Auftragsdatenverarbeitung (ADV): Was ist das und was geht mich das an?

(24 Bewertungen, 4.67 von 5)

Den Begriff „Auftragsdatenverarbeitung“ hat fast jeder schon einmal gehört. Aber kaum ein Webseitenbetreiber weiß, was ADV praktisch bedeutet. Dabei ist ein ADV-Vertrag sehr häufig ein Muss: bei Google Analytics, wenn Sie Newsletter über externe Anbieter versenden, beim Outsourcing von Rechenzentren, Beauftragung von Callcentern, bei externer Lohnabrechnung... . Wir zeigen, was Sie zum Thema ADV wissen müssen und was sich durch die DSGVO ändert.

Inhaltsverzeichnis:

  1. Auftragsdatenverarbeitung: Was ist das überhaupt?
  2. Wer ist von den Vorschriften zur Auftragsdatenverarbeitung betroffen?
  3. Was sind personenbezogene Daten?
  4. Müssen sich die externen Dienstleister nicht um den Datenschutz kümmern?
  5. Was passiert, wenn ich keinen Vertrag zur Auftragsdatenverarbeitung abschließe?
  6. Was passiert bei Dienstleistern aus dem Ausland?
  7. Verträge zur Auftragsdatenverarbeitung: Was muss dort geregelt werden?
  8. Kann ich einen Muster-Vertrag für die Auftragsdatenverarbeitung nutzen?
  9. Reicht es nicht, wenn ich einen Datenschutzbeauftragten bestelle?
  10. Muss ich die Auftragsdatenverarbeitung in meiner Datenschutzerklärung erwähnen?
  11. Was genau ändert sich bei der Auftragsverarbeitung durch die DSGVO?
  12. Checkliste

1. Auftragsdatenverarbeitung: Was ist das überhaupt?

Kurzfassung: (Fast) immer, wenn andere Unternehmen Zugriff auf die Daten Ihrer Kunden haben, sind Sie im Bereich der Auftragsdatenverarbeitung (bzw. nach DSGVO: Auftragsverarbeitung) und müssen mit diesem Unternehmen einen ADV-Vertrag abschließen.

Gesetzlich geregelt war die Auftragsdatenverarbeitung vor der DSGVO in § 11 BDSG (Bundesdatenschutzgesetz). Nun finden sich die entsprechenden Regelungen in Art. 28 DSGVO.

Bei eRecht24 Premium finden Sie als Agentur, Hoster und Webdesigner ein Muster für einen DSGVO-konformen AV-Vertrag.

Sören Siebert
Sören SiebertRechtsanwalt

 Durch die DSGVO wurden zum Mai 2018 viele Punkte im Bereich Datenschutz und ADV neu geregelt.
Sie müssen einen ADV-Vertrag abschließen, wenn Sie:

  • Google Analytics oder andere Tracking Software nutzen
  • Externe Dienstleister für Ihre Newsletter und Marketingaktionen nutzen
  • Externe Unternehmen mit der Buchhaltung/ Gehaltsabrechnung beauftragen
  • Ihr Rechenzentrum ganz oder teilweise outsourcen
  • Fernwartungssysteme einsetzen

Was ist Auftragsdatenverarbeitung (ADV)?

Charakteristisch für die Auftragsdatenverarbeitung (kurz: ADV oder nach DSGVO: AV) ist, dass ein Unternehmen (Auftraggeber) externe Dienstleister (Auftragnehmer) damit beauftragt, weisungsgebunden personenbezogene Daten zu verarbeiten. Die Verantwortung für die ordnungsgemäße Datenverarbeitung verbleibt dabei beim Auftraggeber, er ist der Hauptverantwortliche für den Datenschutz. Der externe Dienstleister wird bei der Auftragsdatenverarbeitung nur unterstützend tätig, er ist praktisch der „verlängerte Arm“ seines Auftraggebers.

Eine Auftragsdatenverarbeitung besteht unter anderem in folgenden Fällen:

  • Ein externes Rechenzentrum wird damit beauftragt, die Lohn- und Gehaltsabrechnung durchzuführen.
  • Ein Call-Center erhebt Daten bei den Kunden des Auftraggebers.
  • Eine Marketing-Agentur verarbeitet Kundendaten, um Statistiken oder einen Newsletter zu erstellen.

Keine Auftragsdatenverarbeitung liegt bei einer sogenannten Funktionsübertragung vor. Dabei ist die genaue Abgrenzung von Auftragsdatenverarbeitung und Funktionsübertragung bei vielen Dienstleistungen nicht immer eindeutig. Man kann sich jedoch merken, dass der externe Dienstleister im Rahmen einer Funktionsübertragung nicht weisungsgebunden ist, sondern frei entscheiden kann, was mit den Daten des Unternehmens geschieht und ein eigenes Interesse an den Daten des Unternehmens hat.
Eine Funktionsübertragung liegt somit bspw. vor, wenn ein Dienstleister für seinen Auftraggeber Dienstfahrzeuge anmietet oder ein Inkassounternehmen die Forderungen seines Auftraggebers durchsetzt.

2. Wer ist von den Vorschriften zur Auftragsdatenverarbeitung betroffen?

datenschutz10

In fast jedem Unternehmen kommt Datenverarbeitung im Auftrag zum Einsatz – und häufig wissen die betroffenen Unternehmen davon nicht mal etwas. Denn allzu häufig übersehen Unternehmen § 11 Abs. 5 Bundesdatenschutzgesetz (BDSG), der den Anwendungsbereich der Auftragsdatenverarbeitung enorm erweitert. Danach finden die Vorschriften der Auftragsdatenverarbeitung auch im Rahmen von Wartung- und Prüfungsverträgen Anwendung, wenn dabei der Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

Die Auftragsverarbeitung umfasst auch nach der DSGVO zum Beispiel folgende Fälle:

  • Ein Unternehmen beauftragt einen Programmierer mit der Installation, Pflege, Überprüfung und Korrektur von Software.
  • Ein Unternehmen beauftragt einen IT-Dienstleister mit der Überprüfung, Reparatur oder dem Austausch von Hardware.
  • Ein Unternehmen beauftragt einen externen Dienstleister mit der Aktenvernichtung.

Die bloße Möglichkeit des Datenzugriffs durch den Auftragnehmer genügt dabei schon. Es kommt also nicht darauf an, ob der beauftragte Dienstleister tatsächlich auf die Daten zugreift.

Das bedeutet: Sobald ein externer Dienstleister im Rahmen eines Auftrags irgendeine Möglichkeit hat, auf personenbezogene Daten zuzugreifen, sollte eingehend geprüft werden, ob die Vorschriften der Auftragsdatenverarbeitung Anwendung finden.

3. Was sind personenbezogene Daten?

Die Vorschriften zur Auftragsdatenverarbeitung finden nur Anwendung, wenn es sich bei den Daten um personenbezogene Daten handelt. Doch wann sind Daten eigentlich personenbezogen? Das Bundesdatenschutzgesetz definiert personenbezogene Daten als Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 BDSG alt/ Artikel 4 DSGVO).

Das bedeutet: Alle Informationen, über die irgendwie ein Personenbezug hergestellt werden kann, fallen auch unter den Begriff der personenbezogenen Daten. Folgende Daten sind daher personenbezogen:

  • Name und Anschrift,
  • E-Mail-Adresse,
  • Telefonnummer und
  • Kontodaten.

Müssen sich also Kunden mit ihrer E-Mail-Adresse für einen Newsletter anmelden, handelt es sich bei den E-Mail-Adressen um personenbezogene Daten. Auch ein Login-Name ist personenbezogen, wenn er mit einem echten Namen oder der E-Mail-Adresse verknüpft ist. Sogar IP-Adressen, die zum Beispiel durch Google Analytics erhoben werden, stellen personenbezogene Daten dar, wenn der Anbieter von Online-Diensten über rechtliche Mittel zur Identifizierung der hinter der IP-Adresse stehenden Personen verfügt (dazu EuGH, Urteil vom 19.10.2016 (C-582/14).

4. Müssen sich die externen Dienstleister nicht um den Datenschutz kümmern?

datenschutz3

Nein. Das beauftragende Unternehmen darf sich nicht darauf verlassen, dass der Dienstleister das Datenschutzrecht einhält. Der Auftraggeber muss sich selbst um die Datensicherheit kümmern, er ist der Hauptverantwortliche für den Datenschutz.

Um dieser Verantwortung nachzukommen, müssen die Parteien vor Beginn der Auftragsdatenverarbeitung einen Vertrag abschließen, dessen Inhalt das Datenschutzrecht in Art. 28 DSGVO (vorher § 11 Abs. 2 Satz 2 BDSG) genau vorgibt.
Zudem muss der Auftraggeber in regelmäßigen Abständen kontrollieren, ob der Auftragnehmer die Vorgaben des Bundesdatenschutzgesetzes einhält. Dazu kann er

  • Vor-Ort-Kontrollen durchführen,
  • das Testat eines Sachverständigen einholen,
  • den Bericht des eigenen Datenschutzbeauftragten einholen oder
  • eine schriftliche Auskunft des Auftragnehmers einholen.

Welche Maßnahme das beauftragende Unternehmen konkret ergreifen muss und in welchen zeitlichen Abständen Kontrollen durchzuführen sind, lässt das Datenschutzgesetz offen. Maßgeblich sind insbesondere der Umfang der Datenverarbeitung, das Gefährdungspotenzial für die Betroffenen und die Sensibilität der verarbeiteten Daten.

Das bedeutet: Erlaubt ein Unternehmen einer PR-Agentur, auf Millionen von Kundendaten zuzugreifen, um eine neue Marketing-Strategie zu entwickeln, werden regelmäßig Vor-Ort-Kontrollen notwendig sein. Wird die PR-Agentur hingegen von einem kleinen Unternehmen beauftragt, das lediglich 100 Kundendaten gespeichert hat, dürfte eine schriftliche Auskunft des Auftragnehmers in der Regel genügen.

