Wann handelt es sich um einen Auftragsverarbeiter?

Wann ist der Dienstleister ein Auftragsverarbeiter nach DSGVO?

Ist Ihr Dienstleister tatsächlich ein Auftragsverarbeiter im Sinne der EU Datenschutzgrundverordnung? Sehr schnell tendiert man dazu jedem den Titel Auftragsverarbeiter anzuhängen, der auch nur annähernd in die Nähe von personenbezogenen Daten kommt.

Es gibt viele Diskussionen zum Thema. Ist zum Beispiel Google schon ein Auftragsverarbeiter, wenn dort die IP-Adresse erfasst wird? Um die Frage fachlich fundiert zu beantworten, bin ich auf eine sehr gute Dokumentation der Bitkom gestoßen. Es wird dort auf 43 Seiten sehr detailliert über die Auftragsverarbeiter bzw. Auftragsdatenverarbeiter (wie sie vorher hießen) informiert.

Die wesentlichen Informationen, extrahiert und zusammengefasst, möchte ich hier anbieten. Ich bin mir sicher, dass diese Informationen viel viele Leser genauso hilfreich sind, wie sie für mich waren.

 

Was sind die Alternativen zur Auftragsverarbeitung?

Wie schon oben erwähnt, ist es nicht immer eine Auftragsverarbeitung, wenn Daten nicht allein von der verantwortlichen Stelle verarbeitet werden. Es gibt hier drei Möglichkeiten:

  • Auftragsverarbeiter
  • Joint Controllership (Gemeinsame Verantwortliche)
  • Übermittlung (Funktionsübertragung)

Jede dieser drei Optionen hat rechtlich andere Parameter, die berücksichtigt werden müssen.

Diese drei Fälle richtig auseinander zu halten, ist die Kunst. Ich finde es auch nicht ganz trivial, aber mit den Hinweisen der Bitkom, ist es etwas einfacher.

 

Auftragsverarbeitung

Wenn Sie einen Auftragsverarbeiter beauftragen legen Sie die Zwecke und Mittel der Datenverarbeitung fest. Sie sind verantwortlich für die Daten dem Betroffenen gegenüber.

Auch der Auftragsverarbeiter hat eine Unterstützungsfunktion, wenn der Verantwortliche seinen Verpflichtungen nicht alleine nachkommen kann oder will. Der Auftragsverarbeiter muss dann den Verantwortlichen bei der Erfüllung der Anfragen und Ansprüche des Betroffenen unterstützen.

Es deutet auf eine Auftragsverarbeitung hin, wenn der Auftragnehmer:

  • keine Entscheidungsbefugnis über die Daten hat
  • keinen eigenen Geschäftszweck verfolgt bezüglich der personenbezogenen Daten
  • einem Nutzungsverbot der zu verarbeitenden Daten unterliegt
  • in keiner vertraglichen Beziehung zu den Betroffenen steht, die er verarbeitet
  • und nach außen hin der Auftraggeber für die Datenverarbeitung verantwortlich ist

 

Beispiele für die Auftragsverarbeitung

  • Outsourcing eines Rechenzentrums
  • Externe Datenhaltung
  • Cloud Systeme  zur Personal- und Kundenverwaltung
  • externe Druckdienstleister
  • Aktenvernichtung, Vernichtung von Datenträgern
  • Marketingagenturen, die auch die Auswertung der Webseitenanalyse durchführen

 

Wann ist ein Dienstleister kein Auftragsverarbeiter

Ich muss gestehen, ich ging bisher auch immer davon aus, dass ein IT-Dienstleister, der sich um den Support und die Wartung der Systeme kümmert ein Auftragsverarbeiter ist. Sofern es sich bei der Dienstleistung um keine Datenverarbeitung handelt, sondern nur um den Support, ist es keine Auftragsverarbeitung. Die Besonderheit ist, dass der Auftragnehmer die Daten des Auftraggebers nicht planmäßig verarbeitet oder nutzt.

Natürlich ist klar, dass im Rahmen der Support- und Wartungsarbeiten der Dienstleister gegebenenfalls auch Kenntnis von personenbezogenen Daten erhalten kann. Wichtig sind daher zwei Punkte:

  • der Verantwortliche muss sicherstellen, dass die Daten adäquat geschützt sind
  • eine Verschwiegenheitsvereinbarung sollte abgeschlossen werden

Damit gibt die BitKom auch eine Beispielliste heraus, wer kein Auftragsverarbeiter ist:

  • Installation und Wartung von Netzwerken, Hardware (auch Telefonanlage)
  • Pflege von Software
  • Programmentwicklung und -tests

auch wenn dabei eine Kenntnis von personenbezogenen Daten nicht ausgeschlossen werden kann.

Zudem handelt es sich nicht um einen Auftragsverarbeiter, wenn

  • die Dienstleistung in Gesetzen geregelt ist (Postdienstleistungen, Steuerberater…)
  • ausgelagerte Tätigkeiten, deren Kernaufgabe nicht die Verarbeitung von personenbezogenen Daten darstellt, trotzdem aber der Umgang mit personenbezogenen Daten nötig ist (Wachdienst, Reinigungsdienstleistung…)

Joint Controllership – Gemeinsame Verantwortliche

Die DSGVO ermöglicht neben der alleinigen Verantwortung für ein Verfahren ein arbeitsteiliges Zusammenwirken. Dabei können „zwei oder mehr Verantwortlich“ gemeinsam die Verantwortung für die Verarbeitung personenbezogener Daten übernehmen.

Damit haben also alle verantwortlichen Stellen die Entscheidung über Zwecke und Mittel der Verarbeitung. Im Gegensatz zum Auftragsverarbeiter, bei dem keine Entscheidungsbefugnis über die Zwecke und Mittel der Verarbeitung vorliegt.

Bei der Entscheidungsbefugnis geht es nicht um untergeordnete Entscheidungen, welche Verschlüsselung eingesetzt wird oder wie die Akten entsorgt werden. Die Schutzmöglichkeiten nach dem aktuellen Stand der Technik wählt natürlich der Auftragsverarbeiter frei. Die erwähnte Entscheidungsbefugnis bezieht sich auf die Zwecke und Mittel der Verarbeitung allgemein.

Interessant fand ich den Hinweis, dass maßgeblich ein faktisches Verhalten entscheidend ist, ob es sich um gemeinsame Verantwortliche handelt. Nicht der gemeinsame Wille regelt die Joint Controllership, sondern eben das Verhalten, also wie es tatsächlich gelebt wird.

 

Umsetzung der gemeinsamen Verantwortung

Es ist zwar kein Vertrag zur Auftragsverarbeitung nötig, trotzdem müssen ein paar Punkte dokumentiert werden.

  • Welcher der Partner hat welche Pflichten nach der DSGVO
  • Wer übernimmt die Wahrung welcher Betroffenenrechte
  • Welcher der Partner übernimmt die Informationspflicht

Beispiele für Joint Controllership

  • Steuerberater
  • Rechtsanwalt
  • Wirtschaftsprüfer

Übermittlung (Funktionsübertragung)

  • Die Datenverarbeitung personenbezogener Daten spielt eine untergeordnete Rolle
  • Der Auftragnehmer hat nur eine unterstützende Funktion, indem er dem Auftraggeber in einer oder mehreren Phasen der Verarbeitung unterstütz.
  • Der Dienstleister ist quasi der „verlängerte Arm“ des Auftraggebers.
  • Es wird keine Aufgabe in ihrer Vollständigkeit, sondern lediglich ihre technische Ausführung übertragen.

Beispiele für Funktionsübertragung

  • Ausgelagerte Finanzbuchhaltung
  • Gehaltsabrechnung durch den Steuerberater

 

Wie schon oben erwähnt stammt die Information dieses Beitrags aus einem Leitfaden der Biktom. Ich habe hier die Inhalte kompakt zusammen gefasst. Der gesamte Leitfaden ist hier zu finden: Quelle: Bitkom

Wann ist der Dienstleister ein Auftragsverarbeiter nach DSGVO?
Pin it!

Bei welchen Dienstleistern sind Sie unsicher, ob es sich um einen Auftragsverarbeiter handelt?

Ich freue mich über einen Kommentar!

Regina Stoiber

Seit über 10 Jahren bin ich nun im Bereich Informationssicherheit und Datenschutz tätig. Mit Begeisterung für das Thema bin ich seit einigen Jahren nun selbständig. Ich unterstütze Sie, beim Schützen Ihrer Daten. Praxisorientiert, strukturiert und persönlich.

