Wann handelt es sich um einen Auftragsverarbeiter?

Wann ist der Dienstleister ein Auftragsverarbeiter nach DSGVO?

Ist Ihr Dienstleister tatsächlich ein Auftragsverarbeiter im Sinne der EU Datenschutzgrundverordnung? Sehr schnell tendiert man dazu jedem den Titel Auftragsverarbeiter anzuhängen, der auch nur annähernd in die Nähe von personenbezogenen Daten kommt.

Es gibt viele Diskussionen zum Thema. Ist zum Beispiel Google schon ein Auftragsverarbeiter, wenn dort die IP-Adresse erfasst wird? Um die Frage fachlich fundiert zu beantworten, bin ich auf eine sehr gute Dokumentation der Bitkom gestoßen. Es wird dort auf 43 Seiten sehr detailliert über die Auftragsverarbeiter bzw. Auftragsdatenverarbeiter (wie sie vorher hießen) informiert.

 

[Update am 01.06.2018 – Aufgrund ständig neuer Veröffentlichungen und Stellungnahmen, wurde dieser Artikel nun noch mal angepasst!]

 

Neben dem sehr wertvollen Papier der Bitkom gehe ich nun auch noch auf die Stellungnahme der Datenschutzkonferenz ein, die auch eine Aussage über die Auftragsverarbeitung getroffen haben.

 

Die wesentlichen Informationen, extrahiert und zusammengefasst, möchte ich hier anbieten. Ich bin mir sicher, dass diese Informationen viel viele Leser genauso hilfreich sind, wie sie für mich waren.

 

Was sind die Alternativen zur Auftragsverarbeitung?

Wie schon oben erwähnt, ist es nicht immer eine Auftragsverarbeitung, wenn Daten nicht allein von der verantwortlichen Stelle verarbeitet werden. Es gibt hier drei Möglichkeiten:

  • Auftragsverarbeiter
  • Inanspruchnahme fremder Fachleistungen
  • Joint Controllership (Gemeinsame Verantwortliche)

Jede dieser Optionen hat rechtlich andere Parameter, die berücksichtigt werden müssen.

Diese Fälle richtig auseinander zu halten, ist die Kunst. Ich finde es auch nicht ganz trivial, aber mit den Hinweisen der Bitkom und der DSK ist es etwas einfacher.

Allerdings muss man erwähnen, dass im Leitfaden der Bitkom noch die Funktionsübertragung erwähnt wird, dich ich vorher in diesem Artikel auch mehr heraus gehoben habe. Nach der DSGVO gibt es diese nun scheinbar nicht mehr. Ob sich die Urteile später wieder in die Richtung anlehnen, also das Prinzip der Funktionsübertragung in Betracht ziehen? Wie an so vielen Stellen, ist dies ein Fragezeichen, momentan sieht es aber nicht danach aus.

Übermittlung (Funktionsübertragung) aus dem „alten“ BDSG

  • Die Datenverarbeitung personenbezogener Daten spielt eine untergeordnete Rolle
  • Der Auftragnehmer hat nur eine unterstützende Funktion, indem er dem Auftraggeber in einer oder mehreren Phasen der Verarbeitung unterstütz.
  • Der Dienstleister ist quasi der „verlängerte Arm“ des Auftraggebers.
  • Es wird keine Aufgabe in ihrer Vollständigkeit, sondern lediglich ihre technische Ausführung übertragen.

Beispiele für Funktionsübertragung – ALT

  • Ausgelagerte Finanzbuchhaltung
  • Gehaltsabrechnung durch den Steuerberater

Ich empfehle daher, sich nicht mehr auf die Funktionsübertragung zu berufen – was es im allgemeinen aber auch einfacher macht, wie ich finde. Dann hat man noch die Optionen:

  • Auftragsverarbeiter
  • kein Auftragsverarbeiter
  • oder Gemeinsame Verantwortliche

 

Auftragsverarbeitung

Wenn Sie einen Auftragsverarbeiter beauftragen legen Sie die Zwecke und Mittel der Datenverarbeitung fest. Sie sind verantwortlich für die Daten dem Betroffenen gegenüber.

Auch der Auftragsverarbeiter hat eine Unterstützungsfunktion, wenn der Verantwortliche seinen Verpflichtungen nicht alleine nachkommen kann oder will. Der Auftragsverarbeiter muss dann den Verantwortlichen bei der Erfüllung der Anfragen und Ansprüche des Betroffenen unterstützen.

Es deutet auf eine Auftragsverarbeitung hin, wenn der Auftragnehmer:

  • keine Entscheidungsbefugnis über die Daten hat
  • keinen eigenen Geschäftszweck verfolgt bezüglich der personenbezogenen Daten
  • einem Nutzungsverbot der zu verarbeitenden Daten unterliegt
  • in keiner vertraglichen Beziehung zu den Betroffenen steht, die er verarbeitet
  • und nach außen hin der Auftraggeber für die Datenverarbeitung verantwortlich ist

Ergänzen muss man aber noch, dass zwar der Auftraggeber die Zwecke und Mittel der Verarbeitung festlegt, das aber nicht bedeutet, dass auch jede technische Schutzmaßnahme durch den Auftraggeber entschieden werden muss. Hier hat der Auftragnehmer durchaus das Recht, eigene Entscheidungen zu treffen.

 

Beispiele für die Auftragsverarbeitung

  • Outsourcing eines Rechenzentrums
  • Externe Datenhaltung
  • Cloud Systeme  zur Personal- und Kundenverwaltung
  • externe Druckdienstleister
  • Aktenvernichtung, Vernichtung von Datenträgern
  • Marketingagenturen, die auch die Auswertung der Webseitenanalyse durchführen

 

Wann ist ein Dienstleister kein Auftragsverarbeiter

Laut Bitkom bezog sich die Grenze vor allem bei den IT-Dienstleistern darauf, dass ein Dienstleister, der nur Support Tätigkeit übernimmt und keine aktive Verarbeitung der Daten dabei übernimmt, kein Auftragsverarbeiter ist. Nach der Stellungnahme der DSK wird das nun etwas globaler gesehen.

Kein Auftragsverarbeiter ist daher ein Dienstleister, der z.B. die Wartung an der Stromzufuhr und an der Kühlung übernimmt. Jeglicher IT-Dienstleister, der sich z.B. auf den Rechner per Fernwartung aufschalten kann und dabei Zugriff auf personenbezogene Daten HABEN KÖNNTE, ist demnach ein Auftragsverarbeiter.

 

Die Beispiele der BitKom, wer kein Auftragsverarbeiter ist, sind nun noch ergänzt mit dem Einfluss des DSK Papiers:

  • Installation und Wartung von Netzwerken, Hardware
    • Telefonanlage, nur solange ein eventueller Zugriff auf personenbezogene Daten ausgeschlossen wird (was eigentlich ja nicht möglich ist)
  • Pflege von Software – wäre nach Stellungnahme der DSK nun immer ein Auftragsverarbeiter
  • Programmentwicklung und -tests von Programmen, die keine personenbezogenen Daten verarbeiten, sei es durch Userkennungen, Protokolle oder durch den originären Zweck des Programms

Zudem handelt es sich nicht um einen Auftragsverarbeiter, wenn

  • die Dienstleistung in Gesetzen geregelt ist (Postdienstleistungen – siehe auch weiter unten….)
  • bei E-mail Providern, die nur die E-mail Übermittlung sicherstellen und keine weiteren Funktionen anbieten
  • ausgelagerte Tätigkeiten, deren Kernaufgabe nicht die Verarbeitung von personenbezogenen Daten darstellt, trotzdem aber der Umgang mit personenbezogenen Daten nötig ist (Wachdienst, Reinigungsdienstleistung…)

 

Fremde Fachleistungen

Hier spricht sich nun die Datenschutzkonferenz aus, dass die fremden Fachleistungen sich folgendermaßen auszeichnen:

  • für die Verarbeitung und die Übermittlung gibt es einen eigenen Verantwortlichen
  • für die Verarbeitung muss natürlich eine Rechtsgrundlage nach Art. 6 DSGVO vorliegen (ganz ehrlich, hier frage ich mich, warum das überhaupt erwähnt werden muss, das ist ja bei allen Punkten Voraussetzung)

Beispiele für fremde Fachleistungen

Die DSK kategorisiert in Ihrer Stellungnahme folgende Gruppen

  • Berufsgeheimnisträger (Steuerberater, Anwälte, externe Betriebsärzte, Wirtschaftsprüfer…)
  • Inkassobüros mit Forderungsübertragung
  • Bankinstitute für den Geldtransfer
  • Postdienst…

 

Joint Controllership – Gemeinsame Verantwortliche

Die DSGVO ermöglicht neben der alleinigen Verantwortung für ein Verfahren ein arbeitsteiliges Zusammenwirken. Dabei können „zwei oder mehr Verantwortlich“ gemeinsam die Verantwortung für die Verarbeitung personenbezogener Daten übernehmen.

Damit haben also alle verantwortlichen Stellen die Entscheidung über Zwecke und Mittel der Verarbeitung. Im Gegensatz zum Auftragsverarbeiter, bei dem keine Entscheidungsbefugnis über die Zwecke und Mittel der Verarbeitung vorliegt.

Bei der Entscheidungsbefugnis geht es nicht um untergeordnete Entscheidungen, welche Verschlüsselung eingesetzt wird oder wie die Akten entsorgt werden. Die Schutzmöglichkeiten nach dem aktuellen Stand der Technik wählt natürlich der Auftragsverarbeiter frei. Die erwähnte Entscheidungsbefugnis bezieht sich auf die Zwecke und Mittel der Verarbeitung allgemein.

Interessant fand ich den Hinweis, dass maßgeblich ein faktisches Verhalten entscheidend ist, ob es sich um gemeinsame Verantwortliche handelt. Nicht der gemeinsame Wille regelt die Joint Controllership, sondern eben das Verhalten, also wie es tatsächlich gelebt wird.

 

Umsetzung der gemeinsamen Verantwortung

Es ist zwar kein Vertrag zur Auftragsverarbeitung nötig, trotzdem müssen ein paar Punkte dokumentiert werden.

  • Welcher der Partner hat welche Pflichten nach der DSGVO
  • Wer übernimmt die Wahrung welcher Betroffenenrechte
  • Welcher der Partner übernimmt die Informationspflicht

Beispiele für Joint Controllership

Die aktuellen Beispiele der DSK sind etwas anders als die der Bitkom. Hier also die aktuellen der DSK:

  • klinische Arzneimittelstudien bei mehreren Verantwortlichen, die eigene Entscheidungen treffen (in Teilbereichen)
  • mehrere Unternehmen eines Konzerns, die gemeinsam bestimmte Datenkategorien verwalten und für gleichlaufende Geschäftszwecke verarbeiten

 

Wie schon oben erwähnt stammt die Information dieses Beitrags aus einem Leitfaden der Biktom. Ich habe hier die Inhalte kompakt zusammen gefasst. Der gesamte Leitfaden ist hier zu finden: Quelle: Bitkom

Neu dazu kam nun die Quelle der Datenschutzkonferenz unter diesem Link.

Wann ist der Dienstleister ein Auftragsverarbeiter nach DSGVO?
Pin it!

Bei welchen Dienstleistern sind Sie unsicher, ob es sich um einen Auftragsverarbeiter handelt?

Ich freue mich über einen Kommentar!

Regina Stoiber

Seit über 10 Jahren bin ich nun im Bereich Informationssicherheit und Datenschutz tätig. Mit Begeisterung für das Thema bin ich seit einigen Jahren nun selbständig. Ich unterstütze Sie, beim Schützen Ihrer Daten. Praxisorientiert, strukturiert und persönlich.

199 Comments on “Wann handelt es sich um einen Auftragsverarbeiter?
  • Anton says:

    Hallo Regina!

    Vielen Dank für Deine großartige Arbeit zum Thema DSGVo.

    Kurze Frage:

    Ich bin mir immer noch nicht sicher, ob dann mein Provider ein Auftragsverarbeiter ist.

    Ich selbst bin Auftragsverarbeiter, ich biete ein SAAS an (Software as a Service) und verarbeite Daten meiner Kunden – soweit klar.

    Aber besagte Daten liegen ja in der MySQL-Datenbank meines Providers.

    Was meinst Du dazu?

    Danke und herzliche Grüße
    Anton

    PS: Mein Provider hat natürlich einen AV-Vertrag; ich frage nur deshalb, weil es einen Unterschied macht, ob ich in meinem AV-Vertrag den Provider als „zugelassennen Subunternehmer“ aufführen muss oder nicht.

    Antworten
    • Regina Stoiber says:

      Herzlichen Dank Anton für das positive Feedback.

      Ich würde schon sagen, dass die Provider als AV agieren, da sie ja gerade mit den Logfiles und Protokollen personenbezogene Daten der User verarbeiten. Ich gehe davon aus, du sprichst von einem Provider, auf dem dein Service läuft, bei dem sich die User einloggen und dort „Spuren“ hinterlassen.
      Wenn es ein reiner Provider wäre für einen Server, den nur du nutzt, würde ich sagen nein, kein AV.

      So meine Interpretation. Hilft dir das?

      VG Regina

      Antworten
  • Annette Peters says:

    Ich habe einen buchblog,schreibe Rezensionen zu Büchern die ich gelesen habe,mache manchmal blogtouren.Ansonsten eigentlich nichts.ich teile meine eigenen Beiträge auf Facebook.
    Manchmal kommentieren wenige einen Beitrag,das war es.
    Was muss ich unbedingt tun?bis zum 25.5

    Antworten
    • Regina Stoiber says:

      Hallo Frau Peters,
      die Frage ist gerade nicht ganz einfach zu beantworten mit den Informationen. Ich weiß nicht mit welchem System Sie arbeiten, welche Plugins laufen…
      Auf Blogmojo habe ich einen Artikel geschrieben, der die To Do’s spiegelt, die für eine Webseite nötig sind. Sie finden die Inhalte hier: https://www.blogmojo.de/dsgvo-checkliste/
      Ich hoffe, damit sind die ersten Fragen schon beantwortet.

      Viele Grüße
      Regina Stoiber

      Antworten
  • Anton says:

    Danke, liebe Regina – ja, das hilft mir schon ein Stück weiter!

    Antworten
  • ADV-Verträge für Blogger & Online-Unternehmer: Liste mit Hostern, Newsletter-Tools etc. says:

    […] sich es um einen Auftragsverarbeiter handelt und wann nicht, behandelt Regina Stoiber ausführlich in diesem Artikel. Zusätzlich empfehle ich dir immer, beim Support eines Anbieters nachzufragen, ob dieser als […]

    Antworten
  • Katharina Kolata says:

    Ich habe meine Webseite bei einem amerikanischen Provider gehostet, der mir den Webspeicherplatz bereitstellt. Dort habe ich WordPress installiert (und ein paar Plugins, bei denen ich mir sicher bin, dass ich ich einen Datenverarbeitungsvertrag brauche, z.B. Mailchimp), das ich mit einem eigenen Theme betreibe.

    Meine Frage ist nun, muss ich mit dem Provider einen Datenverarbeitungsvertrag abschließen? Nach mehreren eMails mit dem Support des Providers meinen sie, dass das nicht der Fall ist. Ihre Argumentation:
    – der Betrieb einer Webpräsenz ist nur durch erfassen der IP-Adressen durchführbar (was gesetzlich sogar vorgeschrieben sei). Diese werden aber von ihrer Seite mit keinen Daten (z.B. Namen oder Adressen) verknüpft. Selbst ihr Analyse-Tool werte nur die log-files des Servers aus, aus denen sich keine Zusammenhänge mit personenbezogenen Daten herstellen ließen.