Wichtig: Die Kontrollen sind unbedingt zu protokollieren. Dies schreibt erstens das Gesetz vor. Zweitens gelingt nur so im Streitfall gegenüber der zuständigen Aufsichtsbehörde auch der Nachweis, dass eine Kontrolle tatsächlich stattgefunden hat.

5. Was passiert, wenn ich keinen Vertrag zur Auftragsdatenverarbeitung abschließe?

Hat das Unternehmen mit dem externen Dienstleister keinen den Anforderungen des § 11 Abs. 2 Satz 2 BDSG/ Art. 28 DSGVO entsprechenden Vertrag geschlossen, kann es schnell richtig teuer werden. Nach § 43 Abs. 1 Nr. 2b, Abs. 3 BDSG konnten die zuständige Aufsichtsbehörden Bußgelder von bis zu 50.000 Euro verhängen, wenn der Auftrag zur Datenverarbeitung „nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt“ wird. Nach der DSGVO sind es nun Bußgelder bis zu 20 Millionen Euro.

Das bedeutet: Haben die Parteien keinen Vertrag zur Auftragsdatenverarbeitung geschlossen oder entspricht dieser nicht den Anforderungen des Art. 28 DSGVO (vorher § 11 Abs. 2 Satz 2 BDSG), kann die zuständige Aufsichtsbehörde das Unternehmen zur Kasse beten. Der Abschluss eines Vertrags zur Auftragsdatenverarbeitung sollte also weit oben auf der Agenda stehen.

Daneben können auch die Personen, deren Daten betroffen sind, vom Auftraggeber und Auftragnehmer Schadensersatz verlangen. Beide Parteien haben dabei die Möglichkeit, ihre Unschuld nachzuweisen und so eine Ersatzpflicht zu verhindern. Dafür müssen sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.

Dabei gilt für das beauftragende Unternehmen: Hat das Unternehmen mit dem externen Dienstleister keinen Vertrag über die Auftragsdatenverarbeitung geschlossen, wird sich ein Unschuldsnachweis kaum führen lassen.

6. Was passiert bei Dienstleistern aus dem Ausland?

datenschutz5

Erhebt ein Unternehmen Daten im Inland, dürfen sie ohne Zustimmung der betroffenen Personen oder eine gesetzliche Erlaubnis nur dann ins Ausland abgeführt werden, wenn es sich um Mitgliedstaaten der EU oder des Europäischen Wirtschaftsraums handelt (vgl. § 3 Abs. 8 Satz 3 BDSG). Die Auftragsdatenverarbeitung in Drittstaaten (bspw. in den USA) ist nur zulässig, wenn
und soweit das BDSG dies erlaubt (vgl. u. a. § 28 BDSG),

  • eine spezielle gesetzliche Regelung dies erlaubt,
  • der Betroffene freiwillig und gemäß § 13 Abs. 2 Telemediengesetz (TMG) bewusst und eindeutig in die Datenverarbeitung eingewilligt hat.

Die Folge: Soll eine Marketing-Firma in den USA mit der Erstellung eines Newsletters beauftragt werden und erhält diese dafür Zugriff auf die Kundendaten, benötigt sie dafür die Einwilligung sämtlicher Personen, denen die Daten gehören.

7. Verträge zur Auftragsdatenverarbeitung: Was muss dort geregelt werden?

Was genau in den Verträgen zur Auftragsdatenverarbeitung geregelt werden muss, beschreibt nun Art. 28 DSGVO (vorher  § 11 Abs. 2 Satz 2 BDSG). Danach müssen in einer Vereinbarung zur Datenverarbeitung im Auftrag Regelungen zu folgenden 10 Punkte enthalten sein:

  • der Gegenstand und die Dauer des Auftrags,
  • der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten,
  • die Art der Daten und der Kreis der Betroffenen,
  • die nach Art. 32 DSGVO zu treffenden technischen und organisatorischen Maßnahmen,
  • die Berichtigung, Löschung und Sperrung von Daten,
  • die bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  • die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  • die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  • mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  • der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  • die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

8. Kann ich als Agentur einen Muster-Vertrag für die Auftragsdatenverarbeitung nutzen?

datenschutz1

Wenn Sie als Agentur beispielsweise die Google Analytics Daten, die Facebook Seiten oder Daten von Facebook Audiences für Ihre Kunden verwalten, müssen Sie einen ADV-Vertrag mit Google abschließen. 

Seit der verbindlichen Geltung der DSGVO ab dem 25. Mai 2018 wurde die Datenschutzgrundverordnung (DSGVO) in allen Mitgliedstaaten unmittelbar geltendes Recht. Es gibt nur ein einheitliches Regelwerk in der gesamten EU zum Schutz personenbezogener Daten.

Auch die Auftragsdatenverarbeitung wird dann in § 28 DSGVO geregelt. Die bisherige Rechtslage ändert sich also. Diesen Anforderunen dürften viele kostenlose Muster im Netz nicht mehr genügen.

--> eRecht24 Premium bietet einen Muster-Vertrag zur Auftragsverarbeitung an, der die Vorgaben der DSGVO umsetzt.

9. Reicht es nicht, wenn ich einen Datenschutzbeauftragten bestelle?

Mit der Bestellung eines Datenschutzbeauftragten ist es leider nicht getan. Das Datenschutzgesetz schreibt den Abschluss eines Vertrags zur Auftragsdatenverarbeitung zwingend – und bußgeldbewährt - vor. Das beauftragende Unternehmen muss jedoch regelmäßig kontrollieren, ob der Dienstleister die Vorgaben zum Datenschutz auch einhält. Dieser Pflicht kann das Unternehmen nachkommen, indem es seinen eigenen Datenschutzbeauftragten losschickt, um die Datensicherheit beim Auftragnehmer zu prüfen.

Unter Umständen kann auch der externe Dienstleister dazu verpflichtet sein, einen Datenschutzbeauftragten zu bestellen. Besteht eine solche Pflicht, müssen Auftraggeber und Auftragnehmer dies auch im Vertrag zur Auftragsdatenverarbeitung regeln. In welchen Fällen der externe Dienstleister einen Datenschutzbeauftragten bestellen muss, ergibt sich aus § 4f Abs. 1 Satz 3 BDSG. Danach ist die Bestellung eines Datenschutzbeauftragten Pflicht, wenn in einem Unternehmen in der Regel mindestens 20 Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt sind.

Das bedeutet: Verarbeitet etwa eine PR-Agentur Kundendaten, um eine neue Marketing-Strategie zu entwickeln und sind in dieser Agentur mehr als 20 Arbeitnehmer tätig, muss die Agentur einen Datenschutzbeauftragten bestellen. Die Pflicht zur Bestellung eines Datenschutzbeauftragten muss auch im Vertrag zur Auftragsdatenverarbeitung geregelt werden. Außerdem muss das beauftragende Unternehmen kontrollieren, dass der externe Dienstleister seinen Pflichten auch tatsächlich nachkommt und einen Datenschutzbeauftragten bestellt.

10. Muss ich die Auftragsdatenverarbeitung in meiner Datenschutzerklärung erwähnen?

datenschutz6

 

Auch im Rahmen der Auftragsdatenverarbeitung verarbeitet ein externer Dienstleister (also etwa Google beim Google Analytics) als „verlängerter Arm“ des Unternehmens personenbezogene Daten des Nutzers. Darauf sollte das beauftragende Unternehmen in der Datenschutzerklärung unbedingt hinweisen. Findet sich in der Datenschutzerklärung kein Hinweis auf die Verarbeitung der Daten, kann es richtig teuer werden: Datenschutzbehörden können Datenschutzverstöße mit einem Bußgeld von bis zu 20 Millionen Euro ahnden. Außerdem drohen dem Auftragsgeber wettbewerbsrechtliche Abmahnungen von Konkurrenten.

Sören Siebert
Sören SiebertRechtsanwalt

11. Was ändert sich bei der Auftragsverarbeitung durch die DSGVO?

Seit dem 25. Mai 2018 gilt müssen alle Unternehmen, die ihre Daten im Auftrag verarbeiten lassen, die Regelungen der DSGVO beachten.

Durch die Datenschutzgrundverordnung, die seit Mai 2018 vollumfänglich und einheitlich in der Europäischen Union gilt, werden Webseitenbetreiber und besonders Shopbetreiber und Dienstleister verstärkt in die Pflicht genommen. Die DSGVO räumt dem Datenschutz der Verbraucher einen größeren Stellenwert ein, als dieser bislang durch die nationalen Regelungen erfahren hat und vereinheitlicht die Anforderungen, die bei der Verarbeitung von sogenannten personenbezogenen Daten einzuhalten sind.

Die bisherige Rechtslage in Deutschland zur Auftragsdatenverarbeitung hat mit der DSGVO einige wichtige Änderungen erfahren.

11.1 Überblick über die Neuregelungen durch die DSGVO

§ 28 DSGVO enthält gleich einen ganzen Katalog von Vorschriften zur Auftragsdatenverarbeitung. Die bestehenden Regelungen in § 11 BDSG werden durch diesen ergänzt. Insbesondere kommen folgende Neuregelungen auf die Auftragsgeber und Auftragsnehmer zu:

  • Es heisst "Auftragsverarbeitung", nicht mehr "Auftragsdatenverarbeitung"
    Die erste Änderung ist rein sprachlicher Natur. Aus der "Auftragsdatenverarbeitung (ADV)" wird die Auftragsverarbeitung (AV).
  • Hinweis auf Subunternehmer
    Anders als das BDSG legt die DSGVO fest, dass Auftragsnehmer Subunternehmer nur einsetzen dürfen, wenn der Auftragsgeber eine schriftliche Genehmigung hierzu erteilt hat. Zudem muss dem beauftragenden Unternehmen ein jederzeitiges Widerspruchsrecht eingeräumt werden.
  • Verpflichtung zur Verschwiegenheit
    Der Auftragsnehmer muss gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben.
  • Unterstützung des Auftragsgebers
    Der Auftragsnehmer hat sich zu verpflichten, das beauftragende Unternehmen zu unterstützen, wenn Betroffene ihre Rechte nach der DSGVO diesem gegenüber geltend machen.
  • Keine Pflicht, AV Verträge schriftlich abzuschließen
    AV verträge können mit der DSGVO nun auch elektronisch abgeschlossen werden.
  • Neue Bußgeldregelungen
    Die DSGVO sieht weitaus höhere Bußgelder auch im Bereich Auftragsverarbeitung vor als das bisher nach dem BDSG der Fall war.