109 Comments on “Wann handelt es sich um einen Auftragsverarbeiter?
  • Anton says:

    Hallo Regina!

    Vielen Dank für Deine großartige Arbeit zum Thema DSGVo.

    Kurze Frage:

    Ich bin mir immer noch nicht sicher, ob dann mein Provider ein Auftragsverarbeiter ist.

    Ich selbst bin Auftragsverarbeiter, ich biete ein SAAS an (Software as a Service) und verarbeite Daten meiner Kunden – soweit klar.

    Aber besagte Daten liegen ja in der MySQL-Datenbank meines Providers.

    Was meinst Du dazu?

    Danke und herzliche Grüße
    Anton

    PS: Mein Provider hat natürlich einen AV-Vertrag; ich frage nur deshalb, weil es einen Unterschied macht, ob ich in meinem AV-Vertrag den Provider als „zugelassennen Subunternehmer“ aufführen muss oder nicht.

    Antworten
    • Regina Stoiber says:

      Herzlichen Dank Anton für das positive Feedback.

      Ich würde schon sagen, dass die Provider als AV agieren, da sie ja gerade mit den Logfiles und Protokollen personenbezogene Daten der User verarbeiten. Ich gehe davon aus, du sprichst von einem Provider, auf dem dein Service läuft, bei dem sich die User einloggen und dort „Spuren“ hinterlassen.
      Wenn es ein reiner Provider wäre für einen Server, den nur du nutzt, würde ich sagen nein, kein AV.

      So meine Interpretation. Hilft dir das?

      VG Regina

      Antworten
  • Annette Peters says:

    Ich habe einen buchblog,schreibe Rezensionen zu Büchern die ich gelesen habe,mache manchmal blogtouren.Ansonsten eigentlich nichts.ich teile meine eigenen Beiträge auf Facebook.
    Manchmal kommentieren wenige einen Beitrag,das war es.
    Was muss ich unbedingt tun?bis zum 25.5

    Antworten
    • Regina Stoiber says:

      Hallo Frau Peters,
      die Frage ist gerade nicht ganz einfach zu beantworten mit den Informationen. Ich weiß nicht mit welchem System Sie arbeiten, welche Plugins laufen…
      Auf Blogmojo habe ich einen Artikel geschrieben, der die To Do’s spiegelt, die für eine Webseite nötig sind. Sie finden die Inhalte hier: https://www.blogmojo.de/dsgvo-checkliste/
      Ich hoffe, damit sind die ersten Fragen schon beantwortet.

      Viele Grüße
      Regina Stoiber

      Antworten
  • Anton says:

    Danke, liebe Regina – ja, das hilft mir schon ein Stück weiter!

    Antworten
  • ADV-Verträge für Blogger & Online-Unternehmer: Liste mit Hostern, Newsletter-Tools etc. says:

    […] sich es um einen Auftragsverarbeiter handelt und wann nicht, behandelt Regina Stoiber ausführlich in diesem Artikel. Zusätzlich empfehle ich dir immer, beim Support eines Anbieters nachzufragen, ob dieser als […]

    Antworten
  • Katharina Kolata says:

    Ich habe meine Webseite bei einem amerikanischen Provider gehostet, der mir den Webspeicherplatz bereitstellt. Dort habe ich WordPress installiert (und ein paar Plugins, bei denen ich mir sicher bin, dass ich ich einen Datenverarbeitungsvertrag brauche, z.B. Mailchimp), das ich mit einem eigenen Theme betreibe.

    Meine Frage ist nun, muss ich mit dem Provider einen Datenverarbeitungsvertrag abschließen? Nach mehreren eMails mit dem Support des Providers meinen sie, dass das nicht der Fall ist. Ihre Argumentation:
    – der Betrieb einer Webpräsenz ist nur durch erfassen der IP-Adressen durchführbar (was gesetzlich sogar vorgeschrieben sei). Diese werden aber von ihrer Seite mit keinen Daten (z.B. Namen oder Adressen) verknüpft. Selbst ihr Analyse-Tool werte nur die log-files des Servers aus, aus denen sich keine Zusammenhänge mit personenbezogenen Daten herstellen ließen.

    Ich war, nach allem, was ich gelesen habe, davon ausgegangen, dass die IP-Adressen allein schon als persönliche Daten zählen und daher ein Datenverarbeitungsvertrag nötig ist. Habe ich das falsch verstanden?

    Ich würde ungern den Provider wechseln, denn das jetzige Unternehmen hat die stabilsten Server und das netteste und schnellste Support-Team, mit dem ich je gearbeitet habe (und ich bin schon sehr viele Jahre im Internet unterwegs).

    Über eine Antwort oder wenigstens einen Tipp von Ihnen würde ich mich sehr freuen. Vielen Dank für Ihr Engagement.

    Antworten
    • Regina Stoiber says:

      Wie im Artikel steht, ist die Verarbeitung der personenbezogenen Daten der entscheidende Punkt. IP-Adressen gelten bei uns als personenbezogen und die Speicherung ist eine Form der Verarbeitung. Daher bieten bei uns die Hoster meines Wissens so gut wie alle einen AV Vertrag an. Empfehlen würde ich es schon. Da Ihr Provider in den USA ist, gilt er als Drittland und muss neben den Standardinhalten der AV noch weitere Nachweise bringen, dass die Übertragung sicher ist. Ein Privacy Shield Zertifikat des Unternehmens in den USA wäre schon vorteilhaft (aber nicht zwingend). Unabhängig der AV müssen Sie aber sowieso sicherstellen, dass Sie einen sicheren Hoster ausgewählt haben. Wenn Sie eine AV haben, ist das damit ja eigentlich abgedeckt.
      Übrigens MailChimp macht genau das. Das Unternehmen ist Privacy Shield zertifiziert und bietet ein Data processing Agreement an, den Sie anfordern können, um DSGVO konform zu sein. Das ist gut geregelt. So sollte Ihr Hoster das auch machen.

      Mein PERSÖNLICHER Tipp, den ich privat geben würde, aber nicht beruflich 🙂 Ich würde erst mal beim Provider bleiben und schauen, wie er sich entwickelt. Vielleicht steigt der Druck ja bei ihm, weil mehrere Kunden das fordern und er dann doch in diese Richtung geht. Wenn sich mittelfristig nichts ändert, würde ich schon schauen, welche Alternativen es gibt.

      Ich hoffe, ich konnte Ihnen weiter helfen.

      Antworten
  • Ein-kleiner-Blog says:

    Liebe Regina,
    ich mache Produkttests und Buchrezesionen, daher gilt der Blog als gewerblich und ich muss die DSGVO umsetzen. Außerdem habe ich eine Linkparty, was jetzt zu einem Problem wird, weil mit dem Tool der Name und die E-mail der Teilnehmer bei Inlinkz in meinem Account gespeichert wird. Zwar könnte ich ohne E-mail und Namen auskommen, weil für mich nur der Link zum eigentlichen Blogbeitrag wichtig ist, aber ich kann den Htlm-Code von Inlinkz nicht ändern. Nun möchte ich wissen, ob ich für Inlinkz einen ADV-Vertrag brauche oder ist das eine Funktionsübertragung?
    Vielen herzlichen Dank für die Auuskunft!
    LG Elke

    Antworten
    • Regina Stoiber says:

      Liebe Elke,
      ich hab gerade nachgesehen. Inlinkz ist ein griechisches Unternehmen, also gilt für sie auch die DSGVO, das ist schon mal gut. Wenn dann wären sie, wie du sagst, ziemlich wahrscheinlich Auftragsverarbeiter. Ich würde mal anfragen, und nach einer AV fragen.
      Schau mal, was sie antworten. Würde mich interessieren. Sag Bescheid, wenn du eine Antwort hast.

      LG Regina

      Antworten
  • Katharina Kolata says:

    Vielen Dank für die rasche Antwort. Ich werde es mal so versuchen, wie Sie es gesagt haben

    Antworten
  • Ein-kleiner-Blog says:

    Danke, ich werde mal anfragen und ich bin gespannt, ob ich eine Antwort bekomme. Es gibt scheinbar doch mehr gewerbliche Blogs, die Linkpartys haben.

