Auftragsdatenverarbeitung

Rechtskonformer ADV-Vertrag – trotz DSGVO


28. September 2017, von in IT-Support

Die EU-Datenschutz-Grundverordnung (DSGVO) umsetzen: Sie fragen sich, wo Sie da überhaupt anfangen sollen? Wie wär’s mit Ihren Verträgen zur Auftragsdatenverarbeitung (ADV)? Es ist ein kleiner Schritt mit großer Wirkung. Was ein ADV-Vertrag ist, was sich daran durch die DSGVO ändert und Tipps dazu, lesen Sie hier.

Sie haben sich noch gar nicht mit der DSGVO beschäftigt? Damit sind Sie nicht allein. Laut Digitalverband Bitkom hat das fast jedes dritte Unternehmen in Deutschland noch nicht. Doch die Zeit drängt. Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung europaweit in Kraft. Im Blogbeitrag Europäische Datenschutzverordnung – Tipps zur Umsetzung erhalten Sie einen ersten Überblick zum Thema.

Auftragsdatenverarbeitung

Keine Auftragsdatenverarbeitung ohne ADV-Vertrag zwischen Auftraggeber und -nehmer.

Was ist Auftragsdatenverarbeitung?

Auftragsdatenverarbeitung bezeichnet das Erheben, Verarbeiten oder Nutzen personenbezogener Daten durch einen Dienstleister (Auftragnehmer). Der Dienstleister ist an die Weisungen des Auftragsgebers gebunden. Die Grundlage für diese Zusammenarbeit ist ein schriftlicher Vertrag (ADV-Vertrag). Maßgeblich für diese Auftragsdatenverarbeitung sind derzeit der § 11 BDSG und in Ansätzen der Artikel 17 der EU-Datenschutzrichtlinie. Der  Artikel 28 DSGVO regelt sie künftig jedoch wesentlich detaillierter.

Warum Sie zuerst die Auftragsdatenverarbeitung angehen sollten?

  1. Die Pflicht zur Vereinbarung von Verträgen zur Auftragsdatenverarbeitung (ADV) bleibt bestehen – daran wird auch die DSGVO nichts ändern.
  2. Für Sie als Auftraggeber ändert sich kaum etwas. Sie müssen in Ihrem eigenen Interesse lediglich darauf achten, dass jeder bestehende ADV-Vertrag an die DSGVO angepasst wird bzw.  Ergänzungsvereinbarungen abschließen, und bereits jetzt bei jedem neu geschlossenen ADV-Vertrag das künftige Datenschutzrecht berücksichtigen.
  3. Genügen Ihre geschlossenen ADV-Verträge nicht den Anforderungen der DSGVO, kann Sie das ein Bußgeld von 10 Millionen Euro oder 2 % Ihres gesamten Vorjahr-Umsatzes kosten – je nachdem welcher Betrag höher ist (Art. 83 Abs. 4).

Für Ihren Auftragnehmer ändert sich dagegen schon wesentlich mehr: Er wird durch die DSGVO in die Pflicht genommen, das dann europaweit geltende Datenschutzrecht ebenso einzuhalten wie Sie.

Auftragsdatenverarbeitung: Gewöhnen Sie sich an neue Bezeichnungen

Die Auftragsdatenverarbeitung, wie Sie sie vom Bundesdatenschutzgesetz (BDSG) her kennen, wird in Zukunft ohne den Zusatz „daten“ auskommen müssen:

  • Aus Auftragsdatenverarbeitung wird Auftragsverarbeitung.
  • Dementsprechend heißt ein ADV-Vertrag künftig wohl nur noch AV-Vertrag.
  • Sie als Auftraggeber werden durch die DSGVO zum „für die Verarbeitung Verantwortlichen“ – kurz Verantwortlichen
  • Der Auftragsnehmer wird zum Auftragsverarbeiter.
Auftragsdatenverarbeitung

Auftragsdatenverarbeitung: Ein ADV-Vertrag gibt den rechtlichen Rahmen für die Datenverarbeitung durch einen Dienstleister vor.

Was ist ein ADV-Vertrag?

Ein ADV-Vertrag ist ein Vertrag zur Datenverarbeitung im Auftrag. Wie oben beschrieben, regelt er die betriebliche Datenverarbeitung mithilfe eines Dienstleisters, der dem Auftraggeber weisungsgebunden ist. Wenn der Auftragnehmer selbst Entscheidungen treffen kann bzw. darf, ist es derzeit noch eine Funktionsübertragung. Diese gängige Bezeichnung aus der Praxis zur Abgrenzung von der Auftragsdatenverarbeitung wird es so künftig jedoch nicht mehr geben (vgl. Art. 4 Nr. 8 DSGVO). Nach EU-Datenschutz-Grundverordnung (DSGVO) muss jedes Unternehmen einen ADV-Vertrag abschließen, das personenbezogene Daten im Auftrag – also von einem Dienstleister – verarbeiten lässt.

Warum ADV-Vertrag?