 

11.2 Auftragsverarbeitung und DSGVO: Was bedeutet das konkret für Webseitenbetreiber Hoster, Designer und Agenturen?

Eine besondere Rolle kommt bei der Anwendung der DSGVO der Auftragsverarbeitung zu. Diese wurde bisher als Auftragsdatenverarbeitung bezeichnet, erhält aber durch Art. 28 DSGVO eine neue Bezeichnung.

Unter Auftragsverarbeitung (kurz: AV) im Sinne der Datenschutzgrundverordnung versteht man die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch Dritte. Diese liegt u. a. dann vor, wenn die Daten des Users durch den Webseitenbetreiber weitergegeben werden – zum Beispiel an externe Dienstleister, die bestimmte Aufgaben für den Betreiber übernehmen (sogenanntes Outsourcing). Regelmäßig passiert das im Rahmen von

  • Lohn-, Gehalts- und Personalmanagement
  • Rechnungs- und Forderungsmanagement
  • Hosting- und Serververträgen
  • Softwareverträgen
  • Nutzung von Cloud-Diensten
  • E-Mail-Vereinbarungen.

Da die DSGVO den Schutz der Verbraucher in den Fokus rückt, ist dieser Schutz auch bei der AV zu berücksichtigen, denn hierdurch wird der Zugriff auf die Daten von Kunden bzw. Usern ermöglicht. DSGVO-konformes Outsourcing verlangt von Ihnen, dass Sie die Weitergabe von persönlichen Daten Ihrer Kunden bzw. User in speziellen Verträgen regeln.

Durch die  DSGVO hat sich vieles geändern. Bei eRecht24 Premium  finden Sie als Agentur einen Muster AV-Vertrag, Live Webinare und Video-Tutorials zum Thema AV und DSGVO.

Sören Siebert
Sören SiebertRechtsanwalt

Diese Verträge zur Auftragsverarbeitung zwischen Ihnen als Auftraggeber und dem externen Dienstleister als Auftragnehmer wurden bisher in § 11 BDSG geregelt. Durch die DSGVO entstehen über die bisherige Regelung hinausgehende Anforderungen, sodass Sie als Webseitenbetreiber die bestehenden Verträge dahingehend überprüfen müssen – und Altverträge nach Bedarf zeitnah ersetzen sollten.

Wichtig sind für einen DSGVO-konformen AV zwischen Ihnen und Auftragnehmern insbesondere die folgenden Inhalte:

  • Inhalt der Verarbeitungstätigkeit
  • Dauer der Verarbeitungstätigkeit
  • Art und Weise der Verarbeitungstätigkeit
  • Art und Kategorie der betroffenen Daten
  • Umfang der Weisungsbefugnisse
  • Existenz einer Verschwiegenheitsverpflichtung
  • Vorliegen der technischen und organisatorischen Rahmenbedingungen gem. Art. 32 DSGVO
  • Regelungen für externe Dienstleister und Subunternehmer
  • Klauseln zur Mitwirkung bei Auskunftsrechten der Betroffenen und der damit verbundenen Meldepflicht
  • Informationspflicht des Auftragnehmers zur Einhaltung der Regelungen und Vorschriften
  • Abwicklung von Rückgabe und / oder Löschung der personenbezogenen Daten nach Beendigung der Verarbeitungstätigkeit
  • Umfang der Mitwirkung bei Kontrollen und Überprüfungen.

Wichtig für Sie als Auftraggeber: Bei Datenschutzverstößen sind Sie auch nach den Regelungen der DSGVO der erste Ansprechpartner für den oder die Betroffenen. Jedoch geht die DSGVO bei der Haftung weiter als das Bundesdatenschutzgesetz: Gemäß Art. 82 DSGVO haften der Auftraggeber und der Auftragnehmer gemeinsam gegenüber dem Betroffenen. Die Haftung des Auftragnehmers ist dabei auf die Verstöße beschränkt, die sich aus der Verletzung seiner Pflichten aus dem konkreten AV heraus ergeben.

11.3 Wie gehe ich die Umstellung auf DSGVO-konforme Auftragsverarbeitung an?

Damit Sie nach dem 25. Mai 2018 auf der rechtlich sicheren Seite stehen, ist eine Überprüfung bereits bestehender AV dringend angezeigt. Checken Sie diese in Bezug auf die oben aufgeführten Rahmenbedingungen und Kriterien und schließen Sie neue Verträge ab, wenn alte Verträge den gesetzlichen Anforderungen nicht genügen.

Unsere Liste der wichtigsten Unternehmen, die im Rahmen von online Shops und Internetdienstleistungen von Relevanz sind, kann wichtige Hilfestellung leisten.

Auftragsverarbeitung durch Provider

Auftragsverarbeitung durch Newsletter-Dienste

Auftragsverarbeitung durch Google

  • Google Analytics: Den aktuellen Google Analytics AV-Vertragfinden Sie, wenn Sie sich in Ihrem Google-Analytics-Konto unter Verwaltung --> Kontoeinstellungen einloggen, finden Sie dort den "Zusatz zur Datenverarbeitung".

Praxistipp: Zahlreiche Dienstleister, die im Outsourcing von Unternehmen, online Shops oder auch Bloggern genutzt werden, stellen trotz der langen Vorlaufszeit noch keine DSGVO-konformen Verträge zur Verfügung.

Als Shop- bzw. Webseitenbetreiber sollten Sie Ihre ausgelagerten Verarbeitungstätigkeiten genau unter die Lupe nehmen und bei den jeweiligen Partnern nachhaken: Verträge, die nicht den Anforderungen der DSGVO entsprechen, verstoßen in jedem Fall gegen die europäische Richtlinie und können Bußgelder und Sanktionen nach sich ziehen.

Als Betreiber sind Sie selbst in der Pflicht, für den Schutz von Userdaten zu sorgen. Natürlich erfordert das die Mitwirkung des externen Dienstleisters – werden Sie aktiv und sprechen Sie Ihre Partner auf das Thema DSGVO-konforme Auftragsverarbeitung an.

Praxistipp: Live-Webinar mit Rechtsanwalt Sören Siebert zum Thema AV Vertrag und DSGVO am 25. Juli 2018, 11 Uhr. Kostenfrei für eRecht24 Premium Mitglieder.

Sören Siebert
Sören SiebertRechtsanwalt

Neu nach DSGVO: keine Schriftform mehr erforderlich

Die DSGVO enthält aber auch eine wichtige Erleichterung für Unternehmen beim Abschluss eines AV-Vertrages: Diese Verträge müssen nicht mehr ausgedruckt, unterschrieben und Post verschickt werden. Die DSGVO erlaubt nun auch den Abschluss auf elektronischem Wege.

Anbieter, die mit Ihren Kunden AV Verträge abschließen, können diese also ab dem 25. Mai 2018 dann auch online zur Verfügung stellen. Wichtig ist aber, dass der Abschluss der Verträge und die Zuordnung zu einem konkreten Kunden trotzdem rechtssicher dokumentiert werden muss.

Google zum Beispiel hat diesen elektronischen Abschluss für Google Analytics bereits umgesetzt:

Wenn Sie sich in Ihrem Google-Analytics-Konto unter Verwaltung --> Kontoeinstellungen einloggen, findne Sie dort den "Zusatz zur Datenverarbeitung".

Neue Bußgeldregelungen durch die DSGVO

Entspricht die Vereinbarung zur Auftrags(daten)verarbeitung nicht den Anforderungen der DSGVO, begehen Unternehmen eine Ordnungswidrigkeit, die nach Art. 83 Abs. 4 lit. a DSGVO mit einem Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden kann.

Praxis-Tipp: Bei eRecht24 Premium  finden Sie Agentur und Webdesigner einen Muster AV-Vertrag, den Sie mit Ihren Kunden abschließen können. 

Sören Siebert
Sören SiebertRechtsanwalt

12. Checkliste zur Auftrags(daten)verarbeitung

ADV-Vertrag abschließen!

Unternehmen, die Kundendaten an externen Dienstleister zur Bearbeitung weiter geben, müssen einen schriftlichen ADV-Vertrag abschließen, dessen Inhalt die DSGVO konkret vorgibt.

Kontrolle protokollieren!

Das beauftragende Unternehmen muss kontrollieren, dass sich der Auftragsnehmer an das Datenschutzrecht hält. Dazu kann er Vor-Ort-Kontrollen durchführen, das Testat eines Sachverständigen einholen, den Bericht des eigenen Datenschutzbeauftragten einholen oder eine schriftliche Auskunft des Auftragnehmers einholen. Die Kontrollen sind zu protokollieren.

Achtung bei Auftragnehmern im Ausland!

Ein ADV/ AV-Vertrag mit Anbietern außerhalb der EU (so genannte Drittstaaten) ist im Moment kaum möglich. Hier benötigen Sie oft eine gesetzliche Regelung dies erlaubt oder die Betroffenen müssen in die Datenverarbeitung einwilligen.

Hinweis auf Auftragsdatenverarbeitung!

Auf die Auftragsdatenverarbeitung sollte in der Datenschutzerklärung hingewiesen werden.

Muster-Verträge prüfen!

Vor der Verwendung von Muster-Verträgen zur Auftragsdatenverarbeitung sollte geprüft werden, ob diese der aktuellen Rechtslage und der seit Mai 2018 geltenden DSGVO entsprechen.