    Ich war, nach allem, was ich gelesen habe, davon ausgegangen, dass die IP-Adressen allein schon als persönliche Daten zählen und daher ein Datenverarbeitungsvertrag nötig ist. Habe ich das falsch verstanden?

    Ich würde ungern den Provider wechseln, denn das jetzige Unternehmen hat die stabilsten Server und das netteste und schnellste Support-Team, mit dem ich je gearbeitet habe (und ich bin schon sehr viele Jahre im Internet unterwegs).

    Über eine Antwort oder wenigstens einen Tipp von Ihnen würde ich mich sehr freuen. Vielen Dank für Ihr Engagement.

    Antworten
    • Regina Stoiber says:

      Wie im Artikel steht, ist die Verarbeitung der personenbezogenen Daten der entscheidende Punkt. IP-Adressen gelten bei uns als personenbezogen und die Speicherung ist eine Form der Verarbeitung. Daher bieten bei uns die Hoster meines Wissens so gut wie alle einen AV Vertrag an. Empfehlen würde ich es schon. Da Ihr Provider in den USA ist, gilt er als Drittland und muss neben den Standardinhalten der AV noch weitere Nachweise bringen, dass die Übertragung sicher ist. Ein Privacy Shield Zertifikat des Unternehmens in den USA wäre schon vorteilhaft (aber nicht zwingend). Unabhängig der AV müssen Sie aber sowieso sicherstellen, dass Sie einen sicheren Hoster ausgewählt haben. Wenn Sie eine AV haben, ist das damit ja eigentlich abgedeckt.
      Übrigens MailChimp macht genau das. Das Unternehmen ist Privacy Shield zertifiziert und bietet ein Data processing Agreement an, den Sie anfordern können, um DSGVO konform zu sein. Das ist gut geregelt. So sollte Ihr Hoster das auch machen.

      Mein PERSÖNLICHER Tipp, den ich privat geben würde, aber nicht beruflich 🙂 Ich würde erst mal beim Provider bleiben und schauen, wie er sich entwickelt. Vielleicht steigt der Druck ja bei ihm, weil mehrere Kunden das fordern und er dann doch in diese Richtung geht. Wenn sich mittelfristig nichts ändert, würde ich schon schauen, welche Alternativen es gibt.

      Ich hoffe, ich konnte Ihnen weiter helfen.

      Antworten
  • Ein-kleiner-Blog says:

    Liebe Regina,
    ich mache Produkttests und Buchrezesionen, daher gilt der Blog als gewerblich und ich muss die DSGVO umsetzen. Außerdem habe ich eine Linkparty, was jetzt zu einem Problem wird, weil mit dem Tool der Name und die E-mail der Teilnehmer bei Inlinkz in meinem Account gespeichert wird. Zwar könnte ich ohne E-mail und Namen auskommen, weil für mich nur der Link zum eigentlichen Blogbeitrag wichtig ist, aber ich kann den Htlm-Code von Inlinkz nicht ändern. Nun möchte ich wissen, ob ich für Inlinkz einen ADV-Vertrag brauche oder ist das eine Funktionsübertragung?
    Vielen herzlichen Dank für die Auuskunft!
    LG Elke

    Antworten
    • Regina Stoiber says:

      Liebe Elke,
      ich hab gerade nachgesehen. Inlinkz ist ein griechisches Unternehmen, also gilt für sie auch die DSGVO, das ist schon mal gut. Wenn dann wären sie, wie du sagst, ziemlich wahrscheinlich Auftragsverarbeiter. Ich würde mal anfragen, und nach einer AV fragen.
      Schau mal, was sie antworten. Würde mich interessieren. Sag Bescheid, wenn du eine Antwort hast.

      LG Regina

      Antworten
  • Katharina Kolata says:

    Vielen Dank für die rasche Antwort. Ich werde es mal so versuchen, wie Sie es gesagt haben

    Antworten
  • Ein-kleiner-Blog says:

    Danke, ich werde mal anfragen und ich bin gespannt, ob ich eine Antwort bekomme. Es gibt scheinbar doch mehr gewerbliche Blogs, die Linkpartys haben.

    Antworten
  • Dieter Keller says:

    Hallo Regina,

    wie sieht es denn mit einem Fuhrparkmanager aus? Ist so ein Fuhrparkmanager gleich zu stellen, wie ausgelagerte Finanzbuchhaltungsverarbeitung, also Joint Controllership?

    Antworten
    • Regina Stoiber says:

      Hallo Dieter,

      ich muss gestehen, ich kenne jetzt das Aufgabengebiet des Furhparkmanagers nicht. Hat der Zugriff auf personenbezogene Daten, wer wann welches Fahrzeug fährt oder weiß der nur, dass Auto XY an Firma Maier übergeben wurde?
      Ich hätte ihn, ohne das genaue Aufgabengebiet zu kennen als Auftragsverarbeiter eingestuft, da er ja wahrscheinlich keinen eigenen Zweck hat, die personenbezogenen Daten (falls er welche hat) zu verarbeiten. Er handelt im Sinn des Auftraggebers, oder?

      Antworten
  • Dieter Keller says:

    Fuhrparkmanager übernimmt Bestellung von Fahrzeugen für verschiedene Mandanten, Verbuchung von Rechnungen im Namen dieser Mandanten, Überführung von Fahrzeugen, An- und Abmeldung, Schadensabwicklung etc.

    Als personenbezogene Daten werden lediglich Name und Adresse der Fahrer (also Mitarbeiter verschiedener Mandanten) gespeichert.

    Antworten
  • Ein-kleiner-Blog says:

    Liebe Regina,
    Inlinkz hat ganz schnell geantwortet und mitgeteilt, dass sie daran arbeiten, die Seite gemäß der DSGVO datenkonform zu machen. Anfang Mai soll auch ein Vertrag kommen. Jedenfalls soll ich die Linkparty nicht aufgeben.
    LG Elke

    Antworten
  • Melanie says:

    Liebe Regina,
    sehr schöner Artikel – danke dafür! Ich freue mich auch über jede Deiner Mails und Du hast mir schon sehr weitergeholfen (ganz dickes Lob für das Webinar zum Verarbeitungsverzeichnis :)!).

    In einem Punkt komme ich nicht weiter (und, weil die Dozenten direkten Zugriff auf alle Kundendaten haben, möchte ich hier gerne tätig werden):

    Ich beschäftige Honorardozenten, die über von meiner Tanzschule zur Verfügung gestellte Tablets und eigenem Login in unserem cloudbasierten Studiomanager unsere Kurslisten führen, Blockkarten verkaufen, die Kundinnen in die Kurse einbuchen sowie Daten ergänzen oder korrigieren.

    Sind das jetzt Auftragsdatenverarbeiter (Haupttätigkeit ist Unterrichten) oder ist das eine Funktionsübertragung?
    Liebe Grüße und danke,
    Melanie

    Antworten
    • Regina Stoiber says:

      Liebe Melanie,

      ganz ganz lieben Dank für dein Feedback. Das freut mich so sehr, wenn meine Infos einen Mehrwert bringen.
      Deine Frage ist schwierig. Da es nur einzelne „kleine“ Aufgabenpakete sind, die die Dozenten neben dem eigentlichen Unterricht übernehmen, könnte es auch eine Funktionsübertragung sein. Da hast du recht.
      Ich hab mich aber noch mal weiter eingelesen und was in deinem Fall bei den Dozenten der Fall ist, dass sie nach deiner Weisung handeln. Daher denke ich, dass sie Auftragsverarbeiter sind.

      LG Regina

      Antworten
  • Eva says:

    Liebe Regina, herzlichen Dank für deinen hilfreichen und ziemlich verständlichen Artikel (was ja nicht unbedingt immer der Fall ist bei dem Thema ;)) Er wird fleißig in meinem Netzwerk geteilt. Hast du evtl. einen Tipp, wie man mit Providern wie Apple umgeht, die mauern, wenn es um einen ADV-Vertrag geht? Als Mac-Userin nutze ich natürlich iCloud-Services wie iCal, Adressen, iMessages usw., so wie es Hunderttausende von uns in ihrem Tagesgeschäft tun. Nach m.M. müssten die eigentlich auch Auftragsverarbeiter sein, ich bekomme jedoch nach verschiedenen Anläufen immer wieder diese Rückmeldung: „Apple stellt Einzelpersonen seine Dienste wie iCloud zur Verfügung. In dieser Hinsicht agiert Apple als Datenkontrolleur für persönliche Informationen von Endnutzern und nicht als Datenverarbeiter.“ Wie kann ich jetzt überhaupt noch mein Gerät beruflich nutzen oder würdest du ganz abraten? Oder hast du Informationen, ob da irgendetwas von Apple in der Mache ist – noch bis zum 25.05.?? Und wenn ich die Sachen doch weiter nutze, wie muss ich das in meinen Unterlagen dokumentieren und wo? Ganz herzlichen Dank und LG – Eva

    Antworten
    • Regina Stoiber says:

      Hallo Eva,
      ja ich weiß, das ist momentan nicht so ganz einfach mit Apple. Sie sehen sich mit Ihren Diensten glaub ich eher als Dienstleister für Privatpersonen und bieten daher keine Verträge an. Ich würde da auf jeden Fall mal warten, wie sich das auf Seiten Apple entwickelt. Ich gehe davon aus, dass sich da die nächsten Monate die Themen – egal in welche Richtung – konkretisieren werden.
      Ich bin auch Apple User, habe aber trotzdem für meine betrieblichen Themen meine E-mail Adresse über meinen Provider 1und1. Da fühle ich mich auch etwas wohler, wenn die Kundendaten da drüber laufen und nicht über mein iCloud oder .me Konto.
      Du kannst ja die anderen E-mail Adressen von anderen Providern und Kalender von anderen Anbietern trotzdem auf den Apple Geräten einbinden und verwenden.

      Ich weiß, das ist momentan überhaupt keine befriedigende Antwort, aber ich würde an deiner Stelle beides ins Auge fassen. Zum Einen beobachten, wie sich Apple in dieser Sache weiter entwickelt und zum Anderen ein weiteres Konto für dein Business anlegen bei einem EU Anbieter.

      LG Regina

      Antworten
  • Eva says:

    Ja, es ist schwierig, danke Regina! Mit meinen Mails mache ich das geschäftlich sowieso auch so wie du, aber es gibt ja noch den Kalender und die Adressen! Und manche Kunden senden gerne mal ne schnelle iMessage. Würdest du uns raten, das nicht mehr zu benutzen? Oder kann ich in mein Verarbeitungsverzeichnis irgendwo reinschreiben, dass ich es mit Kunden nach Rücksprache benutze aber ohne Garantie auf Konformität? Danke und LG Eva

    Antworten
    • Regina Stoiber says:

      Das ist echt eine schwierige Frage, die ich dir gar nicht wirklich beantworten kann. Wenn der Kunde eine iMessage schreibt, kannst du ihm das ja nicht verbieten. ich würde es aber nicht von dir aus machen. Zudem würde ich schon dann schreiben, dass diese Dienste aktuell nicht den Anforderungen des Datenschutzes ausreichen und du daher empfehlen würdest, auf andere Kanäle auszuweichen.

      Antworten
  • Katarina says:

    Vielen Dank für den hilfreichen Artikel! Ich bin mir unsicher, welche Funktion unser Cloud-Dienst einnimmt. Wir „lagern“ dort unsere Rechnungen/Lieferscheine – auf denen natürlich Personen/unternehmensbezogene Daten stehen. Reicht es, dass Dropbox irgend etwas von „Zertifizierung“ schreibt oder brauche ich einen ADV?
    Und noch spezieller: wir speichern Kundenadressdaten (private und Unternehmen) bei unserem Versanddienstleister ab (integrierte Funktion des Systems) – da brauche ich doch sicher, obwohl des ein Versanddienstleister ist, einen ADV, weil sie in deren Datenbanken gespeichert sind und nicht nur auf dem Aufkleber stehen, oder?
    Herzliche Grüße Katarina

    Antworten
    • Regina Stoiber says:

      Danke für das Feedback.
      Dropbox stellt eine AV zur Verfügung in der Business Version. Diese würde ich auf jeden Fall nutzen. Dann haben Sie ja auch die AV automatisch.

      Der Versanddienstleister agiert ja nach Gesetzen. In diesem Bereich ist keine AV nötig. Das hört sich aber so an, als übernähme er noch weitere Services. Kann das sein? Falls ja, dann wäre er in diesem Zug wohl Auftragsverarbeiter und eine AV nötig. Fragen Sie doch am besten mal direkt nach bei ihm.

      VG Regina Stoiber

      Antworten
  • Bavendiek says:

    Hallo,

    ich muss nochmal nachhaken. Sollte ich nun einen Datenverarbeitungsvertrag mit meinem Steuerberater aufsetzen? Ich habe Seiten gefunden, auf denen wird dies ausdrücklich vorgeschlagen. Ich bin verwirrt.

    Antworten
    • Regina Stoiber says:

      Ich muss gestehen, ich war auch bis Kurzem der Meinung, dass eine AV mit dem Steuerberater nötig ist. Jetzt aber nach den Infos von der BitKom und einigen Gesprächen mit anderen Datenschützern, sehe ich es als nicht mehr nötig.
      Sieht sich denn Ihr Steuerberater selber als Auftragsverarbeiter?

      Antworten
  • Katarina says:

    Super vielen Dank! Das hilft mir sehr weiter.

    Antworten
  • Uschi says:

    Liebe Regina,
    das ist ja toll! Vielen Dank für die Zusammenfassung! 🙂
    Ich erstelle kleine Webseiten für Therapeuten mit Anbietern von Webbaukastensystemen (z. B. Jimdo).
    Meine Kunden erstellen dort jeweils ein eigenes Konto, ich richte es halt ein, erstelle die Webseite darin und wenn sie später möchten, dass dort etwas geändert werden soll, weil sie es selbst nicht schaffen, dann logge ich mich in deren Konto ein und setze den Wunsch um.
    Nach den Ausführen in diesem Artikel würde ich es nun so verstehen, dass ich keinen AV Vertrag mit diesen Kunden schließen muss? Stimmt das?
    Das wäre ja schön 🙂

    Viele Grüße
    Uschi

    Antworten
    • Regina Stoiber says:

      Hallo Uschi,
      aufgrund deiner Beschreibung hätte ich das jetzt auch so gesehen. Wenn’s ganz einfache Webseiten sind, ohne interne Bereiche, in denen sich User anmelden und dort z.B. einen Mitgliederbereich haben oder du keine Analytics Statistiken einsehen kannst, dann würde ich es auch ohne AV machen.

      LG Regina

      Antworten
  • Wolfram says:

    Moin,
    ich führe für Kunden regelmäßige Aktualisierungen Ihrer WordPress basierten Websites durch. Bin ich dann AV oder reicht eine Verschwiegenheitsverpflichtung?

