⯈ Dieses Projekt steht zum Verkauf!

www.datenschutzbetreuer.de steht zum Verkauf! Mit diesem Projekt können Sie SOFORT als Datenschutzbeauftragter starten. Details:

  • Das Portal besteht aus 26 redaktionellen Texten (geschrieben von einem Datenschutzexperten/Juristen – Gesamt Wortanzahl ~ 22000 Wörter
    Ausführlicher theoretischer Bereich: https://www.datenschutzbetreuer.de/wie-funktioniert-datenschutz/
    Ausführlicher praktischer Bereich: https://www.datenschutzbetreuer.de/wie-datenschutz-umsetzen/
    Branchenspezifisch: https://www.datenschutzbetreuer.de/branchenspezifisch/
    Ratgeber ePrivacy- Webseiten Check: https://www.datenschutzbetreuer.de/dsgvo-eprivacy-webseiten-check/ (inkl. Infografik: https://www.datenschutzbetreuer.de/wp-content/uploads/dsgvo-webseite-infografik.png)
  • Das Portal besteht aus ca. 1800 Unterseiten (Städtebezogene Landingpages). Wurden erstellt um via Adwords zu werben. Beispiel: https://www.datenschutzbetreuer.de/nordrhein-westfalen/krefeld/. Die Inhalte der StädteLandingpages können einfach (Massen)bearbeitet werden. So ist es beispielsweise möglich branchenspezifisch & regional (zb. Datenschutzbeauftragter für Physiotherapeuten in Krefeld) zu werben.
  • Mitgliederbereich (digimember derzeit kostenlos)  https://www.datenschutzbetreuer.de/registrierung/ (derzeit 50 registrierte Nutzer).
    Im Mitgliederbereich befinden sich:
    Vorlage/Muster Auftragsdatenverarbeitungsvertrag
    Vorlage/Muster DSGVO Einwilligungserklärung
    Vorlage/Muster Information über die Erhebung von Kundendaten
    Vorlage/Muster Einverständniserklärung Verwendung Fotos & Videos
    Vorlage/Muster DSGVO Checkliste
    Vorlage/Muster Datenschutzvorfall melden 16 Punkte DSGVO-Checkliste Tool um die Webseite auf ePrivacy Cookies zu checken: https://cookiecheck.datenschutzbetreuer.de/de/
  • Projektinhalte:
    Webprojekt
    Domain
    Logo
    Texte

Pro Monat besuchen das Projekt rund 400 Besucher. Ein Projekt um als Datenschutzbeauftragter SOFORT zu starten. Bei Interesse und weiteren Infos kontaktieren Sie uns bitte per Kontaktformular.

Die wichtigsten Fakten rund um die Auftragsdatenverarbeitung (ADV)

Der Terminus “Auftragsdatenverarbeitung” (Abkürzung: ADV oder AV) ist in aller Munde. Allerdings wissen nur die wenigsten Betreiber von Websites, was ADV in der Praxis bedeutet. Ein ADV-Vertrag ist heute in vielen Situationen notwendig. Vom Versenden von Newslettern über externe Anbieter über externe Lohnabrechnungen oder Beauftragungen von Callcentern bis hin zu Google Analytics – es gibt viele Fälle, in denen der Umgang mit der Auftragsdatenverarbeitung unerlässlich ist.

Auftragsdatenverarbeitung: eine Definition

In den meisten Fällen sind Unternehmen zum Abschluss eines ADV-Vertrags verpflichtet, wenn sie Zugriff auf Kundendaten haben. Dieser Zugriff unterliegt automatisch dem Sektor der Auftragsdatenverarbeitung. Bis Mai 2018 war die Auftragsdatenverarbeitung laut § 11 BDSG (Bundesdatenschutzgesetz) geregelt. Seitdem gilt Artikel 28 DS-GVO als rechtliche Grundlage. Die Einführung der DS-GVO im Mai 2018 hatte im Bereich ADV und Datenschutz eine Vielzahl an Neuregelungen zur Folge.