ADV-Vertrag bei eRecht24-Premium

Durch die  DSGVO hat sich vieles geändern. Bei eRecht24 Premium  finden Sie als Agentur einen Muster AV-Vertrag, Live Webinare und Video-Tutorials zum Thema AV und DSGVO.

Sören Siebert
Sören SiebertRechtsanwalt
Anzeige
Kommentare  
Andreas Mause
0 # Andreas Mause 12.10.2017, 10:32 Uhr
Sehr interessantes Thema. Ich stoße allerdings derzeit oft bei Kunden auf das Thema "Testat eines Sachverständigen". Gibt es dazu kostengünstigere Alternativen? Soweit ich recherchiert habe fallen alle 2 Jahre einige tausend Euro an. Für die wenigen Kunden die auf so etwas achten einfach völlig unsinnig.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Rechtsanwalt Sören Siebert
+1 # Rechtsanwalt Sören Siebert 16.10.2017, 11:49 Uhr
Was genau benötigen Sie denn, einen ADV-Vertrag für die Kunden Ihres Unternehmens?

Schicken Sie einfach etwas mehr Informationen an , wir melden uns gern mit einem Angebot.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Andreas Mause
0 # Andreas Mause 16.10.2017, 12:13 Uhr
@Herrn Siebert: nein, eine kostengünstige Alternative für ein Testat/Audit.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Rechtsanwalt Sören Siebert
0 # Rechtsanwalt Sören Siebert 16.10.2017, 12:16 Uhr
Wie gesagt, schicken Sie uns eine Mail mit etwas mehr Infos.

Sinnvoll wäre, dieses Testat dann ggf. gleich nach der neuen DSGVO zu erstellen.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Melanie
+1 # Melanie 07.12.2017, 07:45 Uhr
Was ist, wenn man kein Unternehmen ist? Sondern nur ein freiberuflicher Autor oder eine normale Person, die über einen Anbieter wie Mailchimp (USA) einen Newsletter versendet? Muss man sich dann auch über einen ADV-Vertrag absichern?
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Rechtsanwalt Sören Siebert
0 # Rechtsanwalt Sören Siebert 07.12.2017, 16:30 Uhr
Freiberufler sind auch Unternehmer. Bzw. was meinen Sie mit "normale Person"? Eine Privatperson versendet zu rein privaten Zwecken ja eher keine Newsletter.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Melanie
0 # Melanie 08.12.2017, 12:23 Uhr
Okay, dann bleiben wir beim freiberuflichen Autor und der Verwendung von Mailchimp als Newslettersystem, das in den USA seinen Sitz hat. Die Verwendung dieses Dienstes scheint dann ja nicht mehr möglich zu sein (sh. Checkliste Punkt 3 - Achtung bei Auftragnehmern im Ausland).

Generell ist meine Frage dann, wie soll eine freiberufliche Person (vor allem Autoren, für die eine E-Mail Liste das Wichtigste für ihr Buchmarketing darstellt), zusätzlich noch kontrollieren, dass sich der Auftragsnehmer an das Datenschutzrecht hält. Wie viel soll man als Alleinkämpfer denn noch stemmen müssen?
Sollte man dann nicht lieber selber die E-Mail Adressen sammeln, ohne Verwendung eines Newslettersystems?

Vielen Dank für Ihre Antwort.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Rechtsanwalt Sören Siebert
+2 # Rechtsanwalt Sören Siebert 08.12.2017, 14:05 Uhr
Wenn Sie sich entscheiden als Unternehmer zu arbeiten müssen Sie sich an die geltenden gesetzlichen Regelungen halten.

Die Gerichte sind da eher streng und sagen „Es macht keinen Unterschied, ob Sie, Ihr angestellter Mitarbeiter oder die Programmierer externer Tools in den USA sich nicht an die Gesetze halten. Sie als Unternehmer müssen sich schlau machen und dann Lösungen wählen, die nicht rechtswidrig sind. Sonst haften Sie dafür“.

Anders gesagt, nur weil mailchimp super Funktionen bietet heißt das nicht, dass die Gesetzeslage in Europa an die Erfordernisse von Entwicklern und Produkten aus den USA angepasst werden muss. Das gilt ja anders herum auch. Wenn Sie in den USA als Unternehmer tätig sind gelten dort die Regeln der USA.

Das ist natürlich aufwändig, und das Ergebnis ist dann ab und an „Dieses Tool kann ich hier wohl nicht rechtssicher nutzen“.

Wobei der Beitrag ja auch nicht sagt, dass es nicht möglich ist, Newsletteranbieter aus den USA zu nutzen. Der Aufwand drumherum (Privacy Shield, ADV mit US Unternehmen, Einwilligung) ist aber ggf. etwas höher.

Die einfache Alternativ, nutzen Sie Anbieter aus der EU.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Johny Varsami
-1 # Johny Varsami 04.01.2018, 13:12 Uhr
Oder - wenn man die ganzen Marketingfunktionen nicht braucht - einfach selbst phpList installieren.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Fischer
-1 # Fischer 21.03.2018, 17:03 Uhr
am besten auf einem Hostingpaket bei einem billigen US-Webhoster!!! ;)
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Jens
+2 # Jens 04.01.2018, 13:41 Uhr
Wie verhält sich das mit den Schadenersatzforderungen bei Subunternehmen die keinen ADV haben?

Als Webentwickler haben wir uns darauf spezialisiert unsere Leistungen an andere Agenturen zu vermitteln. Wir arbeiten also als Subunternehmen für die Agenturen, welche für die eigentlichen Endkunden tätig sind. In dem Text wird überwiegen davon gesprochen, welche Konsequenzen es für Auftraggeber hat, keine ADV mit den Subunternehmen zu schließen. Wie verhält sich das denn mit uns als Sub:
  • Wenn der Auftraggeber uns keinen ADV anbietet, müssen wir darauf bestehen?
  • Wird kein ADV geschlossen und es gibt Probleme zwischen Endkunde/Agentur, inwiefern sind wir dann davon betroffen?


Wir halten nach jetzigem Stand bereits die DSGVO ein und dies gilt auch bei allen anderen Datenschutzbestimmungen.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Reinhard
+2 # Reinhard 09.01.2018, 16:04 Uhr
Wenn man der Definition zur ADV folgt, sind dann nicht auch Steuerberater und Rechtsanwälte Auftragsdatenverarbeiter?
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Peter
+5 # Peter 28.01.2018, 16:43 Uhr
Sehr interessant, danke.

Mich würde ebenfalls interessieren, inwiefern mein Steuerberater und die Datev (sie verarbeiten und speichern im Auftrag Lohnabrechnungen der Mitarbeiter) sowie beispielsweise auch meine Hausbank (führt im Auftrag Lastschriften durch) Auftragsdatenverarbeiter sind. Mein Gefühl sagt mir, sie sind es und es wird entsprechend eine ADV benötigt.

Und was ist mit öffentlichen Einrichtungen, wie dem Finanzamt, der Unfallversicherung, der Rentenversicherung etc.? Wird hier keine ADV benötigt?

Danke und Gruß!
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Mike
+6 # Mike 30.01.2018, 19:29 Uhr
Danke erst einmal für den vorliegenden Beitrag! Ich bin allerdings etwas verwirrt.

Ich habe einen Webserver mit persönlichem Blog. Der Webserver ist auf einem gemieteten Server installiert.

Muss ich als Privatperson (kein Unternehmen, kein Freiberufler) einen ADV-Vertrag mit meinem Serveranbieter abschließen, weil technisch bedingt beim Aufruf meiner Website IP-Adressen (nach Rechtslage DEU personenbezogen) erfasst werden, obwohl ich diese nicht speichere?

Danke für die Aufklärung!
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Pütz
0 # Pütz 23.03.2018, 16:11 Uhr
Hallo genau diese Frage beschäftigt mich auch.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Rüdiger
+2 # Rüdiger 07.02.2018, 13:35 Uhr
Vielen Dank für diesen Artikel.
Zwei Fragen beschäftigen mich und vielleicht viele andere:
eRecht24 bietet selbst einen Newsletter an und arbeitet hier mit Klick-Tipp zusammen, insofern sind Sie eigentlich auch davon betroffen.
Ich selbst finde Klick-Tipp hervorragend, bietet es doch auch eine ganze Reihe von Tracking-Funktionen. Das Tagging bei Klick-Tipp erlaubt weitere Auswertungen und Analysen der Newsletter-Abonnenten, bis hin zum Verhaltenstracking von Webseitenbesuchen (Tagging-Pixel).
Frage 1: Muss man nun für jedes Tag das gesetzt wird, ein Einverständnis des Newsletter-Abonnenten einholen?
Frage 2: Klick-Tipp hat seinen Sitz in London, Großbritanien. Was passiert nach dem 29. März 2019, wenn Großbritanien nicht mehr Mitglied der EU ist? Gibt es dann größere Schwierigkeiten wegen der DSGVO?
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Rechtsanwalt Sören Siebert
+1 # Rechtsanwalt Sören Siebert 15.03.2018, 09:01 Uhr
Wir stehen wegen dieser Fragen in Kontakt zu Klick-Tipp, vor allem was die DSGVO Umsetzung angeht. Wenn wir Aussagen dazu haben werden wir diese gern weiter geben.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Daniela
0 # Daniela 20.03.2018, 11:32 Uhr
Bei meiner Recherche bzgl. der zulässigen Formschrift eines ADVs kam die Frage auf, ob ein ADV auch mittels eines Onlineformulars mit Einwilligung in Form einer Checkbox abgeschlossen werden? Beispielsweise bietet dies die DATEV an.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Stefan
+2 # Stefan 22.03.2018, 12:02 Uhr
Was ist mit Online-Gästebüchern und Foren, bei denen personenbezogene Daten (Name*, E-Mail-Adresse*, beliebiger Kommentar) in einer zum Webpaket gehörigen Datenbank auf dem Server des Providers gespeichert werden? Benötigt man da als Betreiber einer privaten oder einer Vereins-Homepage auch so einen ADV-Vertrag?