    Gruß
    Wolfram

    Antworten
    • Regina Stoiber says:

      Lieber Wolfram,
      wenn die Aktualisierungen nur WordPress Updates beinhalten, ohne Konfiguration von Plugins und Themes… würde ich sagen, nein, kein AV. Wenn in den WordPress Installationen aber auch noch Plugins laufen, die du einsiehst aufgrund von Konfigurationen und dort personenbezogene Daten gespeichert sind, dann ja.
      VG Regina

      Antworten
  • Ein-kleiner-Blog says:

    Hallo Regina, bezüglich Inlinz gibt es jetzt eine neue Datenschutzerklärung. Wenn man die Seite aufruft, um einen Beitrag zu verlinken, wird ein Fenster geöffnet und auf die neue Erklärung hingewiesen. Mit der Teiinahme willigt man automatisch ein. Ist das so ausreichend oder brauche ich trotzdem einen ADV-Vertrag?

    Antworten
  • Regina Stoiber says:

    Ich kenne den Inhalt von Inlinz’s Datenschutzerklärung nicht. Aber es gibt durchaus die Möglichkeit, wenn beide Seite die Nutzungsbedingungen bestätigen, dass man dann ohne AV Vertrag durch kommt. Evtl. basiert das auf dem Prinzip.

    Antworten
  • Uschi says:

    Vielen Dank,liebe Regina!
    Dann kann ich ja überlegen, wer einen benötigt und wer nicht. Danke für die tolle Arbeit! Uschi

    Antworten
  • Ein-kleiner-Blog says:

    Danke für deine Mühe. Ich gehe dann davon aus, dass es für Inlinkz so reicht.
    LG Elke

    Antworten
  • Ein-kleiner-Blog says:

    Jetzt habe ich von Inlinkz noch folgende Nachricht erhalten:As we are not a Data Controller, you do not require a contract with us.
    We will soon be releasing our DPIA documents and our Policy on Personal Data.
    With these documents linked from your website you should be covered.
    Moreover, we will require consent for entries as stated in the GDPR.
    Our DPIA will be released within this week and our PPA next week.
    All the best, Das wird dann sicher reichen, oder?

    Antworten
  • Alfred says:

    Wir sind ein Gebäudereinigungsunternehmen und haben Subunternehmer als Glasreiniger im Einsatz, die uns am Ende eines Monats Rechnungen über die erledigten Arbeiten schicken. Müssen wir mit den Subunternehmern einen ADV-Vertrag abschließen, da sie von uns dafür personenbezogene Daten erhalten? Müssen wir Kunden informieren, dass wir mit Subunternehmern zusammenarbeiten?

    Viele Grüße
    Alfred

    Antworten
    • Regina Stoiber says:

      Hallo Alfred,
      in welchem Zusammenhang erhalten die Subunternehmern personenbezogene Daten? Es geht bei einer AV um die Kerntätigkeit. Die hat in diesem Fall nichts mit der Verarbeitung personenbezogener Daten zu tun. Ich würde aber eine Verschwiegenheitserklärung unterzeichnen lassen, die an die Mitarbeiter durch den Subunternehmern weiter zu geben ist, für den Fall, dass bei der Reinigung irgendwo personenbezogene Daten einsehbar wären.

      Viele Grüße
      Regina

      Antworten
  • Michael says:

    Hallo Regina, vielen Dank für Deine Seite und die Möglichkeit Fragen zu stellen.

    Wie verhält es sich mit Dienstleistern wie Telefonprovidern (o2 usw.), Internetprovidern (unitymedia, o2 usw) oder sogar Banken? Hier werden mittels dieser Dienstleister auch personenbezogenen Daten verarbeitet bzw. weitergegeben.

    Werden diese Dienste geschäftlich benutzt, müssen hier gesonderte Vereinbarungen mit diesen Dienstleister getroffen werden?

    Antworten
  • MichaelB says:

    Das Ist auch so korrekt, da im Falle des „Steuerberaters“ andere Gesetze bereits greifen (Berufsgeheimnis). Sie zählen zur Personengruppe der Geheimnisträger. Daher werden sie nicht als AV eingestuft.

    Antworten
  • Social says:

    Hallo, prima Seite,
    Ich betreue mehrere Firmen als Socialmediadienstleister. Habe also Adminzugang für FB, Twitter etc. Die Gestaltung obliegt mir, ich reiche dann einen Red.plan ein, der entsprechend gepostet wird. Ich müsste ADV sein? Frage: bisher hat noch keiner der Kunden einen ADV angefordert. Die DSGVO süielt dort keine Rolle. Muss ich auf den Kunden zugehen? Danke sehr..

    Antworten
    • Regina Stoiber says:

      Danke dir für dein Feedback.
      Ich würde dich schon als AV sehen, da du ja Zugriff auf die ganzen Messenger Nachrichten und alles hast. Das stimmt, der Kunde müsste dich „verpflichten“. Du kannst natürlich von dir aktiv als Service anbieten, dass du dem Kunden eine AV zusendest. Die muss ja auch nicht unterzeichnet werden.

      LG Regina

      Antworten
  • Stephan says:

    Hallo Regina,

    wie verhält es sich mit Unternehmen wie der fotocommunity (oder facebook)? Ich stelle da ja (als privater oder gewerblicher Nutzer) meine Kontaktdaten ein und zeige Bilder mit Personen (von denen ich die Zustimmung benötige). Fotos mit Menschen zählen ja auch zu den personenbezogenen Daten.
    Ist die fotocommunity oder facebook in diesem Fall nicht auch ein Auftragsverarbeiter und müsste es nicht einen Vertrag zwischen denen und jedem einzelnen User geben? Warum scheint dies nicht der Fall zu sein?
    Vielen Dank
    Stephan

    Antworten
    • Regina Stoiber says:

      Hallo Stephan,
      in diesem Fall ist es so, dass die Portale Nutzungsvereinbarungen mit beiden Parteien schließen. Du als Nutzer stimmst den Nutzungsbedingungen zu, aber genauso der andere Nutzer, der Einsicht auf die Daten hat. Damit sind die Datenschutzthemen mit beiden Parteien über die Nutzungsvereinbarungen geregelt.
      So mein aktueller Stand.

      LG Regina

      Antworten
  • Cordula says:

    Hallo Regina,
    lieben Dank, dass Du Dein Wissen so freigiebig mit uns hier teilst. Ich finde alle Deine Beiträge super hilfreich und verständlich:-)
    Noch eine Detail-Frage: ich biete mehrere Online-Kurse an, die Zahlung läuft über Digistore (kein AV), und die Mitgliederbetreuung über digimember.
    Gilt Digimember als Auftragsverarbeiter???? Dazu habe ich leider bislang keine Infos gefunden.
    Herzliche Grüsse
    Cordula

    Antworten
    • Regina Stoiber says:

      Liebe Cordula,
      lieben Dank für das tolle Feedback.
      Digimember ist ja bei dir lokal auf deinem WordPress installiert, oder? Die Daten gehen also nicht an Digimember sondern bleiben bei dir. Daher musst du nur darüber informieren, aber einen AVV brauchst du nicht.

      LG Regina

      Antworten
  • Roswitha says:

    Hallo Regina,

    durch Zufall bin ich auf Deine Seite gekommen und so auch in den Genuss, Deiner guten Beschreibungen rund um das Thema DSGVO. Selbstverständlich habe ich auch eine Frage:) Ich bin Webdesignerin und meine Kunden haben Ihre Internetseite bei den unterschiedlichsten Hoster liegen. Manche der Kunden haben nur eine kleine Visitenkarte als Internetseite, andere einen Shop und wieder andere einen Seminarmanger mit Buchungssystem.
    Sollte jeder der Webseitenbetreiber einen AV Vertrag mit dem Hoster abschließen?
    Sonnige Grüße
    Roswitha

    Antworten
    • Regina Stoiber says:

      Liebe Roswitha,

      das freut mich sehr, dass meine Seite dir Mehrwert bringt. So soll es sein 🙂
      Ja, jeder Webseiteninhaber braucht eine AV mit dem Hoster, egal, wie umfangreich die Seite ist. Der Webserver speichert immer Daten mit IP-Adressen, Zugriffen und ähnlichem. Da das alles personenbezogen ist, ist eine AV nötig. Oftmals läuft auch noch eine E-mail Adresse mit, da ist es dann sowieso auch nötig.

      LG Regina

      Antworten
  • Nesta says:

    Hallo Regina,

    ein Zulieferer würde gerne mit uns einen AVV abschließen. Er ist der Meinung eine AVV wird benötigt um Emails in Outlook zu speichern zu dürfen und ggf. die Kontaktadresse zur Vertragsdurchführung an dritte weiterzugeben.

    Wie soll ich ihn am besten Antworten das es kein AVV ist.
    Ich finde da leider keine passende Worte dafür.

    vielen Dank

    Nesta

    Antworten
    • Regina Stoiber says:

      Hallo Nesta,

      ihr seit ja nicht der Dienstleister für seine Mails, nehme ich an, oder? Mit dem muss er einen AVV abschließen.
      Mit euch nicht, da er ja nicht im Auftrag eure E-mails verarbeitet, sondern nur im Rahmen der Geschäftstätigkeit mit euch E-mails austauscht. Das ist ganz ein anderer Fall. Das heißt, ihr habt bezüglich E-mail Kommunikation kein Weisungsbefugnis ihm gegenüber. Ihr könnt ja nicht sagen, wie er mit E-mails intern in seinem Unternehmen umgehen muss. Das ist sein Geschäft.
      Er muss euch allerdings nach Art. 13 darüber informieren, wie er mit der E-mail Kommunikation umgeht. D.h. er muss die Informationspflicht einhalten.

      LG, ich hoffe, das hilft dir weiter
      Regina

      Antworten
  • Roswitha says:

    Liebe Regina,
    herzlichen Dank für die schnelle und klare Rückmeldung. Dann weiß ich jetzt, dass ich alle Kunden anschreiben muss, um sie darauf hinzuweisen. Obwohl das eigentlich nicht meine Aufgabe wäre, oder? Aber ich sehe das als Service:)
    Danke und sonnige Grüße
    Roswitha

    Antworten
  • Patricia Kreis says:

    Liebe Regina,

    vielen herzlichen Dank für das kostenlose bereit stellen von den so hilfreichen Informationen. Seit Tagen beschäftige ich mich mit dem Thema. Heute Nacht viel mir noch ein, dass wahrscheinlich viele von uns sämtliche Kundendaten am Handy gespeichert haben. Zumindest Name, Adresse, Telefonnummer und event. E-Mail Adressen. Ich habe erst vor kurzem die Datensicherung über mein Gmail Konto aktiviert, da ich ein neues Handy bekam.
    Hier wäre ja mindestens auch ein AV nötig, wenn nicht sogar mehr, da die Verwaltung und Speicherung in der USA statt findet?

    Viele Grüße
    Patricia

    Antworten
    • Regina Stoiber says:

      Liebe Patricia,

      da hast du recht. Für die Mails ist ein AVV nötig, unabhängig ob am Handy oder am PC / Laptop abgerufen. google bietet eine AV an, ob da der Dienst googlemail dabei ist, weiß ich jetzt gar nicht. Das müsstest du prüfen. Es kann sein, dass diese Dienste, wie z.B. bei Apple speziell für Privatanwender nach Nutzungsrichtlinien gedacht sind. Dann gibt es keinen AVV.

      LG Regina

      Antworten
  • Regina Stoiber says:

    Genau Roswitha, sieh es als Service deinerseits an 🙂

    Antworten
  • Birgitte says:

    Ein toller Beitrag! Danke dafür!

    Ähnlich wie einer meiner Vorkommentatoren warte ich Websites für meine Kunden. Heißt: Ich führe Updates durch, erstelle Backups von Datenbank und Dateien, lösche alte Formulareinträge und alte Backups. Die letzte Version des Backups speichere ich auf einer lokalen Festplatte in meinem Homeoffice, das ich weder durch eine Alarmanlage noch durch einen 19stelligen Code gesichert habe. Meine Fragen:

    1. Bin ich ein Auftragsdatenverbeiter (auch wenn ich nur alte Formulareinträge lösche)und falls ja:

    2. Gibt es einen gesonderten AV-Vetrag, der die Winzigkeit meines Unternehmens (Webdesign und Wartung von WordPress-Websites) berücksichtig? Danke!!!

    Antworten
  • Carola says:

    Liebe Brigitte,

    mir geht es ganz ähnlich, ich habe als Webdesignerin auch Zugriff auf die Websites meiner Kunden und frage mich, ob ich damit Auftragsdatenverarbeiterin bin. Ich speichere zwar keine Backups auf meiner lokalen Festplatte, aber es kann nicht ausgeschlossen werden, dass ich mit persönlichen Daten in Berührung komme.
    Zu Reginas Antwort würde ich noch ergänzen: Auch wenn es keine Mini-Version des AVV gibt, passt sich dieser inhaltlich ja an die Erforderlichkeit (v.a. das Risiko) und damit auch indirekt an deine Unternehmensgröße an. Ich denke eine Webdesignerin muss keine Angst haben, dass mit Abschluss eines AVV ständig Auftraggeber zu Kontrollzwecken durch ihre Privatwohnung pilern, denn die Kontrolle muss ja verhältnismäßig sein und darf ihren Betrieb nicht mehr als nötig stören. Und es steht nirgendwo geschrieben, dass jede Auftragsverarbeiterin eine Alarmanlage haben muss oder andere Maßnahmen ergreifen muss, die sie in den finanziellen Ruin treiben. Je nach Sitation könnten meiner Meinung nach z.B. folgende technisch-organisatorischen Maßnahmen völlig ausreichend sein, um ein angemessenes Schutzniveau zu gewährleisten:
    – „manuelles Schließsystem“ = Zusperren des Arbeitszimmers, wenn Gäste in der Wohnung sind
    – die Installation einer Virenschutz-Software (sollte ohnehin selbstverständlich sein)
    – das Sichern des Arbeitscomputers mit einem Passwort gemäß aktuellen Empfehlungen usw.
    Eine spezielle Vorlage für solche Fälle habe ich bisher leider noch nirgendwo gefunden, ein Praxisbeispiel wäre natürlich eine tolle Sache.

    Liebe Regina, auch von mir herzlichen Dank für die vielen hilfreichen Infos! Ich freu mich auf das Webinar 🙂

    LG Carola

    Antworten
  • DSGVO – Auftragsverarbeitungsverträge. Sichere Dich rechtlich ab. – ViennaWriter's Blog & Podcast says:

    […] Einen ganz aufschlussreichen Artikel, wann es sich um einen Auftragsverarbeiter handelt und wann nicht, findest Du im Blog von Regina Stoiber. […]

    Antworten
  • DSGVO – Auftragsverarbeitungsverträge. Sichere Dich rechtlich ab. – Datenschmutz says:

    […] Einen ganz aufschlussreichen Artikel, wann es sich um einen Auftragsverarbeiter handelt und wann nicht, findest Du im Blog von Regina Stoiber. […]

    Antworten
  • Hajo says:

    Sehr sehr informativer Blog!!
    Eine Frage auch von mir: meine Frau ist Optikerin mit 2 Geringfügig Beschäftigten. Termine werden per Google Kalender (die kostenlose Version) bearbeitet. D.h. es werden Namen, teilweise auch Kontaktmöglichkeiten (Telefonnummern, Mail-Adressen) von Kunden eingetragen. Google Kalender wurde gewählt, weil sie dadurch auch nach Geschäftsschluss zugriff auf die Daten hat.
    Jetzt die Frage: ist Google hier Auftragsverarbeiter bzw. wird ein AVV benötigt?

    Schon mal vielen Dank für die Antwort!