    Antworten
  • Dieter Keller says:

    Hallo Regina,

    wie sieht es denn mit einem Fuhrparkmanager aus? Ist so ein Fuhrparkmanager gleich zu stellen, wie ausgelagerte Finanzbuchhaltungsverarbeitung, also Joint Controllership?

    Antworten
    • Regina Stoiber says:

      Hallo Dieter,

      ich muss gestehen, ich kenne jetzt das Aufgabengebiet des Furhparkmanagers nicht. Hat der Zugriff auf personenbezogene Daten, wer wann welches Fahrzeug fährt oder weiß der nur, dass Auto XY an Firma Maier übergeben wurde?
      Ich hätte ihn, ohne das genaue Aufgabengebiet zu kennen als Auftragsverarbeiter eingestuft, da er ja wahrscheinlich keinen eigenen Zweck hat, die personenbezogenen Daten (falls er welche hat) zu verarbeiten. Er handelt im Sinn des Auftraggebers, oder?

      Antworten
  • Dieter Keller says:

    Fuhrparkmanager übernimmt Bestellung von Fahrzeugen für verschiedene Mandanten, Verbuchung von Rechnungen im Namen dieser Mandanten, Überführung von Fahrzeugen, An- und Abmeldung, Schadensabwicklung etc.

    Als personenbezogene Daten werden lediglich Name und Adresse der Fahrer (also Mitarbeiter verschiedener Mandanten) gespeichert.

    Antworten
  • Ein-kleiner-Blog says:

    Liebe Regina,
    Inlinkz hat ganz schnell geantwortet und mitgeteilt, dass sie daran arbeiten, die Seite gemäß der DSGVO datenkonform zu machen. Anfang Mai soll auch ein Vertrag kommen. Jedenfalls soll ich die Linkparty nicht aufgeben.
    LG Elke

    Antworten
  • Melanie says:

    Liebe Regina,
    sehr schöner Artikel – danke dafür! Ich freue mich auch über jede Deiner Mails und Du hast mir schon sehr weitergeholfen (ganz dickes Lob für das Webinar zum Verarbeitungsverzeichnis :)!).

    In einem Punkt komme ich nicht weiter (und, weil die Dozenten direkten Zugriff auf alle Kundendaten haben, möchte ich hier gerne tätig werden):

    Ich beschäftige Honorardozenten, die über von meiner Tanzschule zur Verfügung gestellte Tablets und eigenem Login in unserem cloudbasierten Studiomanager unsere Kurslisten führen, Blockkarten verkaufen, die Kundinnen in die Kurse einbuchen sowie Daten ergänzen oder korrigieren.

    Sind das jetzt Auftragsdatenverarbeiter (Haupttätigkeit ist Unterrichten) oder ist das eine Funktionsübertragung?
    Liebe Grüße und danke,
    Melanie

    Antworten
    • Regina Stoiber says:

      Liebe Melanie,

      ganz ganz lieben Dank für dein Feedback. Das freut mich so sehr, wenn meine Infos einen Mehrwert bringen.
      Deine Frage ist schwierig. Da es nur einzelne „kleine“ Aufgabenpakete sind, die die Dozenten neben dem eigentlichen Unterricht übernehmen, könnte es auch eine Funktionsübertragung sein. Da hast du recht.
      Ich hab mich aber noch mal weiter eingelesen und was in deinem Fall bei den Dozenten der Fall ist, dass sie nach deiner Weisung handeln. Daher denke ich, dass sie Auftragsverarbeiter sind.

      LG Regina

      Antworten
  • Eva says:

    Liebe Regina, herzlichen Dank für deinen hilfreichen und ziemlich verständlichen Artikel (was ja nicht unbedingt immer der Fall ist bei dem Thema ;)) Er wird fleißig in meinem Netzwerk geteilt. Hast du evtl. einen Tipp, wie man mit Providern wie Apple umgeht, die mauern, wenn es um einen ADV-Vertrag geht? Als Mac-Userin nutze ich natürlich iCloud-Services wie iCal, Adressen, iMessages usw., so wie es Hunderttausende von uns in ihrem Tagesgeschäft tun. Nach m.M. müssten die eigentlich auch Auftragsverarbeiter sein, ich bekomme jedoch nach verschiedenen Anläufen immer wieder diese Rückmeldung: „Apple stellt Einzelpersonen seine Dienste wie iCloud zur Verfügung. In dieser Hinsicht agiert Apple als Datenkontrolleur für persönliche Informationen von Endnutzern und nicht als Datenverarbeiter.“ Wie kann ich jetzt überhaupt noch mein Gerät beruflich nutzen oder würdest du ganz abraten? Oder hast du Informationen, ob da irgendetwas von Apple in der Mache ist – noch bis zum 25.05.?? Und wenn ich die Sachen doch weiter nutze, wie muss ich das in meinen Unterlagen dokumentieren und wo? Ganz herzlichen Dank und LG – Eva

    Antworten
    • Regina Stoiber says:

      Hallo Eva,
      ja ich weiß, das ist momentan nicht so ganz einfach mit Apple. Sie sehen sich mit Ihren Diensten glaub ich eher als Dienstleister für Privatpersonen und bieten daher keine Verträge an. Ich würde da auf jeden Fall mal warten, wie sich das auf Seiten Apple entwickelt. Ich gehe davon aus, dass sich da die nächsten Monate die Themen – egal in welche Richtung – konkretisieren werden.
      Ich bin auch Apple User, habe aber trotzdem für meine betrieblichen Themen meine E-mail Adresse über meinen Provider 1und1. Da fühle ich mich auch etwas wohler, wenn die Kundendaten da drüber laufen und nicht über mein iCloud oder .me Konto.
      Du kannst ja die anderen E-mail Adressen von anderen Providern und Kalender von anderen Anbietern trotzdem auf den Apple Geräten einbinden und verwenden.

      Ich weiß, das ist momentan überhaupt keine befriedigende Antwort, aber ich würde an deiner Stelle beides ins Auge fassen. Zum Einen beobachten, wie sich Apple in dieser Sache weiter entwickelt und zum Anderen ein weiteres Konto für dein Business anlegen bei einem EU Anbieter.

      LG Regina

      Antworten
  • Eva says:

    Ja, es ist schwierig, danke Regina! Mit meinen Mails mache ich das geschäftlich sowieso auch so wie du, aber es gibt ja noch den Kalender und die Adressen! Und manche Kunden senden gerne mal ne schnelle iMessage. Würdest du uns raten, das nicht mehr zu benutzen? Oder kann ich in mein Verarbeitungsverzeichnis irgendwo reinschreiben, dass ich es mit Kunden nach Rücksprache benutze aber ohne Garantie auf Konformität? Danke und LG Eva

    Antworten
    • Regina Stoiber says:

      Das ist echt eine schwierige Frage, die ich dir gar nicht wirklich beantworten kann. Wenn der Kunde eine iMessage schreibt, kannst du ihm das ja nicht verbieten. ich würde es aber nicht von dir aus machen. Zudem würde ich schon dann schreiben, dass diese Dienste aktuell nicht den Anforderungen des Datenschutzes ausreichen und du daher empfehlen würdest, auf andere Kanäle auszuweichen.

      Antworten
  • Katarina says:

    Vielen Dank für den hilfreichen Artikel! Ich bin mir unsicher, welche Funktion unser Cloud-Dienst einnimmt. Wir „lagern“ dort unsere Rechnungen/Lieferscheine – auf denen natürlich Personen/unternehmensbezogene Daten stehen. Reicht es, dass Dropbox irgend etwas von „Zertifizierung“ schreibt oder brauche ich einen ADV?
    Und noch spezieller: wir speichern Kundenadressdaten (private und Unternehmen) bei unserem Versanddienstleister ab (integrierte Funktion des Systems) – da brauche ich doch sicher, obwohl des ein Versanddienstleister ist, einen ADV, weil sie in deren Datenbanken gespeichert sind und nicht nur auf dem Aufkleber stehen, oder?
    Herzliche Grüße Katarina

    Antworten
    • Regina Stoiber says:

      Danke für das Feedback.
      Dropbox stellt eine AV zur Verfügung in der Business Version. Diese würde ich auf jeden Fall nutzen. Dann haben Sie ja auch die AV automatisch.

      Der Versanddienstleister agiert ja nach Gesetzen. In diesem Bereich ist keine AV nötig. Das hört sich aber so an, als übernähme er noch weitere Services. Kann das sein? Falls ja, dann wäre er in diesem Zug wohl Auftragsverarbeiter und eine AV nötig. Fragen Sie doch am besten mal direkt nach bei ihm.

