DSGVO – Auftragsverarbeitungsverträge. Sichere Dich rechtlich ab.
Wenn Du gerade schon unruhig bist, weil so viel Text folgt: Du kannst Dich auch einfach direkt per eMail an mich wenden.
***
Hinweis: Dieser Artikel stellt keine Rechtsberatung dar! Ich nehme gern sachdienliche Hinweise, um den Artikel auch für das in Deutschland geltende Recht zu optimieren, sollte sich dies durch Eröffnungsklauseln in der DSGVO unterscheiden.
Achtung: geballte Info! Hier geht es um die Details zu den Auftragsverarbeitungsverträgen. Wenn Du noch null Plan hast, was die DSGVO überhaupt ist, schau lieber erst einmal in den groben Überblick im Artikel “DSGVO – an sich ganz easy”!
Und noch eine Anmerkung: Ich benutze hier teilweise die alten Begriffe „Auftraggeber“ (statt „Verantwortlicher“) und „Dienstleister“ (statt „Auftragsverarbeiter“), weil dann etwas klarer ist, in welchem Verhältnis die entsprechenden Parteien stehen.
***
Du hast Dein Verarbeitungsverzeichnis mal soweit fertig, hast Deine Datenschutzerklärung auf Deiner Website und hast Dir mal zumindest eine Stunde Pause gegönnt? Dann kann es jetzt mit den Auftragsverarbeitungsverträgen weitergehen.
„Warum musst Du den Aufwand überhaupt betreiben?“
Kein Stress, das Schlimmste hast Du mit dem Verarbeitungsverzeichnis schon hinter Dir! Die Verarbeitungsverträge möchtest Du mit Deinen Anbietern und Dienstleistern jetzt machen, um Dich rechtlich abzusichern. Du bindest Deine Anbieter und Dienstleister rechtlich daran, dass sie mit den personenbezogenen Daten anderer Menschen, die sie von Dir bekommen, DSGVO-konform umgehen. Damit hast Du alles in Deiner Macht stehende getan und wenn jemand bei Dir anklopft, kannst Du den Ordner mit den Verträgen und Deinem Verarbeitungsverzeichnis vorweisen und alles sollte gut sein.
Was steht in so einem AVV eigentlich drin?
Darüber hinaus kann man in einem AVV auch fixieren, ob die Beschäftigung von Subdienstleistern zulässig ist, oder ob nur bestimmte Subdienstleister infrage kommen.
Sollten Subdienstleister als zulässig definiert werden, brauchst Du mit diesen auch wieder eine schriftliche Vereinbarung; das ist auch in diesem Fall Deine rechtliche Garantie dafür, dass der/die Subdienstleister sich an die DSGVO halten. Die Genehmigung des Verantwortlichen ist in jedem Fall notwendig – der muss als Verantwortlicher schließlich wissen, was mit den personenbezogenen Daten von Menschen in seinem Auftrag und in seinem Namen passiert und wer Zugriff darauf bekommt. Deswegen hat der Verantwortlich auch ein Einspruchsrecht bei Subdienstleistern.
Mit wem Du AVVs benötigst
Ein „Auftrags-Verarbeitungs-Vertrag“ ist ziemlich genau das, wonach es sich anhört: Ein Vertrag mit jemandem, der in Deinem Auftrag Daten anderer Menschen für Dich verarbeitet. Das sind meist Unternehmen wie Clouddienstleister, eMailprovider, Podcasthoster, Kalenderprovider, …
Schau in Dein Verarbeitungsverzeichnis, wo überall Daten natürlicher Personen auch von jemand anderem als Dir verarbeitet werden. Mit diesen Unternehmen solltest Du dann rechtlich verbindliche Vereinbarungen treffen.
Falls Du noch kein Verarbeitungsverzeichnis hast, schau in den Detail-Artikel „Verschaffe Dir einen Überblick und erstelle ein Verarbeitungsverzeichnis“.
Wir erinnern uns: Faustregel für den Firmensitz des Software-Herstellers bzw. Dienstleisters ist:
Dein eigenes Heimatland -> yay! | EU -> ok | non-EU -> doof
Wenn es um Datenübertragung in Drittländer (also Nicht-EU) geht, immer zweimal hinschauen, ob alles passt. Es gibt eine Reihe an Ländern (u.a. Kanada, Neuseeland, die Schweiz und die USA), für die ein sogenannter Angemessenheitsbeschluss vorliegt, in die Länder ist eine Datenübertragung grundsätzlich erlaubt; einen AVV oder eine Vereinbarung mit „Standardvertragsklauseln“ brauchst Du mit den jeweiligen Anbietern trotzdem.
Zwei Hinweise:
1) Das PrivacyShield Abkommen steht aktuell auf dem Prüfstand und es ist abzusehen, dass es in absehbarer Zeit fallen wird. Wenn Du US Anbieter (Dropbox, WeTransfer, etc.) nutzt, überlege, ob Du nicht bei der Gelegenheit auf europäische Anbieter wechseln möchtest.
2) Auch die „Standardvertragsklauseln“ sind im April 2018 zur Prüfung zum EUGH gegangen. Wie diese Prüfung ausgeht, werden wir noch sehen. Falls Du Anbieter in sonstigen Drittländern hast, lohnt sich auch hier ggf. eine kurze Recherche, ob es nicht einen passenden europäischen Anbieter gibt.