    Antworten
    • Regina Stoiber says:

      Danke für das nette Feedback! Freut mich!
      Google ist in diesem Fall Auftragsverarbeiter. Ich bin mir aber nicht sicher, ob dieser Account von google nicht rein für Privatpersonen und Privatnutzung zur Verfügung gestellt wird laut AGB. Falls dem so ist, stellen sie keinen AVV.

      Antworten
  • Hajo says:

    Ok, so etwas hatten wir schon „befürchtet“. Dann werden wir die kostenpflichtige G-Suite in der Minimal-Ausführung buchen (da ist der Kalender auch drin), dann wirds auch was mit dem AVV.

    Danke für die Antwort! 🙂

    Antworten
  • otto says:

    Ich frag mich wie soll ich ohne iCloud meine Kontaktdaten up to date halten. Hat der Gesetzgeber da wieder einen Alleingang gemacht?
    Fahre oft zu Kunden, da helfen mir die Kontaktdaten auch zu hinfahren. Jetzt ist es 5 Minuten vor 12 und man riskiere existenzbedrohende Strafen, wenn man iCloud nicht abdreht.
    Ich brauch ja Adressen zum Arbeiten. Das ist ein purer Albtraum; da hat man sich vieles gar nicht überlegt.
    Wenn man jetzt die Daten aus der Cloud löscht, wird es einigen passieren, dass alle Daten verloren gehen.
    Und und und.. nur Probleme.. selbst wenn ich mir einen IT Firma suche ist das auch keine Garantie, dass ich nicht bestraft werde. Wie kann man sowas wie die DGSVO nur schreiben und sagen so jetzt gilts?

    Antworten
  • Roswitha says:

    Guten Morgen,

    die Beiträge hier lese ich mittlerweile regelmäßig. Die gestellten Fragen sind interessant und passen auch zu mir als kleine Agentur:) Und dann noch die schnellen aufschlussreichen Antworten. Klasse und Danke.

    Ich habe noch folgende Frage: ich habe Kunden die zum Beispiel SoundCloud nutzen. Um den Beitrag zu hören, wurde aber nicht das entsprechende Plugin auf die Website eingefügt, sondern lediglich ein Link zu SoundCloud gesetzt. Damit wird SoundCloud ja nicht direkt in die Website eingebunden. Muss der User hier trotzdem eine eindrückliche Einwilligung geben?

    Viele Grüße
    Roswitha

    Antworten
  • Regina Stoiber says:

    Liebe Roswitha,

    vielen herzlichen Dank für das tolle Feedback. Das freut mich sehr.
    Wenn es tatsächlich nur ein einfacher Link ist, der keine Daten überträgt, braucht nichts weiter gemacht werden. Der 100%igen Korrektheit kann man noch angeben, dass der Inhalt beim Klick auf der externen Seite SoundCloud geladen wird.

    LG Regina

    Antworten
  • Ada says:

    Zu Apple habe ich folgende Info gefunden:
    „Einen Brief mit Bitte um ADV Vertrag an folgende Adresse PER POST!!! schicken:
    Apple Distribution International
    c/o Apple GmbH, Legal Dept.
    Arnulfstrasse 19
    80335 Munich
    Germany“

    Antworten
  • Holly says:

    Hallo Regina!

    Vielen Dank für deine ausführlichen Berichte.

    Ich betreibe einen privaten Blog, ohne Newsletter, Shop oder Links zu irgendwelchen Social Media Seiten.

    In den letzten Wochen habe ich versucht, meinen Blog von der technischen Seite anzupassen. Aber der ADV-Vertrag bereitet mir noch Kopfschmerzen, weil ich nicht
    verstehe, ob ich einen benötige oder nicht. Mein Hoster, Webgo, meint nein.

    Im Vertrag, den sie anbieten, soll ich unterschreiben, alle technischen Maßnahmen zu ergreifen. Wie soll ich das unterschreiben, wenn ich von der technischen Seite keine Ahnung habe? Ich kann lediglich das Theme füllen.

    Wie läuft es ab, wenn mich jemand nach den Verbindungen fragt? Wie soll ich die nachweisen oder muß das mein Hoster?

    Hoffe, Du kannst mir die Frage beantworten und meine Sorgen zerstreuen. Momentan bin ich hin- und hergerissen, was ich in zwei Wochen machen soll.

    Schönen Sonntag
    Holly

    Antworten
    • Regina Stoiber says:

      Hallo Holly,

      erst mal, kann dir als Auftraggeber der Auftragnehmer nicht vorschreiben, was du mit den Daten zu tun hast, bzw. wie du sie schützen musst. Das ist dein Bereich. Er muss im AVV Stellung nehmen, wie er die Daten sichert. Natürlich musst du auch sicherstellen, dass in deinem CMS die Daten gesichert sind. Das ist deine Verantwortung. Wenn du dir nicht sicher bist, ob alles richtig ist, dann hol dir unbedingt Unterstützung! Das ist wichtig!

      Was meinst du „nach einer Verbindung fragen“?

      LG Regina

      Antworten
  • Birigt Boekhoff says:

    Hallo Frau Stoiber,
    ich hätte nochmal eine Nachfrage zu Digistore24. Wenn ich bei DigiStore als Vendor IPNs einstelle, sodass DigiStore24 die Käuferdaten an Digimember weitergibt und auch an meinen Newsletteranbieter, dann ist DigiStore24 für mich doch AV, oder nicht?

    Antworten
    • Regina Stoiber says:

      Nein, Digistore übernimmt nur die Funktion der Zahlungsabwicklung und ist kein Auftragsverarbeiter. Sie leiten keine personenbezogenen Daten an digistore zur Verarbeitung weiter. Der Käufer kauft direkt selber über digistore.

      Antworten
  • Berthold says:

    Hallo Frau Stoiber,
    vielen Dank für Ihre umfangreichen Infos – eines ist mir jedoch nicht klar: muss in dem Verfahrensverzeichnis welches ich führen muss, der Auftragsverarbeiter nicht genannt werden?
    In den div. Beispielen habe ich dies nirgends gefunden.
    Bsp. Warenwirtschaft in der Cloud – Auftragsverarbeitungsvertrag liegt vor, wo wird das dann aufgeführt?
    Danke!

    Antworten
    • Regina Stoiber says:

      Danke für Ihr Feedback. Nein, im Verfahrensverzeichnis müssen Sie nicht über den Auftragsverarbeiter informieren. Ich würde es aber trotzdem aufgrund der Einfachheit aufnehmen.
      Sie müssen nämlich in der Informationspflicht darüber informieren https://regina-stoiber.com/2018/03/03/informationspflicht-dsgvo-bdsg-neu/
      Das wäre zum Beispiel die Datenschutzerklärung auf der Webseite oder eine zusätzliche Informationspflicht, die für Ihre Zielgruppe zugänglich ist (Schreiben als Anhang zum Vertrag, Auslage im Unternehmen, ….)

      VG Regina

      Antworten
  • Sissi says:

    Hallo Regina,
    danke für die tollen Informationen. Für als Alleinkämpferin sehr wertvoll.
    Ich habe noch keine Antwort auf die Frage gefunden, ob ich einen AV-Vertrag mit Facebook, Pinterest, LinkedIn und Xing brauche, wenn ich dort Accounts betreibe. Die jeweiligen Netzwerke haben keine Zugriff auf meine Seite, nur von Pinterest gibt es diesen „Merken“-Button.
    Und muss ich einen AV-Vertrag mit „Outlook“, „Paypal“ und „Slimstat“ abschließen?

    Sorry, das sind bestimmt Anfängerfragen für Dich, aber ich wäre sehr dankbar, wenn Du weiterhelfen kannst,
    herzliche Grüße
    Sissi

    Antworten
    • Regina Stoiber says:

      Liebe Sissi,

      Nein mit den Social Media Anbietern brauchst du keinen AVV, da beide Seiten (also du und die anderen Nutzer) den Nutzungsbedingungen des Anbieters zustimmen, wenn sie die Medien nutzen.
      Meinst du Outlook als Programm oder Microsoft als Dienstleister? Falls letzteres, wenn deine E-mail über Microsoft laufen, dann ja, dann brauchst du einen AVV mit denen. Paypal ist Zahlungsdienstleister – kein AVV. Slimstat keinen ich leider nicht – sorry.

      LG Regina

      Antworten
  • Kirsten says:

    Klasse und hilfreiche Informationen – und auch mal ohne vorheriges ABO zu kaufen – Danke dafür

    Antworten
  • Sabrina Weller says:

    Ist mein EC Karten Anbieter ein Auftragsverarbeiter?

    Antworten
  • uli says:

    Hallo Regina,
    als Beispiel für einen Auftragsverarbeiter schreibst du: “ • Marketingagenturen, die auch die Auswertung der Webseitenanalyse durchführen“. Heißt das, die Webseitenanalyse ist hier das entscheidende Kriterium?

    Oder ist meine Marketingagentur generell AV, z. B. wenn ich ihr meine Kundendaten (Adresse, e-mail) zur Verfügung stelle, damit sie meine Kunden an die nächste Wartung erinnert. (Ich komme irgendwie mit den Kriterien, die auf eine Auftragsverarbeitung hinweisen, nicht hin….

    Herzlichen Dank für die Rückmeldung und LG Uli

    Antworten
    • Regina Stoiber says:

      Hi Uli,

      es heißt, die / eine Kerntätigkeit muss die Verarbeitung personenbezogener Daten sein. Google Analytics wäre ein Beispiel. Es können aber auch andere Aufgaben sein, bei denen Du Zugriff auf personenbezogene Daten deiner Kunden hast. Sei es, weil ein Kunde auf seinem Webserver auch einen Onlineshop oder ein Buchungsportal betreibt und du dieses wartest.

      Hilft dir das?
      LG Regina

      Antworten
  • Uli says:

    Lieben Dank. Also „verarbeitet“ die Marketing-Firma die Daten nicht, wenn sie meine Werkstattkunden in meinem Auftrag kontaktiert (mit Einwilligungserklärung selbstverständlich).
    Verarbeitung heißt Analyse?

    Antworten
  • Frank Ullrich says:

    Sehr gute Seite und ein sehr guter Artikel

    Antworten
  • Gabi says:

    Liebe Regina,
    erstmal herzlichen Dank für die tolle Verfahrensverzeichnis – Vorlage, die mir sehr weiter geholfen hat.

    Eine Frage zu Mails mit Kunden in unserer FB-Gruppe:
    Darf man für den Kundenmailverkehr (Bestellungen im Shop, Anfragen etc.) Freemail-Anbieter wie gmx.de oder web.de benutzen und sind die dann DSGVO konform?
    Oder muss man auf die kostenpflichtige Variante umsteigen?
    Ich würde mich sehr über Ihre Einschätzung freuen. Toll wäre ein Link, wo man dazu genaues nachlesen kann.

    Danke und herzliche Grüße
    Gabi

    Antworten
    • Regina Stoiber says:

      Einen Link habe ich leider auch nicht parat, aber die Freemailer haben meistens in den AGB die gewerbliche Nutzung ausgeschlossen. Ist dies nicht der Fall, kann man Sie im Business einsetzen und einen AV-Vertrag anfordern, damit das ganze konform ist.

      Antworten
  • Stefan says:

    Hallo Regina,

    Danke für den informativen Beitrag. Ich hänge derzeit auch beim ADV-Vertrag fest und habe ein paar einfache Fragen zum Verständnis. Vorab, ich Betreibe einen Blog mit Testberichten und News. Vermarktet wird per AdSense und über Affiliate Links. Es gibt lediglich eine Kommentar-Funktion (IP wird nicht gespeichert) und einen normalen Kontakt via E-Mail. Somit werden keine weiteren Daten wie Verträge, Anmeldungen / Registrierungen von Nutzern etc. aufgezeichnet.

    Nun zu den Fragen. In meinem ADV-Vertrag von Hosteurope.de ist die Rede von „Art der Daten“. Hierzu würden in meinem Fall wahrscheinlich nur Stammdaten und Kommunikationsdaten fallen da ja diese nur aufgezeichnet werden würden. Verträge, Abrechnungen etc. würden folglich also wegfallen?

    Frage 2: Kreis der Betroffenen im Umgang mit Daten – Betrifft dies die Personen die theoretisch bzw. praktisch Zugriff haben? Also mich als Webmaster? Oder soll dieser Punkt feststellen von wem die Stammdaten / Kommunikationsdaten aufgezeichnet werden?

    Ich hoffe Du kannst mir da ein bisschen weiterhelfen.

    Mfg
    Stefan

    Antworten
  • Stela Pislova says:

    Liebe Frau Stoiber,

    ich führe für meine Kunden Gesundheitskurse durch, Rückenschule, Pilates und Ergonomie.
    Ich erhalte von Kunden die Namen der Teilnehmer für die Kurse und natürlich die Daten des Kunden, um Details zu besprechen und nach dem Kurs meine Rechnung stellen zu können.

    Muss ich nun mit jedem Kunden einen ADV-Vertrag abschließen, weil ich personenbezogene Daten verarbeite?

    Lieben Dank für Ihre Antwort!

    Viele Grüße
    Stela

    Antworten
    • Regina Stoiber says:

      Nein, da die Kunden ja als private Personen zu Ihnen kommen brauchen Sie keinen AVV.
      AVVs sind nur zwischen Unternehmern und dann auch nur, wenn Sie personenbezogene Daten des anderen Unternehmens im Auftrag verarbeiten. Selbst, wenn ein Unternehmen bei Ihnen die Kurse für seine Mitarbeiter bezahlt, Sie aber keine Gesundheitsdaten an das Unternehmen zurück übermitteln, brauchen Sie keinen AVV, da Sie dann ja keine personenbezogenen Daten im Auftrag verarbeiten, sondern wieder direkt dem Endkunden gegenüber.

      Antworten
  • Bert says:

    Hi Regina,
    vielen Dank für Dein Engagement. Das ist wirklich hilfreich. Ich habe dennoch eine Frage. Ich betreue verschiedene Webseiten meiner Kunden auf verschiedene Arten. Brauche ich auch für Webseiten einen ADV, bei denen nur der reine Webseitespace über meinen Hoster läuft (kein Hosting der Mails) und nur einfache Imagepräsenzen ohne Registrierung, Buchungs- oder Shopfunktion sind. Danke im Voraus für die Antwort.
    Motivierende Grüße
    Bert

    Antworten
  • Bernd says:

    Du sagst man brauch mit Facebook keinen ADV. Aber meine Facebook Seite kann auch von Menschen besucht werden die selber nicht User bei Facebook sind und deren Nutzungsbedingungen nicht zugestimmt haben. Es verhält sich dann doch wie eine Webseite bei einem X-beliebigen Provider inkl. der Speicherung der Webserver Logs (und Facebook speichert sicher noch mehr) – also würde ich mit Facebook doch einen ADV brauchen? – Es ist alles so verwirrend…. Danke das du schon so viele Licht ins Dunkel bringst. – Grüße Bernd

    Antworten
    • Regina Stoiber says:

      Das ist ein guter Punkt Bernd. Ich weiß allerdings gar nicht, ob die nicht Facebook User mit deiner Seite interagieren können oder sie nur ansehen können. Das wäre dann ja wieder ein großer Unterschied.
      Ich glaube, dieses Thema mit Facebook als AV ist aktuell groß in der Diskussion. Aktueller Stand ist meines Wissens, dass Facebook (noch?) gar keine AVVs anbietet.
      Dieses Thema wird sich sicherlich die nachten Monate konkretisieren. Vor allem, nachdem das noch ausstehende Urteil gesprochen wird, wer verantwortlich für den Datenschutz auf Unternehmensseiten ist.