Auftraggeber bzw. Verantwortliche dürfen personenbezogene Daten grundsätzlich nicht an „Dritte“ weitergeben. Bereits die Übertragung von Daten auf einen anderen Server als den Unternehmensserver, beispielsweise eines Cloud-Anbieters oder Rechenzentrum-Betreibers, ist grundsätzlich nicht erlaubt. Die Lösung: ein ADV-Vertrag. Dadurch wird der Auftragsdatenverarbeiter rechtlich wie ein Teil des verantwortlichen Unternehmens eingestuft – und nicht als Dritter. Der ADV-Vertrag ist also ein effizientes Mittel, um die Auftragsdatenverarbeitung gesetzeskonform zu gestalten. Rein rechtlich gilt die bloße Datenübermittlung an den Auftragnehmer also nicht als Datenverarbeitung – das gilt auch heute schon so (§ 3 IV 3 BDSG).

ADV-Vertrag: Was ändert sich nach DSGVO?

ADV-Verträge müssen künftig nicht mehr ausschließlich schriftlich vorliegen, sondern können auch in elektronischer Form abgeschlossen werden (Art.28, Abs. 9 DSGVO). Derzeit gibt noch der § 11 BDSG die Regeln für die Auftragsdatenverarbeitung vor und besteht auf die schriftliche Vertragsform.

Noch sind Sie als Auftraggeber vollständig und so gut wie allein verantwortlich und auch haftbar für die Verarbeitung der Daten – selbst wenn ein Dienstleister als Auftragnehmer im Spiel ist. Der Artikel 28 der EU-Datenschutz-Grundverordnung (DSGVO) wird diese Last ab dem 25. Mai 2018 allerdings auf beide Schultern verteilen: Durch die DSGVO wachsen Auftraggeber und Auftragnehmer noch mehr zusammen, wenn es darum geht, die Verantwortung zum Schutz der personenbezogenen Daten zu übernehmen.

Wer ist Auftragsdatenverarbeiter und wer nicht?

Auftragsdatenverarbeiter oder DSGVO-konform ausgedrückt Auftragsverarbeiter können beispielsweise externe Personalagenturen, Gehaltsabrechnungsbüros, Steurberater, Marketingagenturen, Call-Center und Cloud-Computing-Anbieter sowie externe IT-Admins , etc. sein.

Joint Control – gemeinsam für die Verarbeitung Verantwortliche

Die Datenverarbeitung im Auftrag als gemeinsame, gleichberechtigte Verantwortungsaufgabe von Auftraggeber und Auftragnehmer – Joint Control genannt – regelt der Artikel 26 DSGVO. Dabei legen zwei oder mehrere Verantwortliche die Zwecke und Mittel zur Verarbeitung personenbezogener Daten transparent fest. Diese neue Möglichkeit der beiderseitigen Verantwortung kennt das BDSG nicht. Für Betroffene bedeutet dies jedoch, dass sie ihre Rechte gegenüber jedem für die Verarbeitung Verantwortlichen geltend machen können – also auch gegenüber des Auftragsnehmers bzw. Auftragsverarbeiters.

ABER: Grundsätzlich werden Sie als Verantwortlicher für die Verarbeitung auch künftig der erster Ansprechpartner für Betroffene sein und Sorge tragen müssen, dass datenschutzrechtliche Vorgaben eingehalten werden – und nicht der Auftragsnehmer bzw. Auftragsverarbeiter. Mehr Informationen zu Joint Control inklusive Checkliste hat der Digitalverband Bitkom in seiner PDF-Broschüre „Joint Controllership in der EU-Datenschutz-Grundverordnung“ zusammengefasst.

auftragsdatenverarbeitung

Bei der Auftragsdatenverarbeitung oder bald nur noch Auftragsverarbeitung lohnt es sich, zum Paragraphenreiter zu werden.

Wartung und Fernzugriff durch IT-Dienstleister

Doch was ist mit Ihrem IT-Dienstleister, der Ihre Systeme aus der Ferne wartet? Ist er Ihr Auftragsdatenverarbeiter? Genau in diesem Punkt scheiden sich momentan noch die juristischen Geister. Stand jetzt: Wenn es um eine rein technische Wartung geht, findet keine Datenverarbeitung statt. Ist jedoch der Umgang mit Datensätzen personenbezogener Daten Bestandteil der Fernwartung , so ist der Fernzugriff auf Ihre IT-Systeme sehr wohl als Auftragsverarbeitung nach Art. 28 DSGVO einzustufen. So argumentierte das Bayrische Landesamt für Datenschutzaufsicht (PDF) Ende Oktober 2016. Der Digitalverband Bitkom wird in dem Leitfaden (PDF) „Begleitende Hinweise zu der Anlage Auftragsverarbeitung“ (Seite 22, Punkt 1.3 Wartung und Prüfung) noch konkreter. Dort heißt es:

„Aufträge über Wartung oder Prüfung von IT-Systemen stellen keine Auftragsverarbeitung dar, sofern Gegenstand des Vertrages keine Datenverarbeitung ist, sondern allein auf die Supportleistung abzielt.“ Nach DSGVO müsste deswegen kein ADV-Vertrag geschlossen werden. „Vielmehr müssen Wartung und Prüfung so organisiert und geregelt werden, dass die Daten entsprechend den in Art.24 DSGVO festgelegten Pflichten des Verantwortlichen angemessen geschützt sind.“

Der Tipp: Vorsorglich sollte in solchen Konstellationen gegebenenfalls eine Verschwiegenheitsverpflichtung vereinbart werden.

