Die GDD-Informationstage mit dem Schwerpunktthema „Auftragsdatenverarbeitung in der Praxis“ fanden am 18.06.2014 im Schulungszentrum der Fraport AG in Frankfurt am Main und am 27.06.2014 bei der Vattenfall GmbH in Hamburg statt.
Nach der Begrüßung durch den Vorstandsvorsitzenden der GDD, Herrn Prof. Dr. Rolf Schwartmann, respektive GDD-Vorstandsmitglied Herr Gerhard Stampe bot Herr Andreas Jaspers einen Überblick über die Arbeit des Vereins. Herr Jaspers stellte dabei unter anderem den neuen Erfa-Kreis Kassel-Marburg unter der Leitung von Peter Berg und Stephan Moers vor. Der europäische Dachverband CEDPO freut sich über die neuen Mitglieder Irland (ADPO), Österreich (ARGE DATEN) und Polen (SABI). Die GDD engagiert sich im Inland weiterhin in Angelegenheiten wie etwa der EU-Datenschutz-Grundverordnung und des Beschäftigtendatenschutzgesetzes.
Herr RA Sascha Kremer widmete sich Praxishinweisen zur Vertragsgestaltung bei der Auftragsdatenverarbeitung nach § 11 BDSG. Dabei wurden insbesondere die Abgrenzung der Auftragsdatenverarbeitung von der Funktionsübertragung, Formanforderungen und das Verhältnis zu weiteren Subunternehmern behandelt. An einem Beispiel wurde die Struktur einer ADV-Vereinbarung erläutert und auf das Problem der zwischenzeitlichen Änderung technisch-organisatorischer Maßnahmen eingegangen. Ausführungen zu Kosten und Haftungsfragen rundeten den Vortrag ab.
Frau Dipl.-Ing. Doris Wolf, Leiterin des Arbeitskreises Rechenzentren des GDD-Erfa-Kreises Nord, stellte den neuen Leitfaden „Datenschutzprüfung von Rechenzentren“ vor. Das zwölfköpfige Autorenteam des Arbeitskreises befasse sich mit den rechtlichen Grundlagen ebenso wie mit den verschiedenen Arten von Rechenzentren und der einschlägigen Prüfpraxis. Sicherheitsbereiche, Ausfallsicherheit und weitere Anforderungen wurden dabei in ein einheitliches Prüfungsschema übernommen. Kernbestandteil der Prüfung sind die vom Arbeitskreis erstellten feingranularen Checklisten zur allgemeinen Organisation sowie zur Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle.
Herr Dr. Niels Lepperhoff, Geschäftsführer der DSZ - Datenschutz Zertifizierungsgesellschaft mbH, stellte sodann den Datenschutzstandard DS-BvD-GDD-01 und dessen Nutzen für die betriebliche Datenschutzorganisation vor. Der vom Berufsverband der Datenschutzbeauftragten Deutschlands (BVD) und der GDD gemeinsam erarbeitete offene Standard schließt die Lücken zwischen bereits etablierten Normen und speziellen Anforderungen der Auftragsdatenverarbeitung. Am Ende der ordnungsgemäßen Implementierung steht ein Prüfsiegel, das von akkreditierten Auditoren vergeben werden darf. Der Standard und das festgeschriebene Auditierungsverfahren werden vom Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) befürwortet.
Im Rahmen der sich an die Vorträge anschließenden Diskussion nahmen die Besucher die Gelegenheit wahr, etwaige Rückfragen an die Referenten zu stellen und sich untereinander auszutauschen.