszustand offenbaren.

Betroffene Person : Die natürliche Person, auf die sich die personenbezogenen Daten beziehen.

Zur Datenverarbeitung berechtigt : Natürliche Person, die vom Verantwortlichen oder dem Auftragsverarbeiter (einschließlich benannter Personen ) formell zur Durchführung von Verarbeitungsvorgängen ermächtigt wurde.

Verarbeitung : Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder Datensätzen personenbezogener Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Drittländer : Länder außerhalb des Europäischen Wirtschaftsraums (Norwegen, Island, Liechtenstein).

Anwendungsbereich

Diese Datenschutzerklärung gilt für die gesamte Organisation, alle ihre Organe und Strukturen auf allen Ebenen.

Die Einhaltung dieser Datenschutzerklärung ist für alle internen Mitarbeiter und externen Kooperationspartner, die personenbezogene Daten verarbeiten, verpflichtend.

In Vereinbarungen mit externen Parteien, die personenbezogene Daten der Organisation verarbeiten, prüft der Verantwortliche für die Datenverarbeitung, welche Abschnitte dieser Erklärung als Anweisungen oder Verpflichtungen des Dritten aufgenommen werden.

Der Verantwortliche für die Datenverarbeitung sorgt innerhalb der Organisation für die Bekanntmachung dieser Datenschutzerklärung, indem er die entsprechenden Dokumente für die Empfänger bereithält und Schulungen für alle an der Verarbeitung personenbezogener Daten beteiligten Personen in verschiedenen Funktionen durchführt.

Prinzipien

Der Verantwortliche für die Datenverarbeitung verpflichtet sich, die Verarbeitung personenbezogener Daten im Einklang mit den gesetzlichen Bestimmungen sicherzustellen und muss gemäß dem Grundsatz der Rechenschaftspflicht die getroffenen Entscheidungen hinsichtlich der Datensicherheit jederzeit nachweisen und begründen können.

Die für die Verarbeitung geltenden Grundsätze bilden das Rückgrat der gesamten DSGVO und sind insbesondere in den Artikeln 5 und 25 der Verordnung dargelegt.

Artikel 5 sieht vor, dass personenbezogene Daten:

  • rechtmäßig, nach Treu und Glauben und in transparenter Weise gegenüber der betroffenen Person verarbeitet (Grundsatz der Rechtmäßigkeit, Fairness und Transparenz);
  • Die Daten werden für bestimmte, eindeutige und legitime Zwecke erhoben und anschließend in einer Weise verarbeitet, die mit diesen Zwecken nicht unvereinbar ist (Grundsatz der Zweckbindung);
  • angemessen, relevant und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt (Datenminimierung);genau und, falls erforderlich, aktualisiert (Genauigkeit);
  • Die personenbezogenen Daten werden in einer Form gespeichert, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, erforderlich ist (Speicherbegrenzung);
  • verarbeitet in einer Weise, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlichem Verlust, Zerstörung oder Beschädigung, unter Anwendung geeigneter technischer und organisatorischer Maßnahmen (Integrität und Vertraulichkeit).

Artikel 25 der DSGVO verpflichtet den Verantwortlichen für die Datenverarbeitung, vor Beginn jeglicher Verarbeitung technische und organisatorische Sicherheitsmaßnahmen zu implementieren, um den Datenschutz von der Planungsphase dieser Tätigkeiten an und standardmäßig zu gewährleisten.

Diese Richtlinien gelten nicht nur für die Verarbeitung personenbezogener Daten, für die die Organisation der Datenverantwortliche ist, sondern auch für alle Verarbeitungen, die im Auftrag von Drittverantwortlichen durchgeführt werden und für die die Organisation als Datenverarbeiter eingesetzt ist, es sei denn, von den Verantwortlichen selbst werden strengere Anweisungen erteilt.