Konkrete Beispiele, die laut Bitkom keine Auftragsverarbeitung darstellen, sind:

  • Installation und Wartung von Netzwerken, Hardware, inkl. Telekommunikationsanlagen
  • Pflege von Software wie Betriebssystemen, Middleware oder Anwendungen
  • Parametrisieren von Software,
  • Programmentwicklungen, Programmanpassungen bzw. -umstellungen, Fehlersuche und Tests,

ADV-Vertrag: Das muss drin stehen

Die inhaltlichen Anforderungen an einen Vertrag zur Datenverarbeitung im Auftrag nach europäischen Datenschutzrecht orientieren sich stark an den in Deutschland bereits bekannten Punkten des BDSG. Zur Vollständigkeit sind im Folgenden jedoch alle relevanten Punkte aufgezählt, die mithilfe eines ADV-Vertrags künftig zu regeln sind (Art. 28 Abs. 3 DSGVO):

  • Wer für die Datenverarbeitung verantwortlich ist (siehe Joint Control)
  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien von betroffenen Personen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit (Art.24 und Art.28 Abs.3 DS-GVO)
  • Sicherstellung von technischen und organisatorischen Maßnahmen für den Datenschutz (TOMs: Zertifikate, Garantien Art. 28 Abs. 1 DSGVO)
  • Etwaige Hinzuziehung von Subunternehmern
  • Unterstützung des Auftraggebers (für die Verarbeitung Verantwortlichen) durch den Auftragsverarbeiter, wenn es um die größtmögliche Sicherheit der Verarbeitung personenbezogener Daten geht, Löschung von Daten, Melden von Datenschutzverletzungen, etc. (vgl. Art. 32 bis 36 DSGVO).
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters.
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

Die EU-Kommission darf Standardvertragsklauseln für die Vertragsregelungen zwischen Verantwortlichen und Auftragsverarbeitern festlegen (Art. 28 Abs. 7 DSGVO). Wie schnell solche Standardvertragsklauseln geschaffen werden, steht derzeit allerdings noch in den Sternen.

Ein ADV-Vertrag Muster ist hilfreich

Der bis jetzt geltende § 11 BDSG ist für private Unternehmen also bald Geschichte und der Artikel 28 DSGVO maßgebend. Im BDSG (neu), das ebenfalls am 25. Mai 2018 in Kraft tritt, hat der § 11 ein völlig anderen Inhalt. Ein adv-Vertrag Muster nach DSGVO als veränderbares docx-Dokument stellt die Gesellschaft für Datenschutz und Datensicherheit als kostenlosen Download zur Verfügung – in deutscher und englischer Sprache inklusive deutschsprachigem Praxisleitfaden, in dem beide Vertragsmuster nach BDSG und DSGVO Punkt für Punkt gegenübergestellt werden.

Klare Vereinbarungen zur Auftragsverarbeitung

Mit Inkrafttreten der Europäischen Datenschutz-Grundverordnung müssen ausgehandelte ADV-Verträge voraussichtlich in Teilen angepasst oder neu verhandelt werden. Je klarer Sie im ADV-Vertrag die Vereinbarungen zur Auftragsverarbeitung treffen und je präziser darin die Pflichten definiert werden, desto mehr Rechtssicherheit können sowohl Sie als auch der Auftragsverarbeiter erwarten. Hilfe bei der Umsetzung der DSGVO bietet Ihnen das IT-SERVICE.NETWORK. Unsere IT-Dienstleister stehen Ihnen in Datenschutz-Angelegenheiten technisch und beratend zur Seite.

Abschließender Überblick: Was ändert sich, was nicht?

Neue Bezeichnungen

  • Auftragsdatenverarbeitung = Auftragsverarbeitung
  • Auftraggeber = für die Verarbeitung Verantwortlicher (kurz Verantwortlicher)
  • Auftragnehmer/Auftragsdatenverarbeiter = Auftragsverarbeiter

Form des ADV-Vertrags

  • Der ADV-Vertrag bzw. AV-Vertrag muss nicht mehr ausschließlich schriftlich vorliegen, sondern kann auch ein elektronisches Format haben.

Gemeinsame Haftung

  • Nicht nur der Verantwortliche (Auftraggeber), sondern auch der Auftragsverarbeiter haftet künftig direkt gegenüber dem Betroffenen, wenn er gegen seine Pflicht zur weisungsgebundenen Verarbeitung verstößt (Art. 82 DSGVO), indem er die Daten des Auftraggebers für eigene Zwecke oder Zwecke Dritter verarbeitet. Denn dann gilt er selbst als Verantwortlicher – mit allen rechtlichen Folgen (Art. 28 Abs. 10 DSGVO).
  • Bei Datenpannen haftet im Gegensatz zur bisherigen Rechtslage nicht nur der Verantwortliche, sondern auch der Auftragsverarbeiter (Abs.1, 4 DSGVO)

Datenverarbeitung außerhalb der EU

  • Die Auftragsdatenverarbeitung darf auch auch außerhalb der EU stattfinden (Art. 3 DSGVO). Bisher war die Auftragsverarbeitung durch das BDSG auf den EU/EWR beschränkt (§ 3 Abs. 8 Satz 3 BDSG). Die DSGVO-Definition des Auftragsverarbeiters sieht nunmehr keine Beschränkung mehr vor (Art.4 Abs. 8 DSGVO).