Für neue Verträge (spätestens ab dem 25. Mai 2018) ist anzunehmen, dass die dann bereits entsprechende Abschnitte enthalten, um die DSGVO-konforme Verarbeitung von personenbezogenen Daten zu sichern. Da bestehende Vertragsverhältnisse das noch nicht haben, brauchen wir jetzt diese extra Verträge.
Bei vielen Anbietern findest Du die Info dazu, wie Du zu einem AVV kommst, bereits in den FAQ oder im Mitgliederbereich, sonst am einfachsten den Support fragen.
Eine gute Übersichtsliste, von welchen Anbietern bereits AVVs vorliegen, gibt es in der Facebook Gruppe „DSGVO & Online Marketing Recht“ von Sabrina Keese-Haufs. Dort gibt es findige Menschen, die stetig neue Infos posten, wo sie bereits Auftragsverarbeitungsverträge bekommen haben, welche Anbieter noch keine haben, etc. Falls Du kein FB-Konto hast, dann mach Dir bitte auch keines mehr, es geht auch ohne; zum Beispiel mit dem Übersichtsartikel bei Blogmojo.
Im Datenschutz-Guru-Podcast von Stephan Hansen-Oest gibt es eine ganz interessante Folge zum Thema der TOMs, also der technischen und organisatorischen Maßnahmen, die in den AVVs festgehalten werden.
Falls einer Deiner Dienstleister (noch) keinen AVV zur Verfügung stellt, gibt es VBorlagen von verschiedenen Interessenverbänden, z.B. dem BIT oder der WKO.
Ich habe hier auch eine Vorlage für Dich, die ich nach bestem Wissen und Gewissen auf Basis des Dokuments der hiesigen Wirtschaftskammer erstellt habe; der tatsächliche Vertragstext ist fast komplett übernommen, ich habe das Dokument vor allem kommentiert und die genannten Beispiele angepasst, um es etwas verständlicher zu machen. Hinweis: Ich bin keine Juristin. die Verwendung erfolgt auf eigene Verantwortung.
-> Vorlage Auftragsverarbeitungsvertrag
Muster_Auftragsverarbeitungsvertrag (.doc)
Gemeinsame Verantwortlichkeit
Einige Unternehmen wie zum Beispiel Mobilfunkanbieter werden Dir antworten, dass sie keine AVV machen, weil sie sich selbst als Verantwortliche sehen. Das ist ok, eine gemeinsame Verantwortlichkeit ist in Artikel 26 der DSGVO abgedeckt.
Falls es keine Rechtsvorschriften gibt, die regeln, wer werlche Aufgaben, Speicherfristen, etc. hat, gehört in einer Vereinbarung klar geregelt, wer welche Verpflichtungen übernimmt. Im Falle der Mobilfunkanbieter greift beispielsweise das Telekommunikationsgesetz, das vorgibt, wie lange Daten aufbewahrt werden müssen und wann etwas gelöscht gehört.
Wer im Falle der Betroffenenrechte dann die Informationspflicht gegenüber den betroffenen Personen übernimmt, sollte in der Vereinbarung ebenfalls geklärt sein und das gehört den betroffenen Personen auch mitgeteilt (also ggf. in die Datenschutzerklärung aufgenommen und bei Anfrage detaillierter kommuniziert)*.
Einen ganz aufschlussreichen Artikel, wann es sich um einen Auftragsverarbeiter handelt und wann nicht, findest Du im Blog von Regina Stoiber.
Wenn Du selbst Auftragsverarbeiter bist
Einige Deiner Kunden werden vielleicht noch nicht drauf gekommen sein, dass sie jetzt einen AVV mit Dir benötigen. Es liegt zwar in der Verantwortung des Verantwortlichen, dass diese Verträge zustande kommen, aber es ist ein netter Service von Dir, wenn Du sie anschreibst und fragst, ob sie da schon etwas in Arbeit haben, oder ob Du ihnen Deine Vorlage zukommen lassen sollst.
Oft sind die Auftragsverhältnisse bei mehreren Dienstleistern nicht ganz klar – ist die Druckerei jetzt Dein Subdienstleister oder einfach ein zweiter Dienstleister für denselben Auftraggeber? Man kann die Sache etwas abkürzen wenn man sich den Geldfluss ansieht. Bezahlst Du die Druckerei, ist sie Dein (Sub)Dienstleister und Du bräuchtest einen AVV mit ihr. Bezahlt der Auftraggeber die Druckerei, ist sie (neben Dir) ein weiterer Auftragsverarbeiter für denselben Auftraggeber. In dem Fall wäre mein Vorschlag, dass Ihr jeweils – Du und die Druckerei – einen AVV mit Eurem Auftraggeber abschließt und darin jeweils festhaltet, welche Daten im Rahmen der Auftragsverarbeitung von wo nach wo gehen; beispielsweise Du gibst die fertige Druckdatei im Rahmen Deiner Auftragsverarbeitung direkt an die Druckerei.
*
(1) Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden.
(2) Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt.
(3) Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.
***
***
Artikel aus dem Bereich Datenschutz:
Übersichtsartikel „DSGVO – An sich ganz easy“
„Was sind personenbezogene Daten?“
Verschaffe Dir einen Überblick & erstelle ein Verarbeitungsverzeichnis
Die Datenschutzerklärung – Aufzucht und Hege
Auftragsverarbeitungsverträge – sichere Dich rechtlich ab
5 Kommentare