Ist Ihr Dienstleister tatsächlich ein Auftragsverarbeiter im Sinne der EU Datenschutzgrundverordnung? Sehr schnell tendiert man dazu, jedem den Titel Auftragsverarbeiter anzuhängen, der auch nur annähernd in die Nähe von personenbezogenen Daten kommt.
Es gibt viele Diskussionen zum Thema. Ist zum Beispiel Google schon ein Auftragsverarbeiter, wenn dort die IP-Adresse erfasst wird? Um die Frage fachlich fundiert zu beantworten, bin ich auf eine sehr gute Dokumentation der Bitkom gestoßen. Es wird dort auf 43 Seiten sehr detailliert über die Auftragsverarbeiter bzw. Auftragsdatenverarbeiter (wie sie vorher hießen) informiert.
Neben dem sehr wertvollen Papier der Bitkom gehe ich noch auf die Stellungnahme der Datenschutzkonferenz ein, die auch eine Aussage über die Auftragsverarbeitung getroffen hat. Ergänzt wird der Artikel im Oktober 2020 durch eine Leitlinie der EDSA zur Abgrenzung von Begrifflichkeiten.
Inhaltsverzeichnis
Auf den Punkt gebracht: Auftragsverarbeiter und gemeinsame Verantwortliche im Datenschutz
- Wenn es sich um keinen Auftragsverarbeiter handelt, kann es sich um eine gemeinsame Verantwortlichkeit oder um fremde Fachleistungen handeln
- Ein Auftragsverarbeiter bestimmt nicht den Zweck und die Mittel der Datenverarbeitung
- Bei der gemeinsamen Verantwortlichkeit entscheiden beide Parteien über den Zweck und die Mittel der Datenverarbeitung
Begriffsdefinition Auftragsverarbeiter und gemeinsame Verantwortliche
Wer ist überhaupt Verantwortlicher?
Wer für die Daten verantwortlich ist, ergibt sich aus Art. 4 Nr. 7 DSGVO. Des Weiteren ist der Art. 5 DSGVO ebenfalls zu berücksichtigen.
Grundsätzlich ist Verantwortlicher derjenige, der über die Zwecke und Mittel der Datenverarbeitung entscheidet und diese delegiert.
Was bedeutet „Zweck“?
Der Zweck der Verarbeitung ist das „Warum“. Warum benötige ich die Daten für die Verarbeitungstätigkeit? Der Zweck wird im Verfahrensverzeichnis beschrieben und definiert.
Was bedeutet Mittel?
Das Mittel zeigt an, „wie“ die Verarbeitung durchgeführt wird. Als Beispiel können hier Programme, Softwaren oder Applikationen genannt werden.
Was sind die Alternativen zur Auftragsverarbeitung?
Wie schon oben erwähnt, ist es nicht immer eine Auftragsverarbeitung, wenn Daten nicht alleine von der verantwortlichen Stelle verarbeitet werden. Es gibt hier drei Möglichkeiten:
- Auftragsverarbeiter
- Inanspruchnahme fremder Fachleistungen
- Joint Controllership (Gemeinsame Verantwortliche)
Jede dieser Optionen hat rechtlich andere Parameter, die berücksichtigt werden müssen.
Diese Fälle richtig auseinander zu halten, ist die Kunst. Ich finde es auch nicht ganz trivial, aber mit den Hinweisen der Bitkom und der DSK ist es etwas einfacher.
Allerdings muss man erwähnen, dass im Leitfaden der Bitkom noch die Funktionsübertragung erwähnt wird, die ich vorher in diesem Artikel auch mehr herausgehoben habe. Nach der DSGVO gibt es diese nun nicht mehr. Momentan sieht es auch nicht danach aus, als würden sich Empfehlungen wieder in diese Richtung anlehnen.
Übermittlung (Funktionsübertragung) aus dem „alten“ BDSG
- Die Datenverarbeitung personenbezogener Daten spielt eine untergeordnete Rolle
- Der Auftragnehmer hat nur eine unterstützende Funktion, indem er den Auftraggeber in einer oder mehreren Phasen der Verarbeitung unterstützt.
- Der Dienstleister ist quasi der „verlängerte Arm“ des Auftraggebers.
- Es wird keine Aufgabe in ihrer Vollständigkeit, sondern lediglich ihre technische Ausführung übertragen.
Beispiele für Funktionsübertragung – ALT
- Ausgelagerte Finanzbuchhaltung
- Gehaltsabrechnung durch den Steuerberater
Ich empfehle daher, sich nicht mehr auf die Funktionsübertragung zu berufen – was es im allgemeinen aber auch einfacher macht, wie ich finde. Dann hat man noch die Optionen:
- Auftragsverarbeiter
- kein Auftragsverarbeiter
- Fremde Fachleistungen
- oder Gemeinsame Verantwortliche
Auftragsverarbeitung
Wenn Sie einen Auftragsverarbeiter beauftragen, legen Sie die Zwecke und Mittel der Datenverarbeitung fest. Sie sind verantwortlich für die Daten dem Betroffenen gegenüber.
Auch der Auftragsverarbeiter hat eine Unterstützungsfunktion, wenn der Verantwortliche seinen Verpflichtungen nicht alleine nachkommen kann oder will. Der Auftragsverarbeiter muss dann den Verantwortlichen bei der Erfüllung der Anfragen und Ansprüche des Betroffenen unterstützen.
Es deutet auf eine Auftragsverarbeitung hin, wenn der Auftragnehmer
- keine Entscheidungsbefugnis über die Daten hat
- keinen eigenen Geschäftszweck verfolgt bezüglich der personenbezogenen Daten
- einem Nutzungsverbot der zu verarbeitenden Daten unterliegt
- in keiner vertraglichen Beziehung zu den Betroffenen steht, die er verarbeitet
- und nach außen hin der Auftraggeber für die Datenverarbeitung verantwortlich ist.
Ergänzen muss man aber noch, dass zwar der Auftraggeber die Zwecke und Mittel der Verarbeitung festlegt, dies aber nicht bedeutet, dass auch jede technische Schutzmaßnahme durch den Auftraggeber entschieden werden muss. Hier hat der Auftragnehmer durchaus das Recht, eigene Entscheidungen zu treffen.
Beispiele für die Auftragsverarbeitung
- Outsourcing eines Rechenzentrums
- Externe Datenhaltung
- Cloud Systeme zur Personal- und Kundenverwaltung
- externe Druckdienstleister
- Aktenvernichtung, Vernichtung von Datenträgern
- Marketingagenturen, die auch die Auswertung der Webseitenanalyse durchführen
Update am 23.01.2023 – Microsoft hat am 1. Januar 2023 einen neuen AV-Vertrag veröffentlicht.
Aktuell ist dieser nur in englischer Sprache verfügbar. Damit hat Microsoft auf die angebrachte Kritik der Aufsichtsbehörden reagiert.
Im neuen AV-Vertrag ist vor allem folgende Änderung bedeutend, dass über die EU-Cloud sämtliche Kundendaten ausschließlich in der EU verarbeitet und gespeichert werden. Des Weiteren wurde der Anhang I (relevante Regelungen zum AV-Vertrag) überarbeitet und ergänzt. Es werden dabei Bezüge auf die verschiedenen Rechtsgrundlagen nach Art. 5, 28, 32 und 33 genommen und ergänzt.
Update am 09.02.2023: Inzwischen wurde der AV-Vertrag auch in deutscher Sprache veröffentlicht.
Ob der Vertrag nun den Anforderungen der Aufsichtsbehörden entsprechen, wird sich wohl erst mit einer erneuten Bewertung zeigen.
Wann ist ein Dienstleister kein Auftragsverarbeiter
Laut Bitkom bezog sich die Grenze vor allem bei den IT-Dienstleistern darauf, dass ein Dienstleister, der nur Support Tätigkeit übernimmt und dabei keine aktive Verarbeitung der Daten übernimmt, kein Auftragsverarbeiter ist. Nach der Stellungnahme der DSK wird das nun etwas globaler gesehen.
Kein Auftragsverarbeiter ist daher ein Dienstleister, der z.B. die Wartung an der Stromzufuhr und an der Kühlung übernimmt. Jeglicher IT-Dienstleister, der sich z.B. auf den Rechner per Fernwartung aufschalten kann und dabei Zugriff auf personenbezogene Daten HABEN KÖNNTE, ist demnach ein Auftragsverarbeiter.
Die Beispiele der BitKom, wer kein Auftragsverarbeiter ist, sind nun noch ergänzt mit dem Einfluss des DSK Papiers:
- Installation und Wartung von Netzwerken, Hardware
- Telefonanlage, nur solange ein eventueller Zugriff auf personenbezogene Daten ausgeschlossen wird (was eigentlich ja nicht möglich ist)
- Pflege von Software – wäre nach Stellungnahme der DSK nun immer ein Auftragsverarbeiter
- Programmentwicklung und -tests von Programmen, die keine personenbezogenen Daten verarbeiten, sei es durch Userkennungen, Protokolle oder durch den originären Zweck des Programms
- Ein Taxiunternehmen bietet eine Buchungsplattform für die Fahrten an. Die Kerntätigkeit des Taxiunternehmens besteht jedoch in der Beförderung der Fahrgäste. Die Buchungsplattform dient nur als Mittel zum Zweck.
Zudem handelt es sich nicht um einen Auftragsverarbeiter
- wenn die Dienstleistung in Gesetzen geregelt ist (Postdienstleistungen – siehe auch weiter unten….)
- bei E-Mail Providern, die nur die E-Mail Übermittlung sicherstellen und keine weiteren Funktionen anbieten
- bei ausgelagerten Tätigkeiten, deren Kernaufgabe nicht die Verarbeitung von personenbezogenen Daten darstellt, trotzdem aber der Umgang mit personenbezogenen Daten nötig ist (Wachdienst, Reinigungsdienstleistung…)
Kerntätigkeit im Sinne der Datenverarbeitung
Die EDSA zieht zur Abgrenzung auch die Argumentation über die Kerntätigkeit heran. Einige Aufsichtsbehörden folgten dieser Annahme bisher nicht.
Das BayLDA ließ diese Argumentation bereits im Jahr 2018, kurz nach Inkrafttreten der DSGVO, in ihrem FAQ zu.
Fremde Fachleistungen
Hier spricht sich nun die Datenschutzkonferenz aus, dass die fremden Fachleistungen sich folgendermaßen auszeichnen:
- Für die Verarbeitung und die Übermittlung gibt es einen eigenen Verantwortlichen
- Für die Verarbeitung muss eine Rechtsgrundlage nach Art. 6 DSGVO vorliegen
Es muss doch immer eine Rechtsgrundlage nach Art. 6 vorliegen, oder?
Beim Auftragsverarbeiter aber nur INDIREKT. Der Verantwortliche muss eine Rechtsgrundlage nach Art. 6 DSGVO haben. Der Auftragsverarbeiter hat diese in der Regel nicht. Liest man sich nämlich den Gesetzestext in Art. 6 genau durch, dann heißt es, es muss z.B. bei Art. 6 (1) lit. b ein Vertrag zwischen dem Betroffenen und dem Verantwortlichen existieren. Das heißt aber auch, dass diese Rechtsgrundlage für den Auftragsverarbeiter nicht gilt, da er ja nicht der Verantwortliche ist, sondern „nur“ der Dienstleister. Es gibt also keine Rechtsgrundlage beim Auftragsverarbeiter. Diese braucht er dementsprechend auch nicht dokumentieren (es ist nämlich keine Pflichtanforderung in Verfahrensverzeichnis!).
Aber zurück zu den fremden Fachleistungen. Wenn beim Dienstleister, der als „fremde Fachleistung“ gilt, eine Rechtsgrundlage vorliegen muss, sieht das ganz anders aus. Das heißt, es muss z.B. ein direkter Vertrag zwischen dem Betroffenen und dem Dienstleister existieren, was z.B. bei nachfolgenden Beispielen exakt der Fall ist.
Beispiele für fremde Fachleistungen
Die DSK kategorisiert in Ihrer Stellungnahme folgende Gruppen:
- Berufsgeheimnisträger (Steuerberater, Anwälte, externe Betriebsärzte, Wirtschaftsprüfer…)
- Inkassobüros mit Forderungsübertragung
- Bankinstitute für den Geldtransfer
- Postdienst…
Weitere Beispiele hat das Bayerische Landesamt für Datenschutz in einer Übersicht zusammen gestellt. Hier können Sie das Dokument einsehen.
Joint Controllership – Gemeinsame Verantwortliche
Die DSGVO ermöglicht neben der alleinigen Verantwortung für ein Verfahren ein arbeitsteiliges Zusammenwirken. Dabei können „zwei oder mehr Verantwortliche“ gemeinsam die Verantwortung für die Verarbeitung personenbezogener Daten übernehmen.
Damit haben also alle verantwortlichen Stellen die Entscheidung über Zwecke und Mittel der Verarbeitung. Im Gegensatz zum Auftragsverarbeiter, bei dem keine Entscheidungsbefugnis über die Zwecke und Mittel der Verarbeitung vorliegt.
Bei der Entscheidungsbefugnis geht es nicht um untergeordnete Entscheidungen, welche Verschlüsselung eingesetzt wird oder wie die Akten entsorgt werden. Die Schutzmöglichkeiten nach dem aktuellen Stand der Technik wählt natürlich der Auftragsverarbeiter frei. Die erwähnte Entscheidungsbefugnis bezieht sich auf die Zwecke und Mittel der Verarbeitung allgemein.
Interessant fand ich den Hinweis, dass maßgeblich ein faktisches Verhalten entscheidend ist, ob es sich um gemeinsame Verantwortliche handelt. Nicht der gemeinsame Wille regelt die Joint Controllership, sondern eben das Verhalten, also wie es tatsächlich gelebt wird.
Umsetzung der gemeinsamen Verantwortung
Es ist zwar kein Vertrag zur Auftragsverarbeitung nötig, trotzdem müssen ein paar Punkte dokumentiert werden.
- Welcher der Partner hat welche Pflichten nach der DSGVO?
- Wer übernimmt die Wahrung welcher Betroffenenrechte?
- Welcher der Partner übernimmt die Informationspflicht?
Beispiele für Joint Controllership
Die aktuellen Beispiele der DSK sind etwas anders als die der Bitkom. Hier also die aktuellen der DSK:
- klinische Arzneimittelstudien bei mehreren Verantwortlichen, die eigene Entscheidungen treffen (in Teilbereichen)
- mehrere Unternehmen eines Konzerns, die gemeinsam bestimmte Datenkategorien verwalten und für gleichlaufende Geschäftszwecke verarbeiten
- Soziale Medien, wenn Sie als Unternehmer eine Unternehmens- oder Fanpage betreiben
- Reisebüro
- Forschungsprojekt Institute
- Marketingveranstaltung mehrere Unternehmen
- Klinische Studien
- Headhunter (konkreter Einzelfall)
Keine gemeinsame Verantwortlichkeit
- Übermittlung Lohndaten an Finanzverwaltung (gesetzlich geregelt)
- Gemeinsame Nutzung einer Datenbank mit getrennten Bereichen – Mandantenfähigkeit / Berechtigungskonzepte etc.
- Gemeinsame Infrastruktur (Rechenzentren etc.)
FAQs Auftragsverarbeitung
Gibt es eine Vorlage für einen AV-Vertrag?
Hier gibt es mehrere Möglichkeiten. Wir nutzen z.B. die kostenlose Vorlage der GDD oder der Bitkom. Aber auch Anwälte stellen Vorlagen zur Verfügung. Für Auftragsverarbeiter im EWR gibt es auch eine Vorlage auf Basis der SCC, die seitens der EU-Kommission vorgegeben ist. Erfolgt die Auftragsverarbeitung in einem unsicheren Drittland, z.B. USA, ist die Vorlage der EU-Kommission anzuwenden, konkret das SCC-Modul 2 (Verantwortlicher-Auftragsverarbeiter). Weitere Informationen zu den „neuen“ Standardvertragsklauseln (SCC) finden Sie in einem separaten Blogbeitrag.
Muss der AV-Vertrag unterschrieben werden?
Nein. Eine Unterschrift ist nicht zwingend erforderlich. Es ist ausreichend, wenn der Auftraggeber und Auftragnehmer die Vereinbarung bekunden. Dies kann mündlich oder konkludent erfolgen.
Es wird jedoch zu Nachweiszwecken empfohlen, den Vertrag schriftlich und mit einer Unterschrift abzuschließen.
Wie detailliert müssen die technischen und organisatorischen Maßnahmen im AV-Anhang beschrieben werden?
Hier lässt der EDSA einen gewissen Spielraum offen.
In der Leitlinie heißt es frei übersetzt, dass in einigen Fällen der Auftraggeber eine detaillierte Beschreibung der TOMs verlangen kann.
Welche Fälle damit gemeint sind, ist vermutlich wieder Auslegungssache. Es wäre wünschenswert, wenn diese Fälle im offiziellen Papier beispielhaft beschrieben werden.
In allen anderen Fällen sind zumindest die Sicherheitsvorgaben nach Art. 32 DSGVO einzuhalten.
Beispiel:
Sofern sensible Daten (z.B. Gesundheitsdaten) seitens des Auftragnehmers verarbeitet werden, bietet es sich an, ein ausführlicheres Sicherheitskonzept vorzulegen.
Bei Fällen, in denen nur „normale“ personenbezogene Daten (Name, Adresse, E-Mail-Adresse etc.) verarbeitet werden, ist eine Anlehnung und Auflistung nach Art. 32 DSGVO ausreichend.
Bin ich dafür Verantwortlich, dass mein Auftragsverarbeiter einen AV mit seinem Subdienstleister hat?
Ja und nein. Sie mit müssen mit Ihrem Auftragsverarbeiter einen AV-Vertrag schließen. In diesem müssen Sie sicherstellen, dass der Umgang mit Subdienstleistern geregelt ist. Das heißt, die Anforderungen von Ihnen als Verantwortlicher müssen an den Unterlieferanten weiter gegeben werden.
Damit ist Ihr Auftragsverarbeiter verpflichtet, mit seinen Subdienstleistern einen AV-Vertrag zu schließen.
Sie müssen regelmäßig prüfen oder einen Nachweis haben, dass Ihr Auftragsverarbeiter diese Vorgaben auch einhält. Dies kann auf unterschiedlichen Wegen passieren. Sie auditieren den Auftragsverarbeiter vor Ort und lassen sich die AV-Verträge zeigen. In vielen Fällen wird dies eher unwahrscheinlich sein. Sie können auch Fragebögen ausgeben und diese beantworten lassen oder Sie lassen sich Prüfberichte oder Zertifikate vorlegen.
Beispiele: Wer ist Auftragsverarbeiter?
Hier handelt es sich nur um einen Auszug und ein paar Beispiele. Die Liste ist natürlich nicht vollständig.
Wenn Sie einen dieser Dienste als Privatperson nutzen, handelt es sich um KEINE Auftragsverarbeitung.
Anbieter | Auftragsverarbeiter | Erläuterung | |
---|---|---|---|
Dropbox | Ja | Cloud | |
GMX | Nein | sofern nur E-Mail Service genutzt wird | |
Ja | GSuite und andere Cloud-Services | ||
Hetzner | Ja | Server, Webhosting, Cloud.. | |
Ionos | Ja | Server, Webhosting, Cloud.. | |
Jimdo | Ja | Online-CMS | |
Nein | Eine Unternehmensseite ist keine Auftragsverarbeitung | ||
Lohnbüro | Ja | Wenn kein Steuerberater | |
Microsoft | Ja | ||
Newsletterdienstleister | Ja | ||
SendinBlue | Ja | Newsletterdienstleister | |
Reinigungsfirma | Nein | ||
Strato | Ja | Server, Webhosting, Cloud.. | |
wordpress.org | Ja | Online CMS (nicht ein eigenes installiertes WordPress) |
Bei welchen Dienstleistern sind Sie unsicher, ob es sich um einen Auftragsverarbeiter handelt?
Ich freue mich über Ihren Kommentar!
Quellen
Datenschutzkonferenz unter diesem Link.
LfDI Baden-Württemberg: FAQ zur Abgrenzung der Verantwortlichkeiten und des Konzepts der Auftragsverarbeitung
Hallo Regina!
Vielen Dank für Deine großartige Arbeit zum Thema DSGVo.
Kurze Frage:
Ich bin mir immer noch nicht sicher, ob dann mein Provider ein Auftragsverarbeiter ist.
Ich selbst bin Auftragsverarbeiter, ich biete ein SAAS an (Software as a Service) und verarbeite Daten meiner Kunden – soweit klar.
Aber besagte Daten liegen ja in der MySQL-Datenbank meines Providers.
Was meinst Du dazu?
Danke und herzliche Grüße
Anton
PS: Mein Provider hat natürlich einen AV-Vertrag; ich frage nur deshalb, weil es einen Unterschied macht, ob ich in meinem AV-Vertrag den Provider als „zugelassennen Subunternehmer“ aufführen muss oder nicht.
Herzlichen Dank Anton für das positive Feedback.
Ich würde schon sagen, dass die Provider als AV agieren, da sie ja gerade mit den Logfiles und Protokollen personenbezogene Daten der User verarbeiten. Ich gehe davon aus, du sprichst von einem Provider, auf dem dein Service läuft, bei dem sich die User einloggen und dort „Spuren“ hinterlassen.
Wenn es ein reiner Provider wäre für einen Server, den nur du nutzt, würde ich sagen nein, kein AV.
So meine Interpretation. Hilft dir das?
VG Regina
Ich habe einen buchblog,schreibe Rezensionen zu Büchern die ich gelesen habe,mache manchmal blogtouren.Ansonsten eigentlich nichts.ich teile meine eigenen Beiträge auf Facebook.
Manchmal kommentieren wenige einen Beitrag,das war es.
Was muss ich unbedingt tun?bis zum 25.5
Hallo Frau Peters,
die Frage ist gerade nicht ganz einfach zu beantworten mit den Informationen. Ich weiß nicht mit welchem System Sie arbeiten, welche Plugins laufen…
Auf Blogmojo habe ich einen Artikel geschrieben, der die To Do’s spiegelt, die für eine Webseite nötig sind. Sie finden die Inhalte hier: https://www.blogmojo.de/dsgvo-checkliste/
Ich hoffe, damit sind die ersten Fragen schon beantwortet.
Viele Grüße
Regina Stoiber
Danke, liebe Regina – ja, das hilft mir schon ein Stück weiter!
Ich habe meine Webseite bei einem amerikanischen Provider gehostet, der mir den Webspeicherplatz bereitstellt. Dort habe ich WordPress installiert (und ein paar Plugins, bei denen ich mir sicher bin, dass ich ich einen Datenverarbeitungsvertrag brauche, z.B. Mailchimp), das ich mit einem eigenen Theme betreibe.
Meine Frage ist nun, muss ich mit dem Provider einen Datenverarbeitungsvertrag abschließen? Nach mehreren eMails mit dem Support des Providers meinen sie, dass das nicht der Fall ist. Ihre Argumentation:
– der Betrieb einer Webpräsenz ist nur durch erfassen der IP-Adressen durchführbar (was gesetzlich sogar vorgeschrieben sei). Diese werden aber von ihrer Seite mit keinen Daten (z.B. Namen oder Adressen) verknüpft. Selbst ihr Analyse-Tool werte nur die log-files des Servers aus, aus denen sich keine Zusammenhänge mit personenbezogenen Daten herstellen ließen.
Ich war, nach allem, was ich gelesen habe, davon ausgegangen, dass die IP-Adressen allein schon als persönliche Daten zählen und daher ein Datenverarbeitungsvertrag nötig ist. Habe ich das falsch verstanden?
Ich würde ungern den Provider wechseln, denn das jetzige Unternehmen hat die stabilsten Server und das netteste und schnellste Support-Team, mit dem ich je gearbeitet habe (und ich bin schon sehr viele Jahre im Internet unterwegs).
Über eine Antwort oder wenigstens einen Tipp von Ihnen würde ich mich sehr freuen. Vielen Dank für Ihr Engagement.
Wie im Artikel steht, ist die Verarbeitung der personenbezogenen Daten der entscheidende Punkt. IP-Adressen gelten bei uns als personenbezogen und die Speicherung ist eine Form der Verarbeitung. Daher bieten bei uns die Hoster meines Wissens so gut wie alle einen AV Vertrag an. Empfehlen würde ich es schon. Da Ihr Provider in den USA ist, gilt er als Drittland und muss neben den Standardinhalten der AV noch weitere Nachweise bringen, dass die Übertragung sicher ist. Ein Privacy Shield Zertifikat des Unternehmens in den USA wäre schon vorteilhaft (aber nicht zwingend). Unabhängig der AV müssen Sie aber sowieso sicherstellen, dass Sie einen sicheren Hoster ausgewählt haben. Wenn Sie eine AV haben, ist das damit ja eigentlich abgedeckt.
Übrigens MailChimp macht genau das. Das Unternehmen ist Privacy Shield zertifiziert und bietet ein Data processing Agreement an, den Sie anfordern können, um DSGVO konform zu sein. Das ist gut geregelt. So sollte Ihr Hoster das auch machen.
Mein PERSÖNLICHER Tipp, den ich privat geben würde, aber nicht beruflich 🙂 Ich würde erst mal beim Provider bleiben und schauen, wie er sich entwickelt. Vielleicht steigt der Druck ja bei ihm, weil mehrere Kunden das fordern und er dann doch in diese Richtung geht. Wenn sich mittelfristig nichts ändert, würde ich schon schauen, welche Alternativen es gibt.
Ich hoffe, ich konnte Ihnen weiter helfen.
Liebe Regina,
ich mache Produkttests und Buchrezesionen, daher gilt der Blog als gewerblich und ich muss die DSGVO umsetzen. Außerdem habe ich eine Linkparty, was jetzt zu einem Problem wird, weil mit dem Tool der Name und die E-mail der Teilnehmer bei Inlinkz in meinem Account gespeichert wird. Zwar könnte ich ohne E-mail und Namen auskommen, weil für mich nur der Link zum eigentlichen Blogbeitrag wichtig ist, aber ich kann den Htlm-Code von Inlinkz nicht ändern. Nun möchte ich wissen, ob ich für Inlinkz einen ADV-Vertrag brauche oder ist das eine Funktionsübertragung?
Vielen herzlichen Dank für die Auuskunft!
LG Elke
Liebe Elke,
ich hab gerade nachgesehen. Inlinkz ist ein griechisches Unternehmen, also gilt für sie auch die DSGVO, das ist schon mal gut. Wenn dann wären sie, wie du sagst, ziemlich wahrscheinlich Auftragsverarbeiter. Ich würde mal anfragen, und nach einer AV fragen.
Schau mal, was sie antworten. Würde mich interessieren. Sag Bescheid, wenn du eine Antwort hast.
LG Regina
Vielen Dank für die rasche Antwort. Ich werde es mal so versuchen, wie Sie es gesagt haben
Danke, ich werde mal anfragen und ich bin gespannt, ob ich eine Antwort bekomme. Es gibt scheinbar doch mehr gewerbliche Blogs, die Linkpartys haben.
Hallo Regina,
wie sieht es denn mit einem Fuhrparkmanager aus? Ist so ein Fuhrparkmanager gleich zu stellen, wie ausgelagerte Finanzbuchhaltungsverarbeitung, also Joint Controllership?
Hallo Dieter,
ich muss gestehen, ich kenne jetzt das Aufgabengebiet des Furhparkmanagers nicht. Hat der Zugriff auf personenbezogene Daten, wer wann welches Fahrzeug fährt oder weiß der nur, dass Auto XY an Firma Maier übergeben wurde?
Ich hätte ihn, ohne das genaue Aufgabengebiet zu kennen als Auftragsverarbeiter eingestuft, da er ja wahrscheinlich keinen eigenen Zweck hat, die personenbezogenen Daten (falls er welche hat) zu verarbeiten. Er handelt im Sinn des Auftraggebers, oder?