Mittlerweile müssen Unternehmen unter folgenden Umständen einen ADV-Vertrag abschließen:

  • bei Inanspruchnahme von Google Analytics sowie anderer Tracking Software
  • bei Nutzung von externen Dienstleistern für Newsletter oder andere Marketingaktionen
  • bei Beauftragung von externen Unternehmen mit Gehaltungsabrechnungen oder der Buchhaltung
  • bei Outsourcing eines Teils oder des kompletten Rechenzentrums
  • bei Einsatz von Fernwartungssystemen

Ein typisches Kennzeichen der Auftragsdatenverarbeitung ist die Beauftragung eines Unternehmens (des Auftraggebers) an externe Dienstleister (die Auftragnehmer) mit der Verarbeitung weisungsgebundener personenbezogener Daten. Der Auftraggeber übernimmt die Verantwortung für eine sachgemäße Datenverarbeitung. Er agiert automatisch als Hauptverantwortlicher für den Datenschutz. Externe Dienstleister kommen bei der Auftragsdatenverarbeitung nur unterstützend zum Einsatz.

Eine Auftragsdatenverarbeitung liegt beispielsweise bei folgenden Szenarien vor:

  • Call-Center führt Datenerhebung bei Kunden des Auftraggebers durch
  • externes Rechenzentrum erhält den Auftrag über eine Durchführung der Lohn- und Gehaltsabrechnung
  • für eine Erstellung von Newslettern oder Statistiken verarbeiten Marketing-Agenturen spezielle Kundendaten

Im Rahmen einer sogenannten Funktionsübertragung findet keine Auftragsdatenverarbeitung statt. Allerdings ist die Grenze zwischen ADV sowie einer Funktionsübertragung bei zahlreichen Serviceleistungen nicht eindeutig geregelt. Als Faustregel ist es hilfreich zu beachten, dass externe Dienstleiter bei einer Funktionsübertragung nicht an Weisungen gebunden sind, da ihnen die volle Entscheidungsfreiheit obliegt.

Die Dienstleister dürfen selbst bestimmen, wofür die Daten verwendet werden. Ein typisches Beispiel für eine Funktionsübertragung besteht beispielsweise, wenn Dienstleister für ihre Auftraggeber Dienstfahrzeuge zur Miete beanspruchen oder Inkassounternehmen die Forderungen ihrer Klientel einholen.

Wer muss sich an den Vorschriften zur Auftragsdatenverarbeitung orientieren?

Die meisten Unternehmen werden mit Datenverarbeitung konfrontiert – auch wenn Betroffene nur unbewusst mit diesem Bereich in Kontakt kommen. Oft nehmen Unternehmen die Regelung des § 11 Absatz 5 BDSG (Bundesdatenschutzgesetz) nicht wahr, der dem Nutzungsbereich der Auftragsdatenverarbeitung jedoch einen großen Spielraum lässt. Dadurch kommen die Richtlinien der Auftragsdatenverarbeitung auch bei Wartungs- und Prüfungsverträgen zur Geltung, wenn ein Zugriff auf personenbezogene Informationen in Betracht gezogen werden muss.

Gemäß DS-GVO schließt die Auftragsverarbeitung beispielsweise die nachfolgenden Szenarien ein:

  • Ein externer Dienstleister wird durch ein Unternehmen mit der Aktenvernichtung beauftragt.
  • Ein Programmierer wird durch ein Unternehmen mit der Pflege, Installation, Kontrolle und/oder Korrektur von Software beauftragt.
  • Ein IT-Experte wird von einem Unternehmen mit der Kontrolle, Reparatur und/oder dem Austausch von Hardware beauftragt.

Die bloße Option des Zugriffs auf die personenbezogenen Daten ist für den Auftragnehmer schon ausreichend. Es spielt demzufolge nur eine untergeordnete Rolle, ob die beauftragten Dienstleister die Chance zum Datenzugriff wirklich nutzen. Dadurch muss die Gültigkeit der Vorschriften der Auftragsdatenverarbeitung detailliert überprüft werden, sobald externe Dienstleister bei Aufträgen auch nur ansatzweise Zugriffsmöglichkeiten auf externe Daten haben.