      VG Regina Stoiber

      Antworten
  • Bavendiek says:

    Hallo,

    ich muss nochmal nachhaken. Sollte ich nun einen Datenverarbeitungsvertrag mit meinem Steuerberater aufsetzen? Ich habe Seiten gefunden, auf denen wird dies ausdrücklich vorgeschlagen. Ich bin verwirrt.

    Antworten
    • Regina Stoiber says:

      Ich muss gestehen, ich war auch bis Kurzem der Meinung, dass eine AV mit dem Steuerberater nötig ist. Jetzt aber nach den Infos von der BitKom und einigen Gesprächen mit anderen Datenschützern, sehe ich es als nicht mehr nötig.
      Sieht sich denn Ihr Steuerberater selber als Auftragsverarbeiter?

      Antworten
  • Katarina says:

    Super vielen Dank! Das hilft mir sehr weiter.

    Antworten
  • Uschi says:

    Liebe Regina,
    das ist ja toll! Vielen Dank für die Zusammenfassung! 🙂
    Ich erstelle kleine Webseiten für Therapeuten mit Anbietern von Webbaukastensystemen (z. B. Jimdo).
    Meine Kunden erstellen dort jeweils ein eigenes Konto, ich richte es halt ein, erstelle die Webseite darin und wenn sie später möchten, dass dort etwas geändert werden soll, weil sie es selbst nicht schaffen, dann logge ich mich in deren Konto ein und setze den Wunsch um.
    Nach den Ausführen in diesem Artikel würde ich es nun so verstehen, dass ich keinen AV Vertrag mit diesen Kunden schließen muss? Stimmt das?
    Das wäre ja schön 🙂

    Viele Grüße
    Uschi

    Antworten
    • Regina Stoiber says:

      Hallo Uschi,
      aufgrund deiner Beschreibung hätte ich das jetzt auch so gesehen. Wenn’s ganz einfache Webseiten sind, ohne interne Bereiche, in denen sich User anmelden und dort z.B. einen Mitgliederbereich haben oder du keine Analytics Statistiken einsehen kannst, dann würde ich es auch ohne AV machen.

      LG Regina

      Antworten
  • Wolfram says:

    Moin,
    ich führe für Kunden regelmäßige Aktualisierungen Ihrer WordPress basierten Websites durch. Bin ich dann AV oder reicht eine Verschwiegenheitsverpflichtung?

    Gruß
    Wolfram

    Antworten
    • Regina Stoiber says:

      Lieber Wolfram,
      wenn die Aktualisierungen nur WordPress Updates beinhalten, ohne Konfiguration von Plugins und Themes… würde ich sagen, nein, kein AV. Wenn in den WordPress Installationen aber auch noch Plugins laufen, die du einsiehst aufgrund von Konfigurationen und dort personenbezogene Daten gespeichert sind, dann ja.
      VG Regina

      Antworten
  • Ein-kleiner-Blog says:

    Hallo Regina, bezüglich Inlinz gibt es jetzt eine neue Datenschutzerklärung. Wenn man die Seite aufruft, um einen Beitrag zu verlinken, wird ein Fenster geöffnet und auf die neue Erklärung hingewiesen. Mit der Teiinahme willigt man automatisch ein. Ist das so ausreichend oder brauche ich trotzdem einen ADV-Vertrag?

    Antworten
  • Regina Stoiber says:

    Ich kenne den Inhalt von Inlinz’s Datenschutzerklärung nicht. Aber es gibt durchaus die Möglichkeit, wenn beide Seite die Nutzungsbedingungen bestätigen, dass man dann ohne AV Vertrag durch kommt. Evtl. basiert das auf dem Prinzip.

    Antworten
  • Uschi says:

    Vielen Dank,liebe Regina!
    Dann kann ich ja überlegen, wer einen benötigt und wer nicht. Danke für die tolle Arbeit! Uschi

    Antworten
  • Ein-kleiner-Blog says:

    Danke für deine Mühe. Ich gehe dann davon aus, dass es für Inlinkz so reicht.
    LG Elke

    Antworten
  • Ein-kleiner-Blog says:

    Jetzt habe ich von Inlinkz noch folgende Nachricht erhalten:As we are not a Data Controller, you do not require a contract with us.
    We will soon be releasing our DPIA documents and our Policy on Personal Data.
    With these documents linked from your website you should be covered.
    Moreover, we will require consent for entries as stated in the GDPR.
    Our DPIA will be released within this week and our PPA next week.
    All the best, Das wird dann sicher reichen, oder?

    Antworten
  • Alfred says:

    Wir sind ein Gebäudereinigungsunternehmen und haben Subunternehmer als Glasreiniger im Einsatz, die uns am Ende eines Monats Rechnungen über die erledigten Arbeiten schicken. Müssen wir mit den Subunternehmern einen ADV-Vertrag abschließen, da sie von uns dafür personenbezogene Daten erhalten? Müssen wir Kunden informieren, dass wir mit Subunternehmern zusammenarbeiten?

    Viele Grüße
    Alfred

    Antworten
    • Regina Stoiber says:

      Hallo Alfred,
      in welchem Zusammenhang erhalten die Subunternehmern personenbezogene Daten? Es geht bei einer AV um die Kerntätigkeit. Die hat in diesem Fall nichts mit der Verarbeitung personenbezogener Daten zu tun. Ich würde aber eine Verschwiegenheitserklärung unterzeichnen lassen, die an die Mitarbeiter durch den Subunternehmern weiter zu geben ist, für den Fall, dass bei der Reinigung irgendwo personenbezogene Daten einsehbar wären.

      Viele Grüße
      Regina

      Antworten
  • Michael says:

    Hallo Regina, vielen Dank für Deine Seite und die Möglichkeit Fragen zu stellen.

    Wie verhält es sich mit Dienstleistern wie Telefonprovidern (o2 usw.), Internetprovidern (unitymedia, o2 usw) oder sogar Banken? Hier werden mittels dieser Dienstleister auch personenbezogenen Daten verarbeitet bzw. weitergegeben.

    Werden diese Dienste geschäftlich benutzt, müssen hier gesonderte Vereinbarungen mit diesen Dienstleister getroffen werden?

    Antworten
  • MichaelB says:

    Das Ist auch so korrekt, da im Falle des „Steuerberaters“ andere Gesetze bereits greifen (Berufsgeheimnis). Sie zählen zur Personengruppe der Geheimnisträger. Daher werden sie nicht als AV eingestuft.

    Antworten
  • Social says:

    Hallo, prima Seite,
    Ich betreue mehrere Firmen als Socialmediadienstleister. Habe also Adminzugang für FB, Twitter etc. Die Gestaltung obliegt mir, ich reiche dann einen Red.plan ein, der entsprechend gepostet wird. Ich müsste ADV sein? Frage: bisher hat noch keiner der Kunden einen ADV angefordert. Die DSGVO süielt dort keine Rolle. Muss ich auf den Kunden zugehen? Danke sehr..

    Antworten
    • Regina Stoiber says:

      Danke dir für dein Feedback.
      Ich würde dich schon als AV sehen, da du ja Zugriff auf die ganzen Messenger Nachrichten und alles hast. Das stimmt, der Kunde müsste dich „verpflichten“. Du kannst natürlich von dir aktiv als Service anbieten, dass du dem Kunden eine AV zusendest. Die muss ja auch nicht unterzeichnet werden.

      LG Regina

      Antworten
  • Stephan says:

    Hallo Regina,

    wie verhält es sich mit Unternehmen wie der fotocommunity (oder facebook)? Ich stelle da ja (als privater oder gewerblicher Nutzer) meine Kontaktdaten ein und zeige Bilder mit Personen (von denen ich die Zustimmung benötige). Fotos mit Menschen zählen ja auch zu den personenbezogenen Daten.
    Ist die fotocommunity oder facebook in diesem Fall nicht auch ein Auftragsverarbeiter und müsste es nicht einen Vertrag zwischen denen und jedem einzelnen User geben? Warum scheint dies nicht der Fall zu sein?
    Vielen Dank
    Stephan

    Antworten
    • Regina Stoiber says:

      Hallo Stephan,
      in diesem Fall ist es so, dass die Portale Nutzungsvereinbarungen mit beiden Parteien schließen. Du als Nutzer stimmst den Nutzungsbedingungen zu, aber genauso der andere Nutzer, der Einsicht auf die Daten hat. Damit sind die Datenschutzthemen mit beiden Parteien über die Nutzungsvereinbarungen geregelt.
      So mein aktueller Stand.