Verarbeitungsverzeichnis

  • Auch Auftragsverarbeiter müssen künftig ihrer Verarbeitungstätigkeiten schriftlich bzw. elektronisch dokumentieren (Art. 30 Abs. 2 DSGVO) und diese Dokumentation der Aufsichtsbehörde zur Verfügung stellen, wenn sie danach gefragt werden. Bisher waren nur Auftraggeber dazu verpflichtet, ein Verarbeitungsverzeichnis zu führen und der Aufsichtsbehörde auf Nachfrage zur Verfügung zu stellen. Vordergründig besteht diese Verzeichnispflicht nur für Unternehmen oder Einrichtungen, die 250 oder mehr Mitarbeiter haben. So grundsätzlich lässt sich das aber nicht festlegen. Ob bzw. wann es notwendig ist, dass Ihr Unternehmen ein Verarbeitungsverzeichnis nach DSGVO führt, lesen Sie im Beitrag Verarbeitungsverzeichnis – Was ist zu tun?

Kontrollpflicht wird zu Kontrollrecht

  • Verantwortliche sind zwar weiterhin verpflichtet, Auftragsverarbeiter sorgfältig auszuwählen. Sie haben Kontrollrechte, aber keine Kontroll- und Dokumentationspflichten wie es nach BDSG der Fall ist. Diese Rechte des Auftragsgebers sind mit dem ADV-Vertrag zu vereinbaren, genauso wie die Pflichten des Auftragnehmers. Das Bayrische Landesamt für Datenschutz bezeichnet diesen Punkt sogar als einen der wichtigsten Bestandteile zur Einhaltung der DSGVO: „… Vor allem die Darstellung der erforderlichen Maßnahmen zur Sicherheit der Verarbeitung nach Art. 32 DS-GVO. Gerade hier mangelte es bislang häufig bei Datenschutzkontrollen“, heißt es vom Bayrischen Landesamt für Datenschutzaufsicht.

Einsatz von Subunternehmen

  • Ein Auftragsverarbeiter darf nur dann ein Subunternehmen einsetzen, wenn der Verantwortliche (Auftraggeber) diesem schriftlich oder elektronisch zugestimmt hat. Außerdem muss der ADV-Vertrag zwischen Auftragsverarbeiter und Subunternehmer die gleichen Pflichten enthalten wie der ADV-Vertrag zwischen Verantwortlichen und Auftragsverarbeiter. Hinzu kommt: Der Auftragsverarbeiter haftet dem Verantwortlichen gegenüber uneingeschränkt für Datenschutzverstöße des Subunternehmers.

Das ändert sich kaum:

  • Wie auch im derzeitigen § 11 BDSG muss der Auftragsverarbeiter sorgfältig und unter besonderer Berücksichtigung der technischen und organisatorischen Maßnahmen (TOMs) ausgewählt werden (Art. 28 Abs. 1).
    • Als Beleg solcher Garantien können auch genehmigte Verhaltensregeln des Auftragsverarbeiters genügen (Art. 40 DSGVO) oder Zertifizierungen (Art. 42 DSGVO).
  • Der Auftragsverarbeiter darf die Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten (Art 29 DSGVO).

Lesen noch weitere interessante Tipps und Informationen zur DSGVO – natürlich hier bei uns im Blog.


Thomas, 15. November 2017 um 9:30

Danke für diesen sehr ausführlichen Artikel!

Antworten

Boris, 1. März 2018 um 15:29

Art. 30 DSGVO (5)
Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,

„die Verarbeitung erfolgt nicht nur gelegentlich“

oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

In nahezu jedem Unternehmen heutzutage erfolgt die Verarbeitung personenbezogener Daten nicht nur gelegentlich, sondern regelmäßig. Es ist also falsch zu glauben, dass Unternehmen mit unter 250 Mitarbeitern grundsätzlich kein Verfahrensverzeichnis zu führen hätten. Man kann getrost davon ausgehen, dass auch alle Unternehmen mit weniger als 250 Mitarbeitern in eigener Sache (Personalwesen, Lohnbuchhaltung, usw.) Verfahren schriftlich zu dokumentieren und auf Anfrage den Behörden vorzuweisen haben. Dazu kommen ggf. noch Verfahren der Auftragsverarbeitung, sofern auch nur einer der Gründe aus dem Text oben zutrifft und nicht, wie im Artikel suggeriert wird, eine eher seltene Kombination von zwei Voraussetzungen.

Antworten

    IT-SERVICE.NETWORK, 1. März 2018 um 16:05

    Hallo Boris,

    danke für Ihr Feedback auf den Artikel und den konkreten Verbesserungsvorschlag.
    Der von Ihnen genannte Abschnitt zum Verfahrens- bzw. Verarbeitungsverzeichnis haben wir genau aufgrund dieser rechtlichen Unsicherheiten noch einmal separat inhaltlich aufgegriffen und analysiert. In den Blogbeiträgen Verarbeitungsverezichnis und Verfahrensverzeichnis – inklusive Links auf die Artikel der DSGVO und der jeweiligen Erwägungsgründe.
    Wir werden den von Ihnen angemerkten Absatz textlich überarbeiten und konkreter fassen, damit es künftig nicht mehr zu Missverständnissen kommt.
    Nochmals Danke für den Hinweis und herzliche Grüße