Was sind personenbezogene Daten genau?

Die Vorschriften der Auftragsdatenverarbeitung müssen nur berücksichtigt werden, wenn die Daten tatsächlich personenbezogen sind. Gemäß Bundesdatenschutzgesetz gelten personenbezogene Daten als Einzelinformationen über sächliche bzw. persönliche Verhältnisse von bestimmten oder bestimmbaren natürlichen Personen (laut § 3 Absatz 1 BDSG alt bzw. Artikel DS-GVO). Dementsprechend fallen all die Informationen unter den Terminus personenbezogener Daten, die in irgendeiner Weise einen Bezug zu bestimmten Personen herstellen.

Häufig aufgeführte personenbezogene Daten in der Übersicht:

  1. Name und Adresse
  2. E-Mail-Adresse
  3. Telefonnummer
  4. Kontodaten

Muss sich ein Kunde mit seiner E-Mail-Anschrift für das Abonnement eines Newsletters anmelden, gilt die Adresse als personenbezogene Information. Login-Namen werden ebenfalls als personenbezogen eingestuft, wenn diese Informationen an die Mailadresse oder einen echten Namen geknüpft sind. Werden IP-Adressen durch Services wie Google Analytics erhoben, ist unter Umständen ebenfalls von personenbezogenen Daten die Rede. Dieser Fall liegt beispielsweise vor, wenn die Anbieter der Online-Services über juristische Mittel der Identifizierung der hinter der IP-Adresse agierenden Personen verfügen.

Inwiefern müssen sich externe Dienstleister mit dem Datenschutz auseinandersetzen?

Auftraggeber dürfen nicht automatisch davon ausgehen, dass die Dienstleister das Datenschutzrecht einhalten. Die Auftraggeber sind verpflichtet, die Datensicherheit im Auge zu behalten, da diese als Hauptverantwortliche für den Datenschutz agieren. Diesem Verantwortungsbereich wird Folge geleistet, indem die Parteien vor dem Beginn der Auftragsdatenverarbeitung einen Vertrag abschließen, dessen Inhalt über Artikel 28 DS-GVO genau geregelt ist. Weiterhin müssen die Auftraggeber regelmäßig überprüfen, inwiefern sich die Auftragnehmer an den Vorgaben des Bundesdatenschutzgesetzes orientieren.

Diesbezüglich sind folgende Maßnahmen üblich:

  1. Durchführung von Vor-Ort-Überprüfungen
  2. Einholung des Gutachtens durch einen Sachverständigen
  3. Einholung einer schriftlichen Auskunft des Auftragnehmers
  4. Einholung von Berichten des eigenen Datenschutzbeauftragten

Das Datenschutzgesetz räumt bei der Wahl der Maßnahmen sowie der zeitlichen Abstände zwischen den Überprüfungen viel Freiraum ein. Als grundlegende Faktoren sind die Sensibilität verarbeiteter Daten, das Gefährdungspotenzial Betroffener sowie der Umfang der Datenverarbeitung ausschlaggebend. Das bedeutet für die Praxis: Räumt ein Unternehmen einem PR-Spezialisten wegen einer geplanten Konzipierung einer Marketingstrategie den Zugriff auf Kundendaten ein, sind regelmäßige Vor-Ort-Kontrollen unerlässlich. Ist der Auftraggeber der PR-Agentur jedoch ein kleineres Unternehmen mit einer geringen Anzahl an Kundendaten, ist eine schriftliche Auskunft des Auftragnehmers im Regelfall ausreichend.

Wichtig

Diesbezüglich ist es unabdingbar, die Kontrollen in Protokollen festzuhalten. Diese Maßgabe wird bereits gesetzlich vorgeschrieben. Außerdem kann nur durch eine Protokollierung im Streitfall ein Nachweis gegenüber der zuständigen Aufsichtsbehörde vorgelegt werden, dass tatsächlich eine Kontrolle erfolgt ist.