      LG Regina

      Antworten
  • Cordula says:

    Hallo Regina,
    lieben Dank, dass Du Dein Wissen so freigiebig mit uns hier teilst. Ich finde alle Deine Beiträge super hilfreich und verständlich:-)
    Noch eine Detail-Frage: ich biete mehrere Online-Kurse an, die Zahlung läuft über Digistore (kein AV), und die Mitgliederbetreuung über digimember.
    Gilt Digimember als Auftragsverarbeiter???? Dazu habe ich leider bislang keine Infos gefunden.
    Herzliche Grüsse
    Cordula

    Antworten
    • Regina Stoiber says:

      Liebe Cordula,
      lieben Dank für das tolle Feedback.
      Digimember ist ja bei dir lokal auf deinem WordPress installiert, oder? Die Daten gehen also nicht an Digimember sondern bleiben bei dir. Daher musst du nur darüber informieren, aber einen AVV brauchst du nicht.

      LG Regina

      Antworten
  • Roswitha says:

    Hallo Regina,

    durch Zufall bin ich auf Deine Seite gekommen und so auch in den Genuss, Deiner guten Beschreibungen rund um das Thema DSGVO. Selbstverständlich habe ich auch eine Frage:) Ich bin Webdesignerin und meine Kunden haben Ihre Internetseite bei den unterschiedlichsten Hoster liegen. Manche der Kunden haben nur eine kleine Visitenkarte als Internetseite, andere einen Shop und wieder andere einen Seminarmanger mit Buchungssystem.
    Sollte jeder der Webseitenbetreiber einen AV Vertrag mit dem Hoster abschließen?
    Sonnige Grüße
    Roswitha

    Antworten
    • Regina Stoiber says:

      Liebe Roswitha,

      das freut mich sehr, dass meine Seite dir Mehrwert bringt. So soll es sein 🙂
      Ja, jeder Webseiteninhaber braucht eine AV mit dem Hoster, egal, wie umfangreich die Seite ist. Der Webserver speichert immer Daten mit IP-Adressen, Zugriffen und ähnlichem. Da das alles personenbezogen ist, ist eine AV nötig. Oftmals läuft auch noch eine E-mail Adresse mit, da ist es dann sowieso auch nötig.

      LG Regina

      Antworten
  • Nesta says:

    Hallo Regina,

    ein Zulieferer würde gerne mit uns einen AVV abschließen. Er ist der Meinung eine AVV wird benötigt um Emails in Outlook zu speichern zu dürfen und ggf. die Kontaktadresse zur Vertragsdurchführung an dritte weiterzugeben.

    Wie soll ich ihn am besten Antworten das es kein AVV ist.
    Ich finde da leider keine passende Worte dafür.

    vielen Dank

    Nesta

    Antworten
    • Regina Stoiber says:

      Hallo Nesta,

      ihr seit ja nicht der Dienstleister für seine Mails, nehme ich an, oder? Mit dem muss er einen AVV abschließen.
      Mit euch nicht, da er ja nicht im Auftrag eure E-mails verarbeitet, sondern nur im Rahmen der Geschäftstätigkeit mit euch E-mails austauscht. Das ist ganz ein anderer Fall. Das heißt, ihr habt bezüglich E-mail Kommunikation kein Weisungsbefugnis ihm gegenüber. Ihr könnt ja nicht sagen, wie er mit E-mails intern in seinem Unternehmen umgehen muss. Das ist sein Geschäft.
      Er muss euch allerdings nach Art. 13 darüber informieren, wie er mit der E-mail Kommunikation umgeht. D.h. er muss die Informationspflicht einhalten.

      LG, ich hoffe, das hilft dir weiter
      Regina

      Antworten
  • Roswitha says:

    Liebe Regina,
    herzlichen Dank für die schnelle und klare Rückmeldung. Dann weiß ich jetzt, dass ich alle Kunden anschreiben muss, um sie darauf hinzuweisen. Obwohl das eigentlich nicht meine Aufgabe wäre, oder? Aber ich sehe das als Service:)
    Danke und sonnige Grüße
    Roswitha

    Antworten
  • Patricia Kreis says:

    Liebe Regina,

    vielen herzlichen Dank für das kostenlose bereit stellen von den so hilfreichen Informationen. Seit Tagen beschäftige ich mich mit dem Thema. Heute Nacht viel mir noch ein, dass wahrscheinlich viele von uns sämtliche Kundendaten am Handy gespeichert haben. Zumindest Name, Adresse, Telefonnummer und event. E-Mail Adressen. Ich habe erst vor kurzem die Datensicherung über mein Gmail Konto aktiviert, da ich ein neues Handy bekam.
    Hier wäre ja mindestens auch ein AV nötig, wenn nicht sogar mehr, da die Verwaltung und Speicherung in der USA statt findet?

    Viele Grüße
    Patricia

    Antworten
    • Regina Stoiber says:

      Liebe Patricia,

      da hast du recht. Für die Mails ist ein AVV nötig, unabhängig ob am Handy oder am PC / Laptop abgerufen. google bietet eine AV an, ob da der Dienst googlemail dabei ist, weiß ich jetzt gar nicht. Das müsstest du prüfen. Es kann sein, dass diese Dienste, wie z.B. bei Apple speziell für Privatanwender nach Nutzungsrichtlinien gedacht sind. Dann gibt es keinen AVV.

      LG Regina

      Antworten
  • Regina Stoiber says:

    Genau Roswitha, sieh es als Service deinerseits an 🙂

    Antworten
  • Birgitte says:

    Ein toller Beitrag! Danke dafür!

    Ähnlich wie einer meiner Vorkommentatoren warte ich Websites für meine Kunden. Heißt: Ich führe Updates durch, erstelle Backups von Datenbank und Dateien, lösche alte Formulareinträge und alte Backups. Die letzte Version des Backups speichere ich auf einer lokalen Festplatte in meinem Homeoffice, das ich weder durch eine Alarmanlage noch durch einen 19stelligen Code gesichert habe. Meine Fragen:

    1. Bin ich ein Auftragsdatenverbeiter (auch wenn ich nur alte Formulareinträge lösche)und falls ja:

    2. Gibt es einen gesonderten AV-Vetrag, der die Winzigkeit meines Unternehmens (Webdesign und Wartung von WordPress-Websites) berücksichtig? Danke!!!

    Antworten
  • Carola says:

    Liebe Brigitte,

    mir geht es ganz ähnlich, ich habe als Webdesignerin auch Zugriff auf die Websites meiner Kunden und frage mich, ob ich damit Auftragsdatenverarbeiterin bin. Ich speichere zwar keine Backups auf meiner lokalen Festplatte, aber es kann nicht ausgeschlossen werden, dass ich mit persönlichen Daten in Berührung komme.
    Zu Reginas Antwort würde ich noch ergänzen: Auch wenn es keine Mini-Version des AVV gibt, passt sich dieser inhaltlich ja an die Erforderlichkeit (v.a. das Risiko) und damit auch indirekt an deine Unternehmensgröße an. Ich denke eine Webdesignerin muss keine Angst haben, dass mit Abschluss eines AVV ständig Auftraggeber zu Kontrollzwecken durch ihre Privatwohnung pilern, denn die Kontrolle muss ja verhältnismäßig sein und darf ihren Betrieb nicht mehr als nötig stören. Und es steht nirgendwo geschrieben, dass jede Auftragsverarbeiterin eine Alarmanlage haben muss oder andere Maßnahmen ergreifen muss, die sie in den finanziellen Ruin treiben. Je nach Sitation könnten meiner Meinung nach z.B. folgende technisch-organisatorischen Maßnahmen völlig ausreichend sein, um ein angemessenes Schutzniveau zu gewährleisten:
    – „manuelles Schließsystem“ = Zusperren des Arbeitszimmers, wenn Gäste in der Wohnung sind
    – die Installation einer Virenschutz-Software (sollte ohnehin selbstverständlich sein)
    – das Sichern des Arbeitscomputers mit einem Passwort gemäß aktuellen Empfehlungen usw.
    Eine spezielle Vorlage für solche Fälle habe ich bisher leider noch nirgendwo gefunden, ein Praxisbeispiel wäre natürlich eine tolle Sache.