*) Das sind übrigens alles freiwillige Angaben, die auch nicht auf Korrektheit validiert werden.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Daniel McD.
0 # Daniel McD. 22.03.2018, 12:21 Uhr
Typo:

"Die DSGVO enthält aber auch eine wichtige Erleichterung für Unternehmen beim Abschluss eines AV-Vertrages: Diese Verträge müssen nicht mehr ausgedruckt, unterschrieben udn Post Post verschickt werden. Die DGVO erlaubt nur auch den Abschluss auf elektronischem Wege."

"udn Post Post"
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Daniel McD.
0 # Daniel McD. 22.03.2018, 12:22 Uhr
"DGVO erlaubt nur" auch zwei Fehler?
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Rechtsanwalt Sören Siebert
+1 # Rechtsanwalt Sören Siebert 22.03.2018, 12:47 Uhr
zitiere Daniel McD.:
"DGVO erlaubt nur" auch zwei Fehler?

Nein, die DSGVO erlaubt nur einen Fehler ;-)
Ist korrigiert....
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Daniel McD.
0 # Daniel McD. 22.03.2018, 12:24 Uhr
Haben Sie auch ein Beispiel oder eine Erläuterung wie sowas elektronisch aussieht / gemacht werden kann?
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Lorenz
0 # Lorenz 22.03.2018, 13:07 Uhr
"Externe Unternehmen mit der Buchhaltung/ Gehaltsabrechnung beauftragen"

gilt das auch wenn ein Steuerberater beauftragt ist?
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
M. Schmid-Hügel
0 # M. Schmid-Hügel 22.03.2018, 14:09 Uhr
Ich betreibe eine Webseite, in die ich an mich übermittelte Daten und Texte von Firmen einfüge, ähnlich einer Zeitung. Ich habe keinen Zugriff auf externe Daten. Ich verwende nur die, die sich direkt auf die beauftragende Firma beziehen. Newsletter verschicke ich direkt vom Firmen-PC. Brauche ich überhaupt einen ADV-Vertrag?
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Johny
0 # Johny 22.03.2018, 14:13 Uhr
Was ist, wenn man bei einem US-Unternehmen, das auch einen Sitz in Deutschland hat, E-Mail-Postfächer hat, die auf US-Servern liegen?
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Heinz
+1 # Heinz 22.03.2018, 20:31 Uhr
Die Frage von Johny interessiert mich auch. Ein Verwandter hatte bis vor kurzem einen kleinen Webshop, bei dem die Aufträge von PayPal via PHP script Interface an ihn übermittelt wurden und von ihm automatisch die Auftragsbestätigung per e-mail über Google-Mail an seine Kunden versandt wurde. Damit waren Name und e-mail-adresse seiner Kunden bei PayPal und bei Googlemail bekannt (beides US Firmen mit Servern in USA). Wäre so eine Konstruktion ab Mai nicht mehr zulässig?
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Mateo
0 # Mateo 22.03.2018, 21:13 Uhr
Kleiner Tippfehler ganz unten:

"Vor der Verwendung von Muster-Verträgen zur Auftragsdatenverarbeitung sollte geprüft werden, ob diese der aktuellen Rechtslage und der ab Mai 2019 geltenden DSGVO entsprechen."

Wahrscheinlich meint ihr ab Mai 2018.

LG und Danke für die guten Infos! Weiter so!

Mateo
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Schumacher
0 # Schumacher 23.03.2018, 08:42 Uhr
Hallo Herr Siebert,
für meine Firma (kleines Maklerbüro), nimmt ein Telefonservice eingehende Anrufe entgegen, es werden Telefonnummer und Email abgefragt zwecks Rückruf. Muss ich mit dieser Firma den ADV abschließen oder muss die Firma auf mich zukommen, reicht das dann ab dem 25.5.?
Beste Grüße!
B. Schumacher
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Pütz
0 # Pütz 23.03.2018, 10:51 Uhr
Hallo Herr Siebert,

Wenn ich als Privatperson einen Blog betreiben möchte, muss ich dann einen AV Vertrag mit meinem Hosting Partner der meinen Root Server in seinem RZ betreibt abschließen? Den Server verwalte ich selbst.

Viele Grüße
S. Pütz
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Pütz
0 # Pütz 23.03.2018, 13:11 Uhr
Anmerkung:
Es handelt sich um einen deutschen Hoster. Der Server wird in Frankreich gehostet. Privater Blog-Betrieb heißt, private Themen aber evtl. mal sowas wie Amazon Affiliate einzusetzen.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Max
+14 # Max 23.03.2018, 19:59 Uhr
Fragen über Fragen und massenhaft Unsicherheiten bei Firmengründer, Kleinuntrnehmern und Vereinen. Diese DSGVO ist wohl der nächste Schrit zur totalen Entmündigung der Menschheit (Kunden). Auf Facebook und Co. werden laufend Informationen gepostet, die wesentlich einfacher für kriminelle Handlungen missbraucht werden können als es der Besuch einer Webseite bzw. die Adressangabe eines Kunden bei einer Bestellung möglich machen.
Kein Wunder, dass Startups und Firmengründer Europa verlassen und in den USA die Firma aufbauen. Mit diesem Regulierungswahn schwächt die EU das Verantwortungsbewusstsein seiner Bürger und stell den Unternehmern ständig sinnlose Hürden in den Weg.
Jeder Bürger hat die Pflicht, mit seinen Daten vorsichtig umzugehen. Die Nutzer von Facebook und Co, die auf deren Plattformen zahlreiche Details über ihr Leben und den eigenen Daten preisgeben, wird es weiterhin geben. Dabei hilft eine übertriebenen Regulierung beim Datenschutz nichts. Die tatsächlichen Betrüger sind immer mehrere Schritte voraus. Der Bürger muss mündiger werden und seine Daten besser schützen. Mehr Aufklärung über die Möglichkeiten der Datensammlung und deren missbräuchliche Verwendung wäre längst angebracht, sodass jeder Bürger sich selbst schützen kann. (Cookie-Opt-Out, Browser-Plugins etc.).
Wer von euch liest bei jedem Online-Shop, in dem er Produkte kauft, das Impressum, die AGBs, das Widerrufsrecht und die Datenschutzbestimmungen durch?
Wohl kaum jemand.
Wer versteht überhaupt zur Gänze die AGBs?
Auch die Datenschützer benötigen Ihre Daseinsberechtigung, doch sollte man am Boden der Realitäg bleiben.

LG, Max
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Martin Brückner
0 # Martin Brückner 26.03.2018, 15:11 Uhr
Unter 9. steht: "In welchen Fällen der externe Dienstleister einen Datenschutzbeauftragten bestellen muss, ergibt sich aus § 4f Abs. 1 Satz 3 BDSG."

Soweit ich das verstanden habe, gilt diese Fassung des BDSG aber nur bis 25.05.2018. Wo findet man die Voraussetzungen für die Bestellpflicht eines Datenschutzbeauftragten in der ab 25.05.2018 geltenden Fassung?
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Klaus Dieter Claßen
0 # Klaus Dieter Claßen 30.03.2018, 18:01 Uhr
Hallo Herr Siebert
Ich bin durch eine Bekannte, die mir den Link Ihrer Seite zugeschickt hat, aufmerksam geworden.
Sie meinte, ich müsse auch für meine Website eine Absicherung haben.
Ich bin Privatperson und fotografiere in meiner Freizeit auf kleinen Konzerten und in Musikkneipen regelmäßig.
Zur Zeit habe ich eine Website von Wordpress, auf der ich ein Teil meiner Fotos publiziere.
Nun habe ich vor, mir eine neue Site anzulegen, auf der ich nicht nur meine Konzertfotos, sondern in Zukunft auch Konzertvideos und meine "privaten" Fotos bspw. Naturfotos ect. publizieren möchte.
Meine Frage dazu: Muss ich auch einen AV-Vertrag haben?

im voraus vielen Dank
mit freundlichen Grüßen
K.D.Claßen
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Matthias
+5 # Matthias 10.04.2018, 16:45 Uhr
Hallo,

muss mit der DHL (Versanddienstleister per EasyLog) und PayPal (unser Zahlungsanbieter) ein ADV abgeschlossen werden?

Bei PayPal heisst es vom Kundenservice: NEIN. Das mag ich aber nicht glauben.

Beste Grüße
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Isabell
0 # Isabell 09.05.2018, 08:51 Uhr
Bei DHL ist es nach meinem Wissen nicht notwendig (gehört zur deutschen Post und die zählen als "Geheimnisträger"). Bei PayPal bin ich überfragt..
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Dominik
+1 # Dominik 10.04.2018, 18:58 Uhr
Hallo Herr Siebert,

ich betreibe als Einzelperson eine Werbeagentur und stoße etwas an meine rechtlichen Grenzen.

Ich Sammle generell keine Daten der Kunden meiner Kunden. Ich erstelle meinen Kunden lediglich Ihre Facebook Posts und bewerbe diese über die Facebook Ads. Ebenso erstelle ich meinen Kunden google Kampagnen. Die Auswertungen hieraus können die Kunden sich selbst ansehen, ich bereite hier nicht weiter vor, oder verarbeite/speichere diese bei mir.
Meine Kunden weiße ich natürlich auf den Datenschutz(Optin) usw hin, erwähne aber auch, dass diese Info keine rechtssicherheit für diese darstellt. usw.

Dass ich nun einen angepassten Vertrag zur Auftragsdatenverarbeitung benötige habe ich verstanden, aber inwieweit hafte ich als Einzelunternehmer für Fehler? Einen Datenschutzbeauftragten kann ich ja nicht stellen, da ich nur selbst daran arbeite als Einzelunternehmer.

Inwieweit muss ich mich selbst absichern? Was muss ich dokumentieren? Ich kann mich ja nur selbst zur Vertraulichkeit verpflichten...