Wenn Teile der Datenverarbeitung an Dritte (Auftragsverarbeiter) übertragen werden, verlangt der Verantwortliche vergleichbare Schutzgarantien und die Anwendung angemessener Sicherheitsmaßnahmen. In diesen Fällen werden den Auftragsverarbeitern die relevanten Abschnitte dieser Richtlinie in Form verbindlicher Anweisungen gemäß Art. 28 DSGVO zur Verfügung gestellt.

Kontext der Behandlung

Art der personenbezogenen Daten und betroffene Personen

Die Organisation verarbeitet systematisch personenbezogene Daten von Mitarbeitern und Kooperationspartnern, Kundendaten und Lieferantendaten. Die Kundschaft besteht hauptsächlich aus natürlichen Personen.

Soweit erforderlich, können Daten gemäß Art. 9 DSGVO (besondere Kategorien personenbezogener Daten) auch verarbeitet werden, um die Rechte der betroffenen Personen und des Verantwortlichen in Angelegenheiten im Zusammenhang mit Beschäftigung, Sozialversicherung und Sozialschutzrecht zu gewährleisten.

Die angebotenen Dienstleistungen umfassen die Verarbeitung personenbezogener Daten, die zur Vertragserfüllung mit den Kunden erforderlich sind. Bei der Organisation von Hochzeiten und Veranstaltungen im Auftrag der Kunden können gegebenenfalls auch sensible Daten der betroffenen Personen verarbeitet werden, insbesondere Gesundheitsdaten und Daten zu religiösen oder weltanschaulichen Überzeugungen.

Mit der ausdrücklichen Einwilligung der betroffenen Personen ist es möglich, Bilder und audiovisuelle Aufnahmen, die sie während der Zeremonie oder damit zusammenhängender Veranstaltungen zeigen, für Werbezwecke des Datenverantwortlichen zu sammeln.

Archive personenbezogener Daten

Die Papierarchive [1] befinden sich am Hauptsitz des Datenverantwortlichen, die computerisierten Produktionsarchive werden in den von Microsoft (Datenverantwortlicher) bereitgestellten Cloud- Speichern mit der „Microsoft 365“-Suite gespeichert, die die Organisation nutzt.

Der Cloud- Dienst von Microsoft bietet Redundanzen in Bezug auf den Speicherplatz; in jedem Fall unterhält der Eigentümer ein vom Administrator verwaltetes Backup-Archiv.

Eine Liste der von der Organisation getroffenen Sicherheitsmaßnahmen finden Sie im letzten Teil der Risikobewertungen (Abschnitt 09 des MOP).

Sicherheit der Behandlungen

Risiken der Behandlung

In Übereinstimmung mit der DSGVO hat der Verantwortliche für die Datenverarbeitung nach einer Risikobewertung im Zusammenhang mit der Verarbeitung personenbezogener Daten von Mitarbeitern die zu ergreifenden Sicherheitsmaßnahmen ausgewählt.

Die Risikobewertung erfolgte gemäß dem von der ENISA [1](Europäische Agentur für Cybersicherheit) vorgeschlagenen Rahmenwerk, das auch eine Reihe von nach Risikostufen kategorisierten Sicherheitsmaßnahmen vorschlägt.

Diese Maßnahmen orientieren sich weitgehend an den im Zertifizierungsrahmen ISO/IEC 27001:2022 für Informationssicherheitsmanagementsysteme vorgeschlagenen Kontrollen.

Das Gesamtrisiko wurde als mittel eingestuft.

Hinweis: Werden Unregelmäßigkeiten bei der Nutzung von IT-Diensten und -Systemen festgestellt, kann der Verantwortliche für die Datenverarbeitung schrittweise Überprüfungen einleiten. Diese Überprüfungen können sich, sofern die Unregelmäßigkeiten fortbestehen und ein dokumentierter Bedarf besteht, auch auf einzelne Nutzer erstrecken. Die Überprüfungen erfolgen unter Wahrung der Arbeitnehmerrechte und der Würde der Beschäftigten.

Die Mitarbeiter sind verpflichtet, die IT-Dienste und -Tools des Unternehmens ausschließlich für dienstliche Zwecke zu nutzen und diese nicht zur Verarbeitung ihrer personenbezogenen Daten zu verwenden, um ihre Privatsphäre sowie ihre Rechte und Freiheiten zu schützen.