    Liebe Regina, auch von mir herzlichen Dank für die vielen hilfreichen Infos! Ich freu mich auf das Webinar 🙂

    LG Carola

    Antworten
  • DSGVO – Auftragsverarbeitungsverträge. Sichere Dich rechtlich ab. – ViennaWriter's Blog & Podcast says:

    […] Einen ganz aufschlussreichen Artikel, wann es sich um einen Auftragsverarbeiter handelt und wann nicht, findest Du im Blog von Regina Stoiber. […]

    Antworten
  • DSGVO – Auftragsverarbeitungsverträge. Sichere Dich rechtlich ab. – Datenschmutz says:

    […] Einen ganz aufschlussreichen Artikel, wann es sich um einen Auftragsverarbeiter handelt und wann nicht, findest Du im Blog von Regina Stoiber. […]

    Antworten
  • Hajo says:

    Sehr sehr informativer Blog!!
    Eine Frage auch von mir: meine Frau ist Optikerin mit 2 Geringfügig Beschäftigten. Termine werden per Google Kalender (die kostenlose Version) bearbeitet. D.h. es werden Namen, teilweise auch Kontaktmöglichkeiten (Telefonnummern, Mail-Adressen) von Kunden eingetragen. Google Kalender wurde gewählt, weil sie dadurch auch nach Geschäftsschluss zugriff auf die Daten hat.
    Jetzt die Frage: ist Google hier Auftragsverarbeiter bzw. wird ein AVV benötigt?

    Schon mal vielen Dank für die Antwort!

    Antworten
    • Regina Stoiber says:

      Danke für das nette Feedback! Freut mich!
      Google ist in diesem Fall Auftragsverarbeiter. Ich bin mir aber nicht sicher, ob dieser Account von google nicht rein für Privatpersonen und Privatnutzung zur Verfügung gestellt wird laut AGB. Falls dem so ist, stellen sie keinen AVV.

      Antworten
  • Hajo says:

    Ok, so etwas hatten wir schon „befürchtet“. Dann werden wir die kostenpflichtige G-Suite in der Minimal-Ausführung buchen (da ist der Kalender auch drin), dann wirds auch was mit dem AVV.

    Danke für die Antwort! 🙂

    Antworten
  • otto says:

    Ich frag mich wie soll ich ohne iCloud meine Kontaktdaten up to date halten. Hat der Gesetzgeber da wieder einen Alleingang gemacht?
    Fahre oft zu Kunden, da helfen mir die Kontaktdaten auch zu hinfahren. Jetzt ist es 5 Minuten vor 12 und man riskiere existenzbedrohende Strafen, wenn man iCloud nicht abdreht.
    Ich brauch ja Adressen zum Arbeiten. Das ist ein purer Albtraum; da hat man sich vieles gar nicht überlegt.
    Wenn man jetzt die Daten aus der Cloud löscht, wird es einigen passieren, dass alle Daten verloren gehen.
    Und und und.. nur Probleme.. selbst wenn ich mir einen IT Firma suche ist das auch keine Garantie, dass ich nicht bestraft werde. Wie kann man sowas wie die DGSVO nur schreiben und sagen so jetzt gilts?

    Antworten
  • Roswitha says:

    Guten Morgen,

    die Beiträge hier lese ich mittlerweile regelmäßig. Die gestellten Fragen sind interessant und passen auch zu mir als kleine Agentur:) Und dann noch die schnellen aufschlussreichen Antworten. Klasse und Danke.

    Ich habe noch folgende Frage: ich habe Kunden die zum Beispiel SoundCloud nutzen. Um den Beitrag zu hören, wurde aber nicht das entsprechende Plugin auf die Website eingefügt, sondern lediglich ein Link zu SoundCloud gesetzt. Damit wird SoundCloud ja nicht direkt in die Website eingebunden. Muss der User hier trotzdem eine eindrückliche Einwilligung geben?

    Viele Grüße
    Roswitha

    Antworten
  • Regina Stoiber says:

    Liebe Roswitha,

    vielen herzlichen Dank für das tolle Feedback. Das freut mich sehr.
    Wenn es tatsächlich nur ein einfacher Link ist, der keine Daten überträgt, braucht nichts weiter gemacht werden. Der 100%igen Korrektheit kann man noch angeben, dass der Inhalt beim Klick auf der externen Seite SoundCloud geladen wird.

    LG Regina

    Antworten
  • Ada says:

    Zu Apple habe ich folgende Info gefunden:
    „Einen Brief mit Bitte um ADV Vertrag an folgende Adresse PER POST!!! schicken:
    Apple Distribution International
    c/o Apple GmbH, Legal Dept.
    Arnulfstrasse 19
    80335 Munich
    Germany“

    Antworten
  • Holly says:

    Hallo Regina!

    Vielen Dank für deine ausführlichen Berichte.

    Ich betreibe einen privaten Blog, ohne Newsletter, Shop oder Links zu irgendwelchen Social Media Seiten.

    In den letzten Wochen habe ich versucht, meinen Blog von der technischen Seite anzupassen. Aber der ADV-Vertrag bereitet mir noch Kopfschmerzen, weil ich nicht
    verstehe, ob ich einen benötige oder nicht. Mein Hoster, Webgo, meint nein.

    Im Vertrag, den sie anbieten, soll ich unterschreiben, alle technischen Maßnahmen zu ergreifen. Wie soll ich das unterschreiben, wenn ich von der technischen Seite keine Ahnung habe? Ich kann lediglich das Theme füllen.

    Wie läuft es ab, wenn mich jemand nach den Verbindungen fragt? Wie soll ich die nachweisen oder muß das mein Hoster?

    Hoffe, Du kannst mir die Frage beantworten und meine Sorgen zerstreuen. Momentan bin ich hin- und hergerissen, was ich in zwei Wochen machen soll.

    Schönen Sonntag
    Holly

    Antworten
    • Regina Stoiber says:

      Hallo Holly,

      erst mal, kann dir als Auftraggeber der Auftragnehmer nicht vorschreiben, was du mit den Daten zu tun hast, bzw. wie du sie schützen musst. Das ist dein Bereich. Er muss im AVV Stellung nehmen, wie er die Daten sichert. Natürlich musst du auch sicherstellen, dass in deinem CMS die Daten gesichert sind. Das ist deine Verantwortung. Wenn du dir nicht sicher bist, ob alles richtig ist, dann hol dir unbedingt Unterstützung! Das ist wichtig!

      Was meinst du „nach einer Verbindung fragen“?

      LG Regina

      Antworten
  • Birigt Boekhoff says:

    Hallo Frau Stoiber,
    ich hätte nochmal eine Nachfrage zu Digistore24. Wenn ich bei DigiStore als Vendor IPNs einstelle, sodass DigiStore24 die Käuferdaten an Digimember weitergibt und auch an meinen Newsletteranbieter, dann ist DigiStore24 für mich doch AV, oder nicht?

    Antworten
    • Regina Stoiber says:

      Nein, Digistore übernimmt nur die Funktion der Zahlungsabwicklung und ist kein Auftragsverarbeiter. Sie leiten keine personenbezogenen Daten an digistore zur Verarbeitung weiter. Der Käufer kauft direkt selber über digistore.

      Antworten
  • Berthold says:

    Hallo Frau Stoiber,
    vielen Dank für Ihre umfangreichen Infos – eines ist mir jedoch nicht klar: muss in dem Verfahrensverzeichnis welches ich führen muss, der Auftragsverarbeiter nicht genannt werden?
    In den div. Beispielen habe ich dies nirgends gefunden.
    Bsp. Warenwirtschaft in der Cloud – Auftragsverarbeitungsvertrag liegt vor, wo wird das dann aufgeführt?
    Danke!

    Antworten
    • Regina Stoiber says:

      Danke für Ihr Feedback. Nein, im Verfahrensverzeichnis müssen Sie nicht über den Auftragsverarbeiter informieren. Ich würde es aber trotzdem aufgrund der Einfachheit aufnehmen.
      Sie müssen nämlich in der Informationspflicht darüber informieren https://regina-stoiber.com/2018/03/03/informationspflicht-dsgvo-bdsg-neu/
      Das wäre zum Beispiel die Datenschutzerklärung auf der Webseite oder eine zusätzliche Informationspflicht, die für Ihre Zielgruppe zugänglich ist (Schreiben als Anhang zum Vertrag, Auslage im Unternehmen, ….)