    Ihr IT-SERVICE.NETWORK

    Antworten

Schmidt, 15. März 2018 um 11:35

Vielen Dank für den Umfangreichen Artikel!
Allerdings habe ich eine Rückfrage bezüglich der „Joint Control“: Ich deute Artikel 26 eher dahingehend, dass ermöglicht wird gemeinsam als Verantwortliche aufzutreten, beispielsweise in einer Unternehmensübergreifenden Kooperation. In meinem Verständniss ist hierbei nicht die Verantwortung, welche u.A. in Artikel 28 Abs. 10 dem Auftragsverarbeiter in spezifischen Fällen auferlegt. Woran machen sie ihre Interpretation der Joint Control als gemeinsame Haftung zwischen Verantwortlichem und Auftragsverarbeiter fest?
MFG Schmidt

Antworten

    IT-SERVICE.NETWORK, 15. März 2018 um 13:48

    Hallo Schmidt,

    erst einmal vielen Dank für Ihr Feedback. Wir hoffen, dass wir Ihre Rückfrage im Folgenden zufriedenstellend beantworten können. Nichtsdestotrotz weisen wir darauf hin, dass Ihnen die folgenden Ausführungen im besten Fall eine übergeordnete Orientierung bieten können. Sie ersetzen keinesfalls eine individuelle, fachmännische und rechtliche Beratung.

    Also: Die gemeinsame Haftung bei der Joint Control entspringt dem Grundgedanken, dass beide oder mehrere Parteien gegenüber dem bzw. den Betroffenen und Aufsichtsbehörden als gemeinsam Verantwortliche auftreten. Folgt man diesem Gedanken, sind somit alle Beteiligten der Joint Control als Verantwortliche auch haftbar zu machen.

    Umso wichtiger ist es, in der Vereinbarung zwischen den Verantwortlichen zur Joint Control minutiös festzuhalten, wer bei welchen Aufgaben den „Hut aufhat“. Dennoch können Betroffene bei jedem der Joint-Control-Beteiligten ihre Rechte geltend machen. Damit sind alle Beteiligten verantwortlich – auch für die Fehler des anderen.

    Genau aus diesem Grund empfiehlt der Digitalverband Bitkom, bei der Vereinbarung zur Joint Control insbesondere zwei Punkte explizit zu klären – im Sinne der Verantwortlichen:

    1. Die Vereinbarung sollte eine „interne Ausgleichsregelung enthalten, wenn ein Verantwortlicher wegen des Fehlers des anderen von der betroffenen Person aufgrund von Art. 26 Abs. 3 DSGVO in Anspruch genommen wird“.

    2. In der Vereinbarung sollten die tatsächlichen Zuständigkeiten der Verantwortlichen detailliert festgehalten werden. Zum einen, um intern für Klarheit zu sorgen, zum anderen, um sie auch nach außen deutlich zu machen.

    Denn wenn es zu Anfragen von Aufsichtsbehörden oder betroffener Personen und zur Bearbeitung von Betroffenenrechten kommt, ist es sinnvoll, wenn sowohl die Verantwortlichen als auch die Aufsichtsbehörden und die betroffene Person sofort wissen, wer welche Funktionen übernimmt und auch, in welcher Beziehung die Verantwortlichen zueinander stehen (Stichwort: unternehmensübergreifende Kooperation).

    Um sich weiter zu informieren und Ihnen etwas Praktikables an die Hand zu geben, empfehlen wir Ihnen, die im Text verlinkte Bitkom-Broschüre mit der Checkliste zu nutzen.

    Weitere gesetzliche Ausführungen zur Joint Control bieten beispielsweise § 63 BDSG (neu) und der Erwägungsgrund 79 DSGVO. Was das Heranziehen eines Auftragsverarbeiters betrifft, bietet der Erwägungsgrund 81 DSGVO zusätzliche Informationen.

    Mit freundlichen Grüßen

    Ihr IT-SERVICE.NETWORK

    Antworten

Klaus, 16. März 2018 um 17:30

Auch von mir ein großen Kompliment für die Arbeit.

wo ich bisher noch keine Antwort gefunden habe zum Thema personenbezogene Daten bei Firmen die ausschließlich im B-to-B Geschäft tätig sind. Hier werden Mitarbeiter-/Personendaten der Kunden verarbeitet und im Dropshipment werden auftragsbezogen diese Daten auch noch an einen Vorlieferanten weitergereicht. Muss dann die Firma von jedem Mitarbeiter des Kunden und des Lieferanten eine entsprechende Vereinbarung zu Speicherung der Daten bekommen?
Thomas Kranig vom bayr. Landesamt für Datenschutz hat in einer Veranstaltung im Febr. 2018 erklärt, dass dies nicht notwendig sei, da diese Daten zur Auftragsabwicklung notwendig sind. Jedoch konnte er mit dem Begriff Dropshipment nichts anfangen…
… meine Unsicherheit bleibt also

Antworten

    IT-SERVICE.NETWORK, 23. März 2018 um 11:08

    Hallo Klaus,

    vielen Dank für das Kompliment.

    Was Ihre Rückfrage betrifft, versuchen wir nach bestem Wissen und Gewissen eine Antwort darauf zu geben. Jedoch sei auch hierbei betont, dass dies keine individuelle fachmännische und vor allem rechtliche Beratung ersetzt.