Rechtmäßigkeit und Korrektheit

Im Einklang mit den Grundsätzen der Rechtmäßigkeit und Fairness verarbeitet der Verantwortliche personenbezogene Daten, indem er die betroffenen Personen durch gemäß Artikel 13 und 14 DSGVO erstellte Dokumente angemessen informiert und spezifische interne Anweisungen umsetzt, um sicherzustellen, dass die betroffenen Personen die in den Artikeln 15 bis 22, 7 und 77 DSGVO vorgesehenen Rechte ausüben können.

Die sogenannten „Informationshinweise“ und Anweisungen zur Ausübung der Rechte der betroffenen Personen werden mindestens jährlich überprüft.

Zweckbindung und Datenminimierung

Die Zwecke der Datenverarbeitung sind in den Datenschutzhinweisen klar angegeben und beschränken sich auf das zur Erfüllung der Verträge zwischen dem Verantwortlichen und den betroffenen Personen Notwendige.

Der Verantwortliche überprüft mindestens einmal jährlich, ob die Datenschutzhinweise für die betroffenen Personen die verfolgten Zwecke korrekt beschreiben und ob der Umfang der verarbeiteten Daten das Notwendige nicht überschreitet .

Datengenauigkeit und Speicherbegrenzung

Die Daten werden so erhoben und gespeichert, dass ihre Richtigkeit bis zum Abschluss der Verarbeitung gewährleistet ist.

Je nach Zweck der Speicherung legt der Verantwortliche eine Aufbewahrungsfrist (oder ein Kriterium für deren Festlegung) fest und informiert die betroffenen Personen darüber in den Datenschutzhinweisen.

Die vom Verantwortlichen festgelegten Aufbewahrungsfristen sind in den Verarbeitungsdokumenten vermerkt.

Gegebenenfalls gibt der Verantwortliche in demselben Dokument auch die Gründe für die Festlegung der Aufbewahrungsfrist an.

Integrität und Vertraulichkeit

Die Organisation ist sich bewusst, dass Mitarbeiterdaten (oder die Daten von Familienangehörigen der betroffenen Personen) und Kundendaten sensibel sein können und trifft entsprechende technische und organisatorische Sicherheitsmaßnahmen.

Personen, die zur Datenverarbeitung befugt oder mit spezifischen Datenschutzfunktionen betraut sind, sind zur Vertraulichkeit verpflichtet und führen mindestens einmal jährlich Schulungen und Sensibilisierungsveranstaltungen durch, um das Bewusstsein für Sicherheitsrisiken und deren Bewältigung sowie die Kenntnis interner Richtlinien zu schärfen.

Durch spezielle Auftragsverarbeitungsverträge oder andere mit Dritten abgeschlossene Datenschutzvereinbarungen strebt der Datenverantwortliche an, ein vergleichbares Sicherheitsniveau für die von diesen Dritten zu verarbeitenden Daten zu gewährleisten.

Umsetzung interner Regeln

Die Regeln für die Verarbeitung personenbezogener Daten unter der Aufsicht des Datenverantwortlichen, WEDDINGITALY Srl, sind in der MOP-Dokumentation (Datenschutzorganisationsmodell) festgelegt, insbesondere in den folgenden Dokumenten:

  • Bestellung von Datenverarbeitungsbeauftragten (Abschnitt P04)
  • Bestellung von Datenverantwortlichen (Abschnitt P08)
  • Interne Vorschriften (Abschnitt P10).