Über eine Rückmeldung wie ich mir aufstellen sollte freue ich mich, da es als Kleinunternehmen sonst eher schwierig wird...
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Reto
0 # Reto 13.04.2018, 07:46 Uhr
Die Nutzung von Mailchimp sollte weiterhin möglich sein. Das Unternehmen bietet neu in deren Formularen zum Sammeln von E-Mail Adressen die entsprechenden Checkboxen.

Zudem kann online ein ADV abgeschlossen werden. Hier ein Muster: https://mailchimp.com/legal/forms/data-processing-agreement/sample-agreement/

Wie sehen Sie dies?

Wie sieht es aus mit einem Service von Patreon (www.patreon.com) Dies ist wohl eher nicht mehr nutzbar derzeit?

Freundliche Grüsse
Reto
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Brigitte
+2 # Brigitte 16.04.2018, 21:05 Uhr
Hallo,
was mir bei ADV noch immer nicht ganz klar ist: Muss ich auch mit meinem Festnetz-/Internetanbieter (M-Net) und / oder meinem Mobilfunkanbieter (o2) einen Vertrag zur Auftragsdatenverarbeitung abschließen?
Danke und freundliche Grüße
Brigitte
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
P. Müller
+14 # P. Müller 24.04.2018, 05:55 Uhr
Hallo,
wenn ich als Grafiker, Druckdaten wie Visitenkarten oder Briefpapier
in eine Druckerei (zB auch online-Druckerei) gebe, muss ich dann einen ADV mit dieser Druckerei abschließen? (Da sich ja personenbezogene Daten auf den Drucksachen befinden)
Oder muss ich den ADV erst abschließen, wenn ich der Druckerei den Namen und die Adresse meines Kunden gebe, damit diese die Drucksachen direkt an meinen Kunden schicken/liefern kann?

Herzlichen Dank
P. Müller
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Caroline
+1 # Caroline 01.05.2018, 22:35 Uhr
Finde ich auch höchst interessant!
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
T.Strobel
0 # T.Strobel 18.05.2018, 11:18 Uhr
Sehr gute Frage. Würde mich auch interessieren!
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Stephan
0 # Stephan 25.04.2018, 13:04 Uhr
Hallo,

wenn ich als professioneller Fotograf Bilder mit Personen bei Facebook oder einer anderen Internetseite einstelle, benötige ich dann mit der jeweiligen Seite einen Audtragsverarbeitungsvertrag?
Wenn Fotos personenbezogene Daten darstellen, gebe ich diese ja an die jeweilige Internetseite weiter, auf der sie dann gezeigt werden. Müssen dann für jede Seite Verträge geschlossen werden?
Dies würde ja alle möglichen Portale betreffen, auf denen man Bilder zeigen kann?

Vielen Dank
Stephan
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
freeman
-10 # freeman 30.04.2018, 13:42 Uhr
Müssen müssen nur Personen etwas, Menschen NICHT!
Warum verbeugen sich hier alle vor diesem Faschisten-System EU/BRD?
Ich nicht, definitiv NICHT. Bin Mensch und auch kein Personalausweisträger mehr.
Diese DS-GVO ist nix anderes als ein Ermächtigungsgesetz der NAZIS und verstößt u.a. gegen das GG. Artikel 20 Abs. 4 MUSS endlich zur Anwendung kommen!
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Ramona
0 # Ramona 07.05.2018, 09:30 Uhr
Hallo Herr Siebert,

wenn wir eRecht24 als Abo/Agenturlösung verwenden (Impressum-Kundendaten sind im eRecht-Backend gespeichert) müssen wir auch einen AD-Vertrag haben?

Vielen Dank & freundliche Grüße
Ramona
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Janine
+1 # Janine 09.05.2018, 15:10 Uhr
Ich bin etwas verwirrt was den Punkt 10 anbelangt.
Muss ich die Auftragsdatenverarbeitung in meiner Datenschutzerklärung erwähnen?

Soll jeden externen Dienstleister in der Datenschutzerklärung auf meiner Webseite nennen? Oder nur auf die Datenübertragung der erfassten Daten auf der Website bezogen?

Also Beispielsweise Namen des Providers mit dem ich einen AV Vertrag abschließe bezüglich der LogFiles?

Muss ich als Werbeagentur ebenfalls erwähnt werden, wenn ich für den Kunden beispielsweise Analytics Daten auswerte?
Oder gedruckte Mailings an seine Kunden versende?

Muss dann dort stehen Agentur xy
Nennung
- Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten,
- über die Verarbeitung seiner Daten in allgemein verständlicher Form ...

Vielen Dank
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Paul Voth
+2 # Paul Voth 14.05.2018, 21:34 Uhr
Das würde mich auch interessieren. Ich verstehe nicht, warum diese Fragen hier nicht beantwortet werden.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Roman
+1 # Roman 10.05.2018, 13:35 Uhr
Vielen Dank für den informativen Artikel. Laut Kundensupport von FB muss man mit Facebook keine ADV abschließen. Hier ist ihre Antwort auf die Frage nach einem ADV-Template:

"Bei Nutzung von Custom Audiences und bei Messungen und Analysen, die sich auf facebook-Werbeanzeigen beziehen fungiert facebook als Auftragsverarbeiter. In diesem Fall ist nach Inkrafttreten der EU-DSGVO (GDPR) eine vertragliche Regelung notwendig. Gibt es hierfür separate Dokumente / Verträge oder wird das über die Nutzungsbedingungen abgedeckt?"

Die Antwort:
"Hallo Magnus,

es ist nicht notwendig einen Vertrag zu schließen mit Facebook. Der Facebook Pixel sowie alle von Facebook zur Verfügung gestellten Funktionen und Dienste sind konform mit der Datenschutzgrundverordnung (DSGVO). Als Datenverantwortlicher sorgt Facebook für die Einhaltung der DSGVO.

Bei der Verwendung bestimmter Werbetools, zum Beispiel beim Hochladen einer Custom Audience und bei der Verwendung von Lead Ads und in alle Fällen wo du als Werbetreibender die Daten erhebst, bist du Datenverantwortlicher. So sind Werbetreibende gemäß DSGVO die Datenverantwortlichen für Kundenlisten, die für die Erstellung von Custom Audiences hochgeladen werden. Du bist dafür verantwortlich, bei der Verwendung dieser Daten die Einhaltung geltenden Rechts sicherzustellen. Das bedeutet, dass du u. a. eine klare Rechtsgrundlage für die Erhebung der Daten haben musst (z. B. Einwilligung, Erforderlichkeit für Vertragserfüllung oder berechtigte Interessen).

Im Falle von Lead Ads sind sowohl Facebook als auch das Unternehmen Datenverantwortliche. Demzufolge sind beide Parteien dafür verantwortlich, die Einhaltung sicherzustellen, indem sie einen Hinweis bereitstellen und eine Rechtsgrundlage für die Verarbeitung der von einem Nutzer/einer Nutzerin bereitgestellten Daten schaffen.
Du kannst dich über Facebooks Engagement und Vorbereitung zur Einhaltung der DSGVO informieren unter: https://www.facebook.com/business/gdpr/?ref=u2u

Viele Grüße"

Stimmen Sie der Einschätzung von Facebook überein?

Vielen Dank für Ihre Antwort!

Liebe Grüße,
Roman
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
H. Filipczyk
+2 # H. Filipczyk 10.05.2018, 13:46 Uhr
Hallo!
Muss ein Verein (e.V.), der Spenden über einen auf der eigenen Website eingebundenen Paypal-Spenden-Button sammelt, einen Vertrag zur Auftragsverarbeitung mit Paypal abschließen? Ist eine gesonderte Erwähnung in der Datenschutzerklärung notwendig? Wenn ja, wo finde ich diesen Passsus? (Ich konnte diese nicht in Ihrem Datenschutzgenerator finden)
Herzlichen Dank und freundliche Grüße
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
fynn
0 # fynn 13.05.2018, 16:54 Uhr
Hallo

Darf ein externer Dienstleister für den Vetrag eine Gebühr nehmen oder muss er kostenfrei zur Verfügung gestellt werden?
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Mischa
+1 # Mischa 13.05.2018, 18:07 Uhr
Ich brauche unbedingt Hilfe! Ich habe ein Portal für eine gewisse Zielgruppe selbst programmiert und hoste diese auf angemieteten Servern mit root-rechten (bin also selbst für die Server verantwortlich). Für meine Mitglieder gibt es einen kostenlosen und eine kostenpflichtigen Bereich. Die IP verwende ich zur Überwachung des Login-Prozesses und für die Abwehr von Content-Grabbern und Angreifern. Die Mitglieder können selbst entscheiden, welche Informationen sie preisgeben wollen. Für kostenpflichtige Dienste werden die Abrechnungsdaten noch altmodisch per Fax übermittelt. Muss ich mit allen 8000 Mitgliedern jetzt einen AV Vertrag abschließen? Reicht die Datenschutzerklärung, die ich mit e-Recht24 generieren kann?
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Max HT
0 # Max HT 14.05.2018, 15:39 Uhr
Auf die Auftragsdatenverarbeitung sollte in der Datenschutzerklärung hingewiesen werden.
-->
Wie sieht ein solcher Hinweis in der Praxis aus (Beispiel: google analytics)
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Paul Voth
+3 # Paul Voth 14.05.2018, 21:33 Uhr
Warum werden hier eigentlich so gut wie keine Fragen beantwortet???
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Tissen
-1 # Tissen 17.05.2018, 09:42 Uhr
Guten Morgen, als Dienstleister uím Bereich Content-Pflege und Texterstellung arbieten wir für unsere Kunden in deren ContentManagemetSystemen und setzen auch Google analytics ein. Auf die personenbezogenen Daten der Webseiten-Nutzer haben wir keinen Zugriff und arbeiten auch nicht im CRM-Kontext nicht mit iesen Daten. Über unsere Analyse-Systemen werden anonymisierte Profile erstellt und wir können damit das Verhalten der Nutzer auf der Webseite nachvollziehen. Benötigen wir nun von unseren Auftraggebern nach DSGVO Vorgaben einen ADV-Vertrag? Vielen Dank und viele Grüße O
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Daniel
0 # Daniel 19.05.2018, 16:20 Uhr
Hallo zusammen,
super Artikel, danke schon mal dafür!