Folgen einer Missachtung der Verpflichtung zum Abschluss des ADV-Vertrags

Haben das Unternehmen und der externe Dienstleister keinen den Anforderungen des § 11 Abs. 2 S. 2 BDSG bzw. Artikel 29 DS-GVO entsprechenden Vertrag abgeschlossen, müssen Betroffene mit hohen Straf-Geldsummen rechnen. Laut § 43 Abs. 1 Nr. 2b, Abs. 3 BDSG waren die zuständigen Aufsichtsbehörden berechtigt, Bußgelder von bis zu 50.000 Euro festzulegen. Einzige Voraussetzung: der Auftrag zur Datenverarbeitung wird “nicht richtig”, “nicht vollständig” oder “nicht in der vorgeschriebenen Weise” erteilt. Die DS-GVO legt nunmehr allerdings Bußgelder von bis zu 20 Millionen Euro fest.

Für die Praxis bedeutet diese Festlegung, dass zuständige Aufsichtsbehörden die Unternehmen finanziell in Rechenschaft ziehen können, wenn kein Vertrag zur Auftragsdatenverarbeitung abgeschlossen wurde oder die Vereinbarung nicht den Vorgaben des § 28 DS-GVO entspricht. Deshalb sollten Unternehmen akribisch auf den Abschluss eines derartigen Vertrags zur Auftragsdatenverarbeitung bestehen.

Zusätzlich dürfen auch die Personen auf eine Schadenersatz-Zahlung vom Auftraggeber oder Auftragnehmer bestehen, deren Daten von der fehlenden Vereinbarung betroffen sind. Beiden Parteien steht es frei, einen Nachweis über ihre Unschuld zu erbringen und sich somit der Zahlungsverpflichtung zu entziehen. Allerdings bedarf dieser Schritt eines Nachweises, dass sie in keinster Weise für den einen Schaden erzeugenden Umstand verantwortlich sind.

Achtung

Für beauftragende Unternehmen ist deshalb besondere Vorsicht geboten. Hat ein Unternehmen keinen Vertragsabschluss mit externen Dienstleistern über die Auftragsdatenverarbeitung angestrebt, ist ein Unschuldsnachweis so gut wie nicht zu erbringen.

Gibt es Sonderregelungen für Dienstleister im Ausland?

Die Erhebung von Daten im Inland darf nur dann ohne gesetzliche Erlaubnis oder Zustimmung Betroffener ins Ausland übertragen werden, wenn die Informationen an Mitgliedsstaaten des Europäischen Wirtschaftsraums oder der EU abgeführt werden. Eine Auftragsdatenverarbeitung in Drittstaaten wie die USA ist nur dann gesetzlich erlaubt, wenn die Prozedur laut § 28 BDSG zulässig ist. Laut BDSG liegt dieser Fall vor, wenn

  • eine spezielle gesetzliche Regelung für diesen Sonderfall besteht oder
  • Betroffene aus eigenen Stücken und laut § 13 Abs. 2 Telemediengesetz (TMG) eindeutig der Datenverarbeitung zustimmen.

Diese gesetzliche Vorgabe hat folgende Konsequenz: Wird eine Marketing-Firma in den USA mit der Konzipierung eines Newsletters beauftragt und werden ihr die personenbezogenen Daten übertragen, bedarf es der Einwilligung all der Personen, über welche die Daten vermittelt werden.

Welche Details müssen in Verträgen zur Auftragsdatenverarbeitung geregelt sein?