    Was das Einhalten der DSGVO betrifft, wird es im B2B-Geschäft komplexer, wenn Ihnen Ihre Unternehmenskunden Angaben von echte Menschen mit ihren personenbezogenen Daten geben, die Sie weitergeben (müssen).

    Zum Begriff: Dropshipment. Wenn in diesem Zusammenhang das klassische Streckengeschäft (Dropshipping) gemeint ist, bieten sich folgende präventive Maßnahmen an.

    1. Kaufverträge:
    Überprüfen Sie Ihre AGBs. Diese muss jeder Nutzer/Käufer akzeptieren, um Geschäfte mit Ihrem Unternehmen abzuwickeln. Dort sollte explizit aufgeführt werden, dass seine Daten zur Erfüllung der Vertragsbeziehung ggf. auch an Lieferanten/Dienstleister weitergeleitet werden.

    2. Reduzieren Sie die personenbezogenen Daten, die Sie weiterleiten auf das notwendige Minimum.

    3. Verarbeitungsverzeichnis: Halten Sie Form, Umfang und Zweck der Weitergabe als Verarbeitungsschritt in Ihrem Verarbeitungsverzeichnis fest.

    4.Nehmen Sie ggf. eine Datenschutz-Folgenabschätzung vor.

    Zur Erklärung: Die DSGVO kommt immer zur Anwendung, wenn personenbezogene Daten von natürlichen Einzelpersonen verarbeitet werden. ABER: Sind diese Daten von juristischen Personen wie Unternehmen mit eigener Rechtspersönlichkeit werden sie nicht in diesem Umfang geschützt.

    Die IT-Rechtkanzelei München hat hierzu einen ausführlichen Frage-Antworten-Katalog zusammengestellt mit dem Titel „Gefragt, geantwortet: FAQ zur praktischen Umsetzung der DSGVO im Online-Handel (3. Update)“

    Demnach ist das B2B-Geschäft etwas differenzierter zu betrachten. Der entsprechende Abschnitt wird hier zitiert:

    „1. Vertragsbeziehungen mit Einzelhändlern und Kaufleuten fallen unter die DSGVO.

    2. Vertragsbeziehungen mit Kapitalgesellschaften (AG, GmbH), eingetragenen Vereinen und Personengesellschaften (OHG, KG, GbR) fallen dann nicht unter die DSGVO, sofern allein die juristischen Personen unter ihrer Firmierung (und nicht auch die dahinterstehenden Funktionsträger als natürliche Personen) adressiert werden.

    Beispiel für die Zusendung von Briefwerbung: Briefwerbung an die juristische Person selbst unter Verwendung ihrer Firma fällt nicht unter die DSGVO, Briefwerbung an einzelne Gesellschafter einer GmbH aber schon.“

    Sie können sich in dieser Hinsicht auch vertrauensvoll an die Dienstleister des IT-SERVICE.NETWORK wenden.

    Vielleicht können Ihnen auch die folgen Lesetipps weiterhelfen:
    https://www.dropshipping.de/Datenschutz-bei-DropShipping-was-Online-Haendler-beachten-muessen.html
    https://eu-datenschutz-grundverordnung.net/dropshipping/
    https://www.netz98.de/blog/ecommerce-trends/neues-eu-datenschutzrecht-ab-mai-2018-das-sind-die-6-wichtigsten-to-dos-fuer-onlinehaendler/

    Ihr IT-SERVICE.NETWORK

    Antworten

Ist Ihre Website fit für die DSGVO?

Wie setze ich die Anforderungen der DSGVO für meine Website um?

Tim, 20. April 2018 um 14:08

Hallo,

wie zu erwarten befassen wir uns sehr spät mit diesem Thema. Deshalb erst einmal ein großes Dankeschön, dass sie die Informationen so gut aufbereitet zur Verfügung stellen!

Zwei Sachen sind mir jedoch noch nicht ganz klar:

Ich arbeite im Auftrag von Firma A und biete eine (rein elektronische) Dienstleistung an. Die Kunden bezahlen bei mir und ich leite einen Teil der Einnahmen an Firma A weiter.

1. Muss ich je einen ADV-Vertrag (oder AV-Vertrag) mit jedem meinen Kunden abschließen oder nur mit Firma A?

Im Rahmen der Beauftragung muss ich u.U. wiederum bei Firma B (dank eines Rahmenvertrags zwischen A & B kostenlose) Dienstleistungen beauftragen, wobei ich teilweise personenbezogene Daten der Kunden übermittle.

2. Muss ich je einen ADV-Vertrag mit jedem betroffenen Kunden abschließen, wenn ich mit deren personenbezogenen Daten (E-Mail des AP usw.) bei Firma B Dienstleitungen beauftrage?

Die Firmen A & B sind in der EU angesiedelt. Es handelt sich um B2B-Geschäfte. Ich würde mich sehr freuen, wenn Sie mir diese Fragen beantworten könnten.

Antworten

    IT-SERVICE.NETWORK, 4. Mai 2018 um 9:22

    Hallo Tim,

    erst mal vielen Dank für das Lob.