Fuhrparkmanager übernimmt Bestellung von Fahrzeugen für verschiedene Mandanten, Verbuchung von Rechnungen im Namen dieser Mandanten, Überführung von Fahrzeugen, An- und Abmeldung, Schadensabwicklung etc.
Als personenbezogene Daten werden lediglich Name und Adresse der Fahrer (also Mitarbeiter verschiedener Mandanten) gespeichert.
Liebe Regina,
Inlinkz hat ganz schnell geantwortet und mitgeteilt, dass sie daran arbeiten, die Seite gemäß der DSGVO datenkonform zu machen. Anfang Mai soll auch ein Vertrag kommen. Jedenfalls soll ich die Linkparty nicht aufgeben.
LG Elke
Liebe Elke,
wow, danke für die positive Rückmeldung und dass du sie mit uns teilst. Das ist ja toll. Freut mich sehr!
LG Regina
Liebe Regina,
sehr schöner Artikel – danke dafür! Ich freue mich auch über jede Deiner Mails und Du hast mir schon sehr weitergeholfen (ganz dickes Lob für das Webinar zum Verarbeitungsverzeichnis :)!).
In einem Punkt komme ich nicht weiter (und, weil die Dozenten direkten Zugriff auf alle Kundendaten haben, möchte ich hier gerne tätig werden):
Ich beschäftige Honorardozenten, die über von meiner Tanzschule zur Verfügung gestellte Tablets und eigenem Login in unserem cloudbasierten Studiomanager unsere Kurslisten führen, Blockkarten verkaufen, die Kundinnen in die Kurse einbuchen sowie Daten ergänzen oder korrigieren.
Sind das jetzt Auftragsdatenverarbeiter (Haupttätigkeit ist Unterrichten) oder ist das eine Funktionsübertragung?
Liebe Grüße und danke,
Melanie
Liebe Melanie,
ganz ganz lieben Dank für dein Feedback. Das freut mich so sehr, wenn meine Infos einen Mehrwert bringen.
Deine Frage ist schwierig. Da es nur einzelne „kleine“ Aufgabenpakete sind, die die Dozenten neben dem eigentlichen Unterricht übernehmen, könnte es auch eine Funktionsübertragung sein. Da hast du recht.
Ich hab mich aber noch mal weiter eingelesen und was in deinem Fall bei den Dozenten der Fall ist, dass sie nach deiner Weisung handeln. Daher denke ich, dass sie Auftragsverarbeiter sind.
LG Regina
Liebe Regina, herzlichen Dank für deinen hilfreichen und ziemlich verständlichen Artikel (was ja nicht unbedingt immer der Fall ist bei dem Thema ;)) Er wird fleißig in meinem Netzwerk geteilt. Hast du evtl. einen Tipp, wie man mit Providern wie Apple umgeht, die mauern, wenn es um einen ADV-Vertrag geht? Als Mac-Userin nutze ich natürlich iCloud-Services wie iCal, Adressen, iMessages usw., so wie es Hunderttausende von uns in ihrem Tagesgeschäft tun. Nach m.M. müssten die eigentlich auch Auftragsverarbeiter sein, ich bekomme jedoch nach verschiedenen Anläufen immer wieder diese Rückmeldung: „Apple stellt Einzelpersonen seine Dienste wie iCloud zur Verfügung. In dieser Hinsicht agiert Apple als Datenkontrolleur für persönliche Informationen von Endnutzern und nicht als Datenverarbeiter.“ Wie kann ich jetzt überhaupt noch mein Gerät beruflich nutzen oder würdest du ganz abraten? Oder hast du Informationen, ob da irgendetwas von Apple in der Mache ist – noch bis zum 25.05.?? Und wenn ich die Sachen doch weiter nutze, wie muss ich das in meinen Unterlagen dokumentieren und wo? Ganz herzlichen Dank und LG – Eva
Hallo Eva,
ja ich weiß, das ist momentan nicht so ganz einfach mit Apple. Sie sehen sich mit Ihren Diensten glaub ich eher als Dienstleister für Privatpersonen und bieten daher keine Verträge an. Ich würde da auf jeden Fall mal warten, wie sich das auf Seiten Apple entwickelt. Ich gehe davon aus, dass sich da die nächsten Monate die Themen – egal in welche Richtung – konkretisieren werden.
Ich bin auch Apple User, habe aber trotzdem für meine betrieblichen Themen meine E-mail Adresse über meinen Provider 1und1. Da fühle ich mich auch etwas wohler, wenn die Kundendaten da drüber laufen und nicht über mein iCloud oder .me Konto.
Du kannst ja die anderen E-mail Adressen von anderen Providern und Kalender von anderen Anbietern trotzdem auf den Apple Geräten einbinden und verwenden.
Ich weiß, das ist momentan überhaupt keine befriedigende Antwort, aber ich würde an deiner Stelle beides ins Auge fassen. Zum Einen beobachten, wie sich Apple in dieser Sache weiter entwickelt und zum Anderen ein weiteres Konto für dein Business anlegen bei einem EU Anbieter.
LG Regina
Ja, es ist schwierig, danke Regina! Mit meinen Mails mache ich das geschäftlich sowieso auch so wie du, aber es gibt ja noch den Kalender und die Adressen! Und manche Kunden senden gerne mal ne schnelle iMessage. Würdest du uns raten, das nicht mehr zu benutzen? Oder kann ich in mein Verarbeitungsverzeichnis irgendwo reinschreiben, dass ich es mit Kunden nach Rücksprache benutze aber ohne Garantie auf Konformität? Danke und LG Eva
Das ist echt eine schwierige Frage, die ich dir gar nicht wirklich beantworten kann. Wenn der Kunde eine iMessage schreibt, kannst du ihm das ja nicht verbieten. ich würde es aber nicht von dir aus machen. Zudem würde ich schon dann schreiben, dass diese Dienste aktuell nicht den Anforderungen des Datenschutzes ausreichen und du daher empfehlen würdest, auf andere Kanäle auszuweichen.
Vielen Dank für den hilfreichen Artikel! Ich bin mir unsicher, welche Funktion unser Cloud-Dienst einnimmt. Wir „lagern“ dort unsere Rechnungen/Lieferscheine – auf denen natürlich Personen/unternehmensbezogene Daten stehen. Reicht es, dass Dropbox irgend etwas von „Zertifizierung“ schreibt oder brauche ich einen ADV?
Und noch spezieller: wir speichern Kundenadressdaten (private und Unternehmen) bei unserem Versanddienstleister ab (integrierte Funktion des Systems) – da brauche ich doch sicher, obwohl des ein Versanddienstleister ist, einen ADV, weil sie in deren Datenbanken gespeichert sind und nicht nur auf dem Aufkleber stehen, oder?
Herzliche Grüße Katarina
Danke für das Feedback.
Dropbox stellt eine AV zur Verfügung in der Business Version. Diese würde ich auf jeden Fall nutzen. Dann haben Sie ja auch die AV automatisch.
Der Versanddienstleister agiert ja nach Gesetzen. In diesem Bereich ist keine AV nötig. Das hört sich aber so an, als übernähme er noch weitere Services. Kann das sein? Falls ja, dann wäre er in diesem Zug wohl Auftragsverarbeiter und eine AV nötig. Fragen Sie doch am besten mal direkt nach bei ihm.
VG Regina Stoiber
Hallo,
ich muss nochmal nachhaken. Sollte ich nun einen Datenverarbeitungsvertrag mit meinem Steuerberater aufsetzen? Ich habe Seiten gefunden, auf denen wird dies ausdrücklich vorgeschlagen. Ich bin verwirrt.
Ich muss gestehen, ich war auch bis Kurzem der Meinung, dass eine AV mit dem Steuerberater nötig ist. Jetzt aber nach den Infos von der BitKom und einigen Gesprächen mit anderen Datenschützern, sehe ich es als nicht mehr nötig.
Sieht sich denn Ihr Steuerberater selber als Auftragsverarbeiter?
Super vielen Dank! Das hilft mir sehr weiter.
Liebe Regina,
das ist ja toll! Vielen Dank für die Zusammenfassung! 🙂
Ich erstelle kleine Webseiten für Therapeuten mit Anbietern von Webbaukastensystemen (z. B. Jimdo).
Meine Kunden erstellen dort jeweils ein eigenes Konto, ich richte es halt ein, erstelle die Webseite darin und wenn sie später möchten, dass dort etwas geändert werden soll, weil sie es selbst nicht schaffen, dann logge ich mich in deren Konto ein und setze den Wunsch um.
Nach den Ausführen in diesem Artikel würde ich es nun so verstehen, dass ich keinen AV Vertrag mit diesen Kunden schließen muss? Stimmt das?
Das wäre ja schön 🙂
Viele Grüße
Uschi
Hallo Uschi,
aufgrund deiner Beschreibung hätte ich das jetzt auch so gesehen. Wenn’s ganz einfache Webseiten sind, ohne interne Bereiche, in denen sich User anmelden und dort z.B. einen Mitgliederbereich haben oder du keine Analytics Statistiken einsehen kannst, dann würde ich es auch ohne AV machen.
LG Regina
Moin,
ich führe für Kunden regelmäßige Aktualisierungen Ihrer WordPress basierten Websites durch. Bin ich dann AV oder reicht eine Verschwiegenheitsverpflichtung?
Gruß
Wolfram
Lieber Wolfram,
wenn die Aktualisierungen nur WordPress Updates beinhalten, ohne Konfiguration von Plugins und Themes… würde ich sagen, nein, kein AV. Wenn in den WordPress Installationen aber auch noch Plugins laufen, die du einsiehst aufgrund von Konfigurationen und dort personenbezogene Daten gespeichert sind, dann ja.
VG Regina
Hallo Regina, bezüglich Inlinz gibt es jetzt eine neue Datenschutzerklärung. Wenn man die Seite aufruft, um einen Beitrag zu verlinken, wird ein Fenster geöffnet und auf die neue Erklärung hingewiesen. Mit der Teiinahme willigt man automatisch ein. Ist das so ausreichend oder brauche ich trotzdem einen ADV-Vertrag?
Ich kenne den Inhalt von Inlinz’s Datenschutzerklärung nicht. Aber es gibt durchaus die Möglichkeit, wenn beide Seite die Nutzungsbedingungen bestätigen, dass man dann ohne AV Vertrag durch kommt. Evtl. basiert das auf dem Prinzip.
Vielen Dank,liebe Regina!
Dann kann ich ja überlegen, wer einen benötigt und wer nicht. Danke für die tolle Arbeit! Uschi
Danke für deine Mühe. Ich gehe dann davon aus, dass es für Inlinkz so reicht.
LG Elke
Jetzt habe ich von Inlinkz noch folgende Nachricht erhalten:As we are not a Data Controller, you do not require a contract with us.
We will soon be releasing our DPIA documents and our Policy on Personal Data.
With these documents linked from your website you should be covered.
Moreover, we will require consent for entries as stated in the GDPR.
Our DPIA will be released within this week and our PPA next week.
All the best, Das wird dann sicher reichen, oder?
Wir sind ein Gebäudereinigungsunternehmen und haben Subunternehmer als Glasreiniger im Einsatz, die uns am Ende eines Monats Rechnungen über die erledigten Arbeiten schicken. Müssen wir mit den Subunternehmern einen ADV-Vertrag abschließen, da sie von uns dafür personenbezogene Daten erhalten? Müssen wir Kunden informieren, dass wir mit Subunternehmern zusammenarbeiten?
Viele Grüße
Alfred
Hallo Alfred,
in welchem Zusammenhang erhalten die Subunternehmern personenbezogene Daten? Es geht bei einer AV um die Kerntätigkeit. Die hat in diesem Fall nichts mit der Verarbeitung personenbezogener Daten zu tun. Ich würde aber eine Verschwiegenheitserklärung unterzeichnen lassen, die an die Mitarbeiter durch den Subunternehmern weiter zu geben ist, für den Fall, dass bei der Reinigung irgendwo personenbezogene Daten einsehbar wären.
Viele Grüße
Regina
Hallo Regina, vielen Dank für Deine Seite und die Möglichkeit Fragen zu stellen.
Wie verhält es sich mit Dienstleistern wie Telefonprovidern (o2 usw.), Internetprovidern (unitymedia, o2 usw) oder sogar Banken? Hier werden mittels dieser Dienstleister auch personenbezogenen Daten verarbeitet bzw. weitergegeben.
Werden diese Dienste geschäftlich benutzt, müssen hier gesonderte Vereinbarungen mit diesen Dienstleister getroffen werden?
Hallo Michael,
bei Providern für Telefon und Internet ist kein AV nötig.
Bei Banken meines Wissens auch nicht.
Viele Grüße
Regina
Das Ist auch so korrekt, da im Falle des „Steuerberaters“ andere Gesetze bereits greifen (Berufsgeheimnis). Sie zählen zur Personengruppe der Geheimnisträger. Daher werden sie nicht als AV eingestuft.
Hallo, prima Seite,
Ich betreue mehrere Firmen als Socialmediadienstleister. Habe also Adminzugang für FB, Twitter etc. Die Gestaltung obliegt mir, ich reiche dann einen Red.plan ein, der entsprechend gepostet wird. Ich müsste ADV sein? Frage: bisher hat noch keiner der Kunden einen ADV angefordert. Die DSGVO süielt dort keine Rolle. Muss ich auf den Kunden zugehen? Danke sehr..
Danke dir für dein Feedback.
Ich würde dich schon als AV sehen, da du ja Zugriff auf die ganzen Messenger Nachrichten und alles hast. Das stimmt, der Kunde müsste dich „verpflichten“. Du kannst natürlich von dir aktiv als Service anbieten, dass du dem Kunden eine AV zusendest. Die muss ja auch nicht unterzeichnet werden.
LG Regina
Hallo Regina,
wie verhält es sich mit Unternehmen wie der fotocommunity (oder facebook)? Ich stelle da ja (als privater oder gewerblicher Nutzer) meine Kontaktdaten ein und zeige Bilder mit Personen (von denen ich die Zustimmung benötige). Fotos mit Menschen zählen ja auch zu den personenbezogenen Daten.
Ist die fotocommunity oder facebook in diesem Fall nicht auch ein Auftragsverarbeiter und müsste es nicht einen Vertrag zwischen denen und jedem einzelnen User geben? Warum scheint dies nicht der Fall zu sein?
Vielen Dank
Stephan
Hallo Stephan,
in diesem Fall ist es so, dass die Portale Nutzungsvereinbarungen mit beiden Parteien schließen. Du als Nutzer stimmst den Nutzungsbedingungen zu, aber genauso der andere Nutzer, der Einsicht auf die Daten hat. Damit sind die Datenschutzthemen mit beiden Parteien über die Nutzungsvereinbarungen geregelt.
So mein aktueller Stand.
LG Regina
Hallo Regina,
lieben Dank, dass Du Dein Wissen so freigiebig mit uns hier teilst. Ich finde alle Deine Beiträge super hilfreich und verständlich:-)
Noch eine Detail-Frage: ich biete mehrere Online-Kurse an, die Zahlung läuft über Digistore (kein AV), und die Mitgliederbetreuung über digimember.
Gilt Digimember als Auftragsverarbeiter???? Dazu habe ich leider bislang keine Infos gefunden.
Herzliche Grüsse
Cordula
Liebe Cordula,
lieben Dank für das tolle Feedback.
Digimember ist ja bei dir lokal auf deinem WordPress installiert, oder? Die Daten gehen also nicht an Digimember sondern bleiben bei dir. Daher musst du nur darüber informieren, aber einen AVV brauchst du nicht.
LG Regina
Hallo Regina,
durch Zufall bin ich auf Deine Seite gekommen und so auch in den Genuss, Deiner guten Beschreibungen rund um das Thema DSGVO. Selbstverständlich habe ich auch eine Frage:) Ich bin Webdesignerin und meine Kunden haben Ihre Internetseite bei den unterschiedlichsten Hoster liegen. Manche der Kunden haben nur eine kleine Visitenkarte als Internetseite, andere einen Shop und wieder andere einen Seminarmanger mit Buchungssystem.
Sollte jeder der Webseitenbetreiber einen AV Vertrag mit dem Hoster abschließen?
Sonnige Grüße
Roswitha
Liebe Roswitha,
das freut mich sehr, dass meine Seite dir Mehrwert bringt. So soll es sein 🙂
Ja, jeder Webseiteninhaber braucht eine AV mit dem Hoster, egal, wie umfangreich die Seite ist. Der Webserver speichert immer Daten mit IP-Adressen, Zugriffen und ähnlichem. Da das alles personenbezogen ist, ist eine AV nötig. Oftmals läuft auch noch eine E-mail Adresse mit, da ist es dann sowieso auch nötig.
LG Regina
Hallo Regina,
ein Zulieferer würde gerne mit uns einen AVV abschließen. Er ist der Meinung eine AVV wird benötigt um Emails in Outlook zu speichern zu dürfen und ggf. die Kontaktadresse zur Vertragsdurchführung an dritte weiterzugeben.
Wie soll ich ihn am besten Antworten das es kein AVV ist.
Ich finde da leider keine passende Worte dafür.
vielen Dank
Nesta
Hallo Nesta,
ihr seit ja nicht der Dienstleister für seine Mails, nehme ich an, oder? Mit dem muss er einen AVV abschließen.
Mit euch nicht, da er ja nicht im Auftrag eure E-mails verarbeitet, sondern nur im Rahmen der Geschäftstätigkeit mit euch E-mails austauscht. Das ist ganz ein anderer Fall. Das heißt, ihr habt bezüglich E-mail Kommunikation kein Weisungsbefugnis ihm gegenüber. Ihr könnt ja nicht sagen, wie er mit E-mails intern in seinem Unternehmen umgehen muss. Das ist sein Geschäft.
Er muss euch allerdings nach Art. 13 darüber informieren, wie er mit der E-mail Kommunikation umgeht. D.h. er muss die Informationspflicht einhalten.
LG, ich hoffe, das hilft dir weiter
Regina
Liebe Regina,
herzlichen Dank für die schnelle und klare Rückmeldung. Dann weiß ich jetzt, dass ich alle Kunden anschreiben muss, um sie darauf hinzuweisen. Obwohl das eigentlich nicht meine Aufgabe wäre, oder? Aber ich sehe das als Service:)
Danke und sonnige Grüße
Roswitha
Liebe Regina,
vielen herzlichen Dank für das kostenlose bereit stellen von den so hilfreichen Informationen. Seit Tagen beschäftige ich mich mit dem Thema. Heute Nacht viel mir noch ein, dass wahrscheinlich viele von uns sämtliche Kundendaten am Handy gespeichert haben. Zumindest Name, Adresse, Telefonnummer und event. E-Mail Adressen. Ich habe erst vor kurzem die Datensicherung über mein Gmail Konto aktiviert, da ich ein neues Handy bekam.
Hier wäre ja mindestens auch ein AV nötig, wenn nicht sogar mehr, da die Verwaltung und Speicherung in der USA statt findet?
Viele Grüße
Patricia
Liebe Patricia,
da hast du recht. Für die Mails ist ein AVV nötig, unabhängig ob am Handy oder am PC / Laptop abgerufen. google bietet eine AV an, ob da der Dienst googlemail dabei ist, weiß ich jetzt gar nicht. Das müsstest du prüfen. Es kann sein, dass diese Dienste, wie z.B. bei Apple speziell für Privatanwender nach Nutzungsrichtlinien gedacht sind. Dann gibt es keinen AVV.
LG Regina
Genau Roswitha, sieh es als Service deinerseits an 🙂
Ein toller Beitrag! Danke dafür!
Ähnlich wie einer meiner Vorkommentatoren warte ich Websites für meine Kunden. Heißt: Ich führe Updates durch, erstelle Backups von Datenbank und Dateien, lösche alte Formulareinträge und alte Backups. Die letzte Version des Backups speichere ich auf einer lokalen Festplatte in meinem Homeoffice, das ich weder durch eine Alarmanlage noch durch einen 19stelligen Code gesichert habe. Meine Fragen:
1. Bin ich ein Auftragsdatenverbeiter (auch wenn ich nur alte Formulareinträge lösche)und falls ja:
2. Gibt es einen gesonderten AV-Vetrag, der die Winzigkeit meines Unternehmens (Webdesign und Wartung von WordPress-Websites) berücksichtig? Danke!!!
Liebe Brigitte,
danke dir!
Ja, du bist AV und nein, es gibt leider keine Mini-Version des AVV 🙁
LG Regina
Liebe Brigitte,
mir geht es ganz ähnlich, ich habe als Webdesignerin auch Zugriff auf die Websites meiner Kunden und frage mich, ob ich damit Auftragsdatenverarbeiterin bin. Ich speichere zwar keine Backups auf meiner lokalen Festplatte, aber es kann nicht ausgeschlossen werden, dass ich mit persönlichen Daten in Berührung komme.
Zu Reginas Antwort würde ich noch ergänzen: Auch wenn es keine Mini-Version des AVV gibt, passt sich dieser inhaltlich ja an die Erforderlichkeit (v.a. das Risiko) und damit auch indirekt an deine Unternehmensgröße an. Ich denke eine Webdesignerin muss keine Angst haben, dass mit Abschluss eines AVV ständig Auftraggeber zu Kontrollzwecken durch ihre Privatwohnung pilern, denn die Kontrolle muss ja verhältnismäßig sein und darf ihren Betrieb nicht mehr als nötig stören. Und es steht nirgendwo geschrieben, dass jede Auftragsverarbeiterin eine Alarmanlage haben muss oder andere Maßnahmen ergreifen muss, die sie in den finanziellen Ruin treiben. Je nach Sitation könnten meiner Meinung nach z.B. folgende technisch-organisatorischen Maßnahmen völlig ausreichend sein, um ein angemessenes Schutzniveau zu gewährleisten:
– „manuelles Schließsystem“ = Zusperren des Arbeitszimmers, wenn Gäste in der Wohnung sind
– die Installation einer Virenschutz-Software (sollte ohnehin selbstverständlich sein)
– das Sichern des Arbeitscomputers mit einem Passwort gemäß aktuellen Empfehlungen usw.
Eine spezielle Vorlage für solche Fälle habe ich bisher leider noch nirgendwo gefunden, ein Praxisbeispiel wäre natürlich eine tolle Sache.
Liebe Regina, auch von mir herzlichen Dank für die vielen hilfreichen Infos! Ich freu mich auf das Webinar 🙂
LG Carola
Sehr sehr informativer Blog!!
Eine Frage auch von mir: meine Frau ist Optikerin mit 2 Geringfügig Beschäftigten. Termine werden per Google Kalender (die kostenlose Version) bearbeitet. D.h. es werden Namen, teilweise auch Kontaktmöglichkeiten (Telefonnummern, Mail-Adressen) von Kunden eingetragen. Google Kalender wurde gewählt, weil sie dadurch auch nach Geschäftsschluss zugriff auf die Daten hat.
Jetzt die Frage: ist Google hier Auftragsverarbeiter bzw. wird ein AVV benötigt?
Schon mal vielen Dank für die Antwort!
Danke für das nette Feedback! Freut mich!
Google ist in diesem Fall Auftragsverarbeiter. Ich bin mir aber nicht sicher, ob dieser Account von google nicht rein für Privatpersonen und Privatnutzung zur Verfügung gestellt wird laut AGB. Falls dem so ist, stellen sie keinen AVV.
Ok, so etwas hatten wir schon „befürchtet“. Dann werden wir die kostenpflichtige G-Suite in der Minimal-Ausführung buchen (da ist der Kalender auch drin), dann wirds auch was mit dem AVV.
Danke für die Antwort! 🙂
Ich frag mich wie soll ich ohne iCloud meine Kontaktdaten up to date halten. Hat der Gesetzgeber da wieder einen Alleingang gemacht?
Fahre oft zu Kunden, da helfen mir die Kontaktdaten auch zu hinfahren. Jetzt ist es 5 Minuten vor 12 und man riskiere existenzbedrohende Strafen, wenn man iCloud nicht abdreht.
Ich brauch ja Adressen zum Arbeiten. Das ist ein purer Albtraum; da hat man sich vieles gar nicht überlegt.
Wenn man jetzt die Daten aus der Cloud löscht, wird es einigen passieren, dass alle Daten verloren gehen.
Und und und.. nur Probleme.. selbst wenn ich mir einen IT Firma suche ist das auch keine Garantie, dass ich nicht bestraft werde. Wie kann man sowas wie die DGSVO nur schreiben und sagen so jetzt gilts?
Guten Morgen,
die Beiträge hier lese ich mittlerweile regelmäßig. Die gestellten Fragen sind interessant und passen auch zu mir als kleine Agentur:) Und dann noch die schnellen aufschlussreichen Antworten. Klasse und Danke.
Ich habe noch folgende Frage: ich habe Kunden die zum Beispiel SoundCloud nutzen. Um den Beitrag zu hören, wurde aber nicht das entsprechende Plugin auf die Website eingefügt, sondern lediglich ein Link zu SoundCloud gesetzt. Damit wird SoundCloud ja nicht direkt in die Website eingebunden. Muss der User hier trotzdem eine eindrückliche Einwilligung geben?
Viele Grüße
Roswitha
Liebe Roswitha,
vielen herzlichen Dank für das tolle Feedback. Das freut mich sehr.
Wenn es tatsächlich nur ein einfacher Link ist, der keine Daten überträgt, braucht nichts weiter gemacht werden. Der 100%igen Korrektheit kann man noch angeben, dass der Inhalt beim Klick auf der externen Seite SoundCloud geladen wird.
LG Regina
Zu Apple habe ich folgende Info gefunden:
„Einen Brief mit Bitte um ADV Vertrag an folgende Adresse PER POST!!! schicken:
Apple Distribution International
c/o Apple GmbH, Legal Dept.
Arnulfstrasse 19
80335 Munich
Germany“
Bitte schreib doch noch den Link, wo du die Info gefunden hast. Ist das eine Apple Quelle direkt oder über dritte?
Hallo Regina!
Vielen Dank für deine ausführlichen Berichte.
Ich betreibe einen privaten Blog, ohne Newsletter, Shop oder Links zu irgendwelchen Social Media Seiten.
In den letzten Wochen habe ich versucht, meinen Blog von der technischen Seite anzupassen. Aber der ADV-Vertrag bereitet mir noch Kopfschmerzen, weil ich nicht
verstehe, ob ich einen benötige oder nicht. Mein Hoster, Webgo, meint nein.
Im Vertrag, den sie anbieten, soll ich unterschreiben, alle technischen Maßnahmen zu ergreifen. Wie soll ich das unterschreiben, wenn ich von der technischen Seite keine Ahnung habe? Ich kann lediglich das Theme füllen.
Wie läuft es ab, wenn mich jemand nach den Verbindungen fragt? Wie soll ich die nachweisen oder muß das mein Hoster?
Hoffe, Du kannst mir die Frage beantworten und meine Sorgen zerstreuen. Momentan bin ich hin- und hergerissen, was ich in zwei Wochen machen soll.
Schönen Sonntag
Holly
Hallo Holly,
erst mal, kann dir als Auftraggeber der Auftragnehmer nicht vorschreiben, was du mit den Daten zu tun hast, bzw. wie du sie schützen musst. Das ist dein Bereich. Er muss im AVV Stellung nehmen, wie er die Daten sichert. Natürlich musst du auch sicherstellen, dass in deinem CMS die Daten gesichert sind. Das ist deine Verantwortung. Wenn du dir nicht sicher bist, ob alles richtig ist, dann hol dir unbedingt Unterstützung! Das ist wichtig!
Was meinst du „nach einer Verbindung fragen“?
LG Regina
Hallo Frau Stoiber,
ich hätte nochmal eine Nachfrage zu Digistore24. Wenn ich bei DigiStore als Vendor IPNs einstelle, sodass DigiStore24 die Käuferdaten an Digimember weitergibt und auch an meinen Newsletteranbieter, dann ist DigiStore24 für mich doch AV, oder nicht?