- ich nutze zum Versenden des Newsletters Mailchimp
- ALLE Abonnenten haben sich per Double Optin registriert
- mir ist bewusst, dass alle NEUEN Abonnenten ab dem 25.5. den spezifischen DSGVO Regeln per Checkbox zusätzlich zustimmen müssen

Frage:
Müssen die bestehenden Abonnenten den Hinweis zur DSGVO Datenverarbeitung + Sitz des Unternehmens (Mailchimp) in den USA zustimmen?

Wenn ja, würden ja zahlreiche Versender ordentlich "kaputt" gehen, da die redlich generierten Listen (Double Optin) um ca. 70-80% schrumpfen würden.

Was meinen Sie?
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Kristian
0 # Kristian 20.05.2018, 04:58 Uhr
Hallo Herr Siebert,

ich setze mich gerade mit dem Muster-Vertrag zur Auftragsdatenverarbeitung im Premium-Bereich auseinander und lese mir die ganzen Verweise durch. Dabei ist mir ein kleiner aber event. folgenschwerer Fehler aufgefallen. In Punkt 7.1 müsste es doch heißen Kapitel III, Art. 12 - 23, statt 12 - 22, oder?

@Daniel: Schau mal auf https://www.trendingtopics.at/so-passt-man-den-newsletter-dienst-mailchimp-an-die-regeln-der-neuen-dsgvo-an/
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Pierre
0 # Pierre 22.05.2018, 13:10 Uhr
Hallo Zusammen

Frage: AV-Vertrag bei Reseller

Wie sieht es aus wenn meine Webseite nicht auf einem eigenen Serverpaket gehostet ist, sondern bei jemandem anderen auf dem Server liegt (Reseller Account)?
Muss ich da einen AV-Vertrag mit dieser Person schliessen, oder direkt mit dem Provider?

Hat jmd dazu Informationen?
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Kristian
+1 # Kristian 22.05.2018, 15:35 Uhr
Du mit dem Reseller und der Reseller mit dem Provider. In dem Vertrag, den Du mit dem Reseller abschließt, muss dieser den Provider als Unterauftragnehmer angeben. Ich bin als Reseller gerade in genau so einer Situation.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Pierre
0 # Pierre 22.05.2018, 17:02 Uhr
Ok, danke für die Info. Ich mach das mal. Woher hast Du die Info? Grüße
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Michael Gehlert
+1 # Michael Gehlert 27.05.2018, 14:17 Uhr
Hallo zusammen,
ADV für Google Dienste sind mittlerweile ja zur Genüge behandelt worden. Aber wie sieht es mit den geschäftlich (auch von Kunden und Mandanten) zur Kontaktaufnahme und Beratungsanfragen sehr stark zunehmend genutzen Geschäftskontakte-Plattformen wie exemplarisch „Linkedin.com“ und insbesondere bei dem Deutschen Unternehmen „Xing.com“ aus? Letzteres behauptet nämlich auf meine explizite Anfrage, dass kein ADV benötigt und somit auch nicht bereitgestellt würde, da die, auf den von XING -Premium Mitgliedern Accounts genutzen Dienste keine Auftragsdaten verarbeiten (würden). Dies ist m-E. jedoch eine falsche Annahme, denn bereits das bis zum 24.05-2016 gültige alte Bundesdatenschutzgesetz definiert personenbezogene Daten als Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 BDSG) - und die diesbezüglichen Bestimmungen sind durch die nunmehr geltende DSGVO noch wesentlich stringenter auszulegen.

Da jedes Unternehmen, bzw. jeder unternehmerisch/gewerblich tätige und Freiberufler als Auftraggeber alleinverantwortlich im Sinne der DSGVO betrachtet wird, ist es m.E. von geradezu existenzieller Bedeutung, sich von externen Dienstleistern – egal welcher Größenordnung – nicht mit Sätzen wie „das brauchen wir nicht“, das ist alles DSVG- und BDSG Konform, unsere Spezialisten haben das geprüft“ und ähnlichen unqualifizierten Stellungnahmen a`la „wischi-waschi“ abspeisen zu lassen. Ich bin kein Freund von Abmahnungen, aber gegen die "sprichwörtlicher "Verdummbeutelung" ihrer zahlenden B2B-Kunden, Zitat eines für die DSGVO-Einhaltung zuständigen Supportmitarbeiters, mir vorgestellt als "unser DS-Spezialist" und "Sie sind der allererste, der nach so etwas... was war das nochmal .... ADV? hmm.... fragt, dann kann es ja nichts Gravierendes sein und sie können versichert sein, dass unsere Datenschutzabteilung alles Notwendige getan hat; ich darf ihnen diesbezüglich auch keine weiteren Auskünfte erteilen" oder arrogantes Auftreten hilft uns allen als Betroffene Risikoträger eine wettbewerbsrechtlich getragene Abmahnungsandrohung gegen solche externen Dienstleister sicherlich, um für (unsere)Rechtssicherheit zu sorgen.

Und, auch im Rahmen der Auftragsdatenverarbeitung verarbeitet ein externer Dienstleister (exemplarisch also etwa XING, beim Profiling und Google beim Google Analytics) als „verlängerter Arm“ des Unternehmens personenbezogene Daten des Nutzers. Darauf sollte das beauftragende Unternehmen in der Datenschutzerklärung unbedingt hinweisen. Findet sich in der Datenschutzerklärung kein Hinweis auf die Verarbeitung der Daten, kann es richtig teuer werden: Datenschutzbehörden können Datenschutzverstöße mit einem Bußgeld von bis zu 50.000 Euro ahnden (§ 16 Abs. 2 Nr. 2, Abs. 3 TMG). Außerdem drohen dem Auftragsgeber wettbewerbsrechtliche Abmahnungen von Konkurrenten.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Hartmut
0 # Hartmut 28.05.2018, 16:22 Uhr
Schöne Seite, als Anwalt sollte man vielleicht den Unterschied zwischen 'bußgeldbewehrt' und 'bußgeldbewährt' (was soll das überhaupt sein) kennen. Aber für einen Lacher immer gut...
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Christian
+1 # Christian 29.05.2018, 13:49 Uhr
Hallo, ich bin Grafiker und nutze den Anbieter Dropbox und Apple iCloudDrive um meine gesamten Kundendaten (Layouts, Feindaten, Rohdaten, Rechnungen, PDFs usw.) jederzeit an mehreren Rechnern bereit zu haben und zu bearbeiten. Muss ich die Firmen im AV-Vertrag angeben? Danke. Grüße Christian
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
EM
0 # EM 30.05.2018, 14:40 Uhr
Hallo,

ich bin Webhosting-Kunde von WEB.DE und habe mich vor einigen Wochen nach einem AVV erkundigt. Gestern habe ich folgende Nachricht von WEB.DE erhalten:


„Die Datenverarbeitung von Telekommunikationsdiensten ist bereits im Telekommunikationsgesetz geregelt. Dies gilt auch für die Nutzung von E-Mail-Postfächern sowie darüber abgeschlossene Verträge. Ein zusätzlicher Abschluss eines Auftragsverarbeitungsvertrages ist daher nicht erforderlich.“


Das stimmt natürlich nicht, sonst würde niemand einen AVV benötigen.

Heute habe ich per Zufall erfahren, dass WEB.DE pünktlich zum Inkrafttreten der DSGVO am 25.05.2018 die AGB dahingehend geändert haben, dass nur noch die private Nutzung vorgesehen ist, um den Bestimmungen der DSGVO zu umgehen. WEB.DE hat mir diese Änderung in keiner Weise mitgeteilt.

"2 Nutzerkreis, Registrierung & Nutzung
2.2. Die registrierungspflichtigen WEB.DE-Dienste einschließlich ihrer Zusatzdienste sind ausschließlich für die private, nicht-kommerzielle Nutzung bestimmt. Sollte der Nutzer diese Dienste dennoch gewerblich oder geschäftlich nutzen, geschieht dies auf eigene Gefahr des Nutzers. Insoweit kommt WEB.DE nicht für entstandene Schäden auf; der Nutzer verpflichtet sich jedoch umgekehrt zum Ersatz eines WEB.DE dadurch entstehenden Schadens. 


Meinen Vertrag mit WEB.DE habe ich im Februar 2018 abgeschlossen. Zu diesem Zeitpunkt galten die AGB vom Juni 2017, wie folgt:

"2 Nutzerkreis / Registrierung
Der WEB.DE MailDomain & Hosting-Dienst steht natürlichen Personen im Alter von mindestens 18 Jahren zur Verfügung und setzt voraus, dass sich der Nutzer zuvor für den FreeMail-Dienst registriert hat. Sofern der Nutzer sich bereits für einen anderen Dienst von WEB.DE hat registrieren lassen, kann er dieses Profil nutzen und muss sich nicht nochmals registrieren."


Von ausschließlicher privater Nutzung ist hierin nicht die Rede. Ein Sonderkündigungsrecht habe ich in den AGB nicht gefunden. Muss ich diese dreiste, einseitige Änderung zu meinen Ungunsten ohne Benachrichtigung von WEB.DE hinnehmen? Was sind in einem solchen Fall meine Rechte?

Vielen Dank im voraus!
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Johannes Reus
+1 # Johannes Reus 05.06.2018, 10:42 Uhr
In unserer Agentur läuft gerade eine verschärfte Diskussion rund um AV Verträge. Folgende Situation: Wir betreuen für einen Kunden seinen Google Analytics Account. Welche AV Verträge müssen nun geschlossen werden:
1. Zwischen Kunde und Google (da sind wir uns einig)
2. Zwischen Kunde und uns (oder genügt es, dass wir als Dienstleister in den AV Vertrag 1 zwischen Kunde und Google genannt werden?)
3. Zwischen uns und Google

Bin gespannt auf gute Antworten - gerne mit Quellen...