    Auf Ihre Fragen haben wir als Redakteure des IT-SERVICE.NETWORK-Blogs auch nach sorgfältiger Recherche leider dennoch keine rechtsgültige Antwort gefunden. Am besten lassen Sie sich diesbezüglich von einem Datenschutzbeauftragten beraten, um auf der sicheren Seite zu sein.

    Herzliche Grüße,
    Ihr IT-SERVICE.NETWORK

    Antworten

Linda, 27. April 2018 um 11:23

Vielen Dank für die ausführliche und hilfreiche Erklärung.
Ich habe ca. 2014 einen ADV Vertrag mit Google abgeschlossen.
https://static.googleusercontent.com/media/www.google.com/de//analytics/terms/de.pdf

Muss ich diese hinsichtlich der neuen DSGVO nochmals abschließen?

Antworten

    IT-SERVICE.NETWORK, 4. Mai 2018 um 9:16

    Hallo Linda,

    grundsätzlich gilt, dass auch bestehende ADV-Verträge an die DSGVO angepasst oder mit Ergänzungsvereinbarungen DSGVO-konform gestaltet werden müssen. Um auf Nummer sicher zu gehen, lassen Sie sich am besten von einem Datenschutzbeauftragten beraten, ob und in welcher Form der genannte ADV-Vertrag angepasst werden muss.

    Herzliche Grüße,
    Ihr IT-SERVICE.NETWORK

    Antworten

Lukas, 9. Mai 2018 um 15:25

benötige ich als Webdesigner/Freelancer einen ADV-Vertrag mit meinem Kunden nun? Ich habe ja seine Login-Daten etc. auch die Google Analytics Konten. Aber eigentlich verarbeite ich ja keine Kundendaten!

Was ist wenn ich auch Admin der Facebook Seite bin? Zugang zu den Daten hab ich, verarbeite Sie aber nicht wirklich…

Antworten

    IT-SERVICE.NETWORK, 15. Mai 2018 um 11:23

    Hallo Lukas,

    in einem Kurzpapier des Datenschutzzentrum Schleswig-Holsteins heißt es beispielsweise, dass bei einer „rein technischen Wartung der Infrastruktur einer IT durch Dienstleister“ kein Vertrag zur Auftragsverarbeitung geschlossen werden muss. Besteht allerdings im Rahmen der IT-Wartung oder Fernwartung „für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich im Hinblick auf die weite Definition einer Verarbeitung in Art. 4 Nr. 2 DS-GVO […]“.

    Da Sie Zugang zu den Google-Analytics-Konten und der Facebook-Seite haben und so Zugang auf personenbezogene Daten erhalten könnten, ist vermutlich ein ADV-Vertrag notwendig. Als Redakteure des IT-SERVICE.NETWORK können wir jedoch keine rechtsgültige Beratung ersetzen, sondern an dieser Stelle nur die Informationen aus unserer eigenen Recherche weitergeben. Daher ist es ratsam, im Einzelfall einen Datenschutzbeauftragten bzw. Experten auf diesem Gebiet zurate zu ziehen, um auf der sicheren Seite zu sein.

    Herzliche Grüße,
    Ihr IT-SERVICE-NETWORK

    Antworten

Andreas, 16. Mai 2018 um 15:58

Hallo,

toller Eintrag zum Thema DSGVO. Endlich mal eine Seite, die das einigermansen verständlich erklärt.

Nun habe ich als externer Admin doch noch eine Frage. Wie viele greife ich über Fernwartung auf die Systeme meiner Kunden zu. Das auch ohne spezielle Freigabe durch den Kunden (unbeaufsichtigter Zugriff). Das Theme Wartung, Fehlersuche, etc. wurde ja schon behandelt und stellt mich von einem Vertrag frei. Was ist aber, wenn auf den PCs und Servern auch Warenwirtschaftslösungen laufen und ich diese teilweise auch supporten soll? Hier sehe ich ja auch personenbezogene Daten von deren Kunden und Lieferanten. Fällt das dann noch unter die Wartung oder bin ich hier dann schon Auftragnehmer zur Datenverarbeitung.

Gruß
Andreas

Antworten

    IT-SERVICE.NETWORK, 18. Mai 2018 um 11:42

    Hallo Andreas,

    vielen Dank für das Lob.

    Grundsätzlich gilt das, was Sie auch schon angesprochen haben: Solange es um die rein technische Wartung der Infrastruktur einer IT geht, ist kein Vertrag zur Auftragsverarbeitung nötig. Besteht allerdings im Rahmen dieser Wartung die Möglichkeit, dass Sie auf personenbezogene Daten zugreifen können, sollte ein entsprechender Vertrag zur Auftragsverarbeitung geschlossen werden, da es sich laut eines Kurzpapiers des Datenschutzzentrum Schleswig-Holsteins um eine Verarbeitung handelt. Dies dürfte laut Ihrer Beschreibung greifen.

    Im Zweifelsfall sollten Sie sich dazu allerdings noch mal von einem Experten zum Thema beraten lassen, da wir als Redakteure des IT-SERVICE.NETWORK keine rechtsgültige, verbindliche Beratung leisten können.

