Die Einführung der Datenschutz-Grundverordnung (DSGVO) hat bei vielen Webseitenbetreibern für regelrechte Panik gesorgt. Zahlreiche Webprojekte gingen damals aufgrund der undurchsichtigen Rechtslage vorübergehend offline. Die erste Aufregung hat sich inzwischen zwar gelegt, doch noch immer wissen viele Verantwortliche wenig mit dieser Gesetzgebung anzufangen. Dabei kann es beim Umgang mit personenbezogenen Daten enorm wichtig sein, einen AV-Vertrag auf Basis der DSGVO abzuschließen.
Was ist Auftragsverarbeitung (AV)?
Auftragsverarbeitung (AV) liegt vor, wenn ein Unternehmen Daten im Auftrag von Dritten verarbeiten lässt. So stellt auch die Vernichtung von Akten oder Festplatten bei einem externen Dienstleister wie Papershred Aktenvernichtung eine Form der Auftragsverarbeitung dar.
Sofern dieser Auftrag auch die Verarbeitung personenbezogener Daten beinhaltet, müssen dabei die Vorschriften der Datenschutz-Grundverordnung eingehalten werden. Bei Zuwiderhandlung hat der Gesetzgeber empfindliche Strafen vorgesehen.
Vor Inkrafttreten der DSGVO war die Auftragsverarbeitung als Auftragsdatenverarbeitung (ADV) bekannt. Die rechtlichen Anforderungen an einen ADV-Vertrag waren im Bundesdatenschutzgesetz (BDSG) festgelegt, der entsprechende Passus für AV-Verträge findet sich nun in Artikel 28 der Datenschutz-Grundverordnung.
Was ist Datenverarbeitung?
Datenverarbeitung umfasst alle Vorgänge, bei denen Daten gesammelt, übersetzt, übermittelt und bewertet werden, um aussagekräftige Informationen zu erhalten. Häufig beauftragen Institutionen Dritte mit der Verarbeitung und Analyse personenbezogener Daten ihrer Kunden. Dieses Vorgehen macht in der Regel den Abschluss eines AV-Vertrages erforderlich.
Was ist ein AV-Vertrag?
Der Abschluss eines Auftragsverarbeitungs-Vertrages (AV-Vertrag) soll bei Einbeziehung Dritter den DSGVO-konformen Umgang mit Daten garantieren. Daher müssen auch Webseitenbetreiber einen AV-Vertrag abschließen, wenn sie Daten von Webseitenbesuchern extern tracken oder analysieren lassen.
Die Anforderungen an AV-Verträge – insbesondere der korrekte Umgang mit personenbezogenen Daten – haben sich durch die DSGVO erhöht. Seit Inkrafttreten muss auch in diesen Fällen ein AV-Vertrag abgeschlossen werden:
- Bei der Verwendung üblicher Tracking-Software wie Google Analytics
- Wenn externe Anbieter für die Aussendung von Newslettern genutzt werden
- Beauftragung Dritter mit der Buchhaltung oder Gehaltsabrechnung
- Beim Einsatz von Fernwartungssystemen
- Speicherung von Kundendaten bei einem Cloud-Dienst
- Outsourcing von Rechenzentren
Was ist die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) ist das wohl strengste Datenschutz- und Sicherheitsgesetz der Welt. Nach ihrer Inkraftsetzung am 25. Mai 2018 kam es zu einer Neuregelung im Bereich Datenschutz und -sicherheit innerhalb der Europäischen Union (EU).
Obwohl die Datenschutz-Grundverordnung von der EU ausgearbeitet und verabschiedet wurde, legt sie Organisationen weltweit Verpflichtungen auf, solange diese Daten von Menschen in der EU verarbeiten.
Die Verordnung selbst ist umfangreich, weitreichend und in Teilen relativ unspezifisch gehalten, wodurch die Einhaltung speziell für kleine und mittlere Unternehmen zu einer Herausforderung werden kann.
Prinzipien der DSGVO
Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn es dafür mindestens eine Rechtsgrundlage gibt. In Artikel 6 der DSGVO werden folgende rechtmäßige Zwecke genannt:
- Wenn die betroffene Person ihre ausdrückliche Einwilligung zur Verarbeitung ihrer personenbezogenen Daten gegeben hat
- Zur Erfüllung vertraglicher Verpflichtungen gegenüber einer betroffenen Person oder für Aufgaben auf Antrag einer betroffenen Person, die im Begriff ist, einen Vertrag abzuschließen
- Zur Erfüllung der rechtlichen Verpflichtungen des für die Verarbeitung Verantwortlichen
- Zum Schutz lebenswichtiger Interessen einer betroffenen Person
- Zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt
- Zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten, sofern nicht die Interessen der betroffenen Person oder ihre Rechte gemäß der Charta der Grundrechte (insbesondere bei Kindern) überwiegen
Fazit: AV-Vertrag gemäß DSGVO
Mit dem Inkrafttreten der Europäischen Datenschutz-Grundverordnung kam es zu einer weitreichenden Neuregelung hinsichtlich des Datenschutzes und der Datensicherheit. Wenn externe Dienstleister mit sensiblen Kunden- oder Nutzer-Daten in Berührung kommen, ist gemäß DSGVO häufig der Abschluss eines AV-Vertrages erforderlich. Daher kann es nicht schaden, die eigenen Geschäftsprozesse dahin gehend überprüfen zu lassen.