      Antworten
  • Thomas says:

    Hallo Regina 🙂 Ist als Druckdienstleister auch das zu verstehen, wenn wir als Werbeagentur für unsere Kunden z.B. Visitenkarten, Briefbögen und dergleichen bei einer großen Onlinedruckerei drucken lassen ??

    Antworten
    • Regina Stoiber says:

      Hallo Thomas,
      ja, das gehört auch dazu. Briefbögen und allg. Materialien sind ja nicht personenbezogen. Einziges Thema hast du bei den Visitenkarten und evtl. personalisierten Post-Mailings.
      Ich habe auch eine Druckerei als Kunden und hier haben wir einen AVV als Vorlage erarbeitet und stellen den auf Wunsch den Kunden zur Verfügung, die einen anfragen.

      LG

      Antworten
  • Thorsten Eisbein says:

    Vielen Dank für die tollen Informationen und praxisnahen Beispiele. Ich hätte noch einen Tipp für die Leute, die sich um die Speicherungen von Kontakten und Kalender machen.
    Fast alle diese Leute haben eine Internetseite. Dafür müssen sie mit Ihrem Hoster einen AV Vertrag schließen (gibt Ausnahmen, z.B. dedicated Server. Meistens bieten Hoster selbst dafür AV Verträge). Auf dieser Internetseite einfach Nextcloud oder Owncloud installieren, am Besten mit der Option, dass die Daten dort verschlüsselt gespeichert werden. Dann benötigt man nur einen AV Vertrag und hat alle Daten unter seiner eigenen Kontrolle. Für nextcloud/owncloud gibt es Synchronisationsmöglichkeiten für fast alle Endgeräte (PC, Mac, Smartphone), man kann für Mitarbeiter jeweils ein Konto einrichten, gemeinsame Kalender haben etc. Im Grunde gibt es gar keinen Grund, die Dienste von Apple oder Google zu nutzen. Es ist wirklich sehr einfach einzurichten.

    Antworten
    • Regina Stoiber says:

      Danke Thorsten, das hört sich gut an. Das wäre sogar eine Überlegung für uns, da mein Team gerade stetig am wachsen ist und wir plötzlich auch diesen Themen gegenüber stehen. Das werden wir uns gern mal näher ansehen.
      Danke Dir!

      Antworten
  • Jey says:

    Tolle Seite hier! Es geht noch mal um das Thema Webdesignagentur. Ich glaube, dass es vielen um die Abgrenzung geht. Deshalb einmal folgende Frage: Ich erstelle und pflege die Webseiten von Kunden, ändere Inhalte, füge Bilder und Texte hinzu (Leistungen, Ansprechpartner usw.) Dazu habe ich den FTP oder CMS-Zugang. Kein Google Analytics, Shop und Newsletter sind angebunden. Bin ich da jetzt Auftragsdatenverarbeiter oder nur Dienstleister bzw. muss ich einen ADV mit jedem schließen?

    Antworten
    • Regina Stoiber says:

      So wie du die Tätigkeit beschreibst, würde ich das so verstehen, dass du bei deiner Tätigkeit keine personenbezogenen Daten als Kernaufgabe verarbeitest, daher kein AVV.
      Sicherheitshalber würde ich das in deinem internen Verfahrensverzeichnis auch noch mal so dokumentieren, dass man nachvollziehen kann, warum du dich nicht als Auftragsverarbeiter siehst.
      Für den (unwahrscheinlichen) Fall, dass es zu einer Prüfung kommt und der Prüfer eine andere Meinung vertritt, ist es immer gut, wenn du nachweisen kannst, dass du dir Gedanken gemacht hast und zu diesem Schluss aus ganz bestimmten Gründen gekommen bist.

      Antworten
  • Kristy Koth says:

    Hi Regina,
    vielen, vielen Dank für diesen Blog. Es ist enorm hilfreich! Ich habe verstanden, dass ich einen AVV mit dem Webhoster brauche aber wie sieht es aus mit dem Internet-Provider (bei meiner Firma Kabel-Deutschland bzw. Vodafone). Ich habe dort angerufen und die Frage wurde weitergeleitet aber keine wusste etwas von AV-Verträgen. Ich hake weiter nach aber vielleicht um sonst?
    Vielen Dank im Voraus und viele Grüße
    Kristy

    Antworten
    • Regina Stoiber says:

      Internetprovider hätte ich jetzt gesehen wie Telekommunikationsdienstleister für Telefon und Handy. Da ist auch kein AVV nötig, da für diese Dienstleistung Gesetze wie Telekommunikationsgesetz gelten.

      Antworten
  • Bernie says:

    Hm. Begeistern wird mich dieses Ungetüm der DGSVO sicher nicht, es kommt eine Unmenge an zusätzlichem Verwaltungsaufwand ohne erkennbaren Nutzen…
    Zum Beispiel muß ich als Druckdienstleister mit jedem Unternehmen, das eine Visitenkarte für einen Mitarbeiter drucken lassen will einen Vertrag zu Auftragsdatenverarbeitung schließen. Wie geil ist das denn? Und dann darf ich seine Satzdaten wann löschen? Wenn er mir sagt sein Mitarbeiter ist nicht mehr da? Und dann suche ich mir das aus dem Archiv heraus und lösche da einen einzelnen Mitarbeiter? Super!

    Antworten
    • Regina Stoiber says:

      In dieser Hinsicht hat sich eigentlich mit der DSGVO nichts geändert. Die Verträge zur Auftragsverarbeitung waren vorher mit dem BDSG auch schon Pflicht. Es hat halt keiner gemacht….
      Die Verpflichtung muss eigentlich vom Auftraggeber ausgehen. Sie können den AVV natürlich auch als Service von Ihrer Seite direkt bei Vertragsschluss anbieten, aber eigentlich muss Sie der Auftraggeber dazu „verpflichten“, also auffordern. Es ist in seinem Interesse und für ihn hat es schon den Mehrwert, dass er eine Sicherheit hat, wie Sie mit den Daten umgeht. Zudem nimmt es Sie als Auftraggeber auch mehr in die Pflicht, als dies vorher der Fall war.

      Da Sie ja mit Ihrem Auftraggeber ein Vertragsverhältnis eingehen, basiert ihre Zusammenarbeit auf Art. 6 (1) lit. b – Vertragsgrundlage. Da ist es nicht so, dass Sie sofort löschen müssen, wenn einer schreit. Im Gegenzug bei der freiwilligen Einwilligung nach Art. 6 (1) lit. a, da müssen Sie löschen, wenn der Betroffene das möchte. Bei Ihnen können ja bezüglich der Vertragsgrundlage einige Gründe gegen das sofortige Löschen sprechen.

      LG Regina

      Antworten
  • Silke says:

    Liebe Regina, ich bin so froh, dass ich auf diesen Blog gestoßen bin. Vielen tausend Dank für Dein tolles Engagement. Ich bin selbständige Buchhalterin, keine Steuerberaterin und keine Bilanzbuchhalterin, übernehme also für Unternehmen, meist EinzelunternehmerInnen, das Buchen der laufenden Geschäftsvorfälle. Ich betreibe keine Website. Bin ich mit dieser Tätigkeit ein „Auftragsverarbeiter“? Ich würde mich riesig über eine Antwort freuen. Diese Unsicherheit zerrt enorm an den Nerven. Herzliche Grüße, Silke

    Antworten
    • Regina Stoiber says:

      Liebe Silke, das freut mich. Danke!
      Laut Bitkom verstehe ich es so, dass du „nur“ eine Funktion übertragen bekommst und damit kein Auftragsverarbeiter bist. Ich würde mich auf dieses Papier der Bitkom beziehen, solange keine Urteile dazu gesprochen werden. Du kannst gerne auch noch mal im Original nachlesen. Link dazu am Ende meines Artikels.

      LG Regina

      Antworten
  • Wolfgang says:

    Hallo Regina, vielen Dank für die hilfreichen Informationen! Meine Frage:
    Ich bin Hosting-Reseller und habe bei einem Provider einen Managed Server gebucht. Meine KundInnen betreiben kleine Webseiten (ohne Shop o.Ä.), die ich für sie warte. Ich nehme an, ich bin für meine KundInnen der Auftragsverarbeiter und der Hoster ist der Sub-Auftragsverarbeiter. Aber wäre es auch möglich, meine KundInnen direkt einen AV Vertrag mit dem Hoster machen zu lassen? Und wenn ja, wäre ich dann immer noch AV? Danke für deine Antwort!

    Antworten
    • Regina Stoiber says:

      Ich würde den Vertrag über Sie empfehlen und Sie erwähnen in dem AVV mit Ihren Kunden den Provider als Subdienstleister, so ist das ganze rund. Ansonsten müssten Ihre Kunden einen AVV mit Ihnen und dem Provider machen.

      Antworten
  • Mirco says:

    Ich finde leider keine Informationen zu einer ganz einfachen Sache: Wenn ich meine geschäftlichen Kontakte und Termine auf dem Smartphone über mein Google Konto synchronsiere liegen sie ja in der Cloud. Brauche ich dafür einen AVV mit Google? Gibt es dafür ein Muster? Alle Suchen führen immer nur zu Google Analytics. Vielen Dank!

    Antworten
  • Klaudia says:

    Hallo Regina,
    jetzt hab ich viel zur DSGVO gemacht, aber eine Sache ist leider bisher auch bei mir unklar geblieben. Wie ist es mit StudioLink (oder auch Zencastr, etc.), die eine VoIP Verbindung zwischen Podcastern herstellen und Stimme (also biometrische Merkmale = sensible Daten) übertragen? Sind die AV oder ist es hier eine Funktionsübertragung?
    Liebe Grüße,
    Klaudia

    Antworten
  • Christian says:

    Meine Frau hat sich gerade mit 2 Kollegen selbstständig gemacht und eine GmbH gegründet.

    Damit sie (insbesondere vor und während der Gründungsphase) keine privaten Emailadressen verwenden müssen, habe ich (Privatperson und in keiner Beziehung zur GmbH) in meinem Webhosting Tarif eine Domain auf den zukünftigen Firmennamen registriert und Email Postfächer für die GmbH eingerichtet über die meine Frau und ihre beiden Kollegen nun ihre Emails verschicken können.

    Bin ich damit als Privatperson zum Auftragsdatenverarbeiter geworden und müsste einen Vertrag mit der GmbH in die eine Richtung und dem Webhosting Provider in die andere Richtung abschließen?

    Antworten
  • Ulrike says:

    Liebe Regina, ich bin Freiberuflerin und arbeite für Steuerberater im Bereich Einführung neuer Programme und Prozesse, Schulung der Mitarbeiter aber auch Betreuung von Mandanten bei Installation und Schulung der Programme. Dadurch sehe ich vor Ort oder per Fernbetreuung immer personenbezogenen Daten, habe auf meinen Systemen aber nur Rechnungsadressen meiner Kunden. Mit den Beratern habe ich Verschwiegenheitsverpflichtungen. Brauche ich jetzt noch AVVs mit Ihnen und den Mandanten? Danke für deine Antwort

    Antworten
  • Barbara Thelen says:

    Liebe Regina,
    ich bin Webdesignerin und habe 3 Kunden-Webseiten auf meinem Server bei Hosteurope liegen. Ich habe einen Vertrag zur Auftragsverarbeitung mit Hosteurope abgeschlossen. Können die Kunden – die bei mir auf dem Server liegen – nun auch einen Vertrag zur Auftragsverarbeitung von mir verlangen? Oder müssen meine Kunden dies mit Hosteurope machen? Wenn ich einen Vertrags zur Auftragsverarbeitung anbieten muss, kann ich dann auf den mit Hosteurope verweisen? Denn ich mache ja nichts anderes, als meinen Kunden einen Platz auf meinem Webserver anzubieten. Vielen Dank für deine Antwort. LG Barbara

    Antworten
  • Enrico says:

    Hallo Regina,
    auch von mir ein herzliches Dankeschön für deine umfangreichen Dienste hier!
    Wann jemand Auftragsverarbeiter ist und wann nicht, hängt ja wie du auch beschreibst, davon ab, ob „die Kerntätigkeit“ die Verarbeitung pers.bez. Daten ist.
    Wenn ich als Unternehmen an einen Zulieferer den Auftrag zur Fertigung eines bestimmten Produktes erteile und im für den Schriftverkehr zur eindeutigen Zuordnung den Firmenname sowie Adresse als Lieferadresse mitteile, ist diese Datenübermittelung dann als Kerntätigkeit zu verstehen? Also: ist mit dem Zuliefer somit ein AV-Vertrag zu schließen?
    Vielen Dank vorab für dein Feedback!

    Antworten
  • Ekant says:

    Danke für die sehr tollen Informationen!
    Meine Frage: Ein Pflegedienst, der personenbezogene Gesundheitsdaten zB. an eine Apotheke, an einen Arzt oder ein Sanitätshaus weitergibt… um Medikamente zu bestellen, Daten an den Arzt weiterzugeben oder bestimmte Hilfsmittel zu bestellen. Wenn ich das richtig verstehe, sind das keine Auftragsverarbeiter und ich muss lediglich den Kunden informieren, dass ich ggf. seine Daten weitergebe…?

    Antworten
  • Stefan says:

    Liebe Regina,

    vielen Dank für diesen Beitrag. Ich habe folgende Frage: Warum fällt ein Druckdienstleister, den ich als Fotograf z.B. für das Erstellen von Fotoabzügen beauftrage und Auftragsverarbeiter, mit dem ich dann wiederum einen AV-Vertrag benötige? Es gibt hier eine Deklaration, wonach es auch sogenannten Fachleistungen gibt: https://www.lda.bayern.de/media/dsk_kpnr_13_auftragsverarbeitung.pdf

    Warum fällt ein Druckdienstleister nicht darunter, wenn ich als Fotograf Fotos zur Ausbelichtung übertrage?

    Antworten
  • Andrea says:

    Hallo Regina,
    ich habe eine geschäftlich genutzte Website ohne Kontaktformulare, Datenbanken, Kommentarmöglichkeiten usw. Es gibt lediglich die Möglichkeit, über die E-Mail-Adresse Kontakt zu mir aufzunehmen. Das zugehörige Postfach läuft ebenfalls über den Webhoster.

    Meinem Verständnis nach muss ich einen ADV-Vertrag mit dem Webhoster abschließen. Mir ist aber nicht klar, was ich dort als Art der Daten und als Kreis der Betroffenen angeben muss. Da der Webhoster Zugriffsdaten (IP-Adressen usw.) protokolliert und prinzipiell auf die E-Mails zugreifen kann, sind die Art der Daten und der Kreis der Betroffenen doch theoretisch unbegrenzt. Oder verstehe ich das falsch?

    Antworten
  • Andrea says:

    Vielen Danke, Regina. Das hilft mir auf jeden Fall weiter.