    Herzliche Grüße,
    Ihr IT-SERVICE.NETWORK

    Antworten

MartinM, 17. Mai 2018 um 17:10

Ich muss mich zwar mit der österr. Version der DSGVO rumschlagen. Da diese aber grundsätzlich in der ganzen EU gilt, konnte ich aus dem Artikel trotzdem einige nützliche Schlussfolgerungen ziehen. DANKE

Antworten

info@onseo.de, 20. Mai 2018 um 22:50

Danke für diesen Tipp. Es ist leider sehr vieles unklar. Da hilft jede Vorlage.

Antworten

Dominik, 27. Mai 2018 um 11:44

Interessanter Artikel. Nur klärt IHR zum Beispiel in eurer Datenschutzbestimmung nicht darüber auf, dass ihr versucht, den Standort eurer Besucher abzufragen und wofür genau ihr diese Daten erhebt…

Antworten

    IT-SERVICE.NETWORK, 30. Mai 2018 um 9:36

    Hallo Dominik,

    vielen Dank für den Hinweis. Sie haben Recht: Bisher haben wir die Standortabfrage nicht in unserer Datenschutzerklärung aufgeführt, da es sich hierbei um eine Geräte-/Browsereinstellung handelt, die jeder Nutzer beim Besuch der Seite individuell erlauben muss (bzw. diese ablehnen kann). Um künftig weiteren Missverständnissen vorzubeugen, werden wir unsere Datenschutzerklärung nun um einen entsprechenden Hinweis ergänzen.

    Herzliche Grüße,
    Ihr IT-SERVICE.NETWORK

    Antworten

Kage, Dietmar, 21. Juni 2018 um 17:49

Statt der umfangreichen, leider jedoch kaum zu verstehender Informationen sollten Sie, wie es
von Techem angekündigt wurde (!!), eine Vertragsergänzung vorlegen, die man als Kunde nur
zu unterschreiben hat. ???
Kommt da noch etwas? Was soll der Kunde nur machen ??

Antworten

    IT-SERVICE.NETWORK, 26. Juni 2018 um 15:39

    Hallo Herr Kage,

    vielen Dank für Ihren Kommentar.

    Leider können wir daraus jedoch keinen konkreten Zusammenhang mit unserem Artikel ableiten. Vielleicht könnten Sie uns daher weitere Informationen zukommen lassen, damit wir Ihre Frage beantworten können?

    Herzliche Grüße,
    Ihr IT-SERVICE.NETWORK

    Antworten

Hanne, 24. Juni 2018 um 23:42

Sie schreiben „Installation und Wartung von Netzwerken, Hardware, inkl. Telekommunikationsanlagen“ stellen keinen Auftragsverarbeitung dar. Aber sobald der Dienstleister Konfigurationen im System (Telefonanlage) macht, wo personenbezogene Daten wie Namen mit Telefonnummer hinterlegt sind, benötigt man einen AV-Vertrag. Oder zählt die Telefonnummer mit Name oder auch Durchwahl vom Mitarbeiter als öffentlich zugängliche Daten? Eigentlich nein. Daher benötigt man vom Telefonanlagen-Dienstleister einen AV-Vertrag. Wie ist jetzt Ihr Stand?

Antworten

    IT-SERVICE.NETWORK, 25. Juni 2018 um 14:33

    Hallo Hanne,

    handelt es sich um eine rein technische Wartung einer IT-Infrastruktur, ist nicht zwingend ein AV-Vertrag nötig. Besteht allerdings die Möglichkeit, dass der Dienstleister auf personenbezogene Daten zugreifen kann, wird ein AV-Vetrag nötig. Das gilt also in dem von Ihnen beschriebenen Szenario zur Wartung/Konfiguration einer Telefonanlage. Grundsätzlich sollte aber natürlich auch bei einer rein technischen Wartung der Datenschutz gewährleistet sein und ggf. eine Zusatzvereinbarung/Verschwiegenheitserklärung geschlossen werden.

    Im Zweifelsfall sollten Sie sich allerdings von einem Datenschutzexperten beraten lassen, da wir als Redakteure des IT-SERVICE.NETWORK-Blog keine rechtsgültige Beratung bieten und nur die Ergebnisse unserer eigenen Recherchen weitergeben können.

    Herzliche Grüße,
    Ihr IT-SERVICE.NETWORK

    Antworten

Benjamin Voigt, 10. Juli 2018 um 16:00

Reicht es aus, wenn ich den AV-Vertrag als Auftraggeber in meinen Unterlagen führe oder muss ich diesen ebenfalls mit Datenschutzerklärung auf meiner Website zur Einsichtnahme zur Verfügung stellen?

Antworten

    IT-SERVICE.NETWORK, 11. Juli 2018 um 8:43

    Hallo Herr Voigt,

    unseres Wissens nach muss der AV-Vertrag nicht öffentlich in die Datenschutzerklärung aufgenommen werden, sondern wird in Ihren Unterlagen geführt. Er sollte in jedem Fall in Ihrem Verfahrensverzeichnis aufgeführt werden, das den Aufsichtsbehörden auf Nachfragen vorzulegen ist.

    Bitte bedenken Sie bei dieser Antwort jedoch, dass wir keine verbindliche, rechtsgültige Aussage treffen können. Im Zweifelsfall raten wir dazu, einen Datenschutzexperten zu konsultieren.

    Herzliche Grüße,
    Ihr IT-SERVICE.NETWORK

    Antworten

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

This site uses Akismet to reduce spam. Learn how your comment data is processed.