Lektion 4
Auftragsverarbeiter - was müssen Sie beachten?
Was muss ich bezüglich der Auftragsverarbeiter beachten?
Nicht jeder externe Dienstleister, der Zugang zu personenbezogenen Daten von Ihnen bekommt, ist automatisch ein Auftragsverarbeiter. Es gibt grundsätzlich 3 Möglichkeiten einer “datenverarbeitenden Beziehung”: Gemeinsame Verantwortlichkeit, Auftragsverarbeiter oder Übermittlung (Funktionsübertragung) und nur im Falle der Auftragsverarbeiter-Beziehung brauchen Sie einen AV-Vertrag.
Gemeinsam Verantwortlich sind zum Beispiel Sie und ein Partnerunternehmen von Ihnen, das Ihnen beispielsweise bei der Monetarisierung Ihrer Kundendaten hilft oder in Ihrem Unternehmen Teile der Unternehmensführung mit übernimmt. Hier bestimmen Sie beide Mittel und Zweck der Datenverarbeitung. Eine Funktionsübertragung hingegen liegt genau dann vor, wenn die Datenverarbeitung als solche nur eine untergeordnete Rolle spielt. Beispielsweise wäre das eine externe Buchhaltungsfirma oder ein Wachdienst. Bei einem Auftragsverarbeiter hingegen ist klar: er handelt in Ihrem expliziten Auftrag und Sie bestimmen als Verantwortlicher Zweck und Mittel der Datenverarbeitung. Mit ihm schließen Sie dann einen AV-Vertrag.
Machen Sie also am besten eine Liste der Anbieter, mit denen Sie einen Datenaustausch haben. Sie sollten außerdem bei jeder Übermittlung an einen Dienstleister prüfen, welche Form der "Beziehung" vorliegt.
Was ist in Bezug auf die Auftragsverarbeiter zu tun?
Mit allen Drittanbietern muss zudem ein Vertrag zur Auftragsverarbeitung (oft auch Auftragsdatenverarbeitung oder kurz AV/AV-Vertrag) geschlossen werden. Dies ist nichts anderes als eine formale Vereinbarung zwischen Ihnen und dem Drittanbieter zur DSGVO-konformen Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten.
Wenn Sie Auftragsverarbeiter außerhalb der EU verwenden, beispielsweise aus den USA, kann es vorkommen, dass diese für Ihre Kunden/Partner keinen AV-Vertrag anbieten. In diesem Fall sollten Sie die Wahl Ihrer Tools überdenken. Sie haben hierdurch die Möglichkeit Ihre internen Prozesse zu optimieren und sie gleichzeitig DSGVO-konform zu überarbeiten.
Hinweis: Bei der Zusammenarbeit mit einem Anbieter aus einem Drittstaat ist zu prüfen, ob es sich um einen sicheren oder unsicheren Drittstaat handelt. Als sichere Drittstaaten gelten jene, für die es von der EU einen Angemessenheitsbeschluss gibt, oder US Unternehmen, welche eine Privacy Shield Zertifizierung vorweisen können. Ist dies nicht der Fall, handelt es sich um ein unsicheres Drittland. Dann benötigen Sie ein von der EU vorgegebenes Vertragsmuster, auch "Model Clause" Vertrag genannt.
Weitere Details finden Sie hier:
https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en
Mit diesen Anbietern können Sie weiterarbeiten
Zu Drittanbietern, welche häufig von unseren Vendoren und Affiliates eingesetzt werden, haben wir für Sie Kontakt aufgenommen und von folgenden Anbietern Antworten erhalten (Stand 01.10.2018).
Ein Auftragsverarbeitungsvertrag wird angeboten. https://capsulecrm.com/dpa/
Ein Auftragsverarbeitungsvertrag wird angeboten. Dieser kann im Account aktiviert werden. Muster: https://cloud-files.crsend.com/docs/Vereinbarung_Auftragsverarbeitung_Muster.pdf
Es ist keine Vereinbarung nötig, da es sich um ein Plugin handelt. Dieses wird direkt am Kundenserver installiert. Somit werden keine Daten zu DigiMember gesendet.
Der Auftragsverarbeitungsvertrag kann direkt im Account abgeschlossen werden.
Klick-Tipp bietet bereits seit langem derartige Vereinbarungen an und sollte erste Wahl sein für jeden, der datenschutzkonformes E-Mail-Marketing betreiben möchte. Da das Klick-Tipp Team größtenteils in der EU sitzt, sind sie immer auf dem neuesten Stand beim Thema DSGVO-Compliance. Sie waren immer ein Vorreiter in diesem Thema und haben schon vor Jahren auf die seit 2016 existierende DSGVO aufmerksam gemacht.
Der Auftragsverarbeitungsvertrag kann direkt im Account abgeschlossen werden.
Ein Auftragsverarbeitungsvertrag kann unter folgendem Link abgeschlossen werden: https://swissmademarketing.com/de/auftragsverarbeitungsvereinabarung/
Eine Auftragsverarbeitung kann auf dieser Seite abgeschlossen werden: https://webinaris.zendesk.com/hc/de/articles/360000953705-ADV-AVV-Vertrag-zur-Auftragsdatenverarbeitung-gemäß-DSGVO-abschließen
Es ist keine Vereinbarung nötig, da es sich nur um ein Plugin handelt. Dieses wird direkt am Kundenserver installiert. Somit werden keine Daten zu Wishlist gesendet.
Zapier bietet eine gemeinsame Auftragsverarbeitung an. Diese kann hier abgerufen werden.