      VG Regina

      Antworten
  • Sissi says:

    Hallo Regina,
    danke für die tollen Informationen. Für als Alleinkämpferin sehr wertvoll.
    Ich habe noch keine Antwort auf die Frage gefunden, ob ich einen AV-Vertrag mit Facebook, Pinterest, LinkedIn und Xing brauche, wenn ich dort Accounts betreibe. Die jeweiligen Netzwerke haben keine Zugriff auf meine Seite, nur von Pinterest gibt es diesen „Merken“-Button.
    Und muss ich einen AV-Vertrag mit „Outlook“, „Paypal“ und „Slimstat“ abschließen?

    Sorry, das sind bestimmt Anfängerfragen für Dich, aber ich wäre sehr dankbar, wenn Du weiterhelfen kannst,
    herzliche Grüße
    Sissi

    Antworten
    • Regina Stoiber says:

      Liebe Sissi,

      Nein mit den Social Media Anbietern brauchst du keinen AVV, da beide Seiten (also du und die anderen Nutzer) den Nutzungsbedingungen des Anbieters zustimmen, wenn sie die Medien nutzen.
      Meinst du Outlook als Programm oder Microsoft als Dienstleister? Falls letzteres, wenn deine E-mail über Microsoft laufen, dann ja, dann brauchst du einen AVV mit denen. Paypal ist Zahlungsdienstleister – kein AVV. Slimstat keinen ich leider nicht – sorry.

      LG Regina

      Antworten
  • Kirsten says:

    Klasse und hilfreiche Informationen – und auch mal ohne vorheriges ABO zu kaufen – Danke dafür

    Antworten
  • Sabrina Weller says:

    Ist mein EC Karten Anbieter ein Auftragsverarbeiter?

    Antworten
  • uli says:

    Hallo Regina,
    als Beispiel für einen Auftragsverarbeiter schreibst du: “ • Marketingagenturen, die auch die Auswertung der Webseitenanalyse durchführen“. Heißt das, die Webseitenanalyse ist hier das entscheidende Kriterium?

    Oder ist meine Marketingagentur generell AV, z. B. wenn ich ihr meine Kundendaten (Adresse, e-mail) zur Verfügung stelle, damit sie meine Kunden an die nächste Wartung erinnert. (Ich komme irgendwie mit den Kriterien, die auf eine Auftragsverarbeitung hinweisen, nicht hin….

    Herzlichen Dank für die Rückmeldung und LG Uli

    Antworten
    • Regina Stoiber says:

      Hi Uli,

      es heißt, die / eine Kerntätigkeit muss die Verarbeitung personenbezogener Daten sein. Google Analytics wäre ein Beispiel. Es können aber auch andere Aufgaben sein, bei denen Du Zugriff auf personenbezogene Daten deiner Kunden hast. Sei es, weil ein Kunde auf seinem Webserver auch einen Onlineshop oder ein Buchungsportal betreibt und du dieses wartest.

      Hilft dir das?
      LG Regina

      Antworten
  • Uli says:

    Lieben Dank. Also „verarbeitet“ die Marketing-Firma die Daten nicht, wenn sie meine Werkstattkunden in meinem Auftrag kontaktiert (mit Einwilligungserklärung selbstverständlich).
    Verarbeitung heißt Analyse?

    Antworten
  • Frank Ullrich says:

    Sehr gute Seite und ein sehr guter Artikel

    Antworten
  • Gabi says:

    Liebe Regina,
    erstmal herzlichen Dank für die tolle Verfahrensverzeichnis – Vorlage, die mir sehr weiter geholfen hat.

    Eine Frage zu Mails mit Kunden in unserer FB-Gruppe:
    Darf man für den Kundenmailverkehr (Bestellungen im Shop, Anfragen etc.) Freemail-Anbieter wie gmx.de oder web.de benutzen und sind die dann DSGVO konform?
    Oder muss man auf die kostenpflichtige Variante umsteigen?
    Ich würde mich sehr über Ihre Einschätzung freuen. Toll wäre ein Link, wo man dazu genaues nachlesen kann.

    Danke und herzliche Grüße
    Gabi

    Antworten
    • Regina Stoiber says:

      Einen Link habe ich leider auch nicht parat, aber die Freemailer haben meistens in den AGB die gewerbliche Nutzung ausgeschlossen. Ist dies nicht der Fall, kann man Sie im Business einsetzen und einen AV-Vertrag anfordern, damit das ganze konform ist.

      Antworten
  • Stefan says:

    Hallo Regina,

    Danke für den informativen Beitrag. Ich hänge derzeit auch beim ADV-Vertrag fest und habe ein paar einfache Fragen zum Verständnis. Vorab, ich Betreibe einen Blog mit Testberichten und News. Vermarktet wird per AdSense und über Affiliate Links. Es gibt lediglich eine Kommentar-Funktion (IP wird nicht gespeichert) und einen normalen Kontakt via E-Mail. Somit werden keine weiteren Daten wie Verträge, Anmeldungen / Registrierungen von Nutzern etc. aufgezeichnet.

    Nun zu den Fragen. In meinem ADV-Vertrag von Hosteurope.de ist die Rede von „Art der Daten“. Hierzu würden in meinem Fall wahrscheinlich nur Stammdaten und Kommunikationsdaten fallen da ja diese nur aufgezeichnet werden würden. Verträge, Abrechnungen etc. würden folglich also wegfallen?

    Frage 2: Kreis der Betroffenen im Umgang mit Daten – Betrifft dies die Personen die theoretisch bzw. praktisch Zugriff haben? Also mich als Webmaster? Oder soll dieser Punkt feststellen von wem die Stammdaten / Kommunikationsdaten aufgezeichnet werden?

    Ich hoffe Du kannst mir da ein bisschen weiterhelfen.

    Mfg
    Stefan

    Antworten
  • Stela Pislova says:

    Liebe Frau Stoiber,

    ich führe für meine Kunden Gesundheitskurse durch, Rückenschule, Pilates und Ergonomie.
    Ich erhalte von Kunden die Namen der Teilnehmer für die Kurse und natürlich die Daten des Kunden, um Details zu besprechen und nach dem Kurs meine Rechnung stellen zu können.

    Muss ich nun mit jedem Kunden einen ADV-Vertrag abschließen, weil ich personenbezogene Daten verarbeite?

    Lieben Dank für Ihre Antwort!

    Viele Grüße
    Stela

    Antworten
    • Regina Stoiber says:

      Nein, da die Kunden ja als private Personen zu Ihnen kommen brauchen Sie keinen AVV.
      AVVs sind nur zwischen Unternehmern und dann auch nur, wenn Sie personenbezogene Daten des anderen Unternehmens im Auftrag verarbeiten. Selbst, wenn ein Unternehmen bei Ihnen die Kurse für seine Mitarbeiter bezahlt, Sie aber keine Gesundheitsdaten an das Unternehmen zurück übermitteln, brauchen Sie keinen AVV, da Sie dann ja keine personenbezogenen Daten im Auftrag verarbeiten, sondern wieder direkt dem Endkunden gegenüber.

      Antworten
  • Bert says:

    Hi Regina,
    vielen Dank für Dein Engagement. Das ist wirklich hilfreich. Ich habe dennoch eine Frage. Ich betreue verschiedene Webseiten meiner Kunden auf verschiedene Arten. Brauche ich auch für Webseiten einen ADV, bei denen nur der reine Webseitespace über meinen Hoster läuft (kein Hosting der Mails) und nur einfache Imagepräsenzen ohne Registrierung, Buchungs- oder Shopfunktion sind. Danke im Voraus für die Antwort.
    Motivierende Grüße
    Bert

    Antworten
  • Bernd says:

    Du sagst man brauch mit Facebook keinen ADV. Aber meine Facebook Seite kann auch von Menschen besucht werden die selber nicht User bei Facebook sind und deren Nutzungsbedingungen nicht zugestimmt haben. Es verhält sich dann doch wie eine Webseite bei einem X-beliebigen Provider inkl. der Speicherung der Webserver Logs (und Facebook speichert sicher noch mehr) – also würde ich mit Facebook doch einen ADV brauchen? – Es ist alles so verwirrend…. Danke das du schon so viele Licht ins Dunkel bringst. – Grüße Bernd

    Antworten
    • Regina Stoiber says:

      Das ist ein guter Punkt Bernd. Ich weiß allerdings gar nicht, ob die nicht Facebook User mit deiner Seite interagieren können oder sie nur ansehen können. Das wäre dann ja wieder ein großer Unterschied.
      Ich glaube, dieses Thema mit Facebook als AV ist aktuell groß in der Diskussion. Aktueller Stand ist meines Wissens, dass Facebook (noch?) gar keine AVVs anbietet.
      Dieses Thema wird sich sicherlich die nachten Monate konkretisieren. Vor allem, nachdem das noch ausstehende Urteil gesprochen wird, wer verantwortlich für den Datenschutz auf Unternehmensseiten ist.