    Antworten
  • Alexander says:

    Hallo Regina, das von dir erwähnte Dokument der Bitkom beruft sich auf eine mitterweile veraltete Stellungnahme des LDA Bayern in seiner Einschätzung ob IT Dienstleister Auftragsverarbeiter sind oder nicht. Im aktuellen Dokument der Datenschutzkonferenz klingt das ganz anders (https://www.lda.bayern.de/media/dsk_kpnr_13_auftragsverarbeitung.pdf): Unter Wartung & Pflege wird die klare Aussage getroffen, dass IT Dienstleister Auftragsverarbeiter sind. Wie ist deine Einschätzung dazu? VG Alexander

    Antworten
    • Regina Stoiber says:

      Hallo Alexander,
      herzlichen Dank für den Link.
      Ich lese da jetzt keinen so großen Unterschied heraus. Es steht, das AV IT-Dienstleister sind, wenn es um personenbezogene Daten geht, die bei der Wartung und beim Support im Spiel sind. Dies ist sicherlich meistens der Fall bei den IT-Dienstleistern.
      Findest du, dass es so anders formuliert ist, als im Dokument der Bitkom?

      Viele Grüße
      Regina

      Antworten
  • Jochen says:

    Hallo Regina,
    vielen Dank für den Beitrag. Ich hätte eine Frage: Für die Anlieferung von Produkten per Spedition an Baustellen bekomme ich oft Kontaktdaten von firmeninternen Ansprechpartnern meines Kunden, aber auch dessen Kunden zur Verfügung gestellt. Bin ich hiermit eine Auftragsdatenverarbeiter und muss mit jedem Kunden einen Vertrag schließen?

    Antworten
  • Stefan says:

    Hallo Regina,

    folgende Frage bezüglich der ADV: Wir bekommen Daten für unsere Produkte (Kennzeichenhalter) per Email von unseren Kunden und drucken diese dann auf unser Produkt und senden dieses an den Endkunden.

    Muss da eine ADV zwischen unseren Kd und uns erstellt werden. Wir benötigen die personenbezogenen Daten des Endkunden ja nur zur Auftragserfüllung und nicht zur Weiterverarbeitung dieser.

    Vielen Dank für eine kurze Info.

    Antworten
  • Hal says:

    so, erstmal vielen Dank für den tollen Artikel 🙂 Ich quäle mich auch schon seit Wochen mit dem Thema und habe so viele ungeklärte Fragen- vielleicht hast du auch für mich die eine oder andere Antwort. Ich bin ein kleiner Webdesigner, habe ca. 15 Websites für Kunden erstellt, als einmaligen Auftrag ohne Pflegevertrag. Ich habe bei einem Hoster einen V-Server, auf dem alle webspaces liegen, ebenso habe ich Email-Verwaltung ftp- und Datenbankzugriff, auch auf backups und Zugriffsstatistiken kann ich zugreifen.
    Für alle Kunden erledige ich einige nötige Arbeiten ohne Auftrag und kostenlos, zb WordPress- oder Plugin-Updates durchführen, manchmal Ändern einer Seite, Einfügen eines Bildes, Einrichten einer Emailadresse etc.
    mit meinem Hoster habe ich einen AV-Vertrag abgeschlossen. Jetzt habe ich als Auftrag bei allen Websites Datenschutzerklärung eingebaut und alles mögliche erledigt, was im Rahmen der dsgvo möglicherweise nötig ist: sämtliche externen Verbindungen erstmal gekappt, keine google maps mehr (nur noch als link), keine google fonts mehr (bzw. lokal auf meinem Server installiert), Youtube-Videos ebenfalls nicht mehr embedded sondern als Link, Kontaktformulare mit Bestätigungshäkchen etc. Alle Websites laufen mittlerweile, ohne eine einzige Verbindung zu externen Servern aufzunehmen. Das ist schon mal gut.
    was mir bei allem noch unklar ist:
    Theoretisch habe ich Zugriff auf persönliche Daten bei einem Buchungsformular, dass die Userdaten in der Datenbank ablegt und auf die ich theoretisch Zugriff habe, ansonsten gibt es datenschutzrelevant nur Kontaktformulare, die aber alle die Daten nicht in der Datenbank speichern, sondern sie nur an die Emailadresse des Websitebetreibers weiterleiten. Registriert sind auf allen Websites nur die Webseitenbetreiber selbst
    – Benötige ich für alle einen AV-Vertrag, oder nur für die mit Buchungsformular?
    – was mache ich mit dem AV-Vertrag mit dem Hoster? Muss ich den an meine Kunden weitergeben? Oder einen eigenen AV-Vertrag mit den Kunden machen? Muss dort ggf der gesamte Inhalt des AV-Vertrags mit dem Hoster weitergegeben werden?
    – wie kann ich ich rechtlich absichern? Da ich die Umsetzung der DSGVO quasi als Auftrag gemacht habe, bin ich dort wohl im Zweifelsfall mit haftbar, wenn etwas falsch war. Aber was, wenn sich mal etwas ändert an den Richtlinien? Ich habe ja keinen Pflegevertrag? Und was, wenn Kunden sagen „Ich will aber google Maps als Karte auf meiner Seite haben, ist mir egal, ob das legal ist oder nicht“. Dann müsste ich mich ja eigentlich absichern können, indem ich eine Formulierung wie „Der Websitebetreiber besteht auf der Integration von GoogleMaps GEGEN DEN AUSDRÜCKLICHEN RAT des Webdeigners…“…blabla…oder?

    Antworten
  • Peter says:

    Liebe Regina,

    Ich hoffe das kannst Du auch noch beantworten 😉
    Ich möchte mir in nächster Zeit eine Webseite für gewerbliche Zewcke erstellen lassen. Muss ich nun eine ADV dafür mit der Agentur abschliessen?..Und wer erstellt sowas, ich weiss ja nicht was da rein kommt ..

    Vielen Dank und LG Peter

    Antworten
  • Jutta says:

    Hallo Regina,

    kurz vor knapp. 😉 Vielen Dank für Deine tolle Seite!

    Bin ich Verantwortlicher oder Auftragverarbeiter, wenn ich für meinen Kunden eine Werbeanzeige gestalte und zur Veröffentlichung an die Zeitung weiterreiche?

    Und wie verhält es sich, wenn ich für meinen Kunden einen Flyer gestalte und selber im Copy-Shop hundertfach vervielfältige?

    LG Jutta

    Antworten
  • Marcel says:

    Hallo,
    vielen Dank für die verständliche Darstellung und die Möglichkeit Fragen dazu zu stellen.
    Mich würde interessieren wie es mit Filmemachern ist.
    Bin ich Auftragsdatenverarbeiter wenn ich, sagen wir mal auf der Messe meines Kunden Filmaufnahmen erstelle und darasu dann einen Film für den Kunden schneide?

    Vielen Dank,
    Marcel

    Antworten
  • Markus Sturm says:

    Hallo, endlich mal Verständliche Erklärungen. Ich bin selbständiger EDV & IT Techniker (EPU) und warte die Computersysteme meiner Kunden (Privat und Geschäftskunden). Es bestehen keine Verträge oder ähnliches. Wenn ein Kunde mich anruft fahre ich dort hin und löse die Probleme (Hardware oder Software). Gelegentlich nehme ich ein Gerät zur Reparatur mit in mein Büro/Werkstatt. Ich Verkaufe auch neue Geräte und Zubehör. Muss ich jetzt mit jedem Kunden eine AV-Vereinbarung abschliessen. Bin ich Auftragsdatenverarbeiter ? Ich löse ja nur die Probleme der Computer, habe natürlich dabei auch Zugang zu persönlichen und auch teilweise zu sensiblen Daten.
    Natürlich sollte ich eine Verschwiegenheitsvereinbarung mit den Kunden vereinbaren, haben Sie vielleicht eine Vorlage oder Muster dazu? Bitte um Auskunft
    mfg
    Markus Sturm

    Antworten
    • Regina Stoiber says:

      Die privaten Kunden fallen ja erst mal weg, die brauchen keinen AVV. Für die Geschäftskunden würde ich einen Empfehlen, wenn Zugriff auf sensible Daten besteht, also bei der Wartung auf das E-mail Postfach z.B.
      Eine Vorlage für eine Verpflichtung zum Datenschutz nutze ich bei Mitarbeitern immer die vom Bay. Landesamt für Datenschutz. Ich denke, die kann man sicherlich leicht umschreiben auf Geschäftspartner.

      Antworten
  • Achim says:

    Hallo Regina, ein Kunde von uns welcher Artikel bei uns kauft (nicht online) möchte das wir einen ADV mit Ihm abschließen. Seine Daten verarbeiten wir nur um seine Bestellung zu bearbeiten/auszuführen. Dafür müssen wir doch keine ADV schließen oder?

    Antworten
  • Peter says:

    Hallo
    wie ist das bei einer Kneipen – Webseite.
    Ich bezweifele dass man hier mit Kanonen auf Spatzen schiessen würde.
    Es gibt keine Reservierungen, kein Kontaktformular, Kein Newsletter,Termine werden von Hand eingetragen und in Facebook. Likebuttons sind ebenfalls nicht implementiert und auch kein Google Analytics o. ä.
    Kommunikation läuft über Email und Telefon
    Gruss Peter

    Antworten
  • Jana says:

    Liebe Regina,

    vielen Dank für deine hilfreichen Artikel! Ich bin für einen Direktvertrieb tätig, über den ich als unabhängige Selbstständige sämtliche Kundenbestellungen tätige. Sprich: Dort werden Name, Anschrift, eMail-Adresse und teilweise auch die Telefonnummer der Kunden hinterlegt, um Bestellungen und Reklamationen durchführen zu können. Der Direktvertrieb ist der Meinung, dass es ausreichend ist, dass sie mir für meine Kunden ein aktuelles Dokument zum Datenschutz bereitgestellt haben. Einen AVV benötige ich deren Ansicht nach nicht. Ich persönlich sehe das anders und würde mich daher über deine Meinung dazu freuen.

    Herzlichen Dank bereits im Voraus!

    Liebe Grüße
    Jana

    Antworten
  • Alexander says:

    Hallo Regina,

    ja ich lese einen großen Unterschied aus der Sichtweise der Bitkom und der DSK. Die Bitkom sagt, solange das Ziel der Geschäftsbeziehung IT-Support ist und nicht Auftragverarbeitung, dann rechtfertigt die reine Möglichkeit des Zugriffs auf persönliche Daten keinen AVV. Die DSK sagt, dass sobald ebenjene Möglichkeit besteht, braucht es einen AVV. Die Bitkom hat übrigens auf die geänderte Aussage der DSK eine Stellungnahme erarbeitet, die aber leider nicht auf der Webseite zur Verfügung steht.

    VG Alexander

    Antworten
    • Regina Stoiber says:

      Hi Alexander,
      Ich nehm das gerne noch in den Artikel auf, um auf die aktuelle Sicht der DSK zu verweisen.
      Lieben Dank! Bin froh über jeden Hinweis und Tipp.

      LG Regina

      Antworten
  • Annett says:

    Hallo Regina, danke für die hilfreichen und verständlichen Ausführungen. Wie lässt man den Datenschutzhinweis denn den Bestandskunden zukommen, wenn unsere Webseite gerade inaktiv/im Umbau ist. Muss/sollte man dann jeden Kunden per E-Mail anschreiben und den Datenschutzhinweis anhängern oder kann man den in die „Fußzeile“ der E-Mails einbauen? Wie ist es denn mit Daten, die man per Lead auf Messen oder so bekommen hat? Alle nochmal mit Datenschutzhinweis anschreiben? Wie ist es denn, wenn man per Amazon o.ä. direkt an einen Kunden liefern lässt? Braucht man AVV mit Amazon – Fragen über Fragen :-(… GlG Annett

    Antworten
    • Regina Stoiber says:

      Auf Nummer sicher geht man natürlich, wenn man alle Kunden anschreibt, was jetzt auch oft passiert. Das ist so ein Punkt, der sich sicherlich die nächste Zeit konkretisieren wird. Ich würde sagen, das hängt auch sehr vom Geschäft ab. Beim Steuerberater u.a. Mit der externen Lohnbuchhaltung haben wir bei meinem Kunden alle Mandanten angeschrieben. Bei einem Industrieunternehmen, bei dem die personenbezogenen Daten in der E-Mail und ggf. auf Angebot und Rechnung vorkommen, haben wir nur einen Link in der E-Mail auf die Informationspflicht.

      Eigentlich müsste schon auf der Messe ein Hinweis auf die Verarbeitung erfolgen. Wie das in der Praxis dann aussieht, wird sich zeigen. Die Idee mit dem Anschreiben im Nachgang gefällt mir gut.

      Bezüglich Amazon als AV möchte ich mich noch mal schlau machen.

      Antworten
  • Kristina says:

    Hallo liebe Regina,

    danke für die großartige Hilfestellung. Ich möchte mich mit einer kleinen Frage (Achim vom 25.05.) anschließen. Wir sind Großhändler und ein Kunde besteht auf einen 16-seitigen AVV, den er uns vorgibt. Für die normale/klassische Auftragsabwicklung lehne ich sein Ansinnen nach AVV ab. Was ist aber, wenn der Kunde uns mit Direktlieferungen an seinen Kunden beauftragt (das kommt gelegentlich mal vor)? Werden wir dann zum Auftragsverarbeiter? 1000-Dank für eine kurzes Feedback, Liebe Grüße Kristina

    Antworten
  • Stephan Kowalik says:

    Hallo Regina,
    vielen Dank für diese sehr interessante Seite.
    Ich habe eine ziemich spezielle Frage:
    Wir haben arbeiten regelmäßig mit einer Druckerei zusammen, die im Rahmen von Kundenprojekte z. B. Adressetiketten für Versandaktionen, Einladungen usw. druckt. Dabei sind natürlich personenbezogene Daten involviert.
    Nun hat uns der Dienstleister einen pauschalen Auftragsverarbeitungsvertrag geschickt. Daher meine Frage: ist es zulässig, solch einen Vertrag pauschal zu schließen, auch wenn es sich pro Auftrag um unterschiedliche betroffene Personenkreise handelt, also z. B. um Mitarbeiter von Kunde X, Gäste einer Veranstaltung von Kunde Y usw.

    Vielen Dank schon mal für deine Antwort und
    Beste Grüße

    Stephan

    Antworten
    • Regina Stoiber says:

      Pauschal, aber zutreffend, würde ich sagen. Es muss nicht für jeden Auftrag ein neuer AVV geschlossen werden. Der AVV darf alle Kategorien und Personengruppen beinhalten, die laut der mit ihm geschlossenen Dienstleistung möglich sind. Aber er soll auch nicht plötzlich Inhalte aufweisen, die nie im Angebot oder Auftrag eingeschlossen sind. So würde ich das sehen.

      Antworten
  • Anna says:

    Hallo Regina,
    ich bin eine kleine „Druckerei“ und habe drei kleine Fragen: 1. )Ich habe viele Wiederholungsaufträge von langjährigen Kunden oder anrufe per Festnetztelefon…. gerade bei Trauerkarten. Muss ich jedem meiner Kunden das mehrseitige AVV unterschreiben lassen … oder reicht es aus, das ich ihn online zur Verfügung stelle und sie ihn in einer Email zustimmen. (viele können sie sich den nicht ausdrucken und würden ihn nur per Mail bestätigen wollen…)
    2.) ich benutze auf der Jimdo Website lediglich Google Maps . benötige ich da schon einen AVV mit Google?
    3.) ICh arbeite auch mit anderen Druckereien/Weiterverabeitungsfirmen zusammen, muss ich die die alle imm AVV mit dem Kunden aufführen und den Kunden unterrichten über jeden einzelnen oder reicht ein Interner AVV zwischen mit und diesen Unternehmen?
    Vielen Dank für deine Hilfe.
    Anna

    Antworten
  • Dietmar says:

    Hallo Regina,

    deine Website ist für mich (neben weniger anderer) die verständlichste Quelle für Aufklärung rund um die DSGVO. Tausend Dank dafür!