Laut Artikel 28 DS-GVO werden die Punkte festgelegt, die in den Vereinbarungen zur ADV aufgeführt werden müssen. Diesem Artikel zufolge müssen in einem Vertrag zur Datenverarbeitung die nachfolgenden zehn Punkte enthalten sein:

  1. Dauer sowie Gegenstand des Auftrags
  2. Kreis betroffener Personen sowie Art der Daten
  3. Art, Zweck und Umfang der geplanten Erhebung, Verarbeitung sowie Inanspruchnahme der Daten
  4. gemäß Artikel 32 DS-GVO zu treffende organisatorische und technische Maßnahmen
  5. mögliche Berechtigung für eine Begründung von Unterauftragsverhältnissen
  6. Pflichten des Auftragnehmers (einschließlich durch ihn zu veranlassende Kontrollen)
  7. Kontrollrechte von Auftraggeber (einschließlich Mitwirkungs- und Duldungspflichten von Auftragnehmern)
  8. Umfang von Weisungsbefugnissen, die sich Auftraggeber gegenüber Auftragnehmern vorbehalten
  9. Rückgabe von überlassenen Datenträgern sowie Löschung aller beim Auftragnehmer gespeicherten Daten nach Auftragsbeendigung
  10. Verstöße von Auftragnehmer oder bei Auftragnehmer beschäftigten Personen gegen Maßgaben für einen Schutz personenbezogener Informationen oder gegen im Auftrag verdeutlichte Festlegungen

Sind Agenturen zum Zugriff eines Mustervertrags für eine Auftragsdatenverarbeitung berechtigt?

Verwaltet eine Agentur beispielsweise Facebook-Seiten, Facebook Audiences-Daten oder Daten von Google Analytics für ihre Kundschaft, ist der ADV-Vertragsabschluss mit Google eine wichtige Voraussetzung. Seit der Einführung der DS-GVO seit dem 25. Mai 2018 ist die DS-GVO, die Datenschutzgrundverordnung, in allen Mitgliedsstaaten rechtlich gültig. Für die gesamte EU besteht für den Schutz personenbezogener Daten nur ein vereinheitlichtes Regelwerk. Ältere Musterverträge für eine Auftragsverarbeitung werden der aktualisierten Rechtslage nicht mehr gerecht. Allerdings existieren im World Wide Web mittlerweile einige neue Musterverträge, die den Bedingungen der DS-GVO bereits angepasst sind.

Genügt die einfache Bestellung eines Datenschutzbeauftragten?

Die Bestellung eines Datenschutzbeauftragten ist leider nicht ausreichend. Durch das Datenschutzgesetz ist der Abschluss eines Vertrags zur Auftragsdatenverarbeitung zwingend notwendig. Es ist die Pflicht der beauftragenden Unternehmen, die Einhaltung der Vorgaben zum Datenschutz durch den Dienstleister regelmäßig zu überprüfen. Diese Pflicht nimmt ein Unternehmen beispielsweise wahr, indem der eigens bestellte Datenschutzbeauftragte die Datensicherheit der Auftragnehmer überprüft.

Unter bestimmten Umständen kann der externe Dienstleister ebenfalls zur Bestellung eines Datenschutzbeauftragten verpflichtet werden. Bei dieser Art der Verpflichtung müssen Auftragnehmer und Auftraggeber das Verpflichtungsmodell vertraglich in der Vereinbarung zur Auftragsdatenverarbeitung regeln. Bisher regelte § 4f Abs. 1 S. 3 BDSG die Frage, in welchen Situationen durch einen externen Dienstleister ein Datenschutzbeauftragter bestellt werden muss. Anschließend ist die Bestellung eines Datenschutzbeauftragten verpflichtend, wenn in einem Betrieb im Regelfall mindstens 20 Personen mit der Verarbeitung personenbezogener Informationen vertraut sind.

Das bedeutet im Klartext: Benötigt eine PR-Agentur Kundendaten zur Erstellung einer Marketingstrategie und sind in der Agentur über 20 Arbeitnehmer angestellt, ist das Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet. Diese Pflicht zur Bestellung des Datenschutzexperten ist im Vertrag zur Auftragsdatenverarbeitung eindeutig geregelt. Zudem muss das beauftragende Unternehmen überprüfen, inwiefern sich der externe Dienstleister an seine Verpflichtungen hält und einen Datenschutzbeauftragten bestellt.

Muss die Auftragsdatenverarbeitung in der Datenschutzerklärung erwähnt werden?