Viele Grüße, Johannes
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Martin
+1 # Martin 10.06.2018, 23:43 Uhr
Hallo! Ich bin Dienstleister im Nebenerwerb und erstelle und hoste Webseiten für einige Kunden. Muss ich mit meinen Kunden einen AV-Vertrag abschließen? Ich verarbeite keine personenbezogenen Daten sondern warte nur die Webseiten der Kunden.
Vielen Dank!
Martin P.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Daryl
0 # Daryl 14.06.2018, 06:39 Uhr
Guten Tag,

ich biete meinen Kunden Webhosting-Pakete an, dabei nutze ich die Server von Contabo. Reicht es aus, wenn ich den Auftragsdatenverarbeitungsvertrag mit Contabo abschließe oder wie ist da vorzugehen? Muss ich selbst einen Auftragsdatenverarbeitugnsvertrag verfassen lassen und die Firma Contabo GmbH als Hosting-Unternehmen angeben?

Vielen Dank im Voraus!
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Markus
0 # Markus 21.06.2018, 20:33 Uhr
Hallo zusammen,

ich habe eine Gartenbaufirma und bin gerade überfragt, muss ich jetzt einen AV Vertrag mit jedem Kunden (Private und Geschäftliche) abschließen sobald wir hierfür z.B. ein Angebot erstellen?
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
DierkO
0 # DierkO 25.09.2018, 09:49 Uhr
Hallo,

meines Wissens nach ist das nicht erforderlich. Zwei Dinge sind zu unterscheiden:
1.) Alle persönlichen Daten, die unmittelbar zur Auftragsanbahnung bzw. Auftragsabwicklung benötigt werden (z.B. zur Erstellung von rechtskonformen Angeboten und Rechnungen), sind noch "frei" verwendbar. Alles, was darüber hinaus geht, ist vom Kunden freizugeben. Siehe hierzu auch die Infos der IHK Frankfurt (die haben ein fiktives Beispiel einer Frau, die Bügelservice, etc. anbietet).
2.) Wie im Artikel oben steht, geht es bei der AV darum, ob ein Externer personenbezogene Daten, die beim Auftraggeber liegen, in irgendeiner Weise verarbeitet. Sie machen Gartenbau und nicht z.B. IT-Service wie ich und greifen somit nicht auf weitere personenenbezogene Daten in Akten (auch Papier fällt unter die DSGVO!) oder auf Computern Ihrer Kundschaften zu. Daher ist kein AV-Vertrag erforderlich.
Soweit mein Laien-Rechtsverständnis zur Sache ohne Anspruch auf Vollständigkeit oder Rechtsgültigkeit ...
PS: Ich plage mich mit dem Thema auch schwer herum und finde es höchst unangemessen und überzogen, wie Kleinst- und Kleinbetriebe damit nun belastet werden.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
GH
0 # GH 08.07.2018, 16:06 Uhr
AV für Google Dienst Blogger (BlogSpot)
In ihrem Artikel wird häufig auf den Google-Dienst Analytics Bezug genommen. Meine Frau betreibt einen Blog bei Google Blogger. Bislang bietet Google noch keinen AV-Vertrag für diesen Dienst an. Im Support Forum gab es schon mehrere Anfragen, aber keine zufriedenstellende Antwort von Google.
Wie empfehlen Sie mit einer solchen Situation umzugehen?
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Xenia
0 # Xenia 11.10.2018, 17:35 Uhr
Ich bin etwas verunsichert. Als Webdesignerin (Einzelunternehmen) habe ich auch meistens Zugriff auf Kundendaten bei jeweiligen Provider.
Dort kann ich auch Serverlogs und theoretisch auch alles, was sich in dem Kundenbereich befindet einsehen. Ich versende aber keine Newsletter und erstelle auch keine Werbekampagnen. Muss ich mit meinen Kunden dennoch einen AV abschließen?
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Milena
0 # Milena 18.11.2018, 00:45 Uhr
Guten Abend,
für unsere kleine Praxis (Psychologe) haben wir einen externe IT-Service Leistung für die Wartung der Server, Serverkonfiguration, Backups und Wartung von Computer. Obwohl er nur auf Abruf bei uns vorbeikommt, in die Regel nur einmal im Monat müssen wir einen AV-Vertrag abschließen?
Unsere Datenbank wurde speziell für uns entwickelt, müssen wir auch mit dem Entwickler für die Pflege auch einen AV-Vertrag?
Wenn wir einen AV-Vertrag mit den IT-Service Leitung abschließen, sind wir nicht verpflichten den Service regelmäßig zu nehmen, oder?
Leider wir sind nicht mehr sicher.
Vielen Dank im Voraus.
Antworten | Antworten mit Zitat | Zitieren | Dem Administrator melden
Sagen Sie uns Ihre Meinung zum Thema.
Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Datenschutz im Job: Ist die Totalüberwachung im Firmenfahrzeug erlaubt? Datenschutz spielt nicht nur im Internet eine wichtige Rolle. Auch Autos sammeln dank moderner Technik mehr und mehr persönliche Daten über das Fahrverhalten. E...
Weiterlesen...
T-Online muss der Staatsanwaltschaft Auskunft über Name und Adresse eines Nutzers erteilen Das Landgericht Stuttgart hat am 04.01.2005 (Az.: 13 Qs 89/04) entschieden, dass T-Online die hinter einer bestimmten IP-Adresse stehenden Informationen wie N...
Weiterlesen...
BGH: Intime Fotos müssen nach Ende einer Beziehung gelöscht werden Nacktfotos und Sexvideos müssen nach dem Ende einer Beziehung auf Wunsch des abgelichteten Partners vernichtet werden. Das gilt auch, wenn die Aufnahmen ursprün...
Weiterlesen...
Online-Banking: Müssen Banken ihre Kunden für Phishing-Attacken entschädigen? Die Angriffe können immense wirtschaftliche Schäden verursachen und den Bankkunden schwer treffen. Die Rede ist vom sogenannten Phishing. Das Landgericht Oldenb...
Weiterlesen...
Cookie-Hinweis auf Webseiten: Quatsch oder Pflicht? https://www.civicuk.com/cookie-control/index Viele Seitenbetreiber konfrontieren ihre Besucher mit einem Cookie-Hinweis auf der Webseite. Die meisten Nutzer si...
Anzeige DSGVO
Anzeige

Der eRecht24 Newsletter

Immer bestens informiert

Bleiben Sie mit unseren kostenlosen Updates zum Internetrecht auf dem neuesten Stand. Infos, Urteile, Checklisten, Sonderangebote.

Prüfen Sie, ob Ihre Widerrufsbelehrung aktuell ist.

Geben Sie die URL Ihrer Widerrufsbelehrung ein.
Beispiel Shop: http://www.shopxyz.de/widerruf.html
Beispiel eBay: http://www.ebay.de/usr/EBAYUSER

loading...
Jetzt Premium-Mitglied werden

Ab Heute gestalten Sie Ihre Website ohne Angst vor Abmahnwellen und ohne teuren Anwalt abmahnsicher.

Alle Videos, Live-Webinare, E-Books, Tools und zahlreiche Rabatte.

Jetzt Mitglied werden

Mehr Informationen zu eRecht24 Premium

Impressum-Generator

Keine Chance für Abmahner

Erstellen Sie kostenlos ein rechtssicheres Impressum für Ihre Website.

Jetzt Kostenlos Impressum generieren

Rechtsberatung vom Anwalt

Haben Sie ein konkretes rechtliches Problem? Dann wenden Sie sich bitte einen Anwalt. Auf unseren Seiten finden Sie zahlreiche allgemeine Informationen zum Internetrecht. Fundierte Rechtsberatung im Einzelfall kann allerdings nur ein spezialisierter Rechtsanwalt leisten.

Inhalte kostenlos übernehmen

Der eRecht24 Newsticker

kostenfreie aktuelle Inhalte zum Internetrecht

Individuell für Ihre Website angepasst!

 

SSL-Zertifikate

Steigern Sie das Vertrauen Ihrer Kunden. Für Betreiber von Onlineshops und kommerziellen Webseiten unabdingbar:

SSL-Verschlüsselung, SSL-Zertifikate und Trust-Logos

Rechnungen online erstellen

Erstellen Sie Ihre Rechnungen gemäß den Anforderungen des Finanzamts doch einfach online!

Mit easybill bequem ordnungsgemäße Rechnungen schreiben inkl. digitaler Signatur und Datenexport zum Steuerberater. Anforderungen an korrekte Rechnungen mit Mustern und Beispielen.

IT-Recht endlich verständlich

Autor Sören SiebertSören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.

Er berät Unternehmer, Shops und Seitenbetreiber in allen Fragen des Rechts der neuen Medien.
www.kanzlei-siebert.de

Als Betreiber von eRecht24 ist er seit mehr als 15 Jahren auch als Internet-Unternehmer tätig. Deshalb finden Sie auf eRecht24 Tipps und Tricks eines spezialisierten Rechtsanwalts, aber verständlich und praxisnah erklärt.

SSL-Zertifikate, Code-Signing, S/MIMEOrdnungsgemäße Rechnungen einfach online erstellen!Suchmaschienoptimierung & OnlinemarketingRechtsschutzversicherungRechtliche OnlineShop-PrüfungFairness im Handel
Anzeige
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Videos und E-Books, Musterverträge und Erstberatung, Tools und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht ändert sich ab Mai 2018 vollständig. Sind Sie bereit für die DSGVO? Mit unserem Schnellstarter-Paket sichern Sie Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit Rechtsanwalt Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese schnell, einfach und ohne teuren Anwalt vermeiden. So haben Abmahner bei Ihnen keine Chance!

Mehr Details
Support