Das Monster DSGVO – Auftragsvereinbarung (ehem. Auftragsdatenverarbeitung)

von | Feb 16, 2018 | Dein Business, Dein Recht | 1 Kommentar

Huch, was ist das denn bitte für ein Titel, wirst du dir vielleicht denken. Glaub mir, nach dem ich in den letzten Tagen sehr viel E-Mail-Verkehr deswegen hatte, mag ich das Wort Auftragsdatenvereinbarung (bzw. müsste man genauer sagen Vertrag zur Auftragsdatenvereinbarung) auch nicht mehr tippen – aber, so lautet nun einmal der offizielle Begriff für diesen Part des Spiels „DSGVO“. Er ist nervtötend, man stößt auf einige Probleme, aber raus aus der Nummer kommen wir ja alle nicht, also ab geht’s…

Auftragsdatenverarbeitung – bitte was?

Der inhaltliche Sinn dieses Wortes ergibt sich erst auf den zweiten Blick, denn es geht dabei um die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten durch einen oder mehrere Dienstleister. Vielleicht erinnerst du dich noch, dass wir im ersten Teil der DSGVO-Reihe darauf geschaut haben, wo du überall personenbezogene Daten deiner Kunden erhebst, speicherst und nutzt.

Die beste Erklärung für Auftragsdatenverarbeitung: Alle Daten, die du an einen anderen Dienst weiter gibst sind Daten, die im Auftrag für dich verarbeitet werden.

Typische Beispiele dafür sind:
– Nutzung von Newsletter-Tools (das haben wir uns bereits hier ausführlich angeschaut)
– Erhebung der Daten auf einer gehosteten Webseite (denn letztlich sind die Daten dann ja auch bei einem Drittanbieter gelagert)
– Weitergabe der Kunden-Daten an Buchhalter und Steuerberater
– Nutzung externer Tracking-Tools wie Google Analytics auf der Webseite
– Kommunikation mit dem Kunden über einen externen Dienstleister wie z.B. ein CallCenter
– Ablage von personenbezogenen Daten auf externen Servern oder in Cloud-Dienstleistungen (Achtung, betrifft auch BackUps)
– (Fern-)Wartungsdienstleistungen, bei denen ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann
– Aktenentsorgung durch Drittunternehmen

Du siehst, da kommt ganz schön was zusammen. Das Gute an der Geschichte ist auch hier wieder, dass Deutschland bereits jetzt einen hohen Standard im Datenschutz hat. Aber du musst dich jetzt umfangreicher absichern und schriftliche Verträge abschließen und auch bei dir vorhalten, um bei einer Prüfung schnell nachweisen zu können, dass du einen Vertrag mit einem Drittanbieter abgeschlossen hast. Theoretisch bist du übrigens auch bereits jetzt schon hierzu verpflichtet, auch wenn das in den meisten Fällen nicht so streng gesehen und kontrolliert wurde. Das ändert sich aber eben nun im Zuge der DSGVO.

Vertrag zur Auftragsdatenverarbeitung

Zukünftig musst du also mit allen Drittanbietern, mit denen du zusammen arbeitest und die (theoretisch) Zugriff auf personenbezogene Daten deiner Kunden haben könnten einen Vertrag abschließen. Der Vertrag muss von beiden Parteien unterschrieben werden und liegt einmal beim Auftragsdatenverarbeiter und einmal bei dir in den Unterlagen.

Inhaltlich wird im Vertrag unter anderem auf folgende Dinge eingegangen:
– Nennung beider Vertragsparteien: Du bist in diesem Fall der Auftraggeber und der Drittanbieter der Auftragnehmer
– Gegenstand und Dauer der Verarbeitung von Daten
– Wie und zu welchem Zweck werden die Daten verarbeitet
– Welche personenbezogenen Daten sind betroffen und werden durch den Auftragnehmer verarbeitet
– Verpflichtung zur Vertraulichkeit
– Sicherstellung von technischen und organisatorischen Maßnahmen zur Sicherung der Daten
– ggf. Subunternehmen, die ebenfalls mit den Daten in Berührung kommen könnten
– Der Auftraggeber wird vom Auftragnehmer unterstützt bei der Löschung und Änderung der Daten sowie bei der Meldung bei Datenschutzverstößen
– Rückgabe und Löschung personenbezogener Daten nach Abschluss der Datenverarbeitung
– Verpflichtung des Auftragsverarbeiters, darauf hinzuweisen, falls eine Weisung den datenschutzrechtlichen Bestimmungen widerspricht

Hinzu kommen je nach Dienst noch zusätzliche Inhalte. Im Internet findet man mittlerweile bereits einige Vorlagen für einen Auftragsdatenverarbeitungsvertrag (ADV-Vertrag), aber viele Auftragsverarbeiter haben entweder selbst bereits DSGVO-konforme Verträge und stellen diese zur Verfügung oder arbeiten gerade daran.

Deine Aufgabe

Deine Aufgabe ist es nun, noch einmal gründlich zu prüfen, wer personenbezogene Daten deiner Kunden von dir erhält bzw. darauf Zugriff haben könnte. Mit den entsprechenden Unternehmen musst du in Kontakt treten und nach der Umsetzung eines Vertrags zur Auftragsdatenvereinbarung fragen.

In meinem Fall ist es so, dass ich mit meinem Hoster (also dem Platz, auf dem meine Internetseiten lagern, damit sie rund um die Uhr erreichbar sind) Campusspeicher (Affiliate Link) vor wenigen Tagen gesprochen habe und das Unternehmen gerade an der Überarbeitung der bereits bestehenden ADV-Verträge hinsichtlich der DSGVO-Konformität sitzt. Das sollte in absehbarer Zeit abgeschlossen sein, so dass ich dann ADV-Verträge für meine Domains in Hinblick auf die DSGVO-Konformität abschließen kann. Außerdem werden meine Homepage-Kunden dann direkt von mir informiert, damit sie ebenfalls einen ADV-Vertrag mit dem Hoster abschließen können.

Mein E-Mail-Marketing-Anbieter CleverReach (Affiliate Link) hat bereits einen DSGVO-konformen ADV-Vertrag und schickt diesen in den nächsten Tagen zu.

Bei meiner genutzten Buchhaltungssoftware Wiso – Mein Büro sitzt man noch an der Umsetzung und kann noch keinerlei Aussagen geben. Das finde ich etwas unglücklich, aber ich hoffe, dass man sich dort auch schnell einig wird.

Auch bei Dropbox befindet sich der Prozess noch in der abschließenden Klärung, auch wenn man sich dort zeitnah um eine DSGVO-konforme Umsetzung bemüht. Auch hier heißt es also dran bleiben.

Und schlussendlich muss ich natürlich meine eigenen Arbeitsprozesse dahingehend optimieren und einen entsprechenden ADV-Vertrag mit meinen Kunden abschließen. Denn schlussendlich komme auch ich manchmal nicht drum herum, dass ich zumindest theoretisch Einsicht in Daten von Kunden meiner Kunden bekommen könnte.

Noch ein paar Anmerkungen

Du solltest also zukünftig darauf achten, dass immer dann, wenn du personenbezogene Daten aus der Hand gibst, ein Vertrag zur Auftragsdatenverarbeitung bestehen muss. Dieser Vertrag muss bestimmte Grundsätze der DSGVO beinhalten und wird im Normalfall in 2facher Ausfertigung ausgefüllt – ein unterzeichnetes Exemplar für dich, eines für den Auftragsverarbeiter. Der Einfachheit halber streicht man aus dem Wort Auftragsdatenverarbeitung in manchen Fällen das Wort „daten“, so dass man manchmal auch von Auftragsverarbeitung spricht.

Wichtig für dich ist zu wissen, dass du dich ggf. aktiv um solche Verträge bemühen musst, indem du die Auftragsverarbeiter kontaktierst. Das geht in den meisten Fällen problemlos per E-Mail oder telefonisch und du wirst hier schnell Auskunft über den aktuellen Stand beim Dienstleister erhalten.

Natürlich kannst du auch selbst einen für dein Unternehmen passenden Vertrag formulieren oder von einem Anwalt formulieren lassen, aber häufig haben die großen Dienste bereits Vorlagen und manchmal lehnen sie auch anderweitige, individuellere Verträge ab, da die Prüfung derselben zu aufwändig wäre.

Ich hoffe, du hast bereits eine Liste gemacht, an wen du deine Kundendaten weiter gibst und kannst dich nun daran machen, die Verträge anzufordern oder ausarbeiten zu lassen. Ohne Auftragsverarbeitungsvertrag solltest du spätestens ab Inkrafttreten der DSGVO im Mai 2018 keine personenbezogenen Daten mehr an einen Auftragsverarbeiter übermitteln.

Wenn du weitere Fragen zur DSGVO hast, hinterlass mir einfach ein Kommentar.

Related Posts (YARPP)

1 Kommentar

  1. Das war sehr hilfreich! Mir war das Wie hinsichtlich der Durchführung wichtig. Dafür habe ich bei Ihnen eine Antwort bekommen. Ganz lieben Dank, Mandy

    Antworten

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.