Bei einer Auftragsdatenverarbeitung unterstützt ein externer Dienstleister das Unternehmen durch die Verarbeitung der personenbezogenen Daten. Auf diesen Aspekt muss der beauftragende Betrieb in der Datenschutzerklärung unbedingt hinweisen. Ist in der Datenschutzerklärung kein Hinweis auf die Datenverarbeitung verankert, müssen Betroffene mit hohen Geldstrafen rechnen. In diesem Fall sind Datenschutzbehörden berechtigt, bei Datenschutzverstößen Bußgelder von bis zu 20 Millionen Euro einzufordern. Zusätzlich müssen Auftraggeber mit wettbewerbsrechtlichen Abmahnungen der Konkurrenz rechnen.

Inwiefern beeinflusst die DS-GVO die Auftragsverarbeitung?

Seit dem 25. Mai 2018 sind die Regelungen der DS-GVO für all die Unternehmen gültig, die ihre Daten via Auftrag verarbeiten lassen. Seit dieser Einführung der Datenschutzgrundverordnung werden Website-Betreiber wie Shop-Anbieter noch stärker verpflichtet. Durch die Einführung der DS-GVO hat sich der Datenschutz der Verbraucher enorm gesteigert. Damit gehen unter Berücksichtigung der bisherigen Rechtslage in Deutschland einige wichtige Änderungen der Auftragsdatenverarbeitung einher.

I. Die wichtigsten Neuregelungen im Überblick

In § 28 DS-GVO ist ein ganzer Katalog an Vorschriften zur Auftragsdatenverarbeitung enthalten. Aus § 11 BDSG bestehende Regelungen werden ergänzt. Mit der DS-GVO sind folgende Neuregelungen für Auftraggeber und Auftragnehmer verbunden.

  • eine Veränderung von “Auftragsverarbeitung” zu “Auftragsdatenverarbeitung” beschränkt sich ausschließlich auf die Sprache
  • DS-GVO legt fest, dass Auftragnehmer Subunternehmer nur bei Erteilung einer schriftlichen Genehmigung durch den Auftraggeber beauftragen dürfen; beauftragendes Unternehmen erhält jederzeitiges Widerspruchsrecht
  • Auftragnehmer sorgt dafür, dass sich mit der Verarbeitung personenbezogener Informationen befugte Personen zur Verschwiegenheit verpflichten
  • Auftragnehmer verpflichtet sich zur Unterstützung des beauftragenden Unternehmens, falls Betroffene Rechte nach der DS-GVO einfordern
  • ADV-Verträge können schriftlich oder elektronisch abgeschlossen werden
  • Bußgelder sind laut DS-GVO wesentlich höher als bei bisheriger BDSG

II. Wie wirkt sich die Auftragsverarbeitung des DS-GVO auf Websitebetreiber, Designer, Agenturen und Hoster aus?

Bei der DS-GVO nimmt die Auftragsverarbeitung einen besonders hohen Stellenwert ein. Dieser Teilbereich wurde bisher als Auftragsdatenverarbeitung bezeichnet. Doch in der Fassung nach Artikel 28 DS-GVO erhält dieser eine neue Bezeichnung. Gemäß der Datenschutzverordnung fasst der Terminus “Auftragsverarbeitung” eine Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten durch Dritte zusammen. Die sogenannte AV besteht beispielsweise dann, wenn Daten der Nutzer durch Website-Betreiber weitergegeben werden.