Die Einhaltung und Umsetzung der Regeln liegt in der Verantwortung der folgenden Parteien:

  • Der Datenverantwortliche legt als solcher die Methoden zur Verbreitung der Inhalte der Richtlinien und internen Regelungen zur Umsetzung der in diesen Dokumenten enthaltenen Bestimmungen fest. Der Datenverantwortliche ist außerdem zuständig für:
    - Risikoanalysen unter Anwendung geeigneter Methoden durchführen und Risikomanagementmaßnahmen ergreifen;
    - die für die sichere Durchführung der Unternehmensaktivitäten notwendigen Verhaltensregeln festlegen;
    - Sicherheitslücken überprüfen, notwendige Gegenmaßnahmen ergreifen und die Gefährdung des Unternehmens durch größere Bedrohungen und Risiken kontrollieren;
    - Schulungen organisieren und das Bewusstsein der Mitarbeiter für alle Belange im Zusammenhang mit Qualität, Sicherheit und Informationssicherheit fördern;
    - Überprüfen Sie regelmäßig die Wirksamkeit und Effizienz der Sicherheitsmaßnahmen.
  • Alle Mitarbeiter, die in irgendeiner Funktion mit dem Unternehmen zusammenarbeiten und in irgendeiner Weise an der Verarbeitung von Daten und Informationen beteiligt sind, die unter das Datenschutz-Organisationsmodell fallen, sind in ihren jeweiligen Verantwortungsbereichen für die Verarbeitung gemäß den erhaltenen Anweisungen sowie für die Meldung jeglicher ihnen bekannt werdender Unregelmäßigkeiten und Verstöße (auch potenzieller) gegen diese Richtlinie verantwortlich. Die Nichteinhaltung der Anweisungen des Verantwortlichen für die Datenverarbeitung hinsichtlich der Verarbeitung personenbezogener Daten kann für die zur Datenverarbeitung Befugten disziplinarische Maßnahmen und in schwerwiegendsten Fällen zivil- und strafrechtliche Haftung nach sich ziehen.
  • Alle externen Parteien, die Beziehungen zum Unternehmen unterhalten und mit ihm zusammenarbeiten und die die Einhaltung der in der Datenschutzrichtlinie enthaltenen Anforderungen gewährleisten müssen, wie beispielsweise externe Mitarbeiter oder Lieferanten, die Daten im Auftrag oder unter der Aufsicht des Datenverantwortlichen verarbeiten.

Überwachung des organisatorischen Modells „Datenschutz“

Die Unternehmensleitung überprüft mindestens einmal jährlich die Effektivität und Effizienz des Datenschutzmodells, um dessen korrekte Aktualisierung sicherzustellen und die Einführung notwendiger Verbesserungen angemessen zu unterstützen.

Dieser kontinuierliche Prozess berücksichtigt regulatorische und technologische Entwicklungen, Verwaltungskosten und die sich wandelnden Bedürfnisse des Unternehmens.

Der Datenverantwortliche plant die Überprüfung dieser Richtlinie unter Einbeziehung der relevanten Unternehmensvertreter und gegebenenfalls unter Hinzuziehung externer Berater.

Die Überprüfungstätigkeiten sollten den Stand der Präventiv- und Korrekturmaßnahmen sowie die Einhaltung der Verfahren gemäß den Bestimmungen dieser Richtlinie umfassen.

Das Ergebnis des regelmäßigen Überprüfungsprozesses umfasst alle getroffenen Entscheidungen und ergriffenen Maßnahmen zur Verbesserung des Datenschutzorganisationsmodells.

Information und Schulung

Der Verantwortliche für die Datenverarbeitung kann das Ziel einer datenschutzkonformen [2]und kontextgerechten Datenverarbeitung nur erreichen, indem er der Schulung seiner Mitarbeiter besondere Aufmerksamkeit widmet.

Zu diesem Zweck wird das Datenschutz-Organisationsmodell sowohl bestehenden als auch neuen Mitarbeitern bei ihrem Eintritt zur Verfügung gestellt.

Aktualisierungen des Datenschutz-Organisationsmodells werden den Mitarbeitern regelmäßig auf dem jeweils effektivsten Wege mitgeteilt.