    Ich habe zwar diesen (und andere) Artikel aufmerksam gelesen, aber ich bin bei folgenden Fragen trotzdem noch etwas unsicher. Es geht um eine Dreierkonstellation:
    Kunde – Webagentur – Lieferant Domain/Hosting/Email

    Frage a)

    -Webagentur fakturiert dem Kunden Domain/Hosting/Email (gibt ihm aber keinen FTP-Zugang, nur Webmail-Zugang auf der Infrastruktur des Lieferanten)

    -Lieferant fakturiert der Webagentur Domain/Hosting/Email

    -Auf dem Hosting gibt es keinen Shop, keine offensichtlichen Datenverwaltungen, nur die aus meiner Sicht sicherheitstechnisch unbedingt notwendige temporäre Speicherung von IP-Adressen in Logfiles (Grund Schutzmaßnahmen z.B. Fail2Ban und bei Hackerverdacht Fehlersuche. Keine anderweitige Auswertung.)

    Ich bin mir nicht sicher ob es nun zweier ADVs bedarf oder es einen zwischen Webagentur-Lieferant:

    ADV 1: Kunde – Webagentur (wobei Webagentur den Lieferanten als Subverantwortlichen nennt)

    ADV 2: Webagentur – Lieferant
    Braucht es beide oder nur ADV 2?

    Frage b)

    Soweit ich verstanden habe, wenn ein ADV fehlt, würden laut DSGVO alle Parteien ein Bußgeld riskieren. Oder sehe ich das falsch?

    Wer müsste sich aktiv um die Einforderung des ADV kümmern?

    Kunde?
    Webagentur?
    Lieferant?
    Alle drei?

    Ich frage mich darum, weil ich noch von keinem großen Unternehmen gezwungen wurde einen ADV abzuschließen. Derselbe ist immer nur auf Anfrage meinerseits zustande gekommen.

    Wenn alle ein Bußgeld riskieren würden, dann würden große Unternehmen mir den sicherlich aufzwängen oder?

    Vielen dank im Voraus für ein, zwei klärende Antworten.

    Grüße aus dem Süden
    Dietmar

    Antworten
  • Manuela says:

    Tolle Seite – vielen Dank! Ich bin Einzelunternehmerin und arbeite mit Menschen als Coach. Mein Website Hoster hat mir einen AV Vertrag zugeschickt aber ich finde keine Infos dazu, wie ich ihn korrekt ausfüllen soll. Gibt es dazu irgendwo weitere Infos? Was sind z.B. Vertragsabrechnungs- und Zahlungsdaten – meine gestellten Rechnungen an meine Kunden? Sammle ich IP Adressen? Oder der andere Punkt die Betroffenen im Umgang mit den Daten? Bin etwas ratlos.

    Vielen Dank für Tipps.
    Manuela

    Antworten
  • Marcus Koch says:

    Nach meinem Kenntnisstand (IHK, LDA Bayern) gibt es in der DSGVO den Begriff der Funktionsübertragung überhaupt nicht mehr. Die DSGVO kennt nur noch AV und gemeinsame Verantwortliche. Zusätzlich muss mit Unternehmern bestimmter Berufe, wie Steuerberatern, kein AV geschlossen werden, da diese im Hinblick auf die gesetzliche Verschwiegenheitspflicht konkret ausgenommen sind.

    Frage: Wie vereinbart es sich mit dem Minimalprinzip der DSGVO, wenn für einen Post hier die E-Mail-Adresse erforderlich ist.

    Beste Grüße
    Marcus

    Antworten
    • Regina Stoiber says:

      Das stimmt, die Funktionstrennung gab es im BDSG auch nicht aktiv, sondern nur anhand der Rechtssprechung.
      Ich werde im Artikel noch ein paar Updates machen, bzw. manche Stellen konkretisieren. Hier gibt es aktuell auch laufend neue Infos, die immer wieder angepasst werden müssen. Vor- und Nachteil bei so einem aktiven Thema.

      Die Angabe der E-Mail Adresse ist für mich zum Einen ein Qualitätswerkzeug, zum Anderen aber auch für die Verfolgung der Kommentare, wer das möchte. Wer mag, kann sie auf seinem Blog jederzeit weg lassen.

      Antworten
  • Enrico says:

    Ich finde diesen Überblick auch sehr empfehlenswert und verständlich. Dennoch kann ich mich nicht entscheiden. Wie muss ich mich Fall bei einer externen Fachkraft für Arbeitssicherheit verhalten? Dieser erhält „nebenbei“ persönliche Daten z.B. aus Unfallmeldungen. Diese Unfallmeldungen sind (u.a.) aber Grundlage für die Dienste zur Aufrechterhaltung der Arbeitssicherheit. Gilt dann, dass es gesetzliche Grundlagen gibt (ASiG / ArbSchG) und es sich deshalb nicht um Auftragsverarbeitung handelt? Oder ist es keine ADV/AV weil wir eine „gemeinsame Verantwortlichkeit“ haben (Art.26 DSGVO) ? Oder ist es doch eine ADV, weil die Sifa in „keiner vertraglichen Beziehung zu den Betroffenen steht, die er verarbeitet“… Irgendwie trifft alles zu, wenn es man einzeln betrachtet, was hat nun Vorrang?
    Für eine Meinung danke ich schon mal vorab.

    Antworten
    • Regina Stoiber says:

      Danke für das Feedback. Die Frage habe ich auch schon mit einem Datenschutz Kollegen diskutiert. Wir haben das ja in den Unternehmen auch sehr oft, die wir betreuen. Es ist sehr oft eine externe SiFa eingesetzt. Ich habe bisher auch keine Auftragsverarbeitung abgeschlossen bzw. dem Unternehmen nicht empfohlen, einen AVV abzuschließen, da ich denke, das deckt das Thema gesetzliche Basis ab. Mit der Interpretation der DSK würde ich es unter „Fremde Fachleistungen“ einordnen.

      Antworten
  • Anne says:

    Hallo Regina, danke für die tollen Ausführungen. Eine Frage zu einer Wohnungsverwaltung. Hier geben Mieter bei der Verwaltung Störungen wie bspw. Wasserschäden an. Die Verwaltung gibt das dann an einen externen Dienstleister weiter, der den Schaden behebt. Muss hier ein AV-Vertrag mit dem Dienstleister erstellt werden?

    Antworten
    • Regina Stoiber says:

      Hallo Anne,
      ich würde sagen nein, da der Dienstleister ja in seiner Dienstleistung keine personenbezogenen Daten verarbeitet, sondern z.B. den Wasserschaden behebt. Ist der Vertragspartner dann direkt der Mieter oder die Hausverwaltung? Je nach Fall wahrscheinlich, oder? Wenn der Vertragspartner direkt der Mieter ist, dann sowieso nicht. Aber auch wenn der Vertragspartner die Hausverwaltung ist, sähe ich es als überzogen an, da es ja nicht um die Verarbeitung personenbezogener Daten geht. Die Adresse ist ja nur nötig, um zur richtigen Wohnung zu kommen.
      Zwischen Hausverwaltung und Mieter würde ich das allerdings regeln, dass die HW die Daten zur Behebung von Störungen an einen Dienstleister weiter gibt.

      Antworten
  • F. Droste says:

    Hallo Regina, mich würde interessieren, ob ich mit meinem Mobilfunkanbieter für ein Smartphone, dass ich geschäftlich nutze (ohne Einzelverbindungsnachweise), eine AV-Vereinbarung abschließen muss. Bin unsicher, ob hier Daten erhoben werden und wenn ja, auf welcher Grundlage. Oder gibt es da spezielle Regelungen? Vielen Dank für die Mühe.

    Antworten
  • Marianne R. says:

    Hallo, herzlichen Dank für diese Seite und das Beantworten der Fragen. Hier meine: ist ein Fotograf, den ich gelegentlich für Veranstaltung beauftrage, Fotos zu machen, ein Auftragsverarbeiter? Die Fotos bleiben dabei in seinem Eigentum und er kann sie über seine Firmenseite an die TeilnehmerInnen der Veranstaltung verkaufen. Meine Firma ist dann nicht weiter involviert. Mit einer Antwort wäre mir sehr geholfen! Danke nochmal.

    Antworten
  • Markus says:

    Hallo Regina,
    tolle Seite und tolle Arbeit.
    Eine Frage: Ein Autohaus beauftragt einen Zulassungsdienst mit der Zulassung von Fahrzeugen für seine Kunden und übergibt dazu die notwendigen Unterlagen wie Ausweis, Brief, Versicherungsunterlagen, etc… Ist der Zulassungsdienst Auftragsverabeiter? LG und vielen Dank

    Antworten
  • Carsten says:

    Wie verhält es sich mit Honorarkräften in einem Krankenhaus? Honorarkraft Arzt/ Pflegekraft arbeitet auf Honorarbasis in einem Krankenhaus. Grundlage ist ein Dienstleistungsvertrag zwischen Krankenhaus und Honorarkraft. Gegenstand ist die Behandlung/ Versorgung von Patienten. Es werden gesundheitsbezogene Daten erhoben und in der Dokumentation des Krankenhauses niedergeschrieben. Keine Daten verlassen das Krankenhaus.

    Antworten
    • Regina Stoiber says:

      Das ist eine gute Frage. In diesem Bereich ist ja auch ein berufliches Schweigerecht gültig. Diese Berufsgeheimnisse überwiegen normalerweise die DSGVO. Um auf Nummer sicher zu gehen, also bis Urteile gefällt werden, würde ich sicherheitshalber zu einem AVV raten.

      Antworten
  • Jan says:

    Hallo Regina,

    ich nutze einen Server bei einem deutschen Hostinganbieter.
    Auf diesem Server sind Kundenwebseiten, teilweise mit E-Mail-Postfächern installiert.
    Diese Seiten und Postfächer administriere ich. Dabei besteht natürlich die Möglichkeit, an personenbezogene Daten zu gelangen (Fehleranalyse, Sicherheitsupdates, Passwortrücksetzungen).

    Ziel dabei ist niemals die Verarbeitung oder Weitergabe dieser personenbezogenen Daten!

    Ist zwischen mir und meinen Kunden ein Vertrag zur Auftragsverarbeitung erforderlich?

    J. Holler

    Antworten
  • Gerd says:

    Hallo Regina,

    wie sieht es aus wenn Banken-Mitarbeiter (z.B. Sparkasse) per Fernwartung auf den Rechner in der Firma zugreifen um z.B. Fehler oder Probleme im SFIRM (oder anderer Bankensoftware) zu beheben. Da kommen sie ja auf jeden Fall mit pers.bezogenen Daten in Berührung. Genauso wenn der Steuerberater per Fernwartung hilft indem er sich auf den Rechner des Kunden aufschaltet und z.B. im Steuerprogramme Hilfe leistet. Brauche ich da AV-Verträge ? Beim Steuerberater könnte ich mir vorstellen, dass es da nicht notwendig ist, da Berufsgeheimnisträger. Wie sieht es aber mit den Mitarbeitern der Banken aus ? Vielen Dank

    Antworten
  • Luther says:

    Hallo Regina,
    tolle Seite, tolle Arbeit deinerseits. Vielen Dank.
    Ein aktuelle Frage bleibt uns derzeit aber noch.
    Ist ein externer selbstständiger Fotograf der in unserer Firma in unserem Auftrag, unsere Mitarbeiter für unsere Website fotografieren soll ein Auftragsverarbeiter? Brauchen wir von Ihm ein AV Vertrag? Oder muss jeder unserer 120 Mitarbeiter ein Modelrelease unterschreiben?
    Vielen Dank.

    Antworten
  • Claudia says:

    Liebe Regina, herzlichen Dank für den aufschlussreichen Artikel! Er hat mir das Thema noch ein Stück weit näher gebracht 🙂 Eine Frage habe ich aber: Ich arbeite in einer Anwaltskanzlei. Wir sind bei verschiedenen Portalen registriert, z. B. Adressermittler, Bonitätsauskunft etc. Das heißt, wir beauftragen diese z. B. mit der Ermittlung einer aktuellen Anschrift oder stellen Daten zur Verfügung mit der Bitte, hierzu eine Bonitätsauskunft abzugeben. Ich denke, Du weißt, was ich meine. Handelt es sich bei diesen Anbietern um Auftragsverarbeiter? Ich suche diesbezüglich seit längerem sowohl im Gesetz als auch im Netz und in Literatur, ohne etwas Aufschlussreiches zu finden 🙁 Wir sind doch sicher nicht die Einzigen, die sich hierüber den Kopf zerbrechen!? Hast Du einen Tipp für mich? HG Claudia

    Antworten
  • da_lindchen says:

    Hallo Regina,
    vielen Dank für den Artikel und die Beantwortung der vielen Fragen. Leider habe ich hinsichtlich des Konstruktes blogspot (Google) und dem Blogger (Autor/Webseitenbetreiber) immer noch einen Knoten im Kopf und kann es in keine Kategorie einordnen.

    Der Sachverhalt ist wie folgt: Google stellt mir über blogspot eine Plattform bereit, über die ich meinen Blog über fertige oder individualisierte Templates veröffentlichen kann. Somit würde ich google als meinen Host einordnen, was bedeutet ich bräuchte einen AVV.
    Was mir hier aber Kopfschmerzen bereitet: Ich selbst habe keinerlei Einblick in die Daten, die von Blogspot erhoben werden, geschweige denn Kontrolle darüber. Schreibt beispielsweise jemand einen Kommentar, habe ich zwar die Möglichkeit, diesen zu veröffentlichen oder zu löschen, aber ich erhalte außer dem user name keine weiteren Daten (wie Mail Adresse, IP Adresse…). Selbiges gilt für die im Hintergrund erhobene Blog Statistik (welche nicht mit Google Analytics gleichzusetzen ist). Hier erhalte ich selbst keine Einsicht in personenbezogene Daten, weiß aber nicht, was Google im Hintergrund speichert. Ich habe auch keine Möglichkeit die Statistik zu bearbeiten / deaktivieren.
    Daher stellt sich mir die Frage: handelt es sich hier überhaupt um eine Auftragsdatenverarbeitung? Oder bin ich überhaupt nicht für die erhobenen Nutzerdaten verantwortlich, sondern allein Google? Ich selbst erhebe und speichere ja schließlich keinerlei Daten, wenn jemand meine Webseite aufruft bzw. kommentiert.

    Angenommen es würde sich ein User bei mir melden, der Auskunft über bzw. die Löschung seiner Daten fordert, könnte ich ja gar nicht agieren, weil ich keinerlei Kenntnis und Gewalt über diese Daten habe.

    Bei allen externen Diensten, die ich selbst auf meinem Blog eingebunden habe ist mir das Verhältnis klar. Nur zu Blogspot selbst tappe ich vollkommen im Dunkeln. Google selbst äußert sich leider auch überhaupt nicht zu dem Thema Blogger. (Ganz anders als bei Analytics…)

    Für eine Antwort zu dem Thema wäre ich dir sehr dankbar! Aktuell ist dieses Problem auch der Grund, weshalb sehr viele Blogspot Blogger ihre Blogs offline genommen haben (mich eingeschlossen). Für mich hängt davon jetzt auch ab, ob ich zu einem anderen Provider umziehen muss, was ich eigentlich vermeiden möchte.

    Vielen Dank im Voraus und Grüße,
    Linda

    Antworten
    • Regina Stoiber says:

      Hallo Linda,
      in der Tat ist das Thema mit den Anbietern für Blogplattformen aktuell sehr schwierig, da es meiner Meinung nach auch von den Anbietern her noch viele nicht geregelte Punkte gibt.
      Google ist auf jeden Fall Auftragsverarbeiter für die Bereitstellung der Plattform. Da müsste Google einen AVV zur Verfügung stellen. Wahrscheinlich müsste man dann einzelne Funktionen sogar aus dem AVV heraus nehmen, wenn Google damit eigene Interessen / Zwecke verfolgt. Da weiß ich aber im Detail nicht, was Google dir da mit der Plattform für Möglichkeiten bietet.

      Das ist die aktuelle Thematik mit den Betreibern von Plattformen, wie das EuGH entschieden hat. Die müssen jetzt ebenfalls aktiv werden und den Nutzern / Vertragspartnern die Informationen zur Verfügung stellen, welche Daten sie für welchen Zweck verarbeiten.

      Antworten
  • Klaus Stüber says:

    Hallo Regina,
    ich versuche gerade herauszufinden ob es sich bei einem Dolmetscher der Geschäftsbriefe mit persönlichen Daten bekommt um eine Funktionsübertragung handelt oder um eine Auftragsverarbeitung und wird dann ein AVV Vertrag benötigt.

    Es gibt meines erachtens für beide Positionen Pro und Contras.

    Vielen Dank im Voraus und viele Grüße,
    Klaus

    Antworten
    • Regina Stoiber says:

      Hallo Klaus,
      das mit der Funktionsübertragung gibt es ja jetzt mit der DSGVO so in diesem Sinne nicht mehr. Wenn dann gibt es die „Fremden Fachleistungen“. Da fällt es aber – hätte ich jetzt gesagt – nicht darunter, da der Dolmetscher kein Verantwortlicher bei der Verarbeitung der Daten ist.
      Ich würde ihn als Auftragsverarbeiter sehen.

      VG Regina

      Antworten
  • Sue says:

    Hi Regina, auch von mir ein großes Dankeschön für die vielen Infos. Ich habe auch eine Frage bezüglich der Anbieter wie Canva, Crello Grafiktools Anbieter (oder auch Pixabay). Braucht man z.B. wenn man von Canva Designs und Bilder runterlädt (kostenfrei) für seine Webseite – mit Canva einen AVV Vertrag? Ich kann das nirgends finden. Es sind ja dann auch personenbezogene Daten? Ich denke diese Frage betrifft viele Leute. Danke sehr für eine Antwort. Sue

    Antworten
    • Regina Stoiber says:

      Hallo Sue, ich hätte die von dir genannten Dienstleister jetzt nicht zwingend als AV Dienstleister gesehen. Könnte man wahrscheinlich so argumentieren, da es ja Userprofile gibt. Hätte ich bisher aber nicht betrachtet.
      LG Regina

      Antworten
  • Sebastian says:

    Hallo Regina,

    ich versuche es mal kurz zusammenzufassen. Wir sind eine Werbeagentur mit 8 Angestellten. Wir arbeiten mit Druckereien und Freelancer zusammen. Wir speichern unsere Projekte und somit alle Daten bei uns auf dem Server ab. Folgend will ich noch unseren Service auflisten.
    BERATUNG & KONZEPTION, CORPORATE PUBLISHING, EDITORIAL DESIGN, CORPORATE DESIGN, VERPACKUNGSDESIGN, WEBDESIGN, SOCIAL MEDIA, PRINT, MESSE – DESIGN UND ORGANISATION EVENT – PLANUNG UND ORGANISATION, VIDEOPRODUKTION

    Wir bieten unseren Kunden also Webseiten, Anzeigen, kümmern uns um Social Media Postings, entwerfen Logos etc.
    Aktuell sitzen wir an dem AV-Vertrag und sind uns bei folgenden Punkten nicht ganz sicher:

    1. Welche Kunden/Lieferanten müssen uns den AV-Vertrag unterschreiben?
    2. Muss der AV-Vertrag für jeden Kunden angepasst werden? Das wäre ein sehr großer Aufwand, da wir ja bei jedem Kunden verschieden Leistungen erbringen. Kann man hier einen „Allgemeinen“ Vertrag an die Kunden versenden?
    3. Muss man diesen in zweifacher Ausführung versenden, damit der Kunde/Lieferant und wir als Agentur eine Ausführung haben?
    4.Genügt es, nur den aktuellen Kunden diesen Vertrag zu schicken, da man diesen ja sonst auch an alte Kunden schicken muss?
    5. Gibt es Punkte im Vertrag die der Kunde ausfüllen muss z.B. Gegenstand und Dauer der Verarbeitung, Welche Personen von der Verarbeitung Betroffen sind
    6. Kann man die Vertragsstrafe selber bestimmen?
    7. Was ist genau mit einer Schutzklasse gemeint?

    Ich hoffe Sie können uns hier weiterhelfen, da das für uns ein sehr großer Aufwand ist und noch einige Fragen im Raum stehen.
    Vielen Dank vorab für deine Mühe.

    Grüße Sebastian

    Antworten
  • Torsten says:

    Hallo Regina,

    sind Immobilienportale wie Immowelt, Immonet etc. bei denen die eigenen Immobilienangebote eingestellt werden und die pD der Interessenten zurück übermittelt werden Auftragsverarbeiter im Sinne der DSGVO?

    Vielen Dank.

    Antworten
    • Regina Stoiber says:

      Für Privatanbieter sowieso nicht, da ist das kein Thema.
      Für gewerblich verkaufende wahrscheinlich schon. Da würde ich einen AVV verlangen, solange nichts anderes öffentlich beschlossen ist, dass es sich um fremde Fachleistungen handeln könnte.

      Antworten
  • Tim says:

    Hallo und schönen Tag,

    Muss ein Pflegedienst einen Auftragsverarbeitungsvertrag mit der Arztpraxis haben um ihr Patienteninformationen zu übermitteln/ zusenden?
    Es handelt sich fast auschließlich um besonders Schützenswerte Daten.

    Antworten
    • Regina Stoiber says:

      Hallo Tim,
      der Pflegedienst handelt ja nicht direkt auf Weisung der Arztpraxis, oder? Bezüglich der Datenverarbeitung trifft der Pflegedienst ja eigene Entscheidungen und hat einen eigenen Zweck. Sehe ich das richtig? Wenn das so ist, wäre die Definition eher „gemeinsame Verantwortliche“.
      Diesen Fall hatte ich allerdings noch nicht. Ich hole auch noch mal andere Meinungen ein.
      VG

      Antworten
  • Manuel Fernandes says:

    Hallo Regina,
    Wir sind ein Industriebetrieb und fertigen im Auftrag eines Kunden technische Bauteile. Die von uns gefertigten teile werden direkt an von uns seinen Endkunden verschickt.(d.h. mit seiner Bestellung schickt er uns auch die Lieferadresse seines Endkunden) Der Auftraggeber verlangt von uns jetzt im Sinne der DSVGO das wir einen Auftrag zur Datenverarbeitung unterschreiben.
    Ich bin der Meinung das wir keine klassische Datenverarbeitung machen und würde dies ablehnen.
    Wie siehst du das denn?
    LG
    Manuel

    Antworten
    • Regina Stoiber says:

      Hallo Manuel,
      grundsätzlich seit ihr dann Auftragsverarbeiter, wenn ihr von eurem Kunden die Adressen der Endkunden erhaltet. Speichern fällt auch unter „verarbeiten“.
      Die Frage ist eher, habt ihr Privatkunden oder sind die Endkunden reine Business Kunden, ohne einen Ansprechpartner Kontakt. Sobald dieser Kontakt wieder dabei ist, hat man schon wieder personenbezogene Daten. Wenn es nur die Firmenadresse ist, ohne Ansprechpartner ist das nicht personenbezogen.

      Hoffe, das hilft dir weiter.
      Viele Grüße
      Regina

      Antworten
  • Sue says:

    Danke Regina für die Antwort wegen Canva…! Habe erst gesehen, dass Du geantwortet hattest. Nun ich verstehe jetzt Deine Antwort so, dass Du das auch nicht genau einschätzen kannst. Canva hat ein privacy shield Status. Hast Du eine Idee WO man das noch erfahren könnte? Viele Grüsse

    Antworten
  • Nik says:

    Hallo Regina, vielen Dank für den tollen Bericht und die ausführliche Beantwortung aller Fragen. Ich hätte noch eine und zwar schreibt ein Bausachverständiger für uns Gutachten zur Durchführung von Bauverfahren, hierbei erhält er von uns Kontaktdaten der Verfahrensbeteiligten sowie Grundstücksdaten. Wir sind eine Gemeinde und haben keinen Vertrag mit dem Sachverständigen. Jede Beauftragung wird einzeln angefragt und am Ende des Monats bekommen wir eine Sammelrechnung über alle geleisteten Gutachten. Wird ein AVV benötigt?

    Antworten
    • Regina Stoiber says:

      Hallo Nik,
      deine Frage ist ganz schön schwierig zu beantworten. Wir haben gerade selbst diskutiert. Kann man den Bausachverständiger unter Fremde Fachleistungen einordnen? Unterliegt er z.B. einem Berufsgeheimnis? Dann würde das zutreffen.
      Handelt er rein auf Weisung? Gibt es keinen Punkt, an dem er eigene Entscheidung zur Verarbeitung der ihm übertragenen Daten treffen muss? Wenn das der Fall ist, spricht nichts dagegen, einen AV Vertrag abzuschließen. der AVV kann unabhängig eines schriftlichen Vertrags erstellt werden.

      Antworten
  • Martina says:

    Liebe Frau Stoiber,

    vielen Dank für Ihr tolles Engagement, um etwas Licht ins DSGVO-Dunkel zu bringen!

    Meine Frage: Benötige ich von Dienstleistern wie
    – Presse-Clipping-Service und
    – externem IT-Betreuer, der zu uns ins Haus kommt und bei Handlungsbedarf Zugriff auf Server, Datenbank sowie Email-Accounts hat.

    Herzlichen Dank!

    Antworten
    • Regina Stoiber says:

      Liebe Martina,

      beim Presse Clipping gehe ich davon aus, es bezieht sich auf das Unternehmen. Dann würde ich keinen AV im Dienstleister sehen.
      Der externe IT-Betreuer ist AV und braucht daher einen AVV.

      LG Regina

      Antworten
  • Karen says:

    Sehr geehrte Frau Stoiber,
    benötigen wir einen AVV mit unserer Werbeagentur? Diese erstellt Firmenbroschüren und andere Werbematerialien sowie Visitenkarten für uns Mitarbeiter. In den Broschüren sind Namen, Titel (Berufsbezeichnung) und Firmenname von Firmenkunden, Referenten und Jurymitgliedern etc.enthalten, jedoch keine Kontaktdaten.
    Vielen Dank für Ihre Hilfe.

    Antworten
  • Günter Bacht says:

    Sehr geehrte Frau Stoiber,
    auch ich finde ihren Artikel sehr gut gemacht. Leider steckt der Teufel immer ein wenig im Detail. Wir würden sie die Notwendigkeit bei Personalberatern/Personalvermittlern (wie z.B. Hays, Krongard etc.) in Bezug auf AVV einschätzen. Ich vermute mal, dass man mit diesen Firmen keinen AVV benötigt – liege ich da richtig?
    Gruß, Günter Bacht

    Antworten
  • Johnny says:

    Hallo Regina
    Seit ich mich mit der DSGVO befasse, konnte ich schon enorm viel von dieser Seite profitieren, in erster Linie schon einmal ein riesiges Dankeschön von meiner Seite!
    Nun ist es so, dass mein Kleinunternehmen Software entwickelt, dass anderen Firmen bei der Adresserfassung und Rechnungsstellung helfen soll, alles cloud-basiert. Zu meiner eigentlichen Frage: Obwohl ich nur die Software und Speicherplatz zur Verfügung stelle, bin ich demnach trotzdem Auftragsverarbeiter, auch wenn ich die Tätigkeiten nicht ausführe?

    Freundliche Grüsse
    Johnny

    Antworten
  • Niko says:

    Sehr geehrte Frau Stoiber,

    erstmal vorweg, Sie machen hier ein tolle Arbeit! Ich arbeite in einer österr. Spedition. Wir haben auf der einen Seite Auftraggeber, die uns Transportaufträge übermitteln, welche wir in weiter Folge an Frachtführer weiterleiten. Zu unserer Rolle als Spediteur im Sinne der DSGVO gibt es einige (auch brancheninterne) Unsicherheiten. Es herrscht keine Klarheit. Gegenüber unseren Frachtführern sehen wir uns als Auftragsverarbeiter. Unsicher sind wir uns im kundenseitigen Verhältnis gegenüber unseren Auftraggebern. Wir verfügen über keine eigenen Fahrzeuge, übernehmen die erhaltenen Auftragsdaten unserer Kunden und organisieren den Transport mit Frachtführern. Sind wir ggü. unseren Kunden AV, Verantwortlicher oder handelt es sich sogar um ein Joint Controllership? Wie ist Ihre Meinung dazu? Vielen Dank!

    Antworten
    • Regina Stoiber says:

      Ich würde Sie ebenfalls als Auftragsverarbeiter sehen, da Sie ja auf Weisung handeln und keine eigenen „Interessen“ an den Daten haben (also keine Joint Controllership). Das heißt, Sie verarbeiten die Daten ja im Auftrag Ihrer Kunden.
      Ich bin mir jetzt nicht sicher, ob ich den Ablauf richtig verstehe, aber ist nicht der Frachtführer Ihr Auftragsverarbeiter und nicht umgekehrt? Er erhält von Ihnen die Daten und erledigt die Zustellung. Verstehe ich das richtig?

      Antworten
  • Thorsten says:

    Guten Morgen Frau Stoiber,
    ich bin mir unsicher, wie ein Handelsvertreter einzuordnen ist.
    Folgende Situation: Ein Unternehmen (UN) setzt Handelsvertreter (HV) zur Beschaffung von Aufträgen ein. Der HV erhät dafür eine Provision der vermittelten Verkäufe und tritt gegenüber den Kunden nicht in seinem Namen auf. Das UN schickt erstmal keine Daten an den HV sondern sagt einfach schaff Aufträge ran (eine Art Callcenter, Daten kommen vermutlich aus öffentlichen Quellen). Der HV übermittelt dann natürlich personenbezogene Daten an das UN, das diese dann, um die Aufträge zu erfüllen, weiter verarbeitet. Ich sehe jetzt nicht die Notwendigkeit das ein AV Vertrag in der Richtung UN zu HV geschlossen werden muss, evtl. kann man über eine gemeinsame Verantwortlichkeit nachdenken?! Übermittelt das UN Daten an den HV, damit dieser damit Aufträge „reinholt“ muss meiner Meinung nach ein AV Vertrag geschlossen werden. Wie ist Ihre Auffassung dazu? Danke im voraus!

    Antworten
    • Regina Stoiber says:

      Ja, das sehe ich genauso wie Sie. Der UN gibt ja keine expliziten Daten zur Verarbeitung weiter. Er gibt dem Handelsvertreter einen Auftrag zur Beschaffung von neuen Aufträgen. Da fließen keine personenbezogenen Daten.

      Antworten

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.