Eine Weitergabe der Daten an externe Dienstleister erfolgt für gewöhnlich in folgenden Fällen:

  • bei einem Abschluss von Softwareverträgen
  • bei Server- und Hostingverträgen
  • bei einer Inanspruchnahme von Cloud-Services
  • bei E-Mail-Vereinbarungen
  • beim Gehalts-, Lohn- und Personalmanagement

Im Mittelpunkt der DS-GVO steht der Verbraucherschutz. Deshalb nimmt der Schutz der Verbraucher auch bei der ADV einen großen Stellenwert ein. Ein DS-GVO-konformes Outsourcing geht deshalb stets mit einem Abschluss spezieller Verträge bei einer Weitergabe von persönlichen Kundendaten einher. Ähnliche Vereinbarungen wurden bis Mai 2018 zur Auftragsverarbeitung zwischen Auftraggebern sowie externen Dienstleistern als Auftragnehmern laut § 11 BDSG geregelt. Seit der Anpassung der DS-GVO haben sich bisherige Anforderungen erweitert. Deshalb ist es dringend notwendig, dass Website-Betreiber bestehende Verträge überprüfen und ältere Vereinbarungen ersetzen.

Ein der DS-GVO entsprechender Vertrag muss folgende Inhalte inkludieren:

  • Dauer und Inhalt der Verarbeitungstätigkeit
  • Form der Verarbeitungstätigkeit
  • Art sowie Kategorie betroffener Daten
  • Umfang an Weisungsbefugnissen
  • Vorhandensein einer Verschwiegenheitsverpflichtung
  • Regelungen für Subunternehmer sowie externe Dienstleister
  • Vorliegen organisatorischer sowie technischer Rahmenbedingungen laut Artikel 32 DS-GVO
  • vertragliche Vereinbarungen für eine Mitwirkung bei Auskunftsrechten von Betroffenen sowie damit einhergehender Meldepflicht
  • Umfang der Unterstützung bei Überprüfungen
  • Pflicht der Auftragnehmer zur Herausgabe von Informationen zur Befolgung der Vorschriften
  • Abwicklung der Rückgabe bzw. Löschung personenbezogener Informationen nach Abschluss der Verarbeitungstätigkeit

Hinsichtlich dieser Regelungen sollten Auftraggeber bedenken, dass sie auch bei einem Datenschutzverstoß laut DS-GVO als erste Ansprechpartner betroffener Parteien agieren. Doch insbesondere in Haftungsfragen ist die DS-GVO noch strenger als das Bundesdatenschutzgesetz. Laut Artikel 82 DS-GVO übernehmen Auftraggeber und Auftragnehmer gegenüber dem Betroffenen zusammen die Haftung. Die Haftung der Auftragnehmer bezieht sich allerdings auch auf die Verstöße, die auf Pflichtverletzungen der konkreten Auftragsdatenverarbeitung basieren.

III. Wie nehmen Betroffene die Umstellung auf eine DS-GVO-konforme Auftragsverarbeitung vor?

Eine Kontrolle der bereits existenten Auftragsdatenverarbeitung ist dringend notwendig. Entsprechen alte Verträge nicht den gesetzlichen Bestimmungen, sollten neue Vereinbarungen abgeschlossen werden. Bei diesem Vorhaben können nachfolgend aufgeführte Unternehmen eine wichtige Unterstützung sein:

bei Auftragsverarbeitung durch Google

Google Analytics: aktueller Google Analytics ADV-Vertrag steht in Google Analytics-Konto unter “Verwaltung” – “Kontoeinstellungen” – “Zusatz zur Datenverarbeitung” zur Verfügung

bei Auftragsverarbeitung durch Newsletter-Dienste

Mailjet: Anfrage eines DS-GVO-konformen ADV erfolgt durch Kunden an Mailadresse privacy@mailjet.com
Mailchimp: DS-GVO-konformer ADV ist unter Link https://mailchimp.com/legal/forms/data-processing-agreement/ verfügbar
Newsletter2Go: DS-VGO-konformer ADV kann im Kundenbereich unter dem Link http://files.newsletter2go.com/adv/de/adv.pdf?_ga=2.17605241.1324167013.1522233264-1089798978.1522233264 angefragt werden
Klick-Tipp: DS-GVO-konformer ADV ist auf der Homepage im Kundenbereich unter dem Link https://www.klick-tipp.com/user zugänglich
Clever-Reach: via Supportmail unter folgendem Link zu erfragen https://support.cleverreach.de/hc/de/articles/202372701-Bietet-CleverReach-eine-Vereinbarung-zur-Auftragsverarbeitung-

