Database Reference
In-Depth Information
generell für jeden Mitarbeiter - geschieht in erster Linie aus Beweiszwecken über einen
Zusatz zum Arbeitsvertrag
13
[
22
].
•
Den wohl wichtigsten Aspekt im Bereich von Verträgen nehmen die Dokumentations-
pflichten des Auftraggebers im Rahmen der ADV (§ 11 BDSG) ein. Hierbei müssen
schriftlich die zahlreichen, vom Gesetzgeber ausdrücklich aufgezählten Punkte in den
Verträgen, und dies zudem mit jedem einzelnen Auftragnehmer, geregelt werden. Die
Verwaltung dieser Verträge bildet eine zentrale Tätigkeit des DSMS und lässt sich an
späterer Stelle in diesem Praxisleitfaden in ein Konzept für ein ADV-Management
einordnen (Abschn. 5.2.7). Auf Dokumentenebene bieten sich hierbei Musterver-
tragsanhänge an
14
[
26
], in denen das Unternehmen seine (Mindest-)Anforderungen
an ein angemessenes Datenschutzniveau beim Auftragnehmer definiert und an den
Outsourcing-Rahmenvertrag anhängt.
•
Als Auftragnehmer kann es sich für das Unternehmen anbieten, die angebotenen
Dienstleitungen auch für den Bereich Datenschutz auf qualitativer wie quantitativer
Ebene im Rahmen von Privacy Level Agreements (PLAs) zu erfassen. Dazu kön-
nen verschiedene Stufen formuliert werden, in denen jeweils unterschiedlich strenge
Schutzkonzepte für die personenbezogenen Daten beschrieben werden. Die Entwick-
lung solcher PLAs befindet sich noch in der Anfangsphase, vor allem weil der Einsatz
von PLAs aufgrund des mehrstufigen Angebotes in höherem Maße eine (technische)
Flexibilität des Auftragnehmers erfordert. Im Jahr 2013 zeichneten sich hierfür erste
Versuche der Cloud Security Alliance (CSA) für Cloud-Service-Provider ab.
15
5.2.4.3.3.2 TOM-Listen
Auch die Zusammenstellung der im Rahmen der Risikoanalyse (Abschn. 5.2.3.2.3) be-
reits erfassten technischen und organisatorischen Maßnahmen des Unternehmens über
TOM-Listen gilt als eine in der Praxis nützliche Form der Dokumentation. Auf dieser
Basis können ADV-relevante Informationen für potenzielle Auftraggeber zusammenge-
stellt oder Anfragen der Aufsichtsbehörden effizienter bearbeitet werden. Zudem erhält
das Unternehmen selbst einen geeigneten Überblick über die vorgehaltenen Maßnahmen
und kann so regelmäßig eine Angemessenheitsbewertung durchführen. Wie detailliert sol-
che Listen geführt werden, ist einzelfallabhängig und es sollte immer der Gesichtspunkt
der möglichen Vertraulichkeit der ergriffenen Maßnahmen dabei Beachtung finden. Ge-
rade für technische Maßnahmen bieten sich eine Kurzbeschreibung und ein Verweis auf
den Verantwortlichen für potenzielle Rückfragen zur Beibehaltung der Übersichtlichkeit
an, die dann direkt in das DSMS-Handbuch integriert werden kann. Weiterhin ist zu
13
Eine solche Musterverpflichtung wird beispielsweise vom Bundesbeauftragten für den Daten-
schutz bereitgestellt.
14
MusterverträgefindensichineinschlägigenFach-undFormularhandbüchernsowiebeispielsweise
hier bei der Branchenvereinigung GDD [
10
].
15
Die Ergebnisse der PLA-Working-Group sind z.T. online frei abrufbar in englischer Sprache unter
https://cloudsecurityalliance.org/.
Search WWH ::
Custom Search