      Antworten
  • Thomas says:

    Hallo Regina 🙂 Ist als Druckdienstleister auch das zu verstehen, wenn wir als Werbeagentur für unsere Kunden z.B. Visitenkarten, Briefbögen und dergleichen bei einer großen Onlinedruckerei drucken lassen ??

    Antworten
    • Regina Stoiber says:

      Hallo Thomas,
      ja, das gehört auch dazu. Briefbögen und allg. Materialien sind ja nicht personenbezogen. Einziges Thema hast du bei den Visitenkarten und evtl. personalisierten Post-Mailings.
      Ich habe auch eine Druckerei als Kunden und hier haben wir einen AVV als Vorlage erarbeitet und stellen den auf Wunsch den Kunden zur Verfügung, die einen anfragen.

      LG

      Antworten
  • Thorsten Eisbein says:

    Vielen Dank für die tollen Informationen und praxisnahen Beispiele. Ich hätte noch einen Tipp für die Leute, die sich um die Speicherungen von Kontakten und Kalender machen.
    Fast alle diese Leute haben eine Internetseite. Dafür müssen sie mit Ihrem Hoster einen AV Vertrag schließen (gibt Ausnahmen, z.B. dedicated Server. Meistens bieten Hoster selbst dafür AV Verträge). Auf dieser Internetseite einfach Nextcloud oder Owncloud installieren, am Besten mit der Option, dass die Daten dort verschlüsselt gespeichert werden. Dann benötigt man nur einen AV Vertrag und hat alle Daten unter seiner eigenen Kontrolle. Für nextcloud/owncloud gibt es Synchronisationsmöglichkeiten für fast alle Endgeräte (PC, Mac, Smartphone), man kann für Mitarbeiter jeweils ein Konto einrichten, gemeinsame Kalender haben etc. Im Grunde gibt es gar keinen Grund, die Dienste von Apple oder Google zu nutzen. Es ist wirklich sehr einfach einzurichten.

    Antworten
    • Regina Stoiber says:

      Danke Thorsten, das hört sich gut an. Das wäre sogar eine Überlegung für uns, da mein Team gerade stetig am wachsen ist und wir plötzlich auch diesen Themen gegenüber stehen. Das werden wir uns gern mal näher ansehen.
      Danke Dir!

      Antworten
  • Jey says:

    Tolle Seite hier! Es geht noch mal um das Thema Webdesignagentur. Ich glaube, dass es vielen um die Abgrenzung geht. Deshalb einmal folgende Frage: Ich erstelle und pflege die Webseiten von Kunden, ändere Inhalte, füge Bilder und Texte hinzu (Leistungen, Ansprechpartner usw.) Dazu habe ich den FTP oder CMS-Zugang. Kein Google Analytics, Shop und Newsletter sind angebunden. Bin ich da jetzt Auftragsdatenverarbeiter oder nur Dienstleister bzw. muss ich einen ADV mit jedem schließen?

    Antworten
    • Regina Stoiber says:

      So wie du die Tätigkeit beschreibst, würde ich das so verstehen, dass du bei deiner Tätigkeit keine personenbezogenen Daten als Kernaufgabe verarbeitest, daher kein AVV.
      Sicherheitshalber würde ich das in deinem internen Verfahrensverzeichnis auch noch mal so dokumentieren, dass man nachvollziehen kann, warum du dich nicht als Auftragsverarbeiter siehst.
      Für den (unwahrscheinlichen) Fall, dass es zu einer Prüfung kommt und der Prüfer eine andere Meinung vertritt, ist es immer gut, wenn du nachweisen kannst, dass du dir Gedanken gemacht hast und zu diesem Schluss aus ganz bestimmten Gründen gekommen bist.

      Antworten
  • Kristy Koth says:

    Hi Regina,
    vielen, vielen Dank für diesen Blog. Es ist enorm hilfreich! Ich habe verstanden, dass ich einen AVV mit dem Webhoster brauche aber wie sieht es aus mit dem Internet-Provider (bei meiner Firma Kabel-Deutschland bzw. Vodafone). Ich habe dort angerufen und die Frage wurde weitergeleitet aber keine wusste etwas von AV-Verträgen. Ich hake weiter nach aber vielleicht um sonst?
    Vielen Dank im Voraus und viele Grüße
    Kristy

    Antworten
    • Regina Stoiber says:

      Internetprovider hätte ich jetzt gesehen wie Telekommunikationsdienstleister für Telefon und Handy. Da ist auch kein AVV nötig, da für diese Dienstleistung Gesetze wie Telekommunikationsgesetz gelten.

      Antworten
  • Bernie says:

    Hm. Begeistern wird mich dieses Ungetüm der DGSVO sicher nicht, es kommt eine Unmenge an zusätzlichem Verwaltungsaufwand ohne erkennbaren Nutzen…
    Zum Beispiel muß ich als Druckdienstleister mit jedem Unternehmen, das eine Visitenkarte für einen Mitarbeiter drucken lassen will einen Vertrag zu Auftragsdatenverarbeitung schließen. Wie geil ist das denn? Und dann darf ich seine Satzdaten wann löschen? Wenn er mir sagt sein Mitarbeiter ist nicht mehr da? Und dann suche ich mir das aus dem Archiv heraus und lösche da einen einzelnen Mitarbeiter? Super!

    Antworten
    • Regina Stoiber says:

      In dieser Hinsicht hat sich eigentlich mit der DSGVO nichts geändert. Die Verträge zur Auftragsverarbeitung waren vorher mit dem BDSG auch schon Pflicht. Es hat halt keiner gemacht….
      Die Verpflichtung muss eigentlich vom Auftraggeber ausgehen. Sie können den AVV natürlich auch als Service von Ihrer Seite direkt bei Vertragsschluss anbieten, aber eigentlich muss Sie der Auftraggeber dazu „verpflichten“, also auffordern. Es ist in seinem Interesse und für ihn hat es schon den Mehrwert, dass er eine Sicherheit hat, wie Sie mit den Daten umgeht. Zudem nimmt es Sie als Auftraggeber auch mehr in die Pflicht, als dies vorher der Fall war.

      Da Sie ja mit Ihrem Auftraggeber ein Vertragsverhältnis eingehen, basiert ihre Zusammenarbeit auf Art. 6 (1) lit. b – Vertragsgrundlage. Da ist es nicht so, dass Sie sofort löschen müssen, wenn einer schreit. Im Gegenzug bei der freiwilligen Einwilligung nach Art. 6 (1) lit. a, da müssen Sie löschen, wenn der Betroffene das möchte. Bei Ihnen können ja bezüglich der Vertragsgrundlage einige Gründe gegen das sofortige Löschen sprechen.

      LG Regina

      Antworten
  • Silke says:

    Liebe Regina, ich bin so froh, dass ich auf diesen Blog gestoßen bin. Vielen tausend Dank für Dein tolles Engagement. Ich bin selbständige Buchhalterin, keine Steuerberaterin und keine Bilanzbuchhalterin, übernehme also für Unternehmen, meist EinzelunternehmerInnen, das Buchen der laufenden Geschäftsvorfälle. Ich betreibe keine Website. Bin ich mit dieser Tätigkeit ein „Auftragsverarbeiter“? Ich würde mich riesig über eine Antwort freuen. Diese Unsicherheit zerrt enorm an den Nerven. Herzliche Grüße, Silke

    Antworten
    • Regina Stoiber says:

      Liebe Silke, das freut mich. Danke!
      Laut Bitkom verstehe ich es so, dass du „nur“ eine Funktion übertragen bekommst und damit kein Auftragsverarbeiter bist. Ich würde mich auf dieses Papier der Bitkom beziehen, solange keine Urteile dazu gesprochen werden. Du kannst gerne auch noch mal im Original nachlesen. Link dazu am Ende meines Artikels.

      LG Regina

      Antworten

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.