Auftragsverarbeiter durch Provider

Jimdo: DS-GVO-konformer ADV unter folgendem Link https://jimdo-legal.zendesk.com/hc/de/articles/360000190663
all-inkl.com: DS-GVO-konformer ADV im Member-Bereich unter Link https://all-inkl.com/members/
Strato: DS-GVO-konformer ADV unter Link https://www.strato.de/apps/CustomerService#/skl im Kundenbereich
DomainFactory: DS-GVO-konformer ADV unter Link https://www.df.eu/de/support/formulare/
1&1: https://m.hilfe-center.1und1.de/hosting/1und1-webhosting-c10085285/archiv-c10082642/vereinbarung-zur-datenverarbeitung-im-auftrag-adv-a10795589.html

Shop- und Webseitenbetreiber sind gut beraten, ihre ausgelagerten Verarbeitungstätigkeiten detailliert zu überprüfen. Entspricht ein Vertrag nicht den Richtlinien der DS-GVO, stellt das Dokument einen Verstoß gegen die europäische Richtlinie dar. Es drohen Sanktionen wie hohe Bußgelder. Betreiber sind zum Schutz der User-Daten verpflichtet – im Regelfall durch Unterstützung eines externen Dienstleisters.

Eine neue Regelung der DS-GVO sieht vor, dass die neu konzipierten Verträge nicht unbedingt in Schriftform angefertigt werden müssen. Nunmehr gestattet die DS-GVO auch einen Abschluss auf elektronischem Wege. Aus dem Grund dürfen Anbieter ihre ADV-Verträge auch online zugänglich machen. Allerdings muss beachtet werden, dass Vertragsabschlüsse sowie die Zuordnung zu der Klientel rechtssicher dokumentiert werden.

Entsprechen die Vorgaben zu der Auftragsdatenverarbeitung nicht den Richtlinien der DS-GVO, wird den Unternehmen eine Ordnungswidrigkeit unterstellt. Diese Straftaten können gemäß Artikel 83 Abs. 4 lit. a DS-GVO mit Bußgeldern von bis zu 10 Millionen Euro oder maximal 2 Prozent des auf der ganzen Welt erzielten Umsatzes vorangegangener Jahre geahndet werden.

Checkliste für die Auftragsdatenverarbeitung bzw. Auftragsverarbeitung

Abschuss eines ADV-Vertrags

Müssen Betriebe die Daten ihrer Klientel zur Bearbeitung an externe Dienstleister weitergeben, ist der Abschluss eines schriftlichen ADV-Vertrags notwendig. Der Inhalt dieser Vereinbarung ist durch die DS-GVO geregelt.

Überprüfungen strengstens protokollieren

Die beauftragende Firma muss überprüfen, dass der Auftragnehmer das Datenschutzrecht beachtet. Mögliche Maßnahmen sind Durchführungen von Vor-Ort-Kontrollen oder Einholungen von schriftlichen Auskünften der Auftragnehmer, Berichten der eigenen Datenschutzbeauftragten oder Testaten von Sachverständigen. All diese Maßnahmen müssen in einem Protokoll festgehalten werden.

Was tun bei Auftragnehmern aus dem Ausland?

Es ist relativ schwierig, einen ADV-Vertrag mit Anbietern aus sogenannten Drittstaaten (außerhalb der EU) einzugehen. Hierfür ist zumeist eine gesetzliche Regelung notwendig. Alternativ müssen Betroffene der Datenverarbeitung zustimmen.

Verweis auf die Auftragsdatenverarbeitung

In der Datenschutzerklärung muss zwingend ein Hinweis auf die Auftragsdatenverarbeitung enthalten sein.

Detaillierte Kontrolle von Musterverträgen

Vor einer Nutzung von Musterverträgen für eine Auftragsdatenverarbeitung ist es empfehlenswert, die Formulare auf ihre Konformität zur seit Mai 2018 gültigen Rechtslage hin zu überprüfen.