Um ein datenschutzfreundliches Umfeld zu schaffen und Mitarbeiter, die bestimmte Aufgaben im Umgang mit personenbezogenen Daten übernehmen, angemessen zu schulen, unternimmt der Verantwortliche für die Datenverarbeitung Folgendes:

  • verabschiedet einen Schulungsplan, der für alle Mitarbeiter des Unternehmens bestimmt ist;
  • sieht die Bereitstellung spezifischer Module vor, die auf der jeweiligen Rolle und einem Stellenwechsel basieren;
  • verabschiedet einen jährlichen Schulungsplan für datenschutzbezogene Schulungen, die allen Mitarbeitern des Unternehmens angeboten werden;
  • bewahrt die verteilten Unterlagen und Formulare auf, die die Teilnahme an Schulungen und die Bewertung der erworbenen Kenntnisse bescheinigen.

Die Schulung der zur Datenverarbeitung befugten Personen und, falls erforderlich, anderer Schlüsselfiguren im Datenschutzorganisationsmodell betrifft insbesondere:

  • die allgemeinen Aspekte der Vorschriften zum Schutz personenbezogener Daten;
  • die Bedrohungen, Schwachstellen, Eintrittswahrscheinlichkeiten und folglich die Risiken, die die verarbeiteten Daten gefährden;
  • die Folgen einer Verletzung des Schutzes personenbezogener Daten (Datenschutzverletzung);
  • die im Falle einer Verletzung des Schutzes personenbezogener Daten zu befolgenden Verfahren;
  • Präventive Maßnahmen, um die Wahrscheinlichkeit von Verstößen zu vermeiden oder zumindest zu verringern, und Maßnahmen zur Minderung des Schadens, falls Verstöße auftreten;
  • die spezifischen Aspekte der Vorschriften zum Schutz personenbezogener Daten in dem/den Sektor(en), die für den Datenverantwortlichen relevant sind;
  • die sichere Verwendung von IT-Tools und -Systemen sowie alle vom Datenverantwortlichen festgelegten Vorschriften.

Die Schulungen müssen gemäß dem in Artikel 5 Absatz 2 der DSGVO festgelegten Rechenschaftspflichtgrundsatz dokumentiert werden , und die Ergebnisse dieser Tätigkeit müssen jederzeit verfügbar sein.

Die Leitungsorgane

Weddingitaly ist eine Ein-Personen-GmbH. Die vereinfachte Organisationsstruktur muss jedoch sicherstellen, dass die folgenden Verpflichtungen/Ziele erfüllt werden können:

  • sicherstellen, dass alle Informationssicherheitsziele identifiziert werden und dass diese mit dem betrieblichen Kontext übereinstimmen;
  • Festlegung der Rollen und damit verbundenen Verantwortlichkeiten für die Implementierung und Aufrechterhaltung des Datenschutzorganisationsmodells;
  • Bereitstellung ausreichender Ressourcen für die Planung, Umsetzung, Organisation, Kontrolle, Überprüfung, Verwaltung und kontinuierliche Verbesserung des Datenschutzorganisationsmodells;
  • sicherstellen, dass der Datenschutz von Anfang an in alle Geschäftsprozesse integriert ist;
  • Programme aktivieren, um das Bewusstsein für Informationssicherheit und eine entsprechende Kultur zu verbreiten.

Der Datenverantwortliche erkennt seine Verantwortung gemäß geltendem Recht an und verpflichtet sich, die ihm anvertrauten personenbezogenen Daten vor Verlust, Missbrauch oder unberechtigtem Zugriff zu schützen.

Organigramm und Ernennungssystem

Datenverantwortlicher

Der Datenverantwortliche muss die genaue Festlegung der Rollen und Verantwortlichkeiten im Bereich Datenschutz sowohl innerhalb als auch außerhalb der Organisation gewährleisten, insbesondere im Hinblick auf die Nominierungen und Benennungen der folgenden Personen:

