Bild: Pexels / Pixabay

Das leidige Thema „Die DSGVO“ beschäftigt in den letzten Monaten vor allem die Onlinebranche enorm. Ab dem 25.05. tritt die Datenschutzverordnung in Kraft und wer bis dahin nicht geschafft hat seine Website und seine innerbetrieblichen Abläufe DSGVO-konform zu gestalten, riskiert hohe Strafen.

Ich habe mich bis heute geweigert hier auf dem Blog über die DSGVO zu schreiben, weil im Netz schon tausende Beiträge zu diesem Thema zu finden sind und ich schlicht und ergreifend kein Anwalt bin, um dich zu diesem Thema beraten zu können. Nun merke ich aber, dass bei vielen meiner Kunden bzw. meiner Leser doch noch ein ziemlicher Informationsbedarf besteht. Deshalb starte ich heute eine kleine DSGVO-Reihe, die Dir kurz und knapp die wichtigsten Pflichten im Zusammenhang mit der neuen Datenschutzverordnung, erklärt.

Bitte beachte: Dieser sowie alle weiteren Blogposts aus dieser Reihe stellen keineswegs eine Rechtsberatung dar. Diese kann und darf ich nicht durchführen. Für eine solche Beratung wende Dich bitte an einen Rechtsanwalt. Weiterführende Informationen sowie die Möglichkeit einen Anwalt zu befragen bekommst du zudem auch als eRecht24 Premiummitglied*.

Was ist die Datenschutzgrundverordnung (DSGVO)?

Die Datenschutzgrundverordnung soll primär vor Missbrauch personenbezogener Daten wie Name, Adresse, E-Mail-Adresse oder auch der IP von EU-Bürgern schützen. Dabei ist es irrelevant, ob diese Daten innerhalb der EU oder in einem der Drittstaaten wie z.B. Amerika gespeichert bzw. verarbeitet werden. Im genauen Wortlaut definiert die DSGVO Gegenstand und Ziele so (Art. 1 DSGVO):

"1. Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
2. Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
3. Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden."

Bin ich von der DSGVO betroffen?

Ja, wenn Du irgendeine Art von personenbezogenen Daten deiner Kunde oder Deiner Mitarbeiter speicherst oder verarbeitest. Das heißt, wenn Du z.B. Kundendaten zur Erstellung von Rechnungen speicherst oder Lebensläufe Deiner Bewerber (auch wenn nur für den Zeitraum von wenigen Wochen) ablegst, musst Du dies DSGVO-konform tun.

Für Webseitenbetreiber ist es noch etwas komplizierter. Da viele z.B. mit WordPress arbeiten und einige Plugins nutzen und teilweise gar nicht wissen, dass sie personenbezogene Daten ihrer User speichern bzw. weitergeben. Insbesondere, weil die IP nun auch zu diesen personenbezogenen Daten gehört. Dies ist ab Mai eindeutig nicht mehr rechtskonform!

Konkret bedeutet das, dass du für die Weitergabe von IP, Name etc. vorher eine nachweisbare Einwilligung des Betroffenen (wie du es machst erkläre ich in einem anderen Beitrag) einholen und den Verarbeitenden sowie den Zweck der Verarbeitung in einem Verzeichnis dokumentieren musst. Zudem verpflichtet dich die DSGVO mit dem Verarbeitenden einen Auftragsdatenverarbeitungsvertrag abzuschließen.

Was ist Auftragsdatenverarbeitungsvertrag?

In einem Auftragsdatenverarbeitungsvertrag wird der Gegenstand und Dauer der Verarbeitung, Art und Zweck, die Art der personenbezogenen Daten sowie Rechte und Pflichten des Verantwortlichen festgelegt. Er schreibt zudem vor, dass die Verarbeitung nur auf Weisung des Beauftragenden geschehen und nach dem geltenden Datenschutzrecht geschehen soll. Des Weiteren verpflichtet sich der Beauftragte den Auftraggeber über die Weitergabe der Daten zu informieren.

Wann brauchst du einen Auftragsdatenverarbeitungsvertrag?

Generell immer dann, wenn du einen Dritten mit der Verarbeitung personenbezogener Daten beauftragst.

