18 | recht und steuern 9. auftragsverarbeitung nach art. 28 eu-dsgvo gend empfohlen werden, diese verträge zur datenweitergabe mit den dienstleistern abzuschließen. das nichtvorhandensein kann auch hier zu einem bußgeld führen. die verarbeitung personenbe- zogener daten in einem betrieb wird ab und zu auch mal von einem anderen unternehmen, einem drit- ten, vorgenommen. dieser dienst- leister verarbeitet die daten für und im auftrag des auftraggebers. zu diesen dienstleistern zählen z.b. die nutzung eines dienstleis- ters für die finanz- und lohnbuch- haltung, aktenvernichtung durch ein fremdunternehmen und die nutzung einer „cloud“, um kun- den- und/oder mitarbeiterdaten zu verarbeiten. es ist derzeit noch streitig, ob it-wartungen eine auftragsver- arbeitung abschließen, da nicht immer ein zugriff auf echtdaten, die in dem programm gespeichert sind, möglich ist. in den meisten fällen wird dies aber wohl der fall sein, so dass die betriebe auch mit dem it-dienstleister einen solchen vertrag abschließen müssen. für diese datenverarbeitung durch einen dienstleister muss neben dem dienstleistungsvertrag auch ein vertrag zur auftragsver- arbeitung geschlossen werden. welche regelungen dieser vertrag insbesondere haben muss, ergibt sich aus art. 28 eu-dsgvo. hierzu zählen u.a. • gegenstand des auftrags, z.b. lohn- und finanzbuchhaltung • dauer des auftrags, diese richtet sich zumeist nach dem hauptvertrag • zweck der datenverarbeitung, z.b. personalabrechnung • kategorien der betroffenen per- sonen, z.b. mitarbeiter. es kann den betrieben nur drin- 10. meldepflichten bei datenpannen weiterhin bleibt es bei der meldepflicht für datenpannen, die schon in dem jetzt aktuellen gesetz verankert ist. demnach sieht der § 42a bdsg bereits eine meldepflicht für datenpan- nen dann vor, wenn besonders sensible daten betroffen waren oder schwerwiegende beeinträch- tigungen drohen. ist es dennoch beispielsweise in dem betrieb zu einem hacking gekommen oder wurde gar eingebrochen und ein rechner/smartphone/tablet entwendet oder ist gar verloren gegangen, auf dem sich sensible mitarbeiterdaten, wie gesund- heitsdaten oder kontoinformatio- nen von mitarbeitern und kunden befanden, so ist man verpflichtet, eine meldung bei der datenschutz- aufsichtsbehörde zu tätigen. ebenso sind die betroffenen, des- sen daten abhandengekommen sind, zu informieren. eine solche verpflichtung bleibt weiterhin grundsätzlich erhalten, allerdings werden diese hohen hürden abgesenkt. denn nach den art. 33 und 34 eu-dsgvo sind datenpannen grundsätzlich immer dann zu melden, wenn ein risiko für die rechte und freiheiten natürlicher personen besteht. es sollte auf jeden fall mit dem datenschutzbeauftragten abgesprochen werden, ob eine meldepflicht gegenüber der daten- anzeige das rasengitter schwabengitter® i integrierte dehnfugen längs und quer i hochelastisches recyclingmaterial i extrem leicht und schnell zu verlegen i in vier verschiedenen ausführungen j a h r e n 4 5 i lieferung innerhalb von 24 stunden i 10 jahre garantie auf materialbruch schutzaufsichtsbehörde und den betroffenen besteht oder nicht. sollte die meldepflicht ausgelöst werden, so hat die meldung an die betroffenen unverzüglich und an die datenschutzaufsichtsbehörde ebenso unverzüglich, spätes- tens aber binnen 72 stunden zu erfolgen. 11. it-anforderungen die betriebe sind verpflichtet, maßnahmen auf dem stand der aktuell verfügbaren technik zu ergreifen, um den o.g. risiken für die datenverarbeitung zu begeg- nen. so müssen maßnahmen getroffen werden, die geeignet sind, unbefugten den zugang zu datenverarbeitungsanlagen zu verwehren. die rechner/tablets/ smartphones müssen z.b. pass- wort geschützt sein. der server- raum sollte abgeschlossen sein. weiter müssen maßnahmen ergriffen werden, die gewährleis- ten, dass nachträglich überprüft werden kann, ob und von wem daten in datenverarbeitungssys- temen eingegeben, verändert oder entfernt worden sind. dies kann z.b. dadurch gewährleistet wer- den, dass jeder mitarbeiter einen individuellen benutzernamen hat. die nutzung von gruppennutzern sollte vermieden werden. ferner müssen maßnahmen ergriffen werden, die gewährleis- ten, dass personenbezogene daten gegen zufällige zerstörung oder verlust geschützt sind und im stör- fall wiederhergestellt werden kön- nen. dies kann z.b. im serverraum durch feuchtigkeitsmesser gesche- hen. zuletzt sollten maßnahmen getroffen werden, die gewährleis- schwab rollrasen gmbh haid am rain 3 86579 waidhofen tel. +49 (0) 82 52/90 76-0 www.schwab-rollrasen.de landschaft bauen & gestalten · 02/2018