Datenverantwortliche

Auftragsverarbeiter sind natürliche oder juristische Personen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten. Der Verantwortliche bleibt für alle Schäden haftbar, die den betroffenen Personen durch die Verarbeitung entstehen. Aus diesem Grund wählt der Verantwortliche Auftragsverarbeiter nur aus denjenigen aus, die die erforderlichen Voraussetzungen erfüllen und angemessene Garantien für die datenschutzkonforme Verarbeitung bieten. Der Auftragsverarbeiter darf einen weiteren Auftragsverarbeiter (Unterauftragsverarbeiter) nur dann beauftragen, wenn er diesem dieselben Pflichten auferlegt, die er selbst gegenüber dem Verantwortlichen hat. Kommt der Unterauftragsverarbeiter seinen datenschutzrechtlichen Pflichten nicht nach, haftet der Auftragsverarbeiter dem Verantwortlichen weiterhin uneingeschränkt für die Pflichterfüllung des Unterauftragsverarbeiters. 

Der Verantwortliche beauftragt Auftragsverarbeiter mit einer spezifischen Datenschutzvereinbarung, die mindestens alle in Artikel 28 DSGVO geforderten Elemente enthält. Gemäß Artikel 28 DSGVO haftet der Auftragsverarbeiter dem Verantwortlichen weiterhin uneingeschränkt für die Pflichterfüllung des Unterauftragsverarbeiters. Gemäß Art. 82 Abs. 2 DSGVO haftet ein Auftragsverarbeiter für den durch die Verarbeitung verursachten Schaden nur dann, wenn er die ihm in dieser Verordnung speziell auf Auftragsverarbeiter übertragenen Pflichten nicht erfüllt hat oder gegen rechtmäßige Weisungen des Verantwortlichen verstoßen hat.

Zur Bearbeitung freigegeben

Der Verantwortliche ernennt die gemäß Art. 29 DSGVO zur Datenverarbeitung befugten Personen und erteilt ihnen Anweisungen zur Verarbeitung gemäß den internen Vorschriften und Verfahren. 

Die befugten Personen verarbeiten personenbezogene Daten ihres jeweiligen Aufgabenbereichs und handeln unter der Aufsicht des Verantwortlichen. Sie halten sich an dessen Anweisungen, insbesondere an die Verfahren zur Nutzung der ihnen zugänglichen Datenbanken. 

Folgende Personen sind zur Datenverarbeitung befugt:

  • Er ist dem Verantwortlichen für die Datenverarbeitung über alle Anfragen des Betroffenen im Zusammenhang mit der Ausübung seiner durch die DSGVO garantierten Rechte zu informieren;
  • Sie benachrichtigen den Datenverantwortlichen, wenn ein Verarbeitungsvorgang nicht den erhaltenen Anweisungen entspricht;
  • Melden Sie dem Verantwortlichen für die Datenverarbeitung jeden unbefugten Zugriff oder sonstige Vorfälle, auch verdächtige, in Bezug auf personenbezogene Daten, Datenbanken oder IT-Systeme, die die Vertraulichkeit, Integrität oder Verfügbarkeit personenbezogener Daten beeinträchtigen könnten;
  • Sie nehmen an den vom Datenschutzbeauftragten organisierten Schulungsveranstaltungen zu Datenschutzfragen teil;
  • Sie verpflichten sich, die Vertraulichkeit der personenbezogenen Daten zu wahren, von denen sie im Rahmen ihrer Tätigkeit Kenntnis erlangen.

Für bestimmte Funktionen vorgesehen

Der Datenverantwortliche benennt innerhalb seiner Organisationsstruktur bestimmte Personen, die bestimmte Funktionen oder Aufgaben im Zusammenhang mit dem Schutz personenbezogener Daten gemäß Artikel 2-quaterdecies des Gesetzes wahrnehmen.

Der Systemadministrator

Die Fachperson im IT-Bereich, die ein Datenverarbeitungssystem oder dessen Komponenten, einschließlich komplexer Softwaresysteme (Systemadministrator), oder eine Datenbank (Datenbankadministrator) oder Netzwerke und Sicherheits-Telekommunikationsgeräte (Netzwerkadministrator), wartet, konfiguriert und verwaltet, wird als die zur Verarbeitung der als Systemadministrator bezeichnete Person benannt.