Nein, Digistore übernimmt nur die Funktion der Zahlungsabwicklung und ist kein Auftragsverarbeiter. Sie leiten keine personenbezogenen Daten an digistore zur Verarbeitung weiter. Der Käufer kauft direkt selber über digistore.
Hallo Frau Stoiber,
vielen Dank für Ihre umfangreichen Infos – eines ist mir jedoch nicht klar: muss in dem Verfahrensverzeichnis welches ich führen muss, der Auftragsverarbeiter nicht genannt werden?
In den div. Beispielen habe ich dies nirgends gefunden.
Bsp. Warenwirtschaft in der Cloud – Auftragsverarbeitungsvertrag liegt vor, wo wird das dann aufgeführt?
Danke!
Danke für Ihr Feedback. Nein, im Verfahrensverzeichnis müssen Sie nicht über den Auftragsverarbeiter informieren. Ich würde es aber trotzdem aufgrund der Einfachheit aufnehmen.
Sie müssen nämlich in der Informationspflicht darüber informieren https://regina-stoiber.com/2018/03/03/informationspflicht-dsgvo-bdsg-neu/
Das wäre zum Beispiel die Datenschutzerklärung auf der Webseite oder eine zusätzliche Informationspflicht, die für Ihre Zielgruppe zugänglich ist (Schreiben als Anhang zum Vertrag, Auslage im Unternehmen, ….)
VG Regina
Hallo Regina,
danke für die tollen Informationen. Für als Alleinkämpferin sehr wertvoll.
Ich habe noch keine Antwort auf die Frage gefunden, ob ich einen AV-Vertrag mit Facebook, Pinterest, LinkedIn und Xing brauche, wenn ich dort Accounts betreibe. Die jeweiligen Netzwerke haben keine Zugriff auf meine Seite, nur von Pinterest gibt es diesen „Merken“-Button.
Und muss ich einen AV-Vertrag mit „Outlook“, „Paypal“ und „Slimstat“ abschließen?
Sorry, das sind bestimmt Anfängerfragen für Dich, aber ich wäre sehr dankbar, wenn Du weiterhelfen kannst,
herzliche Grüße
Sissi
Liebe Sissi,
Nein mit den Social Media Anbietern brauchst du keinen AVV, da beide Seiten (also du und die anderen Nutzer) den Nutzungsbedingungen des Anbieters zustimmen, wenn sie die Medien nutzen.
Meinst du Outlook als Programm oder Microsoft als Dienstleister? Falls letzteres, wenn deine E-mail über Microsoft laufen, dann ja, dann brauchst du einen AVV mit denen. Paypal ist Zahlungsdienstleister – kein AVV. Slimstat keinen ich leider nicht – sorry.
LG Regina
Klasse und hilfreiche Informationen – und auch mal ohne vorheriges ABO zu kaufen – Danke dafür
Die Idee wäre aber gut 😉
Ist mein EC Karten Anbieter ein Auftragsverarbeiter?
Deine Bank z.B.? Nein, würde ich nicht sagen, vor allem für dich als Privatperson brauchst du sowieso das Thema AV nicht berücksichtigen.
Hallo Regina,
als Beispiel für einen Auftragsverarbeiter schreibst du: “ • Marketingagenturen, die auch die Auswertung der Webseitenanalyse durchführen“. Heißt das, die Webseitenanalyse ist hier das entscheidende Kriterium?
Oder ist meine Marketingagentur generell AV, z. B. wenn ich ihr meine Kundendaten (Adresse, e-mail) zur Verfügung stelle, damit sie meine Kunden an die nächste Wartung erinnert. (Ich komme irgendwie mit den Kriterien, die auf eine Auftragsverarbeitung hinweisen, nicht hin….
Herzlichen Dank für die Rückmeldung und LG Uli
Hi Uli,
es heißt, die / eine Kerntätigkeit muss die Verarbeitung personenbezogener Daten sein. Google Analytics wäre ein Beispiel. Es können aber auch andere Aufgaben sein, bei denen Du Zugriff auf personenbezogene Daten deiner Kunden hast. Sei es, weil ein Kunde auf seinem Webserver auch einen Onlineshop oder ein Buchungsportal betreibt und du dieses wartest.
Hilft dir das?
LG Regina
Lieben Dank. Also „verarbeitet“ die Marketing-Firma die Daten nicht, wenn sie meine Werkstattkunden in meinem Auftrag kontaktiert (mit Einwilligungserklärung selbstverständlich).
Verarbeitung heißt Analyse?
Verarbeitung heißt Erheben, verarbeiten, speichern, löschen….
Jetzt verstehe ich leider die Frage nicht. Magst du das noch mal konkretisieren?
Sehr gute Seite und ein sehr guter Artikel
Ganz, ganz herzlichen Danke!
Liebe Regina,
erstmal herzlichen Dank für die tolle Verfahrensverzeichnis – Vorlage, die mir sehr weiter geholfen hat.
Eine Frage zu Mails mit Kunden in unserer FB-Gruppe:
Darf man für den Kundenmailverkehr (Bestellungen im Shop, Anfragen etc.) Freemail-Anbieter wie gmx.de oder web.de benutzen und sind die dann DSGVO konform?
Oder muss man auf die kostenpflichtige Variante umsteigen?
Ich würde mich sehr über Ihre Einschätzung freuen. Toll wäre ein Link, wo man dazu genaues nachlesen kann.
Danke und herzliche Grüße
Gabi
Einen Link habe ich leider auch nicht parat, aber die Freemailer haben meistens in den AGB die gewerbliche Nutzung ausgeschlossen. Ist dies nicht der Fall, kann man Sie im Business einsetzen und einen AV-Vertrag anfordern, damit das ganze konform ist.
Hallo Regina,
Danke für den informativen Beitrag. Ich hänge derzeit auch beim ADV-Vertrag fest und habe ein paar einfache Fragen zum Verständnis. Vorab, ich Betreibe einen Blog mit Testberichten und News. Vermarktet wird per AdSense und über Affiliate Links. Es gibt lediglich eine Kommentar-Funktion (IP wird nicht gespeichert) und einen normalen Kontakt via E-Mail. Somit werden keine weiteren Daten wie Verträge, Anmeldungen / Registrierungen von Nutzern etc. aufgezeichnet.
Nun zu den Fragen. In meinem ADV-Vertrag von Hosteurope.de ist die Rede von „Art der Daten“. Hierzu würden in meinem Fall wahrscheinlich nur Stammdaten und Kommunikationsdaten fallen da ja diese nur aufgezeichnet werden würden. Verträge, Abrechnungen etc. würden folglich also wegfallen?
Frage 2: Kreis der Betroffenen im Umgang mit Daten – Betrifft dies die Personen die theoretisch bzw. praktisch Zugriff haben? Also mich als Webmaster? Oder soll dieser Punkt feststellen von wem die Stammdaten / Kommunikationsdaten aufgezeichnet werden?
Ich hoffe Du kannst mir da ein bisschen weiterhelfen.
Mfg
Stefan
Zu deiner 1. Frage: Ja genau, die Kommunikationsdaten, wie Logfiles und so und eben die Kommentare.
2. die betroffenen Personen sind die Webseitenbesucher
LG Regina
Liebe Frau Stoiber,
ich führe für meine Kunden Gesundheitskurse durch, Rückenschule, Pilates und Ergonomie.
Ich erhalte von Kunden die Namen der Teilnehmer für die Kurse und natürlich die Daten des Kunden, um Details zu besprechen und nach dem Kurs meine Rechnung stellen zu können.
Muss ich nun mit jedem Kunden einen ADV-Vertrag abschließen, weil ich personenbezogene Daten verarbeite?
Lieben Dank für Ihre Antwort!
Viele Grüße
Stela
Nein, da die Kunden ja als private Personen zu Ihnen kommen brauchen Sie keinen AVV.
AVVs sind nur zwischen Unternehmern und dann auch nur, wenn Sie personenbezogene Daten des anderen Unternehmens im Auftrag verarbeiten. Selbst, wenn ein Unternehmen bei Ihnen die Kurse für seine Mitarbeiter bezahlt, Sie aber keine Gesundheitsdaten an das Unternehmen zurück übermitteln, brauchen Sie keinen AVV, da Sie dann ja keine personenbezogenen Daten im Auftrag verarbeiten, sondern wieder direkt dem Endkunden gegenüber.
Hi Regina,
vielen Dank für Dein Engagement. Das ist wirklich hilfreich. Ich habe dennoch eine Frage. Ich betreue verschiedene Webseiten meiner Kunden auf verschiedene Arten. Brauche ich auch für Webseiten einen ADV, bei denen nur der reine Webseitespace über meinen Hoster läuft (kein Hosting der Mails) und nur einfache Imagepräsenzen ohne Registrierung, Buchungs- oder Shopfunktion sind. Danke im Voraus für die Antwort.
Motivierende Grüße
Bert
Danke Bert, ja ich würde trotzdem einen AVV machen, da du ja immer Logfiles mit IP-Adressen und sowas hast.
LG Regina
Du sagst man brauch mit Facebook keinen ADV. Aber meine Facebook Seite kann auch von Menschen besucht werden die selber nicht User bei Facebook sind und deren Nutzungsbedingungen nicht zugestimmt haben. Es verhält sich dann doch wie eine Webseite bei einem X-beliebigen Provider inkl. der Speicherung der Webserver Logs (und Facebook speichert sicher noch mehr) – also würde ich mit Facebook doch einen ADV brauchen? – Es ist alles so verwirrend…. Danke das du schon so viele Licht ins Dunkel bringst. – Grüße Bernd
Das ist ein guter Punkt Bernd. Ich weiß allerdings gar nicht, ob die nicht Facebook User mit deiner Seite interagieren können oder sie nur ansehen können. Das wäre dann ja wieder ein großer Unterschied.
Ich glaube, dieses Thema mit Facebook als AV ist aktuell groß in der Diskussion. Aktueller Stand ist meines Wissens, dass Facebook (noch?) gar keine AVVs anbietet.
Dieses Thema wird sich sicherlich die nachten Monate konkretisieren. Vor allem, nachdem das noch ausstehende Urteil gesprochen wird, wer verantwortlich für den Datenschutz auf Unternehmensseiten ist.
Hallo Regina 🙂 Ist als Druckdienstleister auch das zu verstehen, wenn wir als Werbeagentur für unsere Kunden z.B. Visitenkarten, Briefbögen und dergleichen bei einer großen Onlinedruckerei drucken lassen ??
Hallo Thomas,
ja, das gehört auch dazu. Briefbögen und allg. Materialien sind ja nicht personenbezogen. Einziges Thema hast du bei den Visitenkarten und evtl. personalisierten Post-Mailings.
Ich habe auch eine Druckerei als Kunden und hier haben wir einen AVV als Vorlage erarbeitet und stellen den auf Wunsch den Kunden zur Verfügung, die einen anfragen.
LG
Vielen Dank für die tollen Informationen und praxisnahen Beispiele. Ich hätte noch einen Tipp für die Leute, die sich um die Speicherungen von Kontakten und Kalender machen.
Fast alle diese Leute haben eine Internetseite. Dafür müssen sie mit Ihrem Hoster einen AV Vertrag schließen (gibt Ausnahmen, z.B. dedicated Server. Meistens bieten Hoster selbst dafür AV Verträge). Auf dieser Internetseite einfach Nextcloud oder Owncloud installieren, am Besten mit der Option, dass die Daten dort verschlüsselt gespeichert werden. Dann benötigt man nur einen AV Vertrag und hat alle Daten unter seiner eigenen Kontrolle. Für nextcloud/owncloud gibt es Synchronisationsmöglichkeiten für fast alle Endgeräte (PC, Mac, Smartphone), man kann für Mitarbeiter jeweils ein Konto einrichten, gemeinsame Kalender haben etc. Im Grunde gibt es gar keinen Grund, die Dienste von Apple oder Google zu nutzen. Es ist wirklich sehr einfach einzurichten.
Danke Thorsten, das hört sich gut an. Das wäre sogar eine Überlegung für uns, da mein Team gerade stetig am wachsen ist und wir plötzlich auch diesen Themen gegenüber stehen. Das werden wir uns gern mal näher ansehen.
Danke Dir!
Tolle Seite hier! Es geht noch mal um das Thema Webdesignagentur. Ich glaube, dass es vielen um die Abgrenzung geht. Deshalb einmal folgende Frage: Ich erstelle und pflege die Webseiten von Kunden, ändere Inhalte, füge Bilder und Texte hinzu (Leistungen, Ansprechpartner usw.) Dazu habe ich den FTP oder CMS-Zugang. Kein Google Analytics, Shop und Newsletter sind angebunden. Bin ich da jetzt Auftragsdatenverarbeiter oder nur Dienstleister bzw. muss ich einen ADV mit jedem schließen?
So wie du die Tätigkeit beschreibst, würde ich das so verstehen, dass du bei deiner Tätigkeit keine personenbezogenen Daten als Kernaufgabe verarbeitest, daher kein AVV.
Sicherheitshalber würde ich das in deinem internen Verfahrensverzeichnis auch noch mal so dokumentieren, dass man nachvollziehen kann, warum du dich nicht als Auftragsverarbeiter siehst.
Für den (unwahrscheinlichen) Fall, dass es zu einer Prüfung kommt und der Prüfer eine andere Meinung vertritt, ist es immer gut, wenn du nachweisen kannst, dass du dir Gedanken gemacht hast und zu diesem Schluss aus ganz bestimmten Gründen gekommen bist.
Hi Regina,
vielen, vielen Dank für diesen Blog. Es ist enorm hilfreich! Ich habe verstanden, dass ich einen AVV mit dem Webhoster brauche aber wie sieht es aus mit dem Internet-Provider (bei meiner Firma Kabel-Deutschland bzw. Vodafone). Ich habe dort angerufen und die Frage wurde weitergeleitet aber keine wusste etwas von AV-Verträgen. Ich hake weiter nach aber vielleicht um sonst?
Vielen Dank im Voraus und viele Grüße
Kristy
Internetprovider hätte ich jetzt gesehen wie Telekommunikationsdienstleister für Telefon und Handy. Da ist auch kein AVV nötig, da für diese Dienstleistung Gesetze wie Telekommunikationsgesetz gelten.
Hm. Begeistern wird mich dieses Ungetüm der DGSVO sicher nicht, es kommt eine Unmenge an zusätzlichem Verwaltungsaufwand ohne erkennbaren Nutzen…
Zum Beispiel muß ich als Druckdienstleister mit jedem Unternehmen, das eine Visitenkarte für einen Mitarbeiter drucken lassen will einen Vertrag zu Auftragsdatenverarbeitung schließen. Wie geil ist das denn? Und dann darf ich seine Satzdaten wann löschen? Wenn er mir sagt sein Mitarbeiter ist nicht mehr da? Und dann suche ich mir das aus dem Archiv heraus und lösche da einen einzelnen Mitarbeiter? Super!
In dieser Hinsicht hat sich eigentlich mit der DSGVO nichts geändert. Die Verträge zur Auftragsverarbeitung waren vorher mit dem BDSG auch schon Pflicht. Es hat halt keiner gemacht….
Die Verpflichtung muss eigentlich vom Auftraggeber ausgehen. Sie können den AVV natürlich auch als Service von Ihrer Seite direkt bei Vertragsschluss anbieten, aber eigentlich muss Sie der Auftraggeber dazu „verpflichten“, also auffordern. Es ist in seinem Interesse und für ihn hat es schon den Mehrwert, dass er eine Sicherheit hat, wie Sie mit den Daten umgeht. Zudem nimmt es Sie als Auftraggeber auch mehr in die Pflicht, als dies vorher der Fall war.
Da Sie ja mit Ihrem Auftraggeber ein Vertragsverhältnis eingehen, basiert ihre Zusammenarbeit auf Art. 6 (1) lit. b – Vertragsgrundlage. Da ist es nicht so, dass Sie sofort löschen müssen, wenn einer schreit. Im Gegenzug bei der freiwilligen Einwilligung nach Art. 6 (1) lit. a, da müssen Sie löschen, wenn der Betroffene das möchte. Bei Ihnen können ja bezüglich der Vertragsgrundlage einige Gründe gegen das sofortige Löschen sprechen.
LG Regina
Liebe Regina, ich bin so froh, dass ich auf diesen Blog gestoßen bin. Vielen tausend Dank für Dein tolles Engagement. Ich bin selbständige Buchhalterin, keine Steuerberaterin und keine Bilanzbuchhalterin, übernehme also für Unternehmen, meist EinzelunternehmerInnen, das Buchen der laufenden Geschäftsvorfälle. Ich betreibe keine Website. Bin ich mit dieser Tätigkeit ein „Auftragsverarbeiter“? Ich würde mich riesig über eine Antwort freuen. Diese Unsicherheit zerrt enorm an den Nerven. Herzliche Grüße, Silke
Liebe Silke, das freut mich. Danke!
Laut Bitkom verstehe ich es so, dass du „nur“ eine Funktion übertragen bekommst und damit kein Auftragsverarbeiter bist. Ich würde mich auf dieses Papier der Bitkom beziehen, solange keine Urteile dazu gesprochen werden. Du kannst gerne auch noch mal im Original nachlesen. Link dazu am Ende meines Artikels.
LG Regina
Hallo Regina, vielen Dank für die hilfreichen Informationen! Meine Frage:
Ich bin Hosting-Reseller und habe bei einem Provider einen Managed Server gebucht. Meine KundInnen betreiben kleine Webseiten (ohne Shop o.Ä.), die ich für sie warte. Ich nehme an, ich bin für meine KundInnen der Auftragsverarbeiter und der Hoster ist der Sub-Auftragsverarbeiter. Aber wäre es auch möglich, meine KundInnen direkt einen AV Vertrag mit dem Hoster machen zu lassen? Und wenn ja, wäre ich dann immer noch AV? Danke für deine Antwort!
Ich würde den Vertrag über Sie empfehlen und Sie erwähnen in dem AVV mit Ihren Kunden den Provider als Subdienstleister, so ist das ganze rund. Ansonsten müssten Ihre Kunden einen AVV mit Ihnen und dem Provider machen.
Ich finde leider keine Informationen zu einer ganz einfachen Sache: Wenn ich meine geschäftlichen Kontakte und Termine auf dem Smartphone über mein Google Konto synchronsiere liegen sie ja in der Cloud. Brauche ich dafür einen AVV mit Google? Gibt es dafür ein Muster? Alle Suchen führen immer nur zu Google Analytics. Vielen Dank!
Hallo Regina,
jetzt hab ich viel zur DSGVO gemacht, aber eine Sache ist leider bisher auch bei mir unklar geblieben. Wie ist es mit StudioLink (oder auch Zencastr, etc.), die eine VoIP Verbindung zwischen Podcastern herstellen und Stimme (also biometrische Merkmale = sensible Daten) übertragen? Sind die AV oder ist es hier eine Funktionsübertragung?
Liebe Grüße,
Klaudia
Meine Frau hat sich gerade mit 2 Kollegen selbstständig gemacht und eine GmbH gegründet.
Damit sie (insbesondere vor und während der Gründungsphase) keine privaten Emailadressen verwenden müssen, habe ich (Privatperson und in keiner Beziehung zur GmbH) in meinem Webhosting Tarif eine Domain auf den zukünftigen Firmennamen registriert und Email Postfächer für die GmbH eingerichtet über die meine Frau und ihre beiden Kollegen nun ihre Emails verschicken können.
Bin ich damit als Privatperson zum Auftragsdatenverarbeiter geworden und müsste einen Vertrag mit der GmbH in die eine Richtung und dem Webhosting Provider in die andere Richtung abschließen?
Liebe Regina, ich bin Freiberuflerin und arbeite für Steuerberater im Bereich Einführung neuer Programme und Prozesse, Schulung der Mitarbeiter aber auch Betreuung von Mandanten bei Installation und Schulung der Programme. Dadurch sehe ich vor Ort oder per Fernbetreuung immer personenbezogenen Daten, habe auf meinen Systemen aber nur Rechnungsadressen meiner Kunden. Mit den Beratern habe ich Verschwiegenheitsverpflichtungen. Brauche ich jetzt noch AVVs mit Ihnen und den Mandanten? Danke für deine Antwort
Liebe Regina,
ich bin Webdesignerin und habe 3 Kunden-Webseiten auf meinem Server bei Hosteurope liegen. Ich habe einen Vertrag zur Auftragsverarbeitung mit Hosteurope abgeschlossen. Können die Kunden – die bei mir auf dem Server liegen – nun auch einen Vertrag zur Auftragsverarbeitung von mir verlangen? Oder müssen meine Kunden dies mit Hosteurope machen? Wenn ich einen Vertrags zur Auftragsverarbeitung anbieten muss, kann ich dann auf den mit Hosteurope verweisen? Denn ich mache ja nichts anderes, als meinen Kunden einen Platz auf meinem Webserver anzubieten. Vielen Dank für deine Antwort. LG Barbara
Hallo Regina,
auch von mir ein herzliches Dankeschön für deine umfangreichen Dienste hier!
Wann jemand Auftragsverarbeiter ist und wann nicht, hängt ja wie du auch beschreibst, davon ab, ob „die Kerntätigkeit“ die Verarbeitung pers.bez. Daten ist.
Wenn ich als Unternehmen an einen Zulieferer den Auftrag zur Fertigung eines bestimmten Produktes erteile und im für den Schriftverkehr zur eindeutigen Zuordnung den Firmenname sowie Adresse als Lieferadresse mitteile, ist diese Datenübermittelung dann als Kerntätigkeit zu verstehen? Also: ist mit dem Zuliefer somit ein AV-Vertrag zu schließen?
Vielen Dank vorab für dein Feedback!
Danke für die sehr tollen Informationen!
Meine Frage: Ein Pflegedienst, der personenbezogene Gesundheitsdaten zB. an eine Apotheke, an einen Arzt oder ein Sanitätshaus weitergibt… um Medikamente zu bestellen, Daten an den Arzt weiterzugeben oder bestimmte Hilfsmittel zu bestellen. Wenn ich das richtig verstehe, sind das keine Auftragsverarbeiter und ich muss lediglich den Kunden informieren, dass ich ggf. seine Daten weitergebe…?
Liebe Regina,
vielen Dank für diesen Beitrag. Ich habe folgende Frage: Warum fällt ein Druckdienstleister, den ich als Fotograf z.B. für das Erstellen von Fotoabzügen beauftrage und Auftragsverarbeiter, mit dem ich dann wiederum einen AV-Vertrag benötige? Es gibt hier eine Deklaration, wonach es auch sogenannten Fachleistungen gibt: https://www.lda.bayern.de/media/dsk_kpnr_13_auftragsverarbeitung.pdf
Warum fällt ein Druckdienstleister nicht darunter, wenn ich als Fotograf Fotos zur Ausbelichtung übertrage?
Hallo Regina,
ich habe eine geschäftlich genutzte Website ohne Kontaktformulare, Datenbanken, Kommentarmöglichkeiten usw. Es gibt lediglich die Möglichkeit, über die E-Mail-Adresse Kontakt zu mir aufzunehmen. Das zugehörige Postfach läuft ebenfalls über den Webhoster.
Meinem Verständnis nach muss ich einen ADV-Vertrag mit dem Webhoster abschließen. Mir ist aber nicht klar, was ich dort als Art der Daten und als Kreis der Betroffenen angeben muss. Da der Webhoster Zugriffsdaten (IP-Adressen usw.) protokolliert und prinzipiell auf die E-Mails zugreifen kann, sind die Art der Daten und der Kreis der Betroffenen doch theoretisch unbegrenzt. Oder verstehe ich das falsch?
Der Kreis der Betroffenen sind die Webseitenbesucher, Daten: Zugriffsdaten (wie du schon schreibst), Protokolle, E-mails inkl. E-mail Historie und Inhalte
Vielen Danke, Regina. Das hilft mir auf jeden Fall weiter.
Hallo Regina, das von dir erwähnte Dokument der Bitkom beruft sich auf eine mitterweile veraltete Stellungnahme des LDA Bayern in seiner Einschätzung ob IT Dienstleister Auftragsverarbeiter sind oder nicht. Im aktuellen Dokument der Datenschutzkonferenz klingt das ganz anders (https://www.lda.bayern.de/media/dsk_kpnr_13_auftragsverarbeitung.pdf): Unter Wartung & Pflege wird die klare Aussage getroffen, dass IT Dienstleister Auftragsverarbeiter sind. Wie ist deine Einschätzung dazu? VG Alexander
Hallo Alexander,
herzlichen Dank für den Link.
Ich lese da jetzt keinen so großen Unterschied heraus. Es steht, das AV IT-Dienstleister sind, wenn es um personenbezogene Daten geht, die bei der Wartung und beim Support im Spiel sind. Dies ist sicherlich meistens der Fall bei den IT-Dienstleistern.
Findest du, dass es so anders formuliert ist, als im Dokument der Bitkom?
Viele Grüße
Regina
Hallo Regina,
vielen Dank für den Beitrag. Ich hätte eine Frage: Für die Anlieferung von Produkten per Spedition an Baustellen bekomme ich oft Kontaktdaten von firmeninternen Ansprechpartnern meines Kunden, aber auch dessen Kunden zur Verfügung gestellt. Bin ich hiermit eine Auftragsdatenverarbeiter und muss mit jedem Kunden einen Vertrag schließen?
Hallo Regina,
folgende Frage bezüglich der ADV: Wir bekommen Daten für unsere Produkte (Kennzeichenhalter) per Email von unseren Kunden und drucken diese dann auf unser Produkt und senden dieses an den Endkunden.
Muss da eine ADV zwischen unseren Kd und uns erstellt werden. Wir benötigen die personenbezogenen Daten des Endkunden ja nur zur Auftragserfüllung und nicht zur Weiterverarbeitung dieser.
Vielen Dank für eine kurze Info.
so, erstmal vielen Dank für den tollen Artikel 🙂 Ich quäle mich auch schon seit Wochen mit dem Thema und habe so viele ungeklärte Fragen- vielleicht hast du auch für mich die eine oder andere Antwort. Ich bin ein kleiner Webdesigner, habe ca. 15 Websites für Kunden erstellt, als einmaligen Auftrag ohne Pflegevertrag. Ich habe bei einem Hoster einen V-Server, auf dem alle webspaces liegen, ebenso habe ich Email-Verwaltung ftp- und Datenbankzugriff, auch auf backups und Zugriffsstatistiken kann ich zugreifen.
Für alle Kunden erledige ich einige nötige Arbeiten ohne Auftrag und kostenlos, zb WordPress- oder Plugin-Updates durchführen, manchmal Ändern einer Seite, Einfügen eines Bildes, Einrichten einer Emailadresse etc.
mit meinem Hoster habe ich einen AV-Vertrag abgeschlossen. Jetzt habe ich als Auftrag bei allen Websites Datenschutzerklärung eingebaut und alles mögliche erledigt, was im Rahmen der dsgvo möglicherweise nötig ist: sämtliche externen Verbindungen erstmal gekappt, keine google maps mehr (nur noch als link), keine google fonts mehr (bzw. lokal auf meinem Server installiert), Youtube-Videos ebenfalls nicht mehr embedded sondern als Link, Kontaktformulare mit Bestätigungshäkchen etc. Alle Websites laufen mittlerweile, ohne eine einzige Verbindung zu externen Servern aufzunehmen. Das ist schon mal gut.
was mir bei allem noch unklar ist:
Theoretisch habe ich Zugriff auf persönliche Daten bei einem Buchungsformular, dass die Userdaten in der Datenbank ablegt und auf die ich theoretisch Zugriff habe, ansonsten gibt es datenschutzrelevant nur Kontaktformulare, die aber alle die Daten nicht in der Datenbank speichern, sondern sie nur an die Emailadresse des Websitebetreibers weiterleiten. Registriert sind auf allen Websites nur die Webseitenbetreiber selbst
– Benötige ich für alle einen AV-Vertrag, oder nur für die mit Buchungsformular?