Offline

Wenn du z.B. eine Agentur mit der Rechnungserstellung beauftragst. Dann benötigt die Agentur den Zugriff auf die persönlichen Daten deiner Kunden. Auch die ausgelagerte Lohnabrechnung impliziert an sich die Übermittlung von sensiblen Daten, ich weiß allerdings nicht genau, ob es für Steuerberater separate Regelungen gibt. Wird die Lohnabrechnung von einem internen Mitarbeiter durchgeführt, musst du lediglich eine Verschwiegenheitserklärung von diesem Mitarbeiter unterschreiben lassen.

Online

Wenn du eine Agentur oder einen Freelancer wie mich z.B. mit der Pflege deiner Seite oder Planung einer E-Mail-Marketing-Kampagne beauftragst. Allein die Möglichkeit des Zugriffs auf personenbezogene Daten verpflichtet dich zum Abschließen eines solchen Vertrages.

Wie schon oben erwähnt arbeiten viele Dienste wie z.B. Google, E-Mail-Versender wie Getresponse, MailChimp oder KlickTipp sowie viele Plugins wie z.B. AntispamBee (bei spezifischen Einstellungen) oder Wordfence mit personenbezogenen Daten. Finn Hillebrandt hat auf seinem Blog eine Liste mit „problematischen“ Plugins veröffentlicht. Schau, ob du eines dieser Plugins auf Deiner Website verwendest. Suche ggf. entweder nach einer datenschutzkonformen Alternative oder spreche die Entwickler direkt bezüglich des Vertrags an.

Du brauchst einen Auftragsdatenverarbeitungsvertrag, wenn du...

- Externe Agenturen mit der Datenverarbeitung beauftragst
- Einen Webmaster engagierst
- Plugins nutzt, die personenbezogene Daten verwenden/weiterleiten
- E-Mail-Versender zum Versenden von Newsletter nutzt
- Analytics-Dienste verwendest
- Dein Hoster die Log-Files und/oder E-Mails speichert

Mit allen diesen Anbietern muss ein Datenverarbeitungsvertrag abgeschlossen werden. Teilweise wird dieser schon online zur Verfügung gestellt, teilweise bekommt man ihn auf Nachfrage zugeschickt.

Auftragsdatenverarbeitende Unternehmen, die Ihren Sitz nicht in der EU haben müssen noch strengere Anforderungen erfüllen. Neben der DSGVO-Konformität müssen diese die Zertifizierung nach der Privacy Shield vorweisen. Nur dann ist es dir erlaubt solche Unternehmen (Google Analytics, MailChimp etc.) mit der Datenverarbeitung zu beauftragen.

Melde Dich jetzt zu meinem Newsletter an und Du bekommst neben vielen hilfreichen Blogbeiträgen meine persönlichen TOP 5 WordPress Plugins als kleines Willkommensgeschenk.

Auf den Auftragsdatenverarbeitungsvertrag bestehen

Du als Auftraggeber haftest in erster Linie gegenüber deinem Kunden/User. Daher solltest du dich immer selbst um einen Vertrag kümmern. Weigern sich die Beauftragten einen Vertrag abzuschließen, solltest du auf die Zusammenarbeit lieber verzichten.

Beauftragst du z.B. eine Agentur kannst du dich nicht einfach darauf verlassen, dass sie dir einen anbietet. Vielmehr musst Du selbst darauf bestehen. Im Web findest du zahlreiche Muster-Verträge, die du dafür nutzten kannst.

Fazit: Ein Auftragsdatenverarbeitungsvertrag regelt die Verarbeitung der personenbezogenen Daten zwischen dem Auftraggeber und dem Verarbeitenden. Er definiert Rechte und Pflichten der beiden Parteien und ist ein Mittel zur mehr Transparenz bei der Verarbeitung von persönlichen Daten der EU-Bürger.

Generell sollte der Grundsatz lauten so wenige personenbezogene Daten zu verarbeiten wie möglich. Da es in vielen Fällen allerdings zwingend notwendig ist solche Daten zu verarbeiten, kümmere dich einfach rechtzeitig um einen Auftragsdatenverarbeitungsvertrag.