Die Zuweisung der Aufgaben des Systemadministrators erfolgt nach Beurteilung der Erfahrung, der Fähigkeiten und der Zuverlässigkeit der benannten Person, die hinreichende Garantien für die vollständige Einhaltung der geltenden Bestimmungen, einschließlich derjenigen in Bezug auf die Sicherheit, bietet.[3]

Die Ernennung eines Systemadministrators muss individuell und schriftlich erfolgen und eine detaillierte Beschreibung des zulässigen Tätigkeitsbereichs auf Grundlage des zugewiesenen Berechtigungsprofils enthalten. 

Der Systemadministrator kann autorisierte Konten nutzen, um mit höheren Berechtigungen als ein normaler Benutzer auf ein oder mehrere Systeme zuzugreifen. Beispielsweise kann der Systemadministrator Benutzer oder Organisationen, die zum Zugriff auf die IT-Dienste oder -Tools des Datenverantwortlichen berechtigt sind, erstellen, ändern und löschen und/oder bestimmten Benutzern oder Organisationen den Zugriff auf bestimmte Ressourcen gewähren oder verweigern.

Wenn der Administrator nicht zur Organisation gehört, wird die Ernennung dieser Person zum Datenverarbeiter in Betracht gezogen.

Allgemeine Sicherheitsmaßnahmen

Die Verantwortung für den Schutz aller verarbeiteten Daten liegt bei den jeweiligen Stellen innerhalb der Organisation. 

Besondere Aufmerksamkeit muss der Nutzung von IT-Diensten und -Geräten aufgrund ihrer Bedeutung und weitreichenden Verbreitung sowie der ständigen technologischen Weiterentwicklung, die neue potenzielle Risiken birgt, gewidmet werden. 

Systeme müssen sowohl physisch als auch logisch geschützt werden. 

Je nach Komplexität der eingesetzten IT-Systeme kann der Datenverantwortliche spezifische interne Richtlinien festlegen.

Die Leitlinien für IT-Sicherheitsentscheidungen sind wiederum die Grundsätze der DSGVO. 

Alle dem Verarbeitungskontext angemessenen Maßnahmen, die die Vertraulichkeit (vor allem Authentifizierungs- und Autorisierungsmaßnahmen), Integrität und Verfügbarkeit der Daten gewährleisten können (z. B. adäquate Datensicherungssysteme, Integritätsprüfungen, Notfallwiederherstellungsverfahren), müssen umgesetzt werden.

In diesem speziellen Kontext werden die vom Datenverantwortlichen getroffenen Sicherheitsmaßnahmen im letzten Teil der Risikobewertungen (Abschnitt P.09) aufgeführt.

Anmerkungen

[1] Handbuch zur Sicherheit der Verarbeitung personenbezogener Daten – ENISA – 29. Januar 2018.

[2] Art. 29 Verordnung – „Verarbeitung im Auftrag des Verantwortlichen oder Auftragsverarbeiters “ Der Auftragsverarbeiter und jede Person, die im Auftrag des Verantwortlichen handelt oder der Verantwortliche selbst, der Zugang zu personenbezogenen Daten hat, darf diese Daten nur auf Weisung des Verantwortlichen verarbeiten, es sei denn, dies ist nach dem Recht der Union oder eines Mitgliedstaats erforderlich.
Art. 2 quarterdecies des Datenschutzgesetzes – „Übertragung von Funktionen und Aufgaben an bestimmte Personen“ Der Datenverantwortliche oder Datenverarbeiter kann in eigener Verantwortung und innerhalb seiner Organisationsstruktur vorsehen, dass bestimmte Aufgaben und Funktionen im Zusammenhang mit der Verarbeitung personenbezogener Daten ausdrücklich bestimmten natürlichen Personen übertragen werden, die unter seiner Aufsicht tätig sind.

[3] Bestimmung des Garantiegebers vom 27. November 2008 über die Aufgabenverteilung des Systemadministrators.


[1]Nehmen Sie alle notwendigen Änderungen vor.