– was mache ich mit dem AV-Vertrag mit dem Hoster? Muss ich den an meine Kunden weitergeben? Oder einen eigenen AV-Vertrag mit den Kunden machen? Muss dort ggf der gesamte Inhalt des AV-Vertrags mit dem Hoster weitergegeben werden?
– wie kann ich ich rechtlich absichern? Da ich die Umsetzung der DSGVO quasi als Auftrag gemacht habe, bin ich dort wohl im Zweifelsfall mit haftbar, wenn etwas falsch war. Aber was, wenn sich mal etwas ändert an den Richtlinien? Ich habe ja keinen Pflegevertrag? Und was, wenn Kunden sagen „Ich will aber google Maps als Karte auf meiner Seite haben, ist mir egal, ob das legal ist oder nicht“. Dann müsste ich mich ja eigentlich absichern können, indem ich eine Formulierung wie „Der Websitebetreiber besteht auf der Integration von GoogleMaps GEGEN DEN AUSDRÜCKLICHEN RAT des Webdeigners…“…blabla…oder?
Liebe Regina,
Ich hoffe das kannst Du auch noch beantworten 😉
Ich möchte mir in nächster Zeit eine Webseite für gewerbliche Zewcke erstellen lassen. Muss ich nun eine ADV dafür mit der Agentur abschliessen?..Und wer erstellt sowas, ich weiss ja nicht was da rein kommt ..
Vielen Dank und LG Peter
Es gibt Standardvorlagen für die AV Verträge. Ich würde schon einen AVV mit der Agentur abschließen
von der GDD gibt es eine gute Vorlage. Um auf Nummer sicher zu gehen, würde ich dir empfehlen, einen AVV abzuschließen.
Hallo Regina,
kurz vor knapp. 😉 Vielen Dank für Deine tolle Seite!
Bin ich Verantwortlicher oder Auftragverarbeiter, wenn ich für meinen Kunden eine Werbeanzeige gestalte und zur Veröffentlichung an die Zeitung weiterreiche?
Und wie verhält es sich, wenn ich für meinen Kunden einen Flyer gestalte und selber im Copy-Shop hundertfach vervielfältige?
LG Jutta
Solange da keine personenbezogenen Daten im Spiel sind, was ich mir vorstellen könnte in deinem Fall, wäre das kein AV.
Hallo,
vielen Dank für die verständliche Darstellung und die Möglichkeit Fragen dazu zu stellen.
Mich würde interessieren wie es mit Filmemachern ist.
Bin ich Auftragsdatenverarbeiter wenn ich, sagen wir mal auf der Messe meines Kunden Filmaufnahmen erstelle und darasu dann einen Film für den Kunden schneide?
Vielen Dank,
Marcel
Hallo, endlich mal Verständliche Erklärungen. Ich bin selbständiger EDV & IT Techniker (EPU) und warte die Computersysteme meiner Kunden (Privat und Geschäftskunden). Es bestehen keine Verträge oder ähnliches. Wenn ein Kunde mich anruft fahre ich dort hin und löse die Probleme (Hardware oder Software). Gelegentlich nehme ich ein Gerät zur Reparatur mit in mein Büro/Werkstatt. Ich Verkaufe auch neue Geräte und Zubehör. Muss ich jetzt mit jedem Kunden eine AV-Vereinbarung abschliessen. Bin ich Auftragsdatenverarbeiter ? Ich löse ja nur die Probleme der Computer, habe natürlich dabei auch Zugang zu persönlichen und auch teilweise zu sensiblen Daten.
Natürlich sollte ich eine Verschwiegenheitsvereinbarung mit den Kunden vereinbaren, haben Sie vielleicht eine Vorlage oder Muster dazu? Bitte um Auskunft
mfg
Markus Sturm
Die privaten Kunden fallen ja erst mal weg, die brauchen keinen AVV. Für die Geschäftskunden würde ich einen Empfehlen, wenn Zugriff auf sensible Daten besteht, also bei der Wartung auf das E-mail Postfach z.B.
Eine Vorlage für eine Verpflichtung zum Datenschutz nutze ich bei Mitarbeitern immer die vom Bay. Landesamt für Datenschutz. Ich denke, die kann man sicherlich leicht umschreiben auf Geschäftspartner.
Hallo Regina, ein Kunde von uns welcher Artikel bei uns kauft (nicht online) möchte das wir einen ADV mit Ihm abschließen. Seine Daten verarbeiten wir nur um seine Bestellung zu bearbeiten/auszuführen. Dafür müssen wir doch keine ADV schließen oder?
Nein, dann ist das sicherlich kein AV, wenn es nur um den Verkauf von Ware geht.
Hallo
wie ist das bei einer Kneipen – Webseite.
Ich bezweifele dass man hier mit Kanonen auf Spatzen schiessen würde.
Es gibt keine Reservierungen, kein Kontaktformular, Kein Newsletter,Termine werden von Hand eingetragen und in Facebook. Likebuttons sind ebenfalls nicht implementiert und auch kein Google Analytics o. ä.
Kommunikation läuft über Email und Telefon
Gruss Peter
Dann reicht wohl eine recht einfache Datenschutzerklärung. Aber die muss auf jeden Fall rein. Es gibt einige gute kostenlose Generatoren.
Liebe Regina,
vielen Dank für deine hilfreichen Artikel! Ich bin für einen Direktvertrieb tätig, über den ich als unabhängige Selbstständige sämtliche Kundenbestellungen tätige. Sprich: Dort werden Name, Anschrift, eMail-Adresse und teilweise auch die Telefonnummer der Kunden hinterlegt, um Bestellungen und Reklamationen durchführen zu können. Der Direktvertrieb ist der Meinung, dass es ausreichend ist, dass sie mir für meine Kunden ein aktuelles Dokument zum Datenschutz bereitgestellt haben. Einen AVV benötige ich deren Ansicht nach nicht. Ich persönlich sehe das anders und würde mich daher über deine Meinung dazu freuen.
Herzlichen Dank bereits im Voraus!
Liebe Grüße
Jana
Hallo Regina,
ja ich lese einen großen Unterschied aus der Sichtweise der Bitkom und der DSK. Die Bitkom sagt, solange das Ziel der Geschäftsbeziehung IT-Support ist und nicht Auftragverarbeitung, dann rechtfertigt die reine Möglichkeit des Zugriffs auf persönliche Daten keinen AVV. Die DSK sagt, dass sobald ebenjene Möglichkeit besteht, braucht es einen AVV. Die Bitkom hat übrigens auf die geänderte Aussage der DSK eine Stellungnahme erarbeitet, die aber leider nicht auf der Webseite zur Verfügung steht.
VG Alexander
Hi Alexander,
Ich nehm das gerne noch in den Artikel auf, um auf die aktuelle Sicht der DSK zu verweisen.
Lieben Dank! Bin froh über jeden Hinweis und Tipp.
LG Regina
Hallo Regina, danke für die hilfreichen und verständlichen Ausführungen. Wie lässt man den Datenschutzhinweis denn den Bestandskunden zukommen, wenn unsere Webseite gerade inaktiv/im Umbau ist. Muss/sollte man dann jeden Kunden per E-Mail anschreiben und den Datenschutzhinweis anhängern oder kann man den in die „Fußzeile“ der E-Mails einbauen? Wie ist es denn mit Daten, die man per Lead auf Messen oder so bekommen hat? Alle nochmal mit Datenschutzhinweis anschreiben? Wie ist es denn, wenn man per Amazon o.ä. direkt an einen Kunden liefern lässt? Braucht man AVV mit Amazon – Fragen über Fragen :-(… GlG Annett
Auf Nummer sicher geht man natürlich, wenn man alle Kunden anschreibt, was jetzt auch oft passiert. Das ist so ein Punkt, der sich sicherlich die nächste Zeit konkretisieren wird. Ich würde sagen, das hängt auch sehr vom Geschäft ab. Beim Steuerberater u.a. Mit der externen Lohnbuchhaltung haben wir bei meinem Kunden alle Mandanten angeschrieben. Bei einem Industrieunternehmen, bei dem die personenbezogenen Daten in der E-Mail und ggf. auf Angebot und Rechnung vorkommen, haben wir nur einen Link in der E-Mail auf die Informationspflicht.
Eigentlich müsste schon auf der Messe ein Hinweis auf die Verarbeitung erfolgen. Wie das in der Praxis dann aussieht, wird sich zeigen. Die Idee mit dem Anschreiben im Nachgang gefällt mir gut.
Bezüglich Amazon als AV möchte ich mich noch mal schlau machen.
Hallo liebe Regina,
danke für die großartige Hilfestellung. Ich möchte mich mit einer kleinen Frage (Achim vom 25.05.) anschließen. Wir sind Großhändler und ein Kunde besteht auf einen 16-seitigen AVV, den er uns vorgibt. Für die normale/klassische Auftragsabwicklung lehne ich sein Ansinnen nach AVV ab. Was ist aber, wenn der Kunde uns mit Direktlieferungen an seinen Kunden beauftragt (das kommt gelegentlich mal vor)? Werden wir dann zum Auftragsverarbeiter? 1000-Dank für eine kurzes Feedback, Liebe Grüße Kristina
Ähnliche Frage kam bezüglich Amazon von Annett. Da möchte ich mich noch mal schlau machen.
Hallo Regina,
vielen Dank für diese sehr interessante Seite.
Ich habe eine ziemich spezielle Frage:
Wir haben arbeiten regelmäßig mit einer Druckerei zusammen, die im Rahmen von Kundenprojekte z. B. Adressetiketten für Versandaktionen, Einladungen usw. druckt. Dabei sind natürlich personenbezogene Daten involviert.
Nun hat uns der Dienstleister einen pauschalen Auftragsverarbeitungsvertrag geschickt. Daher meine Frage: ist es zulässig, solch einen Vertrag pauschal zu schließen, auch wenn es sich pro Auftrag um unterschiedliche betroffene Personenkreise handelt, also z. B. um Mitarbeiter von Kunde X, Gäste einer Veranstaltung von Kunde Y usw.
Vielen Dank schon mal für deine Antwort und
Beste Grüße
Stephan
Pauschal, aber zutreffend, würde ich sagen. Es muss nicht für jeden Auftrag ein neuer AVV geschlossen werden. Der AVV darf alle Kategorien und Personengruppen beinhalten, die laut der mit ihm geschlossenen Dienstleistung möglich sind. Aber er soll auch nicht plötzlich Inhalte aufweisen, die nie im Angebot oder Auftrag eingeschlossen sind. So würde ich das sehen.
Hallo Regina,
ich bin eine kleine „Druckerei“ und habe drei kleine Fragen: 1. )Ich habe viele Wiederholungsaufträge von langjährigen Kunden oder anrufe per Festnetztelefon…. gerade bei Trauerkarten. Muss ich jedem meiner Kunden das mehrseitige AVV unterschreiben lassen … oder reicht es aus, das ich ihn online zur Verfügung stelle und sie ihn in einer Email zustimmen. (viele können sie sich den nicht ausdrucken und würden ihn nur per Mail bestätigen wollen…)
2.) ich benutze auf der Jimdo Website lediglich Google Maps . benötige ich da schon einen AVV mit Google?
3.) ICh arbeite auch mit anderen Druckereien/Weiterverabeitungsfirmen zusammen, muss ich die die alle imm AVV mit dem Kunden aufführen und den Kunden unterrichten über jeden einzelnen oder reicht ein Interner AVV zwischen mit und diesen Unternehmen?
Vielen Dank für deine Hilfe.
Anna
Hallo Regina,
deine Website ist für mich (neben weniger anderer) die verständlichste Quelle für Aufklärung rund um die DSGVO. Tausend Dank dafür!
Ich habe zwar diesen (und andere) Artikel aufmerksam gelesen, aber ich bin bei folgenden Fragen trotzdem noch etwas unsicher. Es geht um eine Dreierkonstellation:
Kunde – Webagentur – Lieferant Domain/Hosting/Email
Frage a)
-Webagentur fakturiert dem Kunden Domain/Hosting/Email (gibt ihm aber keinen FTP-Zugang, nur Webmail-Zugang auf der Infrastruktur des Lieferanten)
-Lieferant fakturiert der Webagentur Domain/Hosting/Email
-Auf dem Hosting gibt es keinen Shop, keine offensichtlichen Datenverwaltungen, nur die aus meiner Sicht sicherheitstechnisch unbedingt notwendige temporäre Speicherung von IP-Adressen in Logfiles (Grund Schutzmaßnahmen z.B. Fail2Ban und bei Hackerverdacht Fehlersuche. Keine anderweitige Auswertung.)
Ich bin mir nicht sicher ob es nun zweier ADVs bedarf oder es einen zwischen Webagentur-Lieferant:
ADV 1: Kunde – Webagentur (wobei Webagentur den Lieferanten als Subverantwortlichen nennt)
ADV 2: Webagentur – Lieferant
Braucht es beide oder nur ADV 2?
Frage b)
Soweit ich verstanden habe, wenn ein ADV fehlt, würden laut DSGVO alle Parteien ein Bußgeld riskieren. Oder sehe ich das falsch?
Wer müsste sich aktiv um die Einforderung des ADV kümmern?
Kunde?
Webagentur?
Lieferant?
Alle drei?
Ich frage mich darum, weil ich noch von keinem großen Unternehmen gezwungen wurde einen ADV abzuschließen. Derselbe ist immer nur auf Anfrage meinerseits zustande gekommen.
Wenn alle ein Bußgeld riskieren würden, dann würden große Unternehmen mir den sicherlich aufzwängen oder?
Vielen dank im Voraus für ein, zwei klärende Antworten.
Grüße aus dem Süden
Dietmar
Tolle Seite – vielen Dank! Ich bin Einzelunternehmerin und arbeite mit Menschen als Coach. Mein Website Hoster hat mir einen AV Vertrag zugeschickt aber ich finde keine Infos dazu, wie ich ihn korrekt ausfüllen soll. Gibt es dazu irgendwo weitere Infos? Was sind z.B. Vertragsabrechnungs- und Zahlungsdaten – meine gestellten Rechnungen an meine Kunden? Sammle ich IP Adressen? Oder der andere Punkt die Betroffenen im Umgang mit den Daten? Bin etwas ratlos.
Vielen Dank für Tipps.
Manuela
Nach meinem Kenntnisstand (IHK, LDA Bayern) gibt es in der DSGVO den Begriff der Funktionsübertragung überhaupt nicht mehr. Die DSGVO kennt nur noch AV und gemeinsame Verantwortliche. Zusätzlich muss mit Unternehmern bestimmter Berufe, wie Steuerberatern, kein AV geschlossen werden, da diese im Hinblick auf die gesetzliche Verschwiegenheitspflicht konkret ausgenommen sind.
Frage: Wie vereinbart es sich mit dem Minimalprinzip der DSGVO, wenn für einen Post hier die E-Mail-Adresse erforderlich ist.
Beste Grüße
Marcus
Das stimmt, die Funktionstrennung gab es im BDSG auch nicht aktiv, sondern nur anhand der Rechtssprechung.
Ich werde im Artikel noch ein paar Updates machen, bzw. manche Stellen konkretisieren. Hier gibt es aktuell auch laufend neue Infos, die immer wieder angepasst werden müssen. Vor- und Nachteil bei so einem aktiven Thema.
Die Angabe der E-Mail Adresse ist für mich zum Einen ein Qualitätswerkzeug, zum Anderen aber auch für die Verfolgung der Kommentare, wer das möchte. Wer mag, kann sie auf seinem Blog jederzeit weg lassen.
Ich finde diesen Überblick auch sehr empfehlenswert und verständlich. Dennoch kann ich mich nicht entscheiden. Wie muss ich mich Fall bei einer externen Fachkraft für Arbeitssicherheit verhalten? Dieser erhält „nebenbei“ persönliche Daten z.B. aus Unfallmeldungen. Diese Unfallmeldungen sind (u.a.) aber Grundlage für die Dienste zur Aufrechterhaltung der Arbeitssicherheit. Gilt dann, dass es gesetzliche Grundlagen gibt (ASiG / ArbSchG) und es sich deshalb nicht um Auftragsverarbeitung handelt? Oder ist es keine ADV/AV weil wir eine „gemeinsame Verantwortlichkeit“ haben (Art.26 DSGVO) ? Oder ist es doch eine ADV, weil die Sifa in „keiner vertraglichen Beziehung zu den Betroffenen steht, die er verarbeitet“… Irgendwie trifft alles zu, wenn es man einzeln betrachtet, was hat nun Vorrang?
Für eine Meinung danke ich schon mal vorab.
Danke für das Feedback. Die Frage habe ich auch schon mit einem Datenschutz Kollegen diskutiert. Wir haben das ja in den Unternehmen auch sehr oft, die wir betreuen. Es ist sehr oft eine externe SiFa eingesetzt. Ich habe bisher auch keine Auftragsverarbeitung abgeschlossen bzw. dem Unternehmen nicht empfohlen, einen AVV abzuschließen, da ich denke, das deckt das Thema gesetzliche Basis ab. Mit der Interpretation der DSK würde ich es unter „Fremde Fachleistungen“ einordnen.
Hallo Regina, danke für die tollen Ausführungen. Eine Frage zu einer Wohnungsverwaltung. Hier geben Mieter bei der Verwaltung Störungen wie bspw. Wasserschäden an. Die Verwaltung gibt das dann an einen externen Dienstleister weiter, der den Schaden behebt. Muss hier ein AV-Vertrag mit dem Dienstleister erstellt werden?
Hallo Anne,
ich würde sagen nein, da der Dienstleister ja in seiner Dienstleistung keine personenbezogenen Daten verarbeitet, sondern z.B. den Wasserschaden behebt. Ist der Vertragspartner dann direkt der Mieter oder die Hausverwaltung? Je nach Fall wahrscheinlich, oder? Wenn der Vertragspartner direkt der Mieter ist, dann sowieso nicht. Aber auch wenn der Vertragspartner die Hausverwaltung ist, sähe ich es als überzogen an, da es ja nicht um die Verarbeitung personenbezogener Daten geht. Die Adresse ist ja nur nötig, um zur richtigen Wohnung zu kommen.
Zwischen Hausverwaltung und Mieter würde ich das allerdings regeln, dass die HW die Daten zur Behebung von Störungen an einen Dienstleister weiter gibt.
Hallo Regina, mich würde interessieren, ob ich mit meinem Mobilfunkanbieter für ein Smartphone, dass ich geschäftlich nutze (ohne Einzelverbindungsnachweise), eine AV-Vereinbarung abschließen muss. Bin unsicher, ob hier Daten erhoben werden und wenn ja, auf welcher Grundlage. Oder gibt es da spezielle Regelungen? Vielen Dank für die Mühe.
Nein, dafür musst du keinen AV Vertrag abschließen.
Hallo, herzlichen Dank für diese Seite und das Beantworten der Fragen. Hier meine: ist ein Fotograf, den ich gelegentlich für Veranstaltung beauftrage, Fotos zu machen, ein Auftragsverarbeiter? Die Fotos bleiben dabei in seinem Eigentum und er kann sie über seine Firmenseite an die TeilnehmerInnen der Veranstaltung verkaufen. Meine Firma ist dann nicht weiter involviert. Mit einer Antwort wäre mir sehr geholfen! Danke nochmal.
Da der Fotograf in eigener Sache agiert und eigene Interessen mit den Fotos verfolgt ist er kein Auftragsverarbeiter. Er arbeitet dann ja nicht nach Weisung.
Hallo Regina,
tolle Seite und tolle Arbeit.
Eine Frage: Ein Autohaus beauftragt einen Zulassungsdienst mit der Zulassung von Fahrzeugen für seine Kunden und übergibt dazu die notwendigen Unterlagen wie Ausweis, Brief, Versicherungsunterlagen, etc… Ist der Zulassungsdienst Auftragsverabeiter? LG und vielen Dank
Ich würde schon sagen, dass der Zulassungsdienst ein Auftragsverarbeiter für das Autohaus ist. Ich würde einen Abschluss einer AVV empfehlen!
Wie verhält es sich mit Honorarkräften in einem Krankenhaus? Honorarkraft Arzt/ Pflegekraft arbeitet auf Honorarbasis in einem Krankenhaus. Grundlage ist ein Dienstleistungsvertrag zwischen Krankenhaus und Honorarkraft. Gegenstand ist die Behandlung/ Versorgung von Patienten. Es werden gesundheitsbezogene Daten erhoben und in der Dokumentation des Krankenhauses niedergeschrieben. Keine Daten verlassen das Krankenhaus.
Das ist eine gute Frage. In diesem Bereich ist ja auch ein berufliches Schweigerecht gültig. Diese Berufsgeheimnisse überwiegen normalerweise die DSGVO. Um auf Nummer sicher zu gehen, also bis Urteile gefällt werden, würde ich sicherheitshalber zu einem AVV raten.
Hallo Regina,
ich nutze einen Server bei einem deutschen Hostinganbieter.
Auf diesem Server sind Kundenwebseiten, teilweise mit E-Mail-Postfächern installiert.
Diese Seiten und Postfächer administriere ich. Dabei besteht natürlich die Möglichkeit, an personenbezogene Daten zu gelangen (Fehleranalyse, Sicherheitsupdates, Passwortrücksetzungen).
Ziel dabei ist niemals die Verarbeitung oder Weitergabe dieser personenbezogenen Daten!
Ist zwischen mir und meinen Kunden ein Vertrag zur Auftragsverarbeitung erforderlich?
J. Holler
Hallo Jan, ja genau, du brauchst unbedingt einen AVV mit deinen Kunden. Du hast dann einen AVV mit deinem Hoster.
VG Regina
Hallo Regina,
wie sieht es aus wenn Banken-Mitarbeiter (z.B. Sparkasse) per Fernwartung auf den Rechner in der Firma zugreifen um z.B. Fehler oder Probleme im SFIRM (oder anderer Bankensoftware) zu beheben. Da kommen sie ja auf jeden Fall mit pers.bezogenen Daten in Berührung. Genauso wenn der Steuerberater per Fernwartung hilft indem er sich auf den Rechner des Kunden aufschaltet und z.B. im Steuerprogramme Hilfe leistet. Brauche ich da AV-Verträge ? Beim Steuerberater könnte ich mir vorstellen, dass es da nicht notwendig ist, da Berufsgeheimnisträger. Wie sieht es aber mit den Mitarbeitern der Banken aus ? Vielen Dank
Hallo Gerd,
Banken und Steuerberater fallen nicht unter Auftragsverarbeiter. Da brauchst du keinen AVV abschließen.
VG
Hallo Regina,
tolle Seite, tolle Arbeit deinerseits. Vielen Dank.
Ein aktuelle Frage bleibt uns derzeit aber noch.
Ist ein externer selbstständiger Fotograf der in unserer Firma in unserem Auftrag, unsere Mitarbeiter für unsere Website fotografieren soll ein Auftragsverarbeiter? Brauchen wir von Ihm ein AV Vertrag? Oder muss jeder unserer 120 Mitarbeiter ein Modelrelease unterschreiben?
Vielen Dank.
Liebe Regina, herzlichen Dank für den aufschlussreichen Artikel! Er hat mir das Thema noch ein Stück weit näher gebracht 🙂 Eine Frage habe ich aber: Ich arbeite in einer Anwaltskanzlei. Wir sind bei verschiedenen Portalen registriert, z. B. Adressermittler, Bonitätsauskunft etc. Das heißt, wir beauftragen diese z. B. mit der Ermittlung einer aktuellen Anschrift oder stellen Daten zur Verfügung mit der Bitte, hierzu eine Bonitätsauskunft abzugeben. Ich denke, Du weißt, was ich meine. Handelt es sich bei diesen Anbietern um Auftragsverarbeiter? Ich suche diesbezüglich seit längerem sowohl im Gesetz als auch im Netz und in Literatur, ohne etwas Aufschlussreiches zu finden 🙁 Wir sind doch sicher nicht die Einzigen, die sich hierüber den Kopf zerbrechen!? Hast Du einen Tipp für mich? HG Claudia
Hallo Regina,
vielen Dank für den Artikel und die Beantwortung der vielen Fragen. Leider habe ich hinsichtlich des Konstruktes blogspot (Google) und dem Blogger (Autor/Webseitenbetreiber) immer noch einen Knoten im Kopf und kann es in keine Kategorie einordnen.
Der Sachverhalt ist wie folgt: Google stellt mir über blogspot eine Plattform bereit, über die ich meinen Blog über fertige oder individualisierte Templates veröffentlichen kann. Somit würde ich google als meinen Host einordnen, was bedeutet ich bräuchte einen AVV.
Was mir hier aber Kopfschmerzen bereitet: Ich selbst habe keinerlei Einblick in die Daten, die von Blogspot erhoben werden, geschweige denn Kontrolle darüber. Schreibt beispielsweise jemand einen Kommentar, habe ich zwar die Möglichkeit, diesen zu veröffentlichen oder zu löschen, aber ich erhalte außer dem user name keine weiteren Daten (wie Mail Adresse, IP Adresse…). Selbiges gilt für die im Hintergrund erhobene Blog Statistik (welche nicht mit Google Analytics gleichzusetzen ist). Hier erhalte ich selbst keine Einsicht in personenbezogene Daten, weiß aber nicht, was Google im Hintergrund speichert. Ich habe auch keine Möglichkeit die Statistik zu bearbeiten / deaktivieren.
Daher stellt sich mir die Frage: handelt es sich hier überhaupt um eine Auftragsdatenverarbeitung? Oder bin ich überhaupt nicht für die erhobenen Nutzerdaten verantwortlich, sondern allein Google? Ich selbst erhebe und speichere ja schließlich keinerlei Daten, wenn jemand meine Webseite aufruft bzw. kommentiert.
Angenommen es würde sich ein User bei mir melden, der Auskunft über bzw. die Löschung seiner Daten fordert, könnte ich ja gar nicht agieren, weil ich keinerlei Kenntnis und Gewalt über diese Daten habe.
Bei allen externen Diensten, die ich selbst auf meinem Blog eingebunden habe ist mir das Verhältnis klar. Nur zu Blogspot selbst tappe ich vollkommen im Dunkeln. Google selbst äußert sich leider auch überhaupt nicht zu dem Thema Blogger. (Ganz anders als bei Analytics…)
Für eine Antwort zu dem Thema wäre ich dir sehr dankbar! Aktuell ist dieses Problem auch der Grund, weshalb sehr viele Blogspot Blogger ihre Blogs offline genommen haben (mich eingeschlossen). Für mich hängt davon jetzt auch ab, ob ich zu einem anderen Provider umziehen muss, was ich eigentlich vermeiden möchte.
Vielen Dank im Voraus und Grüße,
Linda
Hallo Linda,
in der Tat ist das Thema mit den Anbietern für Blogplattformen aktuell sehr schwierig, da es meiner Meinung nach auch von den Anbietern her noch viele nicht geregelte Punkte gibt.
Google ist auf jeden Fall Auftragsverarbeiter für die Bereitstellung der Plattform. Da müsste Google einen AVV zur Verfügung stellen. Wahrscheinlich müsste man dann einzelne Funktionen sogar aus dem AVV heraus nehmen, wenn Google damit eigene Interessen / Zwecke verfolgt. Da weiß ich aber im Detail nicht, was Google dir da mit der Plattform für Möglichkeiten bietet.
Das ist die aktuelle Thematik mit den Betreibern von Plattformen, wie das EuGH entschieden hat. Die müssen jetzt ebenfalls aktiv werden und den Nutzern / Vertragspartnern die Informationen zur Verfügung stellen, welche Daten sie für welchen Zweck verarbeiten.
Hallo Regina,
ich versuche gerade herauszufinden ob es sich bei einem Dolmetscher der Geschäftsbriefe mit persönlichen Daten bekommt um eine Funktionsübertragung handelt oder um eine Auftragsverarbeitung und wird dann ein AVV Vertrag benötigt.
Es gibt meines erachtens für beide Positionen Pro und Contras.
Vielen Dank im Voraus und viele Grüße,
Klaus
Hallo Klaus,
das mit der Funktionsübertragung gibt es ja jetzt mit der DSGVO so in diesem Sinne nicht mehr. Wenn dann gibt es die „Fremden Fachleistungen“. Da fällt es aber – hätte ich jetzt gesagt – nicht darunter, da der Dolmetscher kein Verantwortlicher bei der Verarbeitung der Daten ist.
Ich würde ihn als Auftragsverarbeiter sehen.
VG Regina
Hi Regina, auch von mir ein großes Dankeschön für die vielen Infos. Ich habe auch eine Frage bezüglich der Anbieter wie Canva, Crello Grafiktools Anbieter (oder auch Pixabay). Braucht man z.B. wenn man von Canva Designs und Bilder runterlädt (kostenfrei) für seine Webseite – mit Canva einen AVV Vertrag? Ich kann das nirgends finden. Es sind ja dann auch personenbezogene Daten? Ich denke diese Frage betrifft viele Leute. Danke sehr für eine Antwort. Sue
Hallo Sue, ich hätte die von dir genannten Dienstleister jetzt nicht zwingend als AV Dienstleister gesehen. Könnte man wahrscheinlich so argumentieren, da es ja Userprofile gibt. Hätte ich bisher aber nicht betrachtet.
LG Regina
Hallo Regina,
ich versuche es mal kurz zusammenzufassen. Wir sind eine Werbeagentur mit 8 Angestellten. Wir arbeiten mit Druckereien und Freelancer zusammen. Wir speichern unsere Projekte und somit alle Daten bei uns auf dem Server ab. Folgend will ich noch unseren Service auflisten.
BERATUNG & KONZEPTION, CORPORATE PUBLISHING, EDITORIAL DESIGN, CORPORATE DESIGN, VERPACKUNGSDESIGN, WEBDESIGN, SOCIAL MEDIA, PRINT, MESSE – DESIGN UND ORGANISATION EVENT – PLANUNG UND ORGANISATION, VIDEOPRODUKTION
Wir bieten unseren Kunden also Webseiten, Anzeigen, kümmern uns um Social Media Postings, entwerfen Logos etc.
Aktuell sitzen wir an dem AV-Vertrag und sind uns bei folgenden Punkten nicht ganz sicher:
1. Welche Kunden/Lieferanten müssen uns den AV-Vertrag unterschreiben?
2. Muss der AV-Vertrag für jeden Kunden angepasst werden? Das wäre ein sehr großer Aufwand, da wir ja bei jedem Kunden verschieden Leistungen erbringen. Kann man hier einen „Allgemeinen“ Vertrag an die Kunden versenden?
3. Muss man diesen in zweifacher Ausführung versenden, damit der Kunde/Lieferant und wir als Agentur eine Ausführung haben?
4.Genügt es, nur den aktuellen Kunden diesen Vertrag zu schicken, da man diesen ja sonst auch an alte Kunden schicken muss?
5. Gibt es Punkte im Vertrag die der Kunde ausfüllen muss z.B. Gegenstand und Dauer der Verarbeitung, Welche Personen von der Verarbeitung Betroffen sind
6. Kann man die Vertragsstrafe selber bestimmen?
7. Was ist genau mit einer Schutzklasse gemeint?
Ich hoffe Sie können uns hier weiterhelfen, da das für uns ein sehr großer Aufwand ist und noch einige Fragen im Raum stehen.
Vielen Dank vorab für deine Mühe.
Grüße Sebastian
Das sind ja sehr viele Fragen, daher nur kurze Stichpunkte zu den Fragen:
1) Mit allen KUNDEN, bei denen Sie Zugriff auf personenbezogene Daten haben / hätten, also für die Sie Social Media machen, bei denen Sie Einsicht in die Analytics Konten haben, …..
2) Ich würde eine allgemeine Vorlage machen und dann können Sie ja Checkboxen vor die verschiedenen Leistungen machen und in jedem Vertrag machen Sie nur den Haken beim zutreffenden Thema. Der Rest bleibt ja gleich im Vertrag.
3) Wäre sinnvoll oder sie machen es digital
4) Wenn mit den „alten“ Kunden aktuell keine Projekte laufen, dann brauchen sie nichts schicken.
5) Das können Sie ja eigentlich auch selber schon vorbereiten. Als Kunde finde ich es sehr hilfreich, wenn das schon fertig vom Dienstleister kommt. Bei Ihnen ist das ja immer dasselbe. Dauer der Verarbeitung würde ich auf den Hauptvertrag ummünzen.
6) Nein, ich würde das auch nicht weiter im Vertrag ausführen
7) Ich denke, Sie sprechend die TOMs, an? Schutzklassen gibt es bei Schreddern, Daten, Serverräumen… Nur „Schutzklasse“ ist sehr allgemein.
Viele Grüße
Regina
Hallo Regina,
sind Immobilienportale wie Immowelt, Immonet etc. bei denen die eigenen Immobilienangebote eingestellt werden und die pD der Interessenten zurück übermittelt werden Auftragsverarbeiter im Sinne der DSGVO?
Vielen Dank.
Für Privatanbieter sowieso nicht, da ist das kein Thema.
Für gewerblich verkaufende wahrscheinlich schon. Da würde ich einen AVV verlangen, solange nichts anderes öffentlich beschlossen ist, dass es sich um fremde Fachleistungen handeln könnte.
Hallo und schönen Tag,
Muss ein Pflegedienst einen Auftragsverarbeitungsvertrag mit der Arztpraxis haben um ihr Patienteninformationen zu übermitteln/ zusenden?
Es handelt sich fast auschließlich um besonders Schützenswerte Daten.
Hallo Tim,
der Pflegedienst handelt ja nicht direkt auf Weisung der Arztpraxis, oder? Bezüglich der Datenverarbeitung trifft der Pflegedienst ja eigene Entscheidungen und hat einen eigenen Zweck. Sehe ich das richtig? Wenn das so ist, wäre die Definition eher „gemeinsame Verantwortliche“.
Diesen Fall hatte ich allerdings noch nicht. Ich hole auch noch mal andere Meinungen ein.
VG
Hallo Regina,
Wir sind ein Industriebetrieb und fertigen im Auftrag eines Kunden technische Bauteile. Die von uns gefertigten teile werden direkt an von uns seinen Endkunden verschickt.(d.h. mit seiner Bestellung schickt er uns auch die Lieferadresse seines Endkunden) Der Auftraggeber verlangt von uns jetzt im Sinne der DSVGO das wir einen Auftrag zur Datenverarbeitung unterschreiben.
Ich bin der Meinung das wir keine klassische Datenverarbeitung machen und würde dies ablehnen.
Wie siehst du das denn?
LG
Manuel
Hallo Manuel,
grundsätzlich seit ihr dann Auftragsverarbeiter, wenn ihr von eurem Kunden die Adressen der Endkunden erhaltet. Speichern fällt auch unter „verarbeiten“.
Die Frage ist eher, habt ihr Privatkunden oder sind die Endkunden reine Business Kunden, ohne einen Ansprechpartner Kontakt. Sobald dieser Kontakt wieder dabei ist, hat man schon wieder personenbezogene Daten. Wenn es nur die Firmenadresse ist, ohne Ansprechpartner ist das nicht personenbezogen.
Hoffe, das hilft dir weiter.
Viele Grüße
Regina
Danke Regina für die Antwort wegen Canva…! Habe erst gesehen, dass Du geantwortet hattest. Nun ich verstehe jetzt Deine Antwort so, dass Du das auch nicht genau einschätzen kannst. Canva hat ein privacy shield Status. Hast Du eine Idee WO man das noch erfahren könnte? Viele Grüsse
Hallo Sue,
Privacy Shield kannst du hier nachsehen: https://www.privacyshield.gov/list
Die Frage ist echt, ob Canva für dich personenbezogene Daten verarbeitet. In meinem Fall nutze ich es nur für die Gestaltung eigener Bilder. Kein gemeinsames Arbeiten, nur eigener Download. Dann sehe ich Canva nicht als AV.
Hallo Regina, vielen Dank für den tollen Bericht und die ausführliche Beantwortung aller Fragen. Ich hätte noch eine und zwar schreibt ein Bausachverständiger für uns Gutachten zur Durchführung von Bauverfahren, hierbei erhält er von uns Kontaktdaten der Verfahrensbeteiligten sowie Grundstücksdaten. Wir sind eine Gemeinde und haben keinen Vertrag mit dem Sachverständigen. Jede Beauftragung wird einzeln angefragt und am Ende des Monats bekommen wir eine Sammelrechnung über alle geleisteten Gutachten. Wird ein AVV benötigt?
Hallo Nik,
deine Frage ist ganz schön schwierig zu beantworten. Wir haben gerade selbst diskutiert. Kann man den Bausachverständiger unter Fremde Fachleistungen einordnen? Unterliegt er z.B. einem Berufsgeheimnis? Dann würde das zutreffen.
Handelt er rein auf Weisung? Gibt es keinen Punkt, an dem er eigene Entscheidung zur Verarbeitung der ihm übertragenen Daten treffen muss? Wenn das der Fall ist, spricht nichts dagegen, einen AV Vertrag abzuschließen. der AVV kann unabhängig eines schriftlichen Vertrags erstellt werden.
Liebe Frau Stoiber,
vielen Dank für Ihr tolles Engagement, um etwas Licht ins DSGVO-Dunkel zu bringen!
Meine Frage: Benötige ich von Dienstleistern wie
– Presse-Clipping-Service und
– externem IT-Betreuer, der zu uns ins Haus kommt und bei Handlungsbedarf Zugriff auf Server, Datenbank sowie Email-Accounts hat.
Herzlichen Dank!
Liebe Martina,
beim Presse Clipping gehe ich davon aus, es bezieht sich auf das Unternehmen. Dann würde ich keinen AV im Dienstleister sehen.
Der externe IT-Betreuer ist AV und braucht daher einen AVV.
LG Regina
Sehr geehrte Frau Stoiber,
benötigen wir einen AVV mit unserer Werbeagentur? Diese erstellt Firmenbroschüren und andere Werbematerialien sowie Visitenkarten für uns Mitarbeiter. In den Broschüren sind Namen, Titel (Berufsbezeichnung) und Firmenname von Firmenkunden, Referenten und Jurymitgliedern etc.enthalten, jedoch keine Kontaktdaten.
Vielen Dank für Ihre Hilfe.
Ja, in Ihrem Fall ist die Werbeagentur Auftragsverarbeiter, da sie auch Visitenkarten erstellt.
Viele Grüße
Regina Stoiber
Sehr geehrte Frau Stoiber,
auch ich finde ihren Artikel sehr gut gemacht. Leider steckt der Teufel immer ein wenig im Detail. Wir würden sie die Notwendigkeit bei Personalberatern/Personalvermittlern (wie z.B. Hays, Krongard etc.) in Bezug auf AVV einschätzen. Ich vermute mal, dass man mit diesen Firmen keinen AVV benötigt – liege ich da richtig?
Gruß, Günter Bacht
Genau, da haben Sie recht Herr Bacht,
es wurde entschieden, dass die Personalvermittler keine Auftragsverarbeiter sind.
Viele Grüße
Regina Stoiber
Hallo Regina
Seit ich mich mit der DSGVO befasse, konnte ich schon enorm viel von dieser Seite profitieren, in erster Linie schon einmal ein riesiges Dankeschön von meiner Seite!
Nun ist es so, dass mein Kleinunternehmen Software entwickelt, dass anderen Firmen bei der Adresserfassung und Rechnungsstellung helfen soll, alles cloud-basiert. Zu meiner eigentlichen Frage: Obwohl ich nur die Software und Speicherplatz zur Verfügung stelle, bin ich demnach trotzdem Auftragsverarbeiter, auch wenn ich die Tätigkeiten nicht ausführe?
Freundliche Grüsse
Johnny
Sehr geehrte Frau Stoiber,
erstmal vorweg, Sie machen hier ein tolle Arbeit! Ich arbeite in einer österr. Spedition. Wir haben auf der einen Seite Auftraggeber, die uns Transportaufträge übermitteln, welche wir in weiter Folge an Frachtführer weiterleiten. Zu unserer Rolle als Spediteur im Sinne der DSGVO gibt es einige (auch brancheninterne) Unsicherheiten. Es herrscht keine Klarheit. Gegenüber unseren Frachtführern sehen wir uns als Auftragsverarbeiter. Unsicher sind wir uns im kundenseitigen Verhältnis gegenüber unseren Auftraggebern. Wir verfügen über keine eigenen Fahrzeuge, übernehmen die erhaltenen Auftragsdaten unserer Kunden und organisieren den Transport mit Frachtführern. Sind wir ggü. unseren Kunden AV, Verantwortlicher oder handelt es sich sogar um ein Joint Controllership? Wie ist Ihre Meinung dazu? Vielen Dank!
Ich würde Sie ebenfalls als Auftragsverarbeiter sehen, da Sie ja auf Weisung handeln und keine eigenen „Interessen“ an den Daten haben (also keine Joint Controllership). Das heißt, Sie verarbeiten die Daten ja im Auftrag Ihrer Kunden.
Ich bin mir jetzt nicht sicher, ob ich den Ablauf richtig verstehe, aber ist nicht der Frachtführer Ihr Auftragsverarbeiter und nicht umgekehrt? Er erhält von Ihnen die Daten und erledigt die Zustellung. Verstehe ich das richtig?
Guten Morgen Frau Stoiber,
ich bin mir unsicher, wie ein Handelsvertreter einzuordnen ist.
Folgende Situation: Ein Unternehmen (UN) setzt Handelsvertreter (HV) zur Beschaffung von Aufträgen ein. Der HV erhät dafür eine Provision der vermittelten Verkäufe und tritt gegenüber den Kunden nicht in seinem Namen auf. Das UN schickt erstmal keine Daten an den HV sondern sagt einfach schaff Aufträge ran (eine Art Callcenter, Daten kommen vermutlich aus öffentlichen Quellen). Der HV übermittelt dann natürlich personenbezogene Daten an das UN, das diese dann, um die Aufträge zu erfüllen, weiter verarbeitet. Ich sehe jetzt nicht die Notwendigkeit das ein AV Vertrag in der Richtung UN zu HV geschlossen werden muss, evtl. kann man über eine gemeinsame Verantwortlichkeit nachdenken?! Übermittelt das UN Daten an den HV, damit dieser damit Aufträge „reinholt“ muss meiner Meinung nach ein AV Vertrag geschlossen werden. Wie ist Ihre Auffassung dazu? Danke im voraus!
Ja, das sehe ich genauso wie Sie. Der UN gibt ja keine expliziten Daten zur Verarbeitung weiter. Er gibt dem Handelsvertreter einen Auftrag zur Beschaffung von neuen Aufträgen. Da fließen keine personenbezogenen Daten.
Ja, in die eine Richtung, aber dann in die andere Richtung, wenn Aufträge beschafft wurden. Wie ist das zu beurteilen? AV oder gemeinsame Verantwortlichkeit?
Ich hoffe, ich versteh das richtig. Der UN beauftrag den HV Aufträge zu generieren. Der Auftrag wird dann aber direkt zwischen Kunde und UN abgewickelt, oder? Da ist der HV doch raus? Da stellt sich die Frage AVV nicht. Oder läuft der Auftrag über den HV? Sollte das der Fall sein, ist entscheidend, um welche Art von Aufträgen es sich handelt.
Guten Tag Frau Stoiber,
ich bin etwas am weifeln wie selbständige Dozenten einzustufen sind. Sie erhalten vom Auftraggeber Listen mit Teilnehmernamen. Sie erheben Anwesenheitslisten, Notenlisten usw. und geben diese an den Auftraggeber weiter.
Reicht hier eine Verschwiegenheitserklärung oder muss ich einen AVV abschließen?
Vielen Dank im Voraus. Freundliche Grüße Birthe
Liebe Frau Schöpflin,
das finde ich auch eine schwierige Frage und kann Ihnen auch keine belegte Antwort schreiben. Persönlich hätte ich Ihren Fall nicht als AV gesehen.
Viele Grüße
Regina Stoiber
Der Vertrag wird über den Unternehmer abgewickelt.
Danke für die Antworten.
Hallo Regina,
schließe mich an, toller Blog. Ich supporte mit meiner GmbH ein anderes Unternehmen (den Auftraggeber) bei Vertriebsaufgaben, d.h. ich akquiriere neue Kunden und betreue diese auch später noch. Es gibt keinen Handelsvertreter-Vertrag. Die Daten liegen komplett beim Auftraggeber in seiner IT-Infrastruktur; ich habe per Remote Zugriff darauf und versende auch Emails vom Server des Auftraggebers. Reicht eine Verschwiegenheitsvereinbarung oder Vertraulichkeitsvereinbarung aus?
Danke und viele Grüße
Jörg
Hallo Jörg,
für die Übernahme der Vertriebstätigkeit sehe ich die Verarbeitung der personenbezogenen Daten nicht als Kerntätigkeit und würde daher mal sagen, eine Verschwiegenheitserklärung wäre ausreichend. Da ja die Vertriebsaufgaben (meiner Interpretation nach) nicht hauptsächlich die Verarbeitung personenbezogener Daten ist, oder? Stimmst du mir da zu?
Zudem ist die Frage, handelst du nur auf Weisung oder hast du eigene Interessen an den Daten? Dann wäre es auch kein AV.
Da der Auftraggeber die IT Infrastruktur zur Verfügung stellt, wäre zu überlegen, ob nicht er dann für dich in diesem Punkt Auftragsverarbeiter ist.
Hallo,
auch von mir Danke für Ihre Infoseiten.
folgende Fragen:
1. ein ServiceDesk arbeitet ausschließlich in den Räumen und auf den Systemen des Auftraggebers.
– AVV?
– joined controllership?
– nicht von beiden?
2. joined controllership, wie könnte hier eine vertragliche Vereinbarung aussehen?
3. bitcom ist der Meinung: „Aufträge über Wartung oder Prüfung von IT-Systemen stellen keine Auftragsverarbeitung dar, sofern Gegenstand des Vertrages keine Datenverarbeitung ist, sondern allein auf die Supportleistung abzielt.“
>>> entgegen der meisten anderlautenden Interpretationen, (DSK, …)
Wie ist Ihre Meinung dazu?
besten dank im Voraus
Hallo Frank,
1.) der Service Desk ist – so entnehme ich das der Frage – eine andere rechtliche Einheit, also ein eigenständiges Unternehmen? Dann würde ich den Service Desk als Auftragsverarbeiter sehen.
2.) Dazu habe ich leider auch keine Vorlage, sorry. Es müssen die Themen wie Abwicklung Betroffenenrechte, Verantwortlichkeiten geregelt werden…
3.) dieser Blogbeitrag war ursprünglich rein nach der Stellungnahme der BitKom ausgerichtet. Dann habe ich in überarbeitet, weil die Aussage der DSK aktueller war. Die DSK ist letztendlich die Instanz, nach der wir uns hier richten sollten. Daher ist meine Empfehlung die Richtung der DSK umzusetzen.
Hallo,
ist ein Handwerker, der von einem Bauträger Aufträge zur Sanierung von unbewohnten (nur Adressübermittlung – kein Personenbezug) aber auch bewohnten Wohnungen erhält – in letzterem Fall werden personenbezogene Daten zur Terminvereinbarung übermittelt – ein Auftragsverearbeiter oder ein Verantwortlicher?
Vielen Dank dir und Gruß aus Wien,
Sven
Hallo Sven,
ich sehe hier die Kerntätigkeit nicht in der Verarbeitung personenbezogener Daten, also aus meiner Sicht kein AV.
Viele Grüße
Regina
Hallo,
muss ich mit dem Anbieter eines Internetportals einen AV-Vertrag schließen, wenn im Portal keine pD verarbeitet werden, sondern nur die Kennungen/E-Mailadressen meiner Mitarbeiter? Das ganze in 2 Varianten:
1) Ich selbst kann die Kennungen meiner Mitarbeiter einrichten und pflegen (dennoch Einsichtnahme möglich)
2) Ich schreibe eine Mail an den Betreiber, der den Account einrichtet..
Vielen Dank schonmal für die Hilfe – ich finde (evtl aufgrund der Banalität) keine wirklichen Antworten in den Kurzpapieren und ähnlichem…
VG
Michael
Hallo Michael,
die AV Fragen sind eigentlich nie wirklich banal. Da sind die Interpretationen recht unterschiedlich. Grundsätzlich ist ein AV nie verkehrt in einem solchen Fall, interessanterweise habe ich aber erst vor zwei Tagen bei der Telekom gelesen, dass die genau für diesen Fall keinen AV anbieten. Sie beschreiben die Rechtmäßigkeit der Verarbeitung mit Art. 6 (1) f – berechtigtes Interesse, nötige Maßnahme, um die Funktion bereitzustellen.
Ich denke, in Kombination mit der Auswahl eines DSGVO konformes Dienstes könnte man durchaus Variante 2, also mit dem berechtigten Interesse des Verantwortlichen argumentieren und auf einen AV Vertrag verzichten.
Wie gesagt, das wäre meine Interpretation. Da es hier kein schwarz / weiß gibt, kann es jemand anders anders sehen. Das finde ich auch nicht wirklich schlimm. Die Argumentation in allen Fällen muss nur schlüssig und nachvollziehbar sein.
VG Regina
Hallo Regina,
wie der Zufall so spielt, konnte ich Deinen Block lesen und finde ihn sehr aufschlussreich. Leider bin ich noch nicht so lange ein DSB und habe Probleme mit der Erkennung von AV. z.Bsp.: im Auftrag von Kunden bestellen wir bei einem Hersteller Technik und senden ihm die Lieferadresse des Kunden. Muss nun ein AVV her oder gilt Art. 6 (1) b bzw. die Frage „Fremde Fachdienstleistung“? Wie sehe es aus, wenn der Hersteller zwecks Reparatur jemanden vor Ort senden muss?
Viele Grüße und Danke im Voraus
Rainer
Hallo Rainer,
ich habe viele Kunden die für diesen Fall (Lieferung an den Hersteller direkt an den Kunden) einen AVV abschließen. Der Vertrag läuft ja zwischen eurem Unternehmen und dem Kunden, oder? Dann wäre nämlich Art. 6 (1) b nicht für den kompletten Prozess zu argumentieren. Da der Hersteller ja keinen direkten Vertrag mit dem Kunden hat. Wäre es so, dass der Hersteller direkt einen Vertrag mit dem Kunden hat, dann trifft weder für euch Art. 6 (1) b noch AV zu. Dann könnte das eine Fremde Fachleistung sein.
Selbe Frage stellt sich aber bei der zweiten Frage. Wer ist bei der Reparatur Vertragspartner? Ist es der Hersteller, dann ist es eine Fremde Fachleistung, da der dann ja selber eine Vertragsbeziehung zum Kunden hat. Läuft die Reparatur auch über euch, dann würde ich wirklich zu einem AVV raten.
Ich hoffe, das konnte dir weiter helfen!
Viele Grüße
Regina
Hallo Regina, vielen Dank für diesen Blog und das viele Feedback!
Ich hoffe du kannst auch mir eine kleine Anfrage beantworten:
Ich arbeite mit einem Dienstleister zusammen, der sich bei mir (gelegentlich) um kleinere IT-Aufträge und Druckerinstallationen kümmert. Er handelt also praktisch immer mit Einzelaufträgen (auf Stundenbasis), auch manchmal via Fernwartungen (wenn ich ihm mein Problem darstellen und aufzeigen möchte) es liegt also kein Servicevertrag oder Ähnliches vor.
Muss mir dieser Dienstleister nun auf meine Bitte hin auch ein AV-Vertrag zukommen lassen ? Ich würde Ihn sehr gerne behalten, da er einen super Service bietet, aber er meinte das er wohl keinen AV-Vertrag durch seinen Anwalt aufsetzen lässt, da in solchen Verträgen auch „Vertragsstrafen zwingend geregelt“ sein müssen.
Wie wäre hier deine Ansicht ?
Hallo Sabine,
„kleinere IT-Aufträge“ und Druckerinstallationen können ja gerade noch ohne personenbezogene Daten ablaufen, wobei das schon schwierig wird. Gerade aber mit der Fernwartung und beim Aufzeigen eines Problems, kommt man wohl an personenbezogenen Daten nicht vorbei.
Die Auslegung der Datenschutzkonferenz ist in dieser Hinsicht leider sehr streng. Wahrscheinlich würde an vielen Stellen eine Vertraulichkeitsvereinbarung reichen, aber die DSK sieht hier einen Auftragsverarbeiter.
Wie du persönlich das handhaben möchtest, entscheidest als Verantwortliche immer noch du selbst. Offiziell – wie gesagt – ist dein Dienstleister ein Auftragsverarbeiter.
Das „Vertragsstrafen im AV zwingend geregelt sein müssen“ ist mir neu. Optional ja, aber nicht zwingend. Eine sehr gute Vorlage finde ich die von der GDD. Schau dir die mal an bzw. gib sie deinem Dienstleister weiter. Da braucht er meines Erachtens keinen Anwalt.
LG Regina
Hallo Regina,
ich beziehe mich auf eine Frage von Gerd vom 12. Juni 2018. Er frägt, ob bei Fernwartung von Banken-Mitarbeitern auf Firmenrechnern zur Problembehebung bzgl. Bankensoftware AV-Verträge notwendig wären.
Du hast geantwortet, dass Banken nicht unter Auftragsverarbeiter fallen. Kann man dies im Fall einer Fernwartung wirklich so pauschal beantworten? Aus meiner Sicht spricht hier einiges für eine Auftragsdatenverarbeitung und entsprechend notwendiger AV-Verträge.
Könntest du deine Ansicht in diesem Fall noch ein bisschen detailierter wiedergeben?
Viele Grüße und Danke im Voraus!
Christian
Hallo Christian,
ich versuche es mal zu konkretisieren 🙂 und hoffe, dass ich die juristisch richtigen Fachwörter verwende.
Die DSGVO ist ein Auffanggesetz, das heißt, sie wirkt da, wo nicht bereits andere Gesetze ich Werk tun. Bei Banken, Anwälten und Steuerberatern (…) gibt es bereits Gesetze, die deren Umfang mit Informationen und Daten regeln und das noch detaillierter, als es die DSGVO tut.
Auch wenn die Tätigkeit einer Auftragsverarbeitung gleich kommt, ist der Umfang mit den Daten bzw. der Schweigepflicht / Berufsgeheimnis schon anderweitig geregelt. Daher würde ein Auftragsverarbeitungsvertrag vielleicht nicht mal so viel regeln, wie bereits in den für die Berufsgruppe geltenden Gesetzen abgedeckt ist.
Ein Beispiel ist z.B. die externe Lohnbuchhaltung, welche grundsätzlich eine Auftragsverarbeitung ist. Übernimmt der Steuerberater aber die Lohnbuchhaltung für einen Mandanten, braucht kein AV mehr geschlossen werden, da das Berufsgeheimnis und die geltenden Gesetze bereits den Umgang mit dem Datenschutz ausreichend regeln. Ein Steuerberater ist also aufgrund seines Berufsgeheimnisses und den geltenden Gesetzen kein Auftragsverarbeiter. Genauso verhält es sich bei Banken, Paketdienstleistern…
Ich hoffe, ich konnte dir mit der Antwort weiter helfen. Falls nicht, bitte einfach nochmal zurück schreiben.
VG Regina
Sehr geehrte Frau Stoiber,
nun habe ich fast den ganzen Kommentar-Thread gelesen und auch mit Stochworten durchsucht, finde aber mein Beispiel nicht.
Ich frage mich, ob externe Webseiten, wie Spieplerplus oder FuPa.net, die ja nur zum Verwalten von Mannschaften dienen, einen AV-Vertrag anbieten sollten, oder nicht. Unseren Trainern erleichtert das ihre Arbeit, aber es ist streng gesehen nicht notwendig, sondern nur nützlich.
Laut Mail-Antwort von Spielerplus bräuchten sie keinen AV-Vertrag, weil: Zitat: „alle bei uns registrierten Nutzer bei uns Endkunden sind. Ein Vertrag zur Auftragsdatenverarbeitung muss lediglich zwischen Unternehmen geschlossen werden, falls diese Nutzerdaten verarbeiten.“ Zitat Ende.
In einigen Wochen werde ich diese Aussage auf einer DSGVO Info-Veranstaltung des BLSV zur Sprache bringen, aber wie ist Ihre Einschätzung? AV-Vertrag notwendig mit Spielerplus, FuPa.net oder dergleichen?
Danke
Grüße
Danke für den Beitrag. Ich kenne die genaue Dienstleistung der Plattformen nicht, aber wenn es so ist, wie Spielerplus schreibt, dann ist tatsächlich kein AV Vertrag nötig.
Ein AV Vertrag wäre z.B. nötig, wenn Ihre Trainer die User im System anlegen und dort verwalten, also ähnlich wie bei einem Unternehmen, dass auf einer Plattform für jeden Mitarbeiter einen Account generiert und der Account auch betrieblich genutzt wird (z.B. nutze ich eine externe Plattform zum Buchen von Stunden für die Kundenaufträge und habe hier jedem Mitarbeiter einen Account angelegt und diese Buchen über die Plattform). Dann wäre es auf jeden Fall Auftragsverarbeitung.
Handelt es sich aber um eine Plattform, bei der sich jeder User freiwillig selber registriert und freigibt, wer welche Daten von ihm sehen darf, läuft das ja nicht über Sie oder Ihre Institution. Daher ist das ein Vertrag zwischen der Plattform und dem registrierten User.
Wie gesagt, ich weiß aber nicht, was dann für die Trainer noch für weitere Möglichkeiten bestehen, um Mitglieder zu verwalten und Daten einzugeben.
Ich hoffe, die Antwort hat Ihnen trotzdem schon etwas weiter geholfen. Gerne können Sie auch noch ergänzen, wie genau Sie die Plattform nutzen und Daten ggf. darin verarbeiten.
Viele Grüße
Regina Stoiber
Hallo Regina,
wir beauftragen ein Reisebüro mit der Organisation und Buchung von Hotels, Flügen, Fahrkarten etc.. Dementsprechend erhält das Reisebüro personenbezogene Daten über unsere Mitarbeiter und soll diese Auftragsbezogen verarbeiten. Die konkret einzusetzenden Mittel werden durch uns jedoch nicht explizit vorgegeben. Handelt es sich hierbei um eine Auftragsdatenverarbeitung?
Danke
Grüsse
Hallo Claudia,
ich hätte gesagt, dass es sich um gemeinsame Verantwortliche handelt und nicht um einen Auftragsverarbeiter.
Wie handhabt das Reisebüro die Daten der Mitarbeiter? Sind das ganz normale Kunden im Kundenstamm des Reisebüros, nur die Abrechnung erfolgt über den Arbeitgeber oder taucht im Kundenstamm beim Reisebüro nur euer Unternehmen auf? Kontaktiert das Reisebüro die Mitarbeiter auch im eigenen Interesse oder nur in Zusammenhang mit euren Buchungen?
Das Reisebüro entscheidet selbst, welche Flüge und Hotels gebucht werden (im Rahmen der Vorgaben natürlich), oder? Hier ist es glaub ich auch zu beachten, inwieweit das Reisebüro eigene Entscheidungen trifft und treffen kann.
Ich denke, man kann es in beide Richtungen sehen. Auf jeden Fall wäre ein Hauptthema zu klären, ob das Reisebüro ein eigenes Interesse an den Kundendaten bzw. Daten der Mitarbeiter hat oder nicht. Falls ja, dann ist es definitiv kein Auftragsverarbeiter.
Viele Grüße
Regina
Hallo Regina,
wenn ein Fotograf im Auftrag meines Unternehmen Bilder anfertigt, z.B. vom Personal, oder von Veranstaltungen mit einzelnen Personen, ist er dann ein AV mit dem ich eine entsprechenden AVV schließen muss?
Vg
Jürgen
Hallo Jürgen,
gute Fragen, wir haben auch darüber diskutiert.
Wir sind uns intern einig gewesen und hätten den Fotografen nicht als AV gesehen. Greifbar ist es sehr schwer, aber im künstlerischen / fotografischen Bereich ist die Weisungsbefugnis schwierig. Die Aufgabe ist das Anfertigen von Fotos, aber wie das der Fotograf macht, muss er aufgrund seiner Fachkompetenz selbst entscheiden.
Viele Grüße
Regina
Liebe Regina,
vielen lieben Dank für deine aufschlussreichen Antworten!
Ich habe dazu auch noch eine Frage:
Wenn ein Versicherungsmakler im Auftrag eines Firmenkunden die Mitarbeiterdaten des Firmenkunden für Rückstellungen sowie für die Vermittlung und Betreuung von Kollektivunfallversicherungen und dergleichen verarbeitet benötigt der Versicherungsmakler dann einen AV?
Vielen lieben Dank im Voraus!
Handelt es sich bei der Tätigkeit in irgendeinerweise um eine direkte Vertragsbeziehung zwischen den Mitarbeitern des Kunden und euch als Versicherungsmakler? Falls nicht, würde ich einen AVV vorschlagen.
Viele liebe Grüße
Regina
Hey Regina.
Wir wollen in unserem Unternehmen Trello nutzen.
Dazu erstellen wir in den Boards Karten mit Kundendaten wie anschrift und evtl. Telefonnummer für unsere Mitarbeiter.
Reicht es mit Trello einen AVV aufzusetzen? Oder müssen dann auch alle Kunden informiert werden?
Genauso wie mit Lieferanten.
Ich gebe bei Lieferant XYZ eine Materialbestellung für kunden Herr Mustermann in musterstraße 00
11111 Musterstadt auf, muss der Kunde dort auch zustimmen das der Lieferant seine daten verarbeitet oder nur ich mit dem Lieferanten?
Hi Ferdi,
zu Trello: es reicht der AVV mit Trello. Der Kunde muss nicht zustimmen. In deiner / eurer Informationspflicht an den Kunden nach Art. 13 / Art. 14 musst du aber darüber informieren. Da würde ich dann auch schreiben, dass mit Trello ein AVV geschlossen wurde.
Lieferanten: Eigentlich ähnlich. Liefert der Lieferant direkt an den Kunden in eurem Namen, dann solltest du einen AVV abschließen. Der Kunde muss nicht zustimmen. Das ist abgedeckt im Rahmen des Vertrags nach Art. 6 (1) lit. b. Allerdings musst du in der Informationspflicht ebenfalls wieder auf diesen Ablauf hinweisen.
Ich hoffe das hilft!
LG Regina
Hallo Regina!
Wie sähe die Situation bspw. aus, wenn der Verantwortliche für ein Medizinerpraktikum an ein inländisches Krankenhaus personenbezogene Daten (inkl. ggf. z. Bsp. Impfdaten) weiterleitet? Braucht es hier eine ADV oder ist, da die Kerntätigkeit ja nicht im Datenverarbeitungsbereich liegt, keine nötig?
Danke für die Antwort!
LG Peter
Hallo Peter,
wenn es um die Verarbeitung medizinischer Daten geht, sehe ich da schon einen AV nötig. Ich kann aber dein Szenario nicht ganz verstehen. Der Praktikant ist ja bei jemandem angestellt. Und er verarbeitet die Daten für seinen Arbeitgeber und leitet sie weiter? Mir ist die Konstellation nicht ganz klar, zwischen wem die Daten fliesen. Gibt der Patient die Daten direkt an den Verantwortlichen?
Aber grundsätzlich beim Austausch von medizinischen Daten, sehe ich einen AV Vertrag nötig. Die Frage ist, was brauchst du vom Patienten selber? Handelt es sich um eine freiwillige Studie oder um die Behandlung einer Krankheit?
VG Regina
Die Bitkom hat einen Stellungname zu dem Kurzpapier herausgegeben
https://www.bitkom.org/Bitkom/Publikationen/Stellungnahme-zum-Kurzpapier-Nr-13-der-Datenschutzkonferenz.html
Hallo Regina,
danke für diese Plattform.
Wir entwickeln derzeit eine neue Website mit WordPress. Wir stellen einen online-Rechner zur Verfügung, den Webseitenbesucher nutzen können. Dabei können personenbezogene Daten eingegeben werden. Die Eingabemaske ist auf einer Unterseite unserer Website. Die Seite liegt bei Strato. Dort (auf unserem Webspace) liegt auch der eigentliche Rechner von uns. Nun schickt die „Eingabemaske“ die Daten an den Rechner, dieser rechnet und erstellt eine pdf. Die pdf wird dann dem Nutzer in seinem offenen Browser zum Download bereitgestellt. Anschließend löscht der Rechner die Ein- und Ausgaben komplett automatisiert. Wir selbst können nicht auf die in den Rechner eingegebenen Daten (und Ergebnisse) zugreifen. AV zum Hoster besteht. Was sollten wir hinsichtlich der Seitennutzer beachten?
Danke für die Antwort!
BG Jürgen
Hallo Jürgen,
danke für deine Anfrage.
Grundsätzlich ist die Frage, wer sind die Kunden? Handelt es sich um Privatkunden oder um Geschäftskunden? Wenn Geschäftskunden, geben diese dann Daten von Mitarbeitern oder Interessenten…. ein? Wenn ja, dann müsstet ihr einen AV anbieten.
Handelt es sich um Privatkunden, dann muss die Informationspflicht auf jeden Fall erfüllt werden. Das heißt, es muss eine Datenschutzerklärung verlinkt werden, die dem Art. 13 DSGVO entspricht.
Ihr solltet im Idealfall ein Verfahrensverzeichnis haben, welches diesen Prozess beschreibt. Hier kommt dann auch raus, um welche Rechtsgrundlage es sich handelt. Ist es Art. 6 (1) lit. b – auf Grundlage eines Vertrags / Angebot oder Art. 6 (1) lit. a – Freiwillige Einwilligung. Je nachdem, musst du bei lit. a die Einwilligung mit einer Checkbox einholen. Bei lit. b reicht eigentlich der Hinweis auf die DSE. Du kannst mit einer Checkbox noch abfragen, ob die DSE gelesen wurde, aber eine Einwilligung solltest du dann nicht einholen.
Das war jetzt viel auf einmal. Ich hoffe, es ist trotzdem verständlich.
Viele Grüße
Regina
Guter Text zum Thema Auftragsverarbeiter.
Vielen Dank
Liebe Regina,
eine super Seite, Danke dafür. Sie ist jetzt in meinen Bookmarks!
Eine Frage zu Dvgso. Ein neulich von mir beauftragter Steuerberater hat seine Abrechnung über eine externe Abrechnungsstelle abwickeln lassen. Alles ohne meine Einwilligung. Ist es jetzt ein Verstoß gegen DVGSO?
Hallo Email,
herzlichen Dank für das nette Feedback.
Ich sehe in diesem Fall eine Einwilligung des Betroffenen nicht zwingend nötig. Was erfolgen muss, ist die Informationspflicht. Das heißt der Steuerberater sollte für seine Mandanten den Verweis auf die Informationspflicht nach Art. 13 und Art. 14 zur Verfügung stellen. Dort drin muss dann stehen, dass zur Optimierung der internen Abläufe die Rechnungsstellung über eine externe Stelle erfolgt (oder so ähnlich).
Es gibt die Unterscheidung, ob die Abrechnung im Auftrag erfolgt, also als Auftragsverarbeiter oder ob die Rechnung „verkauft“ wird. Im letzteren Fall agiert der externe Abrechnen im eigenen Interesse und ist kein Auftragsverarbeiter. Für diesen Fall könnte ich mir eine Einwilligung vorstellen. Im ersten Fall, bei der Auftragsverarbeitung muss keine Einwilligung erfolgen.
Hallo Regina,
auch ich möchte mich für den tollen blog bedanken und die Zeit die du investierst. Meine Frage, würdest du das Data Processing Agreement für User als AV-Ersatz von Wix als
rechtskonform bezeichnen.
Vielen Dank und Grüße
Roland
Hallo Roland,
wir haben uns den Vertrag von WIX mal angesehen. Hier der Kommentar von Jasmin dazu:
ich habe mir die DPA von WIX angesehen. Die DPA ist eine Ergänzung zur Datenschutzrichtlinie und den Nutzungsbestimmungen. Die beiden habe ich ebenfalls mit in die Prüfung eingezogen.
Zwei Punkte habe ich bei der Prüfung nicht einsehen können bzw. gefunden:
☐ Verarbeitung der Daten nur nach dokumentierter Weisung (Art. 28 Abs. 3 Lit. a DSGVO)
☐ Verpflichtung der Mitarbeiter auf Datenschutz (Art. 28 Abs. 3 Lit. B DSGVO)
Ein interessanter Hinweis von WIX ist ebenfalls noch, dass der Nutzer selbst verantwortlich ist, dass die angenommenen Dienste von WIX mit dem Landesrecht übereinstimmen.
Zusammengefasst bedeutet das für mich: Dass DPA ist eine Ergänzung, jedoch diese alleine reicht nicht aus, sondern es müssen noch die Datenschutzerklärung und die Nutzungsbedingungen mit einbezogen werden. Die beiden fehlenden Punkte bedeuten streng genommen, dass nicht alle Elemente nach Art. 28 DSGVO enthalten sind. WIX selbst versucht meines Erachtens ihre Seite DSGVO-konform zu gestalten, gibt dem Nutzer aber den Hinweis sich eine Rechtsberatung einzuholen.
Gerne können wir dir die ausführliche Prüfübersicht von uns zukommen lassen. Falls interessant für dich, schreib uns einfach eine E-mail.
Viele Grüße
Regina
Hallo Regina, vorab tausend Dank für die vielen hilfreichen Artikel und Muster! Im Moment suche ich eine Antwort auf die Frage, ob unser Leasinggeber unter Auftragsverarbeiter fällt, da ihm personenbezogene Daten unserer Mitarbeiter, die geleaste Firmenfahrzeuge fahren, zur Kenntnis gelangen. Dieser alte Artikel von 2008 weist in die Richtung, wenn auch noch unter BDSG https://www.autoflotte.de/artikelarchiv/artikel/dos-and-don-ts-beim-datenschutz-1587593.html. Ich denke, wir benötigen eine Vereinbarung zur Auftragsdatenverarbeitung, liege ich damit richtig? Danke schon mal und viele Grüße, Susann
Hallo Susann,
vielen Dank für das Feedback.
Ohne den Artikel im Detail gelesen zu haben, würde ich nicht dazu tendieren, den Leasinggeber als Auftragsverarbeiter zu sehen. Ich hätte die Verarbeitung der Daten als eigene Verantwortlichkeit gesehen. Ihr als Auftraggeber sagt ihm ja nicht, wie er die Daten bei sich verarbeiten soll, um das Leasingfahrzeug anzubieten. Er unterliegt in dieser Hinsicht nicht eurer Weisung. So wäre meine Argumentation.
Bei der Übernahme des Fahrzeugs bekommt der Mitarbeiter sicherlich einen Vertrag, nehme ich an. Hier würde ich dann entsprechend die Passage rein nehmen, dass die (welche?) Daten an den Leasinggeber zum Zweck (diesen beschreiben) übermittelt werden.
Wie gesagt, dazu habe ich jetzt auch keine Auskunft der Behörde. Das entspricht jetzt nur meiner eigenen Schlussfolgerung.
Liebe Grüße
Regina
Hallo Regina,
hab vielen Dank, das hilft mir schon weiter, vor allem auch noch mal die Erinnerung, dass man bei der Beurteilung immer auch an die „Weisung“ denken muss.
Lieben Gruß, Su
Wenn bei fremden Fachleistungen ein Anwalt mit der Datenauskunft beauftragt wird und dem Anwalt hierzu vom Auftraggeber die notwendigen Daten zur Auskunfterteilung übermittelt werden, ist es dann ausreichen, wenn der Auftrageber dazu lediglich die übliche anwaltliche Vollmacht unterschreibt oder bedarf es hier eines besonderen Vertrages zwischen Auftraggeber und Anwalt?
Danke für eine kurze Info!
Aus meiner Sicht reicht die Vollmacht.
Sehr geehrte Frau Stoiber,
vielen Dank für Ihren auffschlussreichen Blog, eine Frage noch zu den Personalvermittlern:
Oben (Kommentar vom 10.07.18) schreiben Sie, dass „entschieden“ wurde, dass Personalvermittlung keine Auftragsverarbeitung ist. Alle Quellen die ich bisher finden konnten verweisen letztendlich nur auf das Beispiel 6 im WP 169 der Art. 29 Gruppe.
Das bezieht sich aber schon fast auf den „Sonderfall“, dass die Personalvermittlung eine eigene „Personaldatenbank“ betreibt, für die selbstverständlich eigene Verantwortlichkeit besteht.
Für den Fall eines „echten“ Headhunters, der wirklich nur gezielt für die Besetzung einer Stelle beauftragt wird und hierfür nach interessanten Kandidaten sucht, sehe ich persönlich eher eine Auftragsverarbeitung einschlägig, da der Zweck der Verarbeitung grds. relativ stark durch den Auftraggeber vorgegeben wird und der Headhunter grds. auch kein weitergehendes eigenes Interesse an den Daten der Bewerber hat.
Hallo Max,
Danke für das Feedback.
Ich denke, man muss hier unterscheiden, ob es sich um eine Personalvermittlung oder ein Recruiting handelt. Eine reine Personalvermittlung stellt Personal dem Kunden zur Verfügung und rechnet die geleisteten Stunden ab. Das ist keine Auftragsverarbeitung.
Ein Recruiter, der aber auf Weisung eines Unternehmens handelt und für das Unternehmen die Bewerberauswahl bzw. Vorauswahl macht, sehe ich auch als Auftragsverarbeiter.
Damit würde sich Ihre und meine Auffassung des Sachverhalts decken.
Herzliche Grüße
Regina Stoiber
Hallo Regina!
Vielen Dank für diese Zusammenfassung.
Ich hätte da noch eine Frage wenn diese gestattet ist:
Wir betreuen unsere Kunden beim Hausbau und Sanierungen. Das bedeutet wir vermitteln Kredite und holen für den Kunden verschiedene Angebote bei Handwerkern ein, vergleichen und vermitteln die Handwerker dann an den Kunden. Der Handwerker rechnet direkt mit dem Kunden ab.
Sind die Handwerker nun Auftragsverarbeiter?
Meiner Meinung nach ja nicht da es sich ja um fremde Fachleistungen handelt, oder irre ich hier?
Bin gespannt auf Ihre Meinung!
Vielen Dank und Liebe Grüße
Hallo Patrick,
danke für die Frage.
Das beantwortet sich eigentlich dadurch, dass der Handwerker direkt mit dem Kunden abrechnet. Damit agiert er im eigenen Interesse und ist kein Auftragsverarbeiter.
Viele Grüße
Regina
Liebe Regina!
vielen Dank für diesen tollen Artikel, er hat mir in vielen Bereichen sehr weitergeholfen. Bei einem meiner Dienstleister bin ich mir aber immer noch nicht sicher. Meine Firma informiert Kunden per SMS bei wichtigen Ereignissen. Wir nutzen hierfür einen Online-SMS-Service. Dabei übertragen wir nur die Telefonnummern der Kunden an den Dienstleister und dessen (automatischer) Dienst versendet dann die SMS. Anschließend werden von uns wiederum die versendeten SMS im Portal gelöscht. Ist dieser Dienstleister nun ein Auftragsverarbeiter (er bietet ja nur das Service an) oder handelt es sich einfach nur um eine fremde Fachleistung?
Wäre schön wenn du mir hier weiterhelfen könntest!
Vielen Dank
Schöne Grüße
Andreas
Hallo Andreas,
freut mich, dass dir der Artikel weiter hilft. So soll es sein. Ich würde auf jeden Fall dazu tendieren, dass es sich hier beim Dienstleister um einen Auftragsverarbeiter handelt. Er versendet ja in eurem Auftrag, auf eure Weisung die SMS an eine persönliche Handynummer. Würde für mich ein Auftragsverarbeiter sein.
Hoffe, das hilft dir!
Viele Grüße
Regina
Hallo Regina
Ich habe zwei Fälle, bei denen ich unsicher bin, ob es Auftragsverarbeiter sind oder sind:
1. Vermieter übermittelt einer Betreiberin einer Internetplattform Wohnungsinserate zwecks Veröffentlichung. Im Inserat sind personenbezogene Daten enthalten. Ist die Betreiberin der Internetplattform Auftragsverarbeiterin?
2. Ist eine IT-Firma, die den Auftraggeber betreffend IT-Projekte berät und Einsicht in personenbezogene Daten hat Auftragsverarbeiterin?
Herzlichen Dank für Deine Einschätzung.
Beste Grüsse
Karen
Hallo Karen,
entschuldige die späte Antwort.
1.) Wenn ich das richtig verstehe, ist ja im 1. Fall kein 3. betroffen, dessen Daten verarbeitet werden. Es werden lediglich die persönlichen Daten des Vermieters angegeben und nicht von Dritten. Es werden auch keine Daten von Interessenten gesammelt oder verarbeitet (so interpretiere ich das Inserat). Daher sehe ich im 1. Fall keinen Auftragsverarbeiter.
2.) Eindeutig Auftragsverarbeiter.
Viele Grüße
Regina
Hallo Regina,
trotz das ich fast alles durchgelesen haben, konnte ich keine passende Antwort auf meine Frage finden.
Wir, der Förderverein Roth e.V., haben eine Webseite eingerichtet über die Jimdo GmbH. Datenschutzerklärung haben wir erstellt. Jetzt geht es noch um das Thema AV-Vertrag. Auf der Webseite gibt es nur ein Kontaktformular. Müssen wir mit Jimdo einen AV-Vertrag abschließen?
Liebe Grüße
Thorsten
Hallo Thorsten,
ja, Jimdo ist Auftragsverarbeiter. Hier muss ein AV Vertrag abgeschlossen werden. Ich würde dann einfach über das Kontaktformular anfragen. Kann es evtl. sein, dass der AV Vertrag direkt über den internen Bereich (nach dem Login) heruntergeladen bzw. bestätigt werden kann?
Viele Grüße
Regina
Hallo Regina, ich arbeite in einem Architektur- und Ingenieurbüro. Manchmal setzen wir Subunternehmer für z. B. Bauleitung eines Projektes etc. ein. Sind diese als Auftragsverarbeiter zu sehen? Hier habe ich mittlerweile zwei verschiedene Meinungen von zwei verschiedenen Datenschützern gehört! Wie ist deine Meinung hierzu? Liebe Grüße, Susanne
Hallo Susanne,
wir haben uns intern zu deiner Frage auch nochmal kurz ausgetauscht und sind zum selben Ergebnis gekommen. Wir sehen einen reinen Bauleiter, der nur die Gewerke koordiniert, nicht als Auftragsverarbeiter. Kerntätigkeit ist ja nicht die Verarbeitung personenbezogener Daten.
Würde allerdings die Abrechnung mit dem Endkunden auch Teil seiner Aufgabe sein, würde ich ihn schon als AV sehen. Dann wäre ja die Verarbeitung personenbezogener Daten ein Teil seines Auftrags.
Ich hoffe, das hilft.
Viele Grüße
Regina
Hallo Regina,
Danke für Deine Antwort. Man kann einen AV-Vertrag bei Jimdo herunterladen, ausfüllen und denen per Email schicken. Hatte den Support von Jimdo angeschrieben, ob wir einen solchen Vertrag machen müssen, da kam aber nur eine Standardantwort, Sie dürften keine Rechtsbeelehrung machen.
Jetzt weiß ich aber was zu tun ist.
Recht herzlichen Dank dazu!
Lieb Grüße
Thorsten
Hallo Regina, Jimdo beschäftigt mich auch: Muss ich in der Datenschutzerklärung erwähnen, dass ich Jimdo verwende? Ich frage auch, weil Jimdo ja sichtbar ist und auch Daten der Besucher verarbeitet.
Hallo Martin,
ja, Jimdo solltest du schon in der Datenschutzerklärung erwähnen (inkl. Anschrift) und eben, wie schon vorher erwähnt einen AV Vertrag abschließen.
Viele Grüße
Regina
Hallo Regina,
herzlichen Dank für Deine Beiträge, sie haben mir schon oft weitergeholfen. Auch ich habe Fragen zum Thema Auftragsverarbeitung: Bei uns im Unternehmen besteht die Möglichkeit zur Altersvorsorge durch Gehaltsumwandlung in eine Direktversicherung einzuzahlen. Ist hier ein AVV zwischen Unternehmen und Versicherungsmakler bzw. Versicherung notwendig? Die gleiche Frage stellt sich für das Thema Rentenberatung bzw. Rentengutachten. Ich freue mich auf Deine Antwort. Herzliche Grüße
Claudia
Hallo Claudia,
Versicherungen sind eigentlich keine Auftragsverarbeiter, da sie im eigenen Interesse die Daten verarbeiten und nicht auf Weisung. Meines Wissens kommt der Vertrag auch immer zwischen Arbeitnehmer und Versicherung zustande, also direkt. Der Arbeitgeber ist hier nicht der, der die Weisung zur Datenverarbeitung an die Versicherung übergibt.
Ich denke, dasselbe ist es bei der Rentenberatung, dass es direkt zwischen Arbeitnehmer und Berater abläuft und der Arbeitgeber nur als Art „Vermittler“ agiert.
Viele Grüße
Regina
Herzlichen Dank! Das hat mir weitergeholfen.
Viele Grüße
Claudia
Liebe Regina
Herzlichen Dank für Deine Antwort zu meiner Anfrage. Zum ersten Fall hätte ich noch eine Klarstellung: Die Daten von Mieter (Name, Telefonnummer) werden im Inserat publiziert. Demgemäss sind Daten von Drittpersonen betroffen. Wie schätzt Du die Rolle des Plattformbetreibers ein? Vielen Dank nochmals! Beste Grüsse Karen
Hallo Regina,
vielen Dank für deine tollen Ausführungen auf dieser Seite.
Wenn wir für einen Kunden einen Dienstleister einsetzen wollen, der in seinen Terms and Conditions schreibt, dass er eigenständig Verantwortlicher im Umgang mit den Daten ist, muss dann ein AVV mit diesem abgeschlossen werden?
Herzliche Grüße
Peter
Hallo Peter,
das ist ja auch eine interessante Art der Darstellung des Dienstleisters 🙂 Das kann ja nicht der Dienstleister entscheiden, ob er verantwortlich für die Daten ist oder nicht. Das kommt auf die Tätigkeit an, die er übernimmt. Wenn ihr für einen Kunden arbeitet (als Auftragsverarbeiter nehme ich an), dann ist ja der Kunde der verantwortliche für die Daten. Dann kann das ja nie der Subdienstleister von euch werden. Der ist dann auf jeden Fall ein AV, auch wenn er das in seinen Konditionen anders schreibt.
Kommt natürlich auf die Tätigkeit an, die er ausführt, aber ich nehme an, es handelt sich um eine Tätigkeit, die unter Auftragsverarbeitung fällt.
Wenn du dazu noch Unterstützung benötigst, melde dich gerne bei uns.
Viele Grüße
Regina
Hallo Regina,
das sind ja unmengen an Kommentaren 🙂 Ich bin es mal überflogen habe aber nichts dazu gefunden.. Weisst du, wie es mit Paketdienstleistern, wie z.B. Shipcloud oder Sendcloud? Mit reinen Paketdienstleistern z.B. DPD brauche ich kein AV Vertrag aber wie sieht es mit Vermittlern aus? Sendcloud besteht darauf, dass es ausreicht, wenn ich es in meiner Datenschutzerklärung erwähne und laut Sendcloud hätte das auch ein Anwalt bestätigt. Ich selber traue dem Ganzen aber irgendwie nicht, weil ich Sendcloud nicht als Paketdienstleister sehe sondern als Vermittler. Weißt du was genaueres darüber?
Grüße
Levent
Hallo Levent,
danke, ja mich freut’s auch, dass hier rege diskutiert wird. Sendcloud kannte ich bisher nicht. Ich hab kurz einen Blick darauf geworfen. Ich sehe es wie du. Sendcloud unterliegt keinem Gesetz, wie die Paketdienste und der Zweck ist die Verarbeitung von personenbezogenen Daten. Also aus meiner Sicht ein Auftragsverarbeiter.
Wo steht das, dass sogar ein Anwalt gesagt hat, sie seien kein AV? Ich hab dazu nichts gefunden. Wenn, dann würde mich die Begründung interessieren.
Viele Grüße
Regina
Diese Antwort habe ich zuerst von Sendcloud bekommen:
„Wenn Sie einen Onlineshop verwenden, dann werden Sie entsprechend Art. 13 DSGVO ja auch eine eigene Datenschutzerklärung auf Ihrer Webseite haben. SendCloud kann dann auf Basis des Art. 6 Abs. 1 lit. b DSGVO (zur Vertragserfüllung) genutzt werden.
Bitte weisen Sie in Ihrer eigenen Datenschutzerklärung darauf hin, dass Sie SendCloud einsetzen, z.B. mit folg. Text:
Der Versand erfolgt über das Versandportal „SendCloud“ (SendCloud GmbH, Kanalstr. 10, 80538 München). Gemäß Art. 6 Abs. 1 lit. b DSGVO geben wir Ihre Daten ausschließlich zum Zwecke der Abwicklung Ihrer Online-Bestellung an SendCloud weiter. Eine Weitergabe erfolgt nur, soweit dies für die Abwicklung tatsächlich erforderlich ist. Details zum Datenschutz bei SendCloud sind auf der Internetseite von SendCloud unter http://www.sendcloud.de/datenschutz/ einsehbar.“
Und nachdem ich geschrieben habe, dass ich Sendcloud eigentlich nicht bräuchte und sie eigentlich nur als vermittler dienen, also die Daten dann verarbeiten, gilt für mich Art.6 DSGVO nicht. Daraufhin kam:
„Guten Tag,
wir haben die Aussage welche ich Ihnen geschrieben habe, von einem Anwalt erhalten.
Wir müssen also aktuell bei dieser Aussage bleiben, und bieten keinen Auftragsdatenverarbeitungsvertrag an.
Falls sich dennoch etwas unsererseits ändern sollte, teilen wir dies unseren Kunden natürlich mit.“
Hallo Levent,
danke für die zusätzliche Information. Ich formuliere es mal vorsichtig. Das ist eine sehr kreative Interpretation, die sie da schreiben. Ich stimme dem nicht so ganz zu. Ich versuch’s mal kurz (? wenn möglich) zu erklären.
Artikel 6 (1) lit. b DSGVO gilt für dich, wenn du die Daten deiner Kunden verarbeitest. Wenn man sich den Artikel genau durchliest, muss das Vertragsverhältnis zwischen dem Auftragnehmer und der betroffenen Person sein, also zwischen dir und deinem Kunden. Das trifft bei dir zu. Du hast direkt ein Vertragsverhältnis zum Betroffenen, weil er von dir kauft.
Sendcloud hat das aber nicht. Sendcloud hat ein Vertragsverhältnis mit dir, aber nicht mit der betroffenen Person. Das heißt, Sendcloud hat bzw. muss in seinem Verfahren, dass es für dich zur Verfügung stellt, im Verfahrensverzeichnis keine Rechtsgrundlage angeben, weil es keine gibt. Auch das kennzeichnet z.B. einen Auftragsverarbeiter. Der Auftragsverarbeiter hat KEINE Rechtsgrundlage nach Art. 6 (1) DSGVO. Die gibt es nicht.
Sendcloud arbeitet als dein Vertragspartner auf deine Weisung, das alles kennzeichnet einen Auftragsverarbeiter.
Ich kann dir nur empfehlen, Sendcloud nicht als Dienstleister zu nutzen, solange sie sich nicht selber als Auftragsverarbeiter sehen. Sonst haftest du im schlimmsten Fall, weil du keinen AV Vertrag von ihnen bekommst.
Liebe Grüße
Regina
Hallo Regina,
das ist je ein toller Blog, viel Input, viel Hilfestellung, Klasse!
Ich hätte da auch mal ne Frage: Wir beschäftigen uns mit Akkreditierung für Konferenzteilnehmer. Wir bekommen Listen von dem Veranstalter mit Teilnehmerdaten/Gästen, diese Daten geben wir in eine Akkreditierungssoftware ein, die Gäste können sich dann in der Software online akkreditieren. Vor Ort drucken wir dann Teilnehmerausweise aus und übergeben diese an die Gäste. I.d.R. schließen wir einen AV Vertrag mit dem Veranstalter. Was aber ist mit den ebenfalls vom Veranstalter beauftragten Subdienstleister, die ihr Personal ebenfalls über diese Akkreditierung verarbeiten lassen wollen/sollen und die uns ihre Listen direkt zuschicken. Wer macht dazu mit wem eine Vertrag oder ist das nur eine Fachdienstleistung?
Vielen Dank für eine Hilfestellung hierzu.
Gruß
Münsterländer
Hallo Udo,
vielen Dank für deine Anfrage und das Lob. Freut mich, wenn der Blog Hilfestellung bietet.
Genau, das ist toll, dass ihr einen AV-Vertrag abschließt. Weitere Subdienstleister sind direkt im Vertragsverhältnis mit dem Veranstalter. Ich würde hier unterscheiden, um welche Subdienstleister es sich handelt.
– Wenn es sich um Personal für die Veranstaltung handelt (Catering, Security….), dann sehe ich die Verarbeitung der personenbezogenen Daten nicht als Kerntätigkeit und würde zwischen Veranstalter und Subdienstleister keinen AV sehen
– Wenn es sich bei den weiteren Subdienstleistern um Dienstleistungen handelt, die auch personenbezogene Daten verarbeiten (z.B. Kinderbetreuung mit Erfassung der persönlichen Daten der Kinder), dann muss ein AV Vertrag zwischen Veranstalter und Subdienstleister vorliegen.
Für euch sehe ich in keinem der beiden Fällen eine Auswirkung auf die Vertragsbeziehung der weiteren Subdienstleister. Der Veranstalter muss weitere Subdienstleister darüber informieren, dass aus organisatorischen (oder rechtlichen oder vertraglichen…..) Gründen die Daten der Mitarbeiter, (oder sonstiger Personen….) in eurer Akkreditierungssoftware gespeichert werden. Ebenfalls müsst ihr dort als zuständiger Auftragsverarbeiter genannt sein. Diese Information muss im Rahmen der Informationspflicht nach Art. 13 / Art. 14 DSGVO aufbereitet sein.
Als Service eurerseits könntet ihr dieses Informationsschreiben schon vorbereiten und den Veranstalter darauf hinweisen, dass er diese Information weiter kommunizieren muss an Mitarbeiter und weitere beteiligte Personen / Organisationen.
Ich hoffe, ich konnte dir damit weiterhelfen.
Viele Grüße
Regina
Guten Morgen,
erst einmal herzlichen Dank für die vielen hilfreichen Informationen, die ich bei Ihnen schon gefunden haben.
Leider finden ich für mein aktuelles Problem keine passende Antwort.
Ein kleiner Aufgabenbereich unsere Firma ist die Vermietung von Ferienwohnungen an der Ostsee. Wir treten dabei nur als Vermittler mit einer Buchungs-Internetseite auf, die Verwaltung, Vermietung u.s.w. ist bei uns.
Vor Ort gibt es Gästebetreuer, die für die Mieter während ihres Aufenthalts Anprechpartner sind, Schlüsselübergabe u.s.w.
Zur richtigen Betreuung der Mieter müssen wir diesen Gästebetreuern natürlich die Namen der Mieter mitteilen, Termine, Besonderheiten für die Appartements während der Mietzeit u.s.w. Dies geschieht über ein Servicetool, in dem die Betreuer die benötigten Daten selber abrufen könne.
Es stellt sich jetzt die Frage, ob mit den Gästebetreuern ein AV-Vertrag abgeschlossen werden muss. Ein Dienstleistungsvertrag ist natürlich abgeschlossen.
Ich war zunächst der Auffassung, das kein Vertrag nötig ist, da das Kerngeschäft der Betreuer die Betreung der Gäste ist und nicht die Verarbeitung der Daten.
Nachdem aber das Servicetool installiert wurde, wird diese Frage jetzt kontrovers diskutiert. Liege ich mit meiner Einschätzung noch richtig?
Vielen Dank und beste Grüße
Annette
Liebe Annette,
ja, das ist wirklich eine schwierige Frage. Hauptsächlich bezieht sich die aber jetzt auf die Installation des Service Tools, wenn ich das richtig verstehe.
Das heißt ihr als Unternehmen bietet die Software an. Das heißt, demnach wärt ihr ja der Auftragsverarbeiter und nicht die Gästebetreuer. Das sind grundsätzlich zwei verschiedene Konstellationen, wenn ich das richtig herausgelesen habe.
Für die Gästebetreuung sind die Gästebetreuer eure Dienstleister. Die Frage ist tatsächlich schwer, ob das Auftragsverarbeiter für EUCH sind. Wahrscheinlich würde ich auch zu keinem AV Vertrag tendieren. Wäre mir aber wirklich nicht 100% sicher. Abschließend könnte das ein Anruf bei der Behörde klären.
Auf der anderen Seite seit ihr der Auftragsverarbeiter für die Eigentümer. Wenn diese ebenfalls Zugriff auf das neue ServiceTool haben, dann sollten sie im eigenen Interesse mit euch einen AV-Vertrag abschließen.
Für die Gästebetreuer seit ihr wegen der Software keine Auftragsverarbeiter. Die Daten „gehören“ ja nicht den Gästebetreuern, sondern euch, bzw. den Eigentümern.
Viele Grüße
Regina
Schöne Zusammenfassung zur Frage Auftragsverarbeiter.
Ich denke hier wird es in Zukunft noch die eine oder andere Festlegung durch die Datenschutzbehörden, oder ggf. auch Gerichte geben. Mir ist es jetzt schon immer wieder begegnet, dass z.B. Labore, Steuerberater usw. sogar mit anwaltlichen Auslegungen und Bezug auf Standesrechte gegen die Rolle als Auftragsverarbeiter wehren.
Vielen Dank für die breite Zusammenfassung!
Dankeschön. Ja, ich denke auch (hoffe auch), dass sich hier noch einiges konkreter gestalten wird.
Wir sind hier auch regelmäßig mit der Behörde in Kontakt.
Hallo Regina,
meine Kunden (z. B. Instragrammer*innen oder Blogger*innen) können eine von mir bereitgestellte Adresse im Impressum nutzen, damit ich deren Post entgegennehmen und scannen, weiterleiten etc. kann, wenn sie darüber von Außen kontaktiert werden. Bin ich damit ein Auftragsverarbeiter?
Hallo Marcel,
ich hab mir deine Seite mal angesehen, was du genau machst.
So wie ich das interpretiere, würde ich schon sagen, dass du ein Auftragsverarbeiter bist, da du ja durch das Öffnen und Scannen der Briefe persönliche Daten von Dritten verarbeitest.
Damit du bei dieser Vorgehensweise im grünen Bereich bist, würde ich dir zusätzlich noch empfehlen, einen Standard bei der E-Mail Weiterleitung beim Kunden einzufordern. Eine Übertragungsverschlüsselung sollte normalerweise Standard sein, ist in der Praxis aber immer noch nicht durchgehend der Fall. Zudem sind aktuell 2 der 4 Protokolle als unsicher eingestuft. Daher solltest du das Thema zwingend mit den Kunden klären. Je nachdem, welche Post zu erwarten ist, wäre auch eine Inhaltsverschlüsselung optional zu bedenken.
Wenn du dazu noch Infos brauchst oder Fragen hast, melde dich gerne bei uns. Wir können dir auch mit einem AV Vertrag helfen, falls gewünscht.
Viele Grüße
Regina
Hallo,
bei uns im Unternehmen fertigen wir im Moment Mitarbeiterfotos an. Die Einwilligungen der Mitarbeiter liegen bereits vor.
Brauchen wir für den externen Fotograf, der die Fotos schließlich auch bearbeitet, ein AVV
Hallo!
Nein, ein Fotograf ist kein Auftragsverarbeiter. Einwilligungen sind ausreichend.
Viele Grüße
Regina Stoiber
Hallo,
vielen Dank für den informativen Beitrag. Handelt es sich bei Anbietern die ein Cookie-Tool bereitstellen (z.B. Cookiebot – https://www.cookiebot.com/de/) um einen Auftragsverarbeiter? Ist hier ein Auftragsdatenverarbeitungsvertrag von Nöten?
Viele Grüße
Hallo Leonie,
nein, der Anbieter ist kein Auftragsverarbeiter.
Die Einwilligung des Users bleibt lokal gespeichert und wird nicht zum Anbieter übertragen.
Viele Grüße
Regina
Handelt es sich um Auftragsverarbeitung, wenn man als Auftragsverarbeiter bereits gedruckte Briefe zur manuellen Konfektion an einen Subunternehmer weitergibt?
>> Postdienste sind lt. obigem Kommentar entweder eine Auftragsverarbeitung oder eine fremde Fachleistung und ein Postdienst händelt ja auch nur gedruckte Briefe. Ich bin verwirrt. Danke für Entwirrung. 🙂
Hallo Suza,
ich würde sagen ja, es handelt sich um einen Auftragsverarbeiter. Wenn eine Druckerei z.B. individuelle Briefe mit Adresse druckt, dann ist die Druckerei ein Auftragsverarbeiter. Wenn ich dich richtig verstehe, dann werden diese Briefe nun noch mal an einen Subdienstleister weiter gegeben.
Wenn es bei dieser manuellen Konfektion nur um das Frankieren bereits gedruckter und verpackter Briefe geht, könnte man evtl. argumentieren, dass es kein Auftragsverarbeiter ist. Aber ohne genau im Detail die Tätigkeit des Subdienstleisters zu kennen, würde ich fast sagen, es ist ein Auftragsverarbeiter.
Postdienst ist es ja nicht, da es sich nicht um die Zustellung handelt, sondern um das Erstellen der Post.
Liebe Grüße
Regina
Hallo Regina,
gedruckte personalisierte Briefe inkl. manuell zu kuvertierender Beilage und Kuvert werden an einen Sub übergeben zur Kuvertierung, Schließung und Frankierung. Es ist quasi die Weiterverarbeitung bereits erstellter Post. VG Suza
Wir haben gerade noch mal intern diskutiert. In diesem Fall ist die Aufgabe des Dienstleisters tatsächlich nicht die Verarbeitung personenbezogener Daten, sondern das kuvertieren.
Wir würden ihn dann nicht als Auftragsverarbeiter sehen.
Im AV Vertrag der Druckerei wäre es aber sinnvoll, darauf hinzuweisen, dass die Briefe an einen Dienstleister zur Kuvertieren übergeben werden und dieser auf die Vertraulichkeit verpflichtet wurde.
Um auf 100% Sicherheit zu gehen, kannst du bei der Behörde anfragen. Ich kenne dein Bundesland nicht, da hier auch unterschiedliche Auffassungen sind zum Auftragsverarbeiter (leider).
VG Regina
Ganz lieben Dank für die schnelle Antwort. Sachsen. VG Suza
Hallo Regina,
vielen Dank für Deine Ausführungen zur Auftragsverarbeitung versus gemeinsame Verantwortung bei der Datenverarbeitung. Sie haben mir sehr weitergeholfen.
Eine Kleinigkeit bleibt mir jedoch nach wie vor unklar.
Es geht um neue IT-Fachverfahren, die innerhalb eines Unternehmens angesiedelt werden. Eigentlich könnte man das Unternehmen als (Mit)-Verantwortlich bei der Datenverarbeitung einordnen, da das Unternehmen Zweck und Mittel der Datenverarbeitung mitbestimmt hat. Kann man die Geschäftsstelle als unabhängige IT Verfahrensverantwortliche betrachten und von restlichen Unternehmen losgelöst sehen? LG
Hallo Lina,
freut mich, dass der Artikel hilfreich war.
Ich bin mir nicht sicher, ob ich es richtig aus dem Text heraus lese. Das heißt, die neuen Verfahren werden durch ein weiteres Unternehmen durchgeführt.
Wenn das Unternehmen ein eigenes Interesse am Zweck hat, bzw. die Daten ohne Rückfrage beim Auftraggeber verarbeiten kann, also im eigenen Interesse, dann kann es durchaus eine gem. Verantwortlichkeit sein.
Falls die Mitbestimmung des Zwecks eher im Rahmen eines Consultings war, um den optimalen Ablauf / Prozess zu generieren, im Tagesbetrieb, der Verantwortliche für die Daten aber der Auftraggeber bleibt, wäre es Auftragsverarbeitung. Hat der Dienstleister tatsächlich ein eigenes Interesse an den Daten? „Braucht“ er die Daten, für seinen Geschäftszweck? Wenn ja, dann eher gem. Verantwortung. Ansonsten doch wohl eher Auftragsverarbeitung.
Viele Grüße
Regina
Hallo Regina,
das ist ja ein ganz toller und informativer Blog. Es werden in diesem Blog jede Menge „praxisnahe“ Problem erörtert. Super!!
Ich habe auch eine Frage 😉
Was ist mit freien Mitarbeitern, die für einen Makler tätig sind? Sie bekommen Interessentendaten um eine Immobilienvermittlung abzuwickeln.
Meiner Meinung nach ist das Auftragsverarbeitung und es muss ein Vertrag geschlossen werden. Liege ich da mit meiner Meinung richtig?
Schöne Grüße
Hartmut
Hallo Hartmut,
herzlichen Dank für die netten Worte. Freut mich, dass dir unser Blog weiter hilft. So soll es sein 🙂
Bezüglich Immobilienvermittler ist das nicht ganz eindeutig geregelt.
Wir hatten intern auch noch mal diskutiert. Grundsätzlich ist bei den Immobilienvermittlern nicht die Verarbeitung personenbezogener Daten die Kerntätigkeit. Wir tendieren eher dazu, dass Immobilienmakler keine Auftragsverarbeiter sind.
Leider sind sich bei der Beurteilung von Auftragsverarbeitern die Landesämter nicht immer einig. Um auf Nummer sicher zu gehen, empfehlen wir, direkt bei der zuständigen Behörde anzufragen. Deren Einschätzung ist dann auch für euch relevant.
Tut mir leid, dass ich dir kein Ja oder Nein zurück schreiben konnte.
Viele Grüße
Regina
Vielen Dank für Deine Antwort. Ich werde mich mal mit der Behörde in Verbindung setzen.
Viele Grüße
Hartmut
Hallo Frau Stoiber, hallo Regina.
Wow, toller Blog, mit vielen hilfreichen Praxisbeispielen und Antworten.
Hier ein weiteres Beispiel aus meinem Alltag:
Als selbstständige Grafikerin gestalte ich einen Flyer für eine Pizzeria mit Lieferdienst.
Auf dem Flyer steht der Name der inhabergeführten Pizzeria mit Anschrift, sowie alles mögliche an Kontaktinformationen wie E-Mail, Festnetz- und Mobilfunknummer.
Anschließend schicke ich die Druckdaten per E-Mail an eine Druckerei. Die Druckerei, die den Flyer produzieren soll, bietet keinen AVV an.
Soweit der Sachverhalt.
A) Muss ich mit dem Inhaber der Pizzeria einen AVV abschließen?
B) Ab welchem Informationsinhalt in Werbeanzeigen, ist ein AVV mit dem Anzeigenkunden nötig? Bspw. E-Mail > AVV nötig, kene E-Mail > keine AVV?
C) Muss ich mit der Druckerei einen AVV abschließen, auch wenn die Druckerei nichts dergleichen anbietet?
Das Problem bei C) ist dass ich ja nicht wissen kann, was die Druckerei noch so alles mit meinen zugesandten Druckdaten anstellt.
Das müsste die Druckerei ja eigentlich mir gegenüber in ihrem nicht vorhandenen AVV erklären und zusichern.
Denn ich kenne die Räumlichkeiten und Gessamtsituation der Druckerei vor Ort ja nicht und kann somit bspw. keinen konkreten AVV selber verfassen, den mir die Druckerei unterschreiben soll.
Ganz schon verwirrend das Ganze …
LG Silke
Hallo Silke,
danke für den Kommentar und das Lob für unsere Seite.
zu deinen Fragen:
A) Nein, mit der Pizzeria musst du keinen AV abschließen. Du verarbeitest ja keine Daten für sie im Auftrag. Was anderes wäre es, wenn die Pizzeria eine Kundendatei hätte und du Zugriff auf diese hättest. Dann könntest du z.B. personalisierte Mailings an die Kunden der Pizzeria verschicken. Somit würdest du im Auftrag der Pizzeria Daten verarbeiten. Das tust du aber nicht. Du hast ja nur die Daten der Pizzeria für die Werbung. Das ist keine Auftragsverarbeitung.
B) Ist eigentlich schon fast in Frage A) beantwortet. Wenn du persönliche Daten von Kunden oder Interessenten (…) DEINES Kunden verarbeitest. Egal ob für E-mail oder Post-Werbung oder sonstige Zwecke. Dann verarbeitest du im Auftrag (also im Namen deines Kunden) die Daten und bist Auftragsverarbeiter.
C) Wenn du diese Daten aus Frage B) an deine Druckerei weiter gibst, dann brauchst du einen AVV. Für den Fall A) sehe ich es nicht nötig, einen AVV zu schließen. Aber wenn du personalisierte Mailings deiner Kunden drucken lässt, würde ich einen AVV einfordern. Sollten sie das nicht machen, solltest du in Erwägung ziehen, die Druckerei zu wechseln.
Liebe Grüße
Regina
Schon eine Antwort. Vielen lieben Dank!
Ihr solltet in Erwägung ziehen ein PayPal-Kaffeekassen-Konto einzurichen. 😉
Sorry, mein Beispiel mit “E-Mail > AVV nötig?“ war eher unglücklich.
Ich meinte lediglich die abgedruckte E-Mail-Adresse als beispielhafte Angabe in Werbeanzeigen, also nicht für die Verwendung von personalisierten Mailings durch die Druckerei.
Du hast hier in einem Post vom “20. Mai 2018 at 6:30“ Thomas geantwortet, dass Visitenkarten im Bezug auf Druckereien eine Ausnahme bilden würden.
Worin besteht der Unterschied zwischen einer Visitenkarte und einem Flyer oder Briefbogen, wenn in allen Papieren der gleiche Informationsgehalt abgedruckt wird?
Oder meinst mglw. die elektronische Visitenkarten? Dann wär’s mir klar.
LG Silke
Das mit der Kaffeekasse ist eine tolle Idee. Sollten wir in Erwägung ziehen 🙂
Wenn ich mir eine Visitenkarte drucken lasse, bezieht sich der Inhalt auf meine Daten. Ebenso, wenn du mir Briefpapier entwirfst und druckst mit meinem persönlichen Briefkopf. Dann geht es nur um meine eigenen Daten.
Wenn auf dem Briefpapier dann allerdings noch Mailings an unsere Kunden gedruckt werden, dann wäre das Auftragsverarbeitung.
Beispiel Hotel:
Ein Hotel lässt sich von dir Briefpapier, Visitenkarten, Flyer… machen. Dann wäre das keine Auftragsverarbeitung. Wie du sagst, alles selber Informationsgehalt nur eigene Daten, nicht von Dritten.
Wenn das Hotel allerdings noch Weinhachtspost an seine Kunden erstellen möchte von dir mit fertiger Adresse, dann wäre das Auftragsverarbeitung. Hier würden dann Daten von Dritten im Auftrag verarbeitet.
Ich hoffe, der Unterschied kam besser rüber bzw. ich hoffe, ich hab deine Frage richtig verstanden.
LG Regina
Hallo Regina,
auch von mir ein Chapeau, tolle Seite, super aufbereitet. 🙂 Und Ihr Angebot, hier Fragen zu posten, ist auch wirklich klasse.
Wie soll es deshalb auch nun anders sein, auch ich habe eine datenschutzrechtliche Frage zur Auftragsverarbeitung, und ich werde aufgrund der Konstellation bei uns nicht ganz schlau daraus.
Wir setzen einen Interims-Manager (übernimmt Bereichsleitung, bis neuer fester Mitarbeiter gefunden) in einer Abteilung in unserer Firma ein. Hierfür wurde ein Beratungsvertrag geschlossen. Der Interims-Manager bekommt alle Arbeitsmittel gestellt (Notebook, Handy etc.) und greift damit auf die DV-Systeme zu. Im Rahmen seiner Tätigkeit verarbeitet er natürlich pbz. Daten der internen Mitarbeiter.
Ich persönlich denke zwar, dass wir eine AVV schließen müssen, nur der Punkt, dass der Interims-Manager ausschließlich unsere DV-Systeme nutzt, macht mich hinsichtlich der TOMs etwas unsicher.
AVV ja oder nein, was meinst Du?
VG Alex
Hallo Alexander,
erst einmal ein großes Entschuldigung, dass deine Frage „durchgerutscht“ ist. Tut mir leid, dass du so lange auf eine Antwort warten musstest. Deine Frage ist wirklich nicht ganz trivial. Wir haben das intern auch diskutiert.
Personaldienstleister sind generell keine Auftragsverarbeiter, aber wie ich das heraus lese, habt ihr direkt einen Beratungsvertrag mit dem Dienstleister abgeschlossen.
Du schreibst, er nutzt ausschließlich eure Systeme und ist quasi wie ein interner Mitarbeiter integriert.
Aufgrund dieser beiden Faktoren (ähnlich einem Personaldienstleister und behandelt, wie ein interner Mitarbeiter) tendieren wir dazu, dass der Berater kein Auftragsverarbeiter wäre. Um dich aber ganz abzusichern kannst du die Frage auch direkt an die Behörde richten.
Viele Grüße
Regina
Liebe Regina,
vielen Dank für Deine klare Aufarbeitung und Darstellung.
Wenn ich das richtig verstehe, wäre folgendes ein Beispiel für Auftragsverarbeitung und somit ein Datenverarbeitungsvertrag notwendig:
Wir sind ein kleiner Verein mit mehreren Vorstandsmitgliedern und haben u.a. eine Mitgliederliste mit den üblichen (für die Verarbeitung einer Mitgliedschaft notwendigen persönlichen Daten wie Adresse, Konto, …) aber auch Bilder von Vereins-Events mit Fotos von Einzelpersonen, etc.
Nur der Vorstand hat Zugriff auf diese Daten.
Wir haben Google Drive als Cloudanbieter gewählt um sicherzustellen, dass jedes Vorstandsmitglied mit den jeweils aktuellen Daten für den Verein arbeiten kann.
Google Drive „speichert“ diese Daten ja für uns. Ist demnach ein Datenverarbeitungsvertrag notwendig?
Oder reicht die EU-Datenschutzklausel?
Der Prozess mit Google Drive / Google Suite ist mir leider sehr unverständlich – evtl. hast Du hier Tipps oder eine einfache Anleitung?
Danke und Gruß
Rüdiger
Hallo Rüdiger,
ich möchte mich erst einmal entschuldigen, dass deine Anfrage jetzt erst beantwortet wird.
Google Drive ist das „Produkt“ bzw. die Cloud von Google selbst. Du kannst Google privat als auch geschäftlich nutzen.
Für private Zwecke reicht ein einfaches Google-Konto aus. Sofern du jedoch das Konto geschäftlich oder wie bei Euch im Verein nutzt, bietet Google dafür die Business-Version mit G-Suite an.
Durch den G-Suite-Zugang habt ihr die Möglichkeit mit Google einen AV-Vertrag zu schließen. In der kostenlosen Variante ist das leider nicht möglich. Allgemein kann ich dir mitteilen, dass kostenlose Cloud-Anbieter meistens für private Zwecke gedacht sind. Sofern du die Cloud-Dienste im geschäftlichen/dienstlichen Sinne nutzt, ist ein AV-Vertrag abzuschließen.
Es gibt zahlreiche Anbieter, welche jedoch allesamt als Auftragsverarbeiter eingestuft werden. Dabei ist es auch egal, ob diese Zugriff auf personenbezogene Daten haben oder nicht.
Vielleicht magst du dich ja auch nach einer einfacheren Alternative oder einem deutschen Cloud-Anbieter umsehen, bei dem der Ablauf nicht ganz so kompliziert ist?
Ich hoffe, ich konnte dir mit meiner Antwort ein wenig weiterhelfen.
Liebe Grüße
Jasmin
Hallo Regina
vielen Dank für Informationsquellen wie diese. Das DSGVO Thema bleibt spannend aber manchmal ist es leider zu schwammig um gezielt eine Entscheidung wie im Falle der Auftragsverarbeiter zu treffen. Ein Kunde möchte mit uns einen AV abschließen da wir die Wartungen und Reparaturen an seinen Druckern und Multifunktionsgeräten durchführen. Unser Kunde argumentiert damit das der Techniker vor Ort im Zuge der Reparatur eventuell personenbezogene Daten sehen könnte. Für mich stellt sich nunaber die Frage ob die Reparatur anfürsich der eigentliche Auftrag unseres Mitarbeiters darstellt und wir die am Gerät ersichtlichen Daten nie in irgendeiner Form automatisiert weiterverarbeiten. Also keine AV vorliegt und obwohl ein Drucker oder kopierer sicher auch zu einer Datenverarbeitungsanlage gezählt werden kann, ist doch glaube ich der User der einen Brief oder ein Angebot an den Drucker gesendet hat als Verarbeiter. Natürlich könnte ich nun den AV erstellen und gut ist, aber ich möchte keine „unnötigen“ Verträge aufsetzten bei denen ich nicht ganz sicher sein kann. Über Deinen Input würde ich mich freuen, vielen herzlichen Dank
Hallo Sascha,
danke für deine Anfrage.
Das Thema ist uns bei unseren Kunden auch bekannt. Die Aufsichtsbehörden haben in Ihren Papieren definiert, dass IT-Dienstleister (u.a. auch eure Sparte) als Auftragsverarbeiter zu sehen sind. Ihr geltet als Auftragsverarbeiter, da auf den Geräten, die ihr repariert oder zurück nehmt, personenbezogene Daten gespeichert sind. Aus unserer Sicht ist das eine ziemlich allgemeine Vorgabe und an manchen Stellen fast etwas weit hergeholt. Trotzdem empfehlen wir euch, einen AV vorzubereiten und euren Kunden auf Wunsch anzubieten, damit ihr und euer Kunde auf der sicheren Seite seit.
Ich geb dir recht, das ist fast ein wenig „too much“, aber besser, als Kunden zu verlieren oder Bußgelder zu bekommen.
Herzliche Grüße
Regina
Hallo Frau Stoiber,
das Thema Datenschutz macht mich langsam verrückt.
Wir Beschäftigen einige Honorarkräfte die für uns Kundenbesuche vornehmen. Dazu händigen wir diesen Kräften eine Liste mit den Kundendaten aus. Basierend darauf führen diese dann Hausbesuche durch.
Muss ich mit den Honorarkräften ein entsprechenden vertrag zur ADV abschließen?
Diese Frage stelle ich mir schon seit Tagen, da die Honorarkräfte ja durch die ausgehändigte Liste personenbezogene Daten „verarbeiten“.
Die Aufgabe der Honorarkräfte ist es die Kunden zu beraten.
vielen Dank im voraus und herzliche Grüße
Stefan
Hallo Herr Torf,
ich würde das ähnlich sehen zu den Handwerkern. Auch diese benötigen Kontaktdaten der Kunden, um dort ihre Tätigkeit durchführen zu können. Trotzdem sind Subdienstleister von Handwerkern keine Auftragsverarbeiter, da die Kernaufgabe keine Verarbeitung personenbezogener Daten ist.
Sie schreiben, deren Aufgabe ist die Beratung. Allerdings kommt es jetzt darauf an, welche Beratung. Geht’s es um persönliche Beratung, wie Thema Ausbildung, Beruf, Fortbildung… Dann sehe ich die Kerntätigkeit schon in der Verarbeitung personenbezogener Daten und ein AV Vertrag wäre nötig. Geht es um die Beratung zur Energieeinsparung rund um’s Haus (z.B.), dann würde ich sagen, dass es sich um keinen Auftragsverarbeiter handelt.
Das wäre meine Vorgehensweise zur Entscheidung. Um ganz sicher zu sein, müssen Sie ihr zuständiges Landesamt für Datenschutz anfragen. Leider gibt es da auch unterschiedliche Auffassungen.
Ich hoffe, das hilft Ihnen trotzdem weiter.
Viele Grüße
Regina Stoiber
Hallo Frau Stoiber,
vielen Dank für Ihre Antwort.
Konkret geht es um einen Besuchsdienst für Neugeborene. Unsere Honorarkräfte besuchen Familien mit Neugeborenen um diese über die aktuellen Angebote im Stadtgebiet zu unterrichten und geben nützliche Tipps für den Umgang mit dem Säugling.
herzliche Grüße
Stefan Torf
Solange das ohne Verarbeitung persönlicher Daten gemacht wird, würde ich von einem AV absehen.
Hallo Regina,
vielen Dank für diesen Artikel, welcher für mich sehr hilfreich ist!
Ich hätte trotzdem noch ein bißchen Klärungsbedarf, bzw. würde mich Deine Meinung interessieren.
Apotheken sind nach §300 SGB V Abs. 1 lit. 2) dazu verpflichtet die Rezepte der Kunden über die Krankenkassen abzurechnen. Hier liegt meines erachtens die Notwendigkeit eines AVV nicht vor. Die Apotheken haben hier keine eigene Entscheidungbefugnis über die Weitergabe der Daten, desweiteren gibt es hier auch eine zusätzliche und rechtliche Regelung/Grundlage für die Krankenkassen.
§300 SGB V Abs. 2 trifft zusätzlich die Aussage, dass die Apotheken hierzu ein Apothekenrechenzentrum mit einbeziehen kann und erlaubt somit die rechtliche Grundlage für das Einbeziehen dieser Dienstleistung, bzw. die Verarbeitung der Daten durch Dritte.
Da es aber laut Gesetz eine „kann“ Bestimmung ist und somit auf freiwilliger Basis beruht würde ich jetzt sagen das hier ein AVV zwingend erforderlich ist und dieser Paragraph kein „Freifahrtsschein“ ist – im Sinne ein Apothekenrechenzentrum ist für die Verarbeitung von Rezepten ganz klar kein Auftragsverarbeiter, wie es viele in Foren/Blogs/usw. behaupten.
Wäre meine Auffasung zu diesem Sachverhalt richitg oder haben Sie eine andere Sicht/Auffasung?
Zusätzlich – Wie wäre hier die gesetzliche Sicht für die privaten Krankenkassen, denn das Gestz bezieht sich nur auf die Begrifflichkeit „Krankenkassen“ – bedeutet das gesetzliche- und private Krankenkassen. Muss ich hier einen AVV mit den jeweiligen privaten Krankenkassen abschließen?
Viele Grüße
Andreas
Guten Morgen Andreas,
danke für die ausführliche Darlegung des Sachverhalts.
Nach unserer Einschätzung und der Liste des BayLDA liegt für Apothekenrechenzentren nach § 300 SGB V eine Auftragsverarbeitung vor. Das bedeutet ein Auftragsverarbeitungsvertrag ist zu schließen. Somit ist Ihre Einschätzung damit völlig richtig.
Bei den Begrifflichkeiten zu Krankenkassen gehe ich davon aus, dass beide Möglichkeiten, privat sowohl als auch gesetzliche Krankenkassen gemeint sind. Die privaten und gesetzlichen Krankenkassen sind ja ebenfalls im SGB V beschrieben. Unserer Auffassung nach muss mit den privaten Krankenkassen kein Auftragsverarbeitungsvertrag geschlossen werden.
Viele Grüße
Jasmin
Vielen lieben Dank für Ihre wirklich schnelle Antwort!
Liebe Grüße =)
Hallo Regina,
vielen Dank für deine viele Arbeit und Mühe!
Ich hätte folgende Frage:
Ich möchte gerne nebenberuflich PC-Reparaturen, Software-Updates usw. für Kunden durchführen. Werbung hierfür mache ich per Zeitungsanzeige unter Angabe meiner Telefonnummer und Email-Adresse. In erster Linie für Privatkunden. Homepage habe ich derzeit keine. Jetzt bin ich jedoch total verunsichert was in Sachen Datenschutz (& ggf. Haftungsausschluss) zu tun habe.
In der Regel werden die Kunden mir die Rechner vorbei bringen, damit ich die Arbeit zu Hause erledigen kann.
Bei z.B. einem Windows-Update hätte ich ja Zugriff auf sämtliche Daten des Kunden. Eine Weitergabe der Daten durch mich findet natürlich nicht statt. Lediglich die Rechnungen werde ich turnusmäßig meinem Steuerberater zur Steuererklärung geben müssen.
Ich hoffe Sie können mir helfen.
Vielen Dank!
Freundliche Grüße
Andreas
Hallo Andreas,
danke für dein Feedback.
Auf jeden Fall wärst du als PC-Dienstleister Auftragsverarbeiter für Geschäftskunden (nicht für Privatkunden). Ich würde einen AV-Vertrag an deiner Stelle vorbereiten.
Ansonsten ist es sinnvoll, mal alle „Verfahren“ zusammen zu stellen, bei denen personenbezogene Daten bei dir verarbeitet werden. Daraus kannst du dann ableiten, ob du der Meinung bist, die Daten sind adäquat geschützt oder du müsstest noch was tun. Dabei kann sich auch herausstellen, dass du z.B. für Werbung eine Einwilligung deiner Kunden brauchst.
Auch solltest du für dich eine Übersicht deiner technischen und organisatorischen Schutzmaßnahmen zusammen stellen (brauchst du ja auch für den AV Vertrag).
Auch wenn’s Werbung ist, wäre alles kompakt in meinem DSGVO Onlinekurs zusammen gefasst 🙂
Gerne aber auch noch mal ein Kommentar zu unseren Blogartikeln.
Viele Grüße
Regina
Hallo Regina,
vielen Dank für die schnelle Antwort. Den Online-Kurs werde ich mir auf jeden Fall ansehen.
D.h. bei Privatkunden entfällt das ganze mit dem AV-Vertrag? Ist dann bei Privatkunden sonst was nötig in Sachen Datenschutz?
Vielen Dank!
Freundliche Grüße
Andreas
Hallo Andreas,
genau, bei Privatkunden entfällt der AV-Vertrag. Allerdings brauchst du eine Informationspflicht nach Art. 13 / 14 DSGVO: https://regina-stoiber.com/2018/03/03/informationspflicht-dsgvo-bdsg-neu/
Die benötigst du allerdings für Privat- und für Geschäftskunden. Kann aber sein, dass die sich etwas unterscheiden. Das liegt an deinen Prozessen. Daher macht es Sinn, erst das Verfahrensverzeichnis zu erstellen und daraus dann die Informationspflicht abzuleiten.
Wenn du Werbung versenden möchtest, brauchst du eine Einwilligung des Kunden.
Wenn du selber Subdienstleister hast, benötigst du von denen einen AV Vertrag oder von eigenen Mitarbeitern eine Geheimhaltungsvereinbarung (Verschwiegenheitspflicht).
Ganz grob mal die Punkte auf die Schnelle zusammen gefasst.
Viele Grüße
Regina
Hallo Regina,
vielen herzlichen Dank nochmal für Ihre Tipps! Sobald ich mein Chaos strukturiert habe komme ich wieder auf Sie zu 🙂
Ich wünsche Ihnen eine schöne Weihnachtszeit!
Viele Grüße
Andreas
Vielen Dank für das nette Feedback! Erholsame Feiertage und frohe Weihnachten!
31.12.2019
Sehr geehrte Frau Stoiber,
vielen Dank für Ihre interessante internetseite. Wie beurteilen Sie folgenden Fall: Ein Bestattungsunternehmen, das für die Beerdigung zuständig ist, gibt einen Trauerkranz in fremden Namen (nämlich den Angehörigen des Verstorbenen) einem Floristikunternehmen in Auftrag. Der Kranz soll eine Schleife mit der Aufschrift „In stiller Trauer Franz und Erika“ haben. Muß zwischen dem Bestattungsunternehmen und dem Floristikunternehmen ein AVV abgeschlossen werden, wenn die Rechnung von dem Floristikunternehmen auf den Namen der Angehörigen ausgestellt wird und das Bestattungsunternehmen die Rechnung an die Angehörigen weiter gibt, ohne selber eine Vergütung zu verlangen? Über eine Antwort auf meine Frage würde ich mich freuen. Mit freundlichem Gruß Werner
Guten Tag,
vielen Dank für das Feedback und die Frage.
Nein, hier würde ich keine Auftragsverarbeitung sehen.
Viele Grüße
Regina Stoiber
Sehr geehrte Frau Stoiber,
vielen Dank für diesen interessanten Artikel. Ich habe nicht alle Kommentare gelesen, aber ich habe eine Frage:
Wie sieht es mit verschlüsselten Daten aus? Man bietet eine SaaS-Lösung an und die Daten sind komplett verschlüsselt und nicht lesbar (außer für den Kunden). Somit kann weder ein Personenbezug, noch ein Datum in irgendeiner Weise ausgelesen werden.
Man stellt lediglich die Software inkl. Infrastruktur zur Verfügung mit der die Daten verarbeitet werden.
Natürlich werden User der Kunden verarbeitet, aber dabei handelt es sich um eine eigene Verarbeitung (Zuweisung Lizenzen).
Vielen Dank für Ihre Frage.
Die umgesetzten Schutzmaßnahmen entscheiden nicht darüber, ob es sich um eine Auftragsverarbeitung handelt oder nicht.
Wenn in Ihrem Fall der Dienst, den Sie als Unternehmen anbieten, personenbezogene Daten verarbeitet (selbst, wenn nur Ihr Kunde diese eingibt und sehen kann), sind Sie trotzdem Auftragsverarbeiter.
Ich hoffe, das hilft Ihnen. Gerne können Sie sich melden, falls Sie noch weitere Fragen dazu haben.
Guten Morgen Regina,
ein schöner und ausführlicher Artikel – Danke dafür!
Ich möchte mich einmal direkt an Dich wenden und ein Paar Fragen mit Dir erörtern, bzw. gerne klären.
Nach BGB, ich glaube ab § 126 oder so, ist bei einem Vertrag eine Unterschrift beider Parteien in handschriftlicher oder zertifizierter, digitaler Form zu leisten. Erst nachdem beide Vertragspartner unterschrieben haben ist der Vertrag rechtskräftig und gültig.
1. Frage: wann ist eine digitale Unterschrift zertifiziert, bzw. rechtskräftig. Kann ich das prüfen – wie hat man sich hier zu verhalten?
2. Frage: Muss ein AVV von mir dann immer Unterschrieben zurückgesendet werden, wenn ich nicht der Auftragsverarbeiter bin?
Nur mit einem rechtskräftig und gültigen AVV kann ich mich ja meiner Verantwortung nach der DSGVO („entziehen“) und trete diese an den Auftragsverarbeiter ab, welcher mir durch den geschlossenen Vertrag die Einhaltung und die Umsetzung der TOM’s im Umgang mit der DSGVO und mit den von mir zur Verfügung gestellten personenbezogenen Daten ja auch garantieren muss.
Natürlich entbindet mich das nicht gänzlich von meiner Verantwortung und meiner Verpflichtung, auch muß ich die Einhaltung der schriftlichen Vereinbarung regelmäßig überprüfen!
3. Frage: wann ist ein AVV nach DSGVO rechtskräftig und gültig. Hier geht es mir lediglich um die Unterzeichnung beider Parteien und den damit verbundenen Umgang mit den zu leistenden Unterschriften – in Bezug auf die Rechtskräftigkeit, in digitaler oder handschriftlicher Form.
Ein einseitig Unterschriebender Vertrag wäre ja nicht rechtskräftig und würde der zuständigen Landesdatenschutzbehörde verständlicher Weise ja auch nicht ausreichen.
Ich würde mich über eine Antwort von Dir sehr freuen und bedanke mich für deinen Einsatz in diesem sehr spannenden Komplexen Thema!
Gruß Andreas
Gute Tag,
ich habe in einer dieser Beiträge gelesen, dass Personalvermittler nicht als Auftragsverarbeiter zu werten sind.
Gilt das auch für Personalberater, die selbst Interviews bzw. Psychoprofile mit potentiellen Kandidaten durchführen?
Und falls nicht, mit welchen Argumenten?
Vielen Dank.
LG Manuela.
Hallo Manuela,
danke für deine Frage.
Ich bin mir nicht ganz sicher, was genau du unter „Personalberater“ verstehst. Hier meine zwei möglichen Interpretationen mit Antwort:
1) Personalberater, der vom Unternehmen beauftragt wurde, um interne Kräfte zu analysieren und zu coachen. Hier ist klar die Vorgabe, dass es im Auftrag des Unternehmens und nach dessen Weisung geschieht. Das wäre in meinem Verständnis eine Tätigkeit als Auftragsverarbeiter.
2) Personalberater im Sinne von Recruiter, die vom Unternehmen den Auftrag erhalten, Bewerber für eine bestimmte Position zu finden. In diesem Fall agiert der Personalberater nicht auf Weisung, sondern entscheidet selber, wie er / sie den passenden Kandidaten ausfindig macht und analysiert. Hier sehe ich keine Tätigkeit als Auftragsverarbeiter.
Ich hoffe, das hilft weiter.
Viele Grüße
Regina
Hallo Regina, erstmal vielen Dank für diese tolle Seite. Es ist mit das Beste was ich im Internet gefunden habe. Und das nicht nur deswegen, weil es praxisorientiert ist und sich nicht einfach nur abgehoben an Paragraphen abarbeitet.
Wir haben eine knifflige Frage:
Wir führen im Fehlerfall technische Fernwartung für eine durch uns geschriebene Software durch. Diese wird beim Kunden und durch den Kunden betrieben. Der Kunde kann damit im Zweifel auch personenbezogenen Daten verarbeiten, allerdings ist dies nicht der primäre Zweck der Software, sondern nur eine der vielen Möglichkeiten des Einsatzes (ähnlich einer Datenbank in der man alles speichern kann, eben auch personenbezogene Daten).
Für die technische Fernwartung stellt der Kunde uns eine VPN Verbindung zur Verfügung. Als Leistung sorgen wir allerdings nur dafür, dass das System technisch einwandfrei funktioniert falls mal ein Fehler auftritt. Dabei besteht die Möglichkeit, dass wir mit personenbezogenen Daten in Kontakt kommen.
Der Kunde meint wir müssten eine DSFA erstellen, da wir Auftragsdatenverarbeiter sind.
Unsere Meinung ist, dass wir zwar ADV sind, aber im Zweifel nicht wir sondern der Auftraggeber eine DSFA erstellen müsste.
Ich wähle hier wieder die Analogie mit dem Hersteller einer Datenbank der das Datenbanksystem und die technische Wartung dafür liefert, aber nicht für die Daten darin verantwortlich ist. Bei diesem kann doch auch nicht davon ausgegangen werden, dass er für jeden denkbaren Anwendungsfall eine DSFA erstellt, oder doch?
Frage 1: Wer muss hier die DSFA erstellen? Wir oder unser Auftraggeber? Wir sind der Meinung dies ist in dem dargestellten Szenario der Auftraggeber.
Frage 2: Müssen wir vielleicht eine „Teil-DSFA“ erstellen, weil wir Fernwartungszugriff auf die Daten haben, oder muss dies Teil der „Gesamt-DSFA“ sein die durch den Auftraggeber zu erstellen ist (und bei dem wir ihn natürlich gern unterstützen können)?
Ich konnte keine eindeutige Regelung zu diesem Szenario finden. Insgesamt scheint es mir ein Abgrenzungsprobem zu sein.
Ich wäre Dir wirklich super dankbar, wenn Du – oder auch gern jemand anderes sachkundiges – einen Hinweis geben könnte.
Viele Grüße und schon mal danke im Voraus.
Drew.
Hallo Drew,
😘 erst mal Danke für das tolle Feedback zu unserer Seite und den Inhalten. Wir geben uns Mühe 🙂
Genau, Auftragsverarbeiter seit ihr auf alle Fälle, wenn ihr per Fernzugriff auf das System des Kunden zugreift. Also muss der Kunde mit euch einen AV Vertrag abschließen. Aber das passt ja soweit.
Ob eine DSFA überhaupt notwendig ist, liegt erst mal darin, ob ein Restrisiko für den Betroffenen (also dessen personenbezogene Daten gespeichert werden), vorliegt. Da du sagst, die Verarbeitung personenbezogener Daten ist nicht der primäre Zweck der Software, gehe ich davon aus, es handelt sich um kein Produkt, das extrem kritische Daten der Benutzer verarbeitet (z.B. Gesundheitsdaten).
Wäre das der Fall, dass aufgrund der Daten die Verarbeitet werden (z.B. Gesundheitsdaten oder Geolokalisierung von Betroffenen) ggf. ein Risiko bestehen könnte, wäre eine DSFA durchzuführen.
Die DSK hat hier eine Blacklist mit Verfahren, für die ggf. eine DSFA durchzuführen ist.
Wenn der Zweck der Software z.B. die Steuerung von Maschinen ist und ihr die Logindaten der User erfasst, dann sehe ich erst mal keine Notwendigkeit einer DSFA. Aber diese Aussage ist natürlich nicht verbindlich, da ich das gesamte Szenario nicht kenne.
Nun aber zu deinen eigentlichen Fragen. Wer ist für die DSFA zuständig. Grundsätzlich muss der Verantwortliche für die Verarbeitung die DSFA erstellen. Was in eurem Fall der Auftraggeber ist. ABER (jetzt kommt’s), er kann ja nur die Risiken in einer DSFA analysieren, die er selber bewerten kann. Da ihr die Software kennt und ggf. Risiken aufgrund der Architektur und Programmierung (…) kennt, die der Kunde gar nicht kennen kann, müsst ihr bei der DSFA mitarbeiten.
Unsere Kunden, die Software herstellen, die besonders schützenswerte Daten nach Art. 9 DSGVO verarbeitet, erstellen eine DSFA für den von ihnen zu bewertenden Teil. Diesen Teil stellen sie den Kunden zur Verfügung. Der Kunde kann die DSFA dann mit seinen eigenen Risiken ergänzen. Das wäre dann die Teil DSFA, die du ansprichst. Allerdings sehe ich hier nicht das Risiko des Fernzugriffs von euch zu bewerten, sondern wie schon angesprochen, die Software selber. Also den Teil, den der Kunde gar nicht bewerten kann. Der Fernzugriff liegt ja in der Regel wieder in der Hand eures Kunden. Es liegt an ihm, wie er die Firewall und sonstige Rechte konfiguriert. Daher muss er diese Risiken bewerten, nicht ihr als Kunde.
Ich hoffe, das hilft dir schon mal weiter.
Ob überhaupt eine DSFA notwendig ist, liegt konkret im Verfahren, um das es geht. Also welche Daten sind betroffen und wie werden die verarbeitet. Liegt ein mögliches Restrisiko vor? Wenn ja, dann ist eine DSFA notwendig!
Viele Grüße
Regina
Hallo Regina, vielen Dank für das wie immer gute Feedback.
Für mich bleibt allerdings als Kernfazit, dass
a) der Auftraggeber verantwortlich für die Erstellung der DSFA ist, und
b) er in im Zweifel in Dingen die unsere Software betreffen auf unsere Mithilfe bei der Erstellung angewiesen ist.
Es bleibt dabei, dass er in der Verantwortung ist und die Erstellung in unserem Beispiel nicht einfach auf uns abwälzen kann.
In dieser Konstellation ergibt dies für mich auch alles Sinn.
Besten Dank nochmal. Ich hoffe dieser Eintrag hilft auch anderen.
Viele Grüße
Drew
Hallo,
vielen Dank für den ausführlichen Beitrag. Für jemanden, der den Datenschutz frisch erlernt, ist sowas sehr hilfreich. Eine Frage zu den Unterauftragnehmern stellt sich mir allerdings noch.
Wenn ich z.B. Tätigkeit A mit 3 Subunternehmen habe und Tätigkeit B mit 2 anderen Subunternehmen. Kann ich dann als Dienstleister einen einheitlichen AVV für Tattigkeit A+B mit 5 Subunternehmen verfassen – oder müssten hier 2 verschiedene AVVs erstellt werden?
Mit freundlichen Grüßen
Andi
Hallo Andi,
grundsätzlich kannst du beide Tätigkeiten in einem AV bündeln. Das heißt, du hast dann auch alle 5 Subunternehmern drin stehen. Zum besseren Verständnis würde ich aber die Subunternehmer der Tätigkeit A oder B zuordnen.
In der Leistungsbeschreibung steht dann ja (zusätzlich zum AV), welche Dienstleistung der Kunde von euch erhält.
VG Regina
Hallo!
Danke für die guten Tipps!
Ich würde gern wissen, ob ich als Trainer einen AV ausfüllen muss, wenn ich von einem Weiterbildungsinstitut mit einem Training beauftragt werde und zu diesem Zwecke die Namen der Teilnehmer erhalte.
Das ist mir unklar. Außer für die Anwesenheit und Zertifikatserstellung nutze ich die Daten ja nicht weiter.
Danke vorab.
Viele Grüße
Britta
Hallo Britta,
Trainer, die „nur“ die Teilnehmerliste erhalten und sonst keine personenbezogenen Daten, sehe ich nicht als Auftragsverarbeiter.
Viele Grüße
Regina
Hallo,
Danke für den Informativen Artikel.
Bezugnehemend auf eine Nachfrage von Leonie am 31.07.2019:
>> Handelt es sich bei Anbietern die ein Cookie-Tool bereitstellen (z.B. Cookiebot – https://www.cookiebot.com/de/) um einen Auftragsverarbeiter?
>> Ist hier ein Auftragsdatenverarbeitungsvertrag von Nöten?
> nein, der Anbieter ist kein Auftragsverarbeiter.
> Die Einwilligung des Users bleibt lokal gespeichert und
> wird nicht zum Anbieter übertragen.
In diesem Zusammenhang gibt der Anbieter Cookiebot auf seiner Website selbst folgendes an:
(https://www.cookiebot.com/de/privacy-policy/)
„Endnutzer-Daten“
Daten, die von Endnutzern generiert werden, die Ihre Website/Webseiten besuchen, die den Dienst nutzen. Wenn ein Endnutzer eine Zustimmung auf Ihrer Website/Ihren Webseiten abgibt, werden die folgenden Daten automatisch bei Cybot protokolliert:
* Die IP-Nummer des Endnutzers in anonymisierter Form (die letzten drei Ziffern werden auf ‚0’ gesetzt).
* […]
* Der Einwilligungsstatus des Endnutzers, der als Nachweis der Zustimmung dient.
Wie ist in diesem Lichte die Aussage zur Auftragsdatenverarbeitung zu sehen?
Viele Grüße
Hallo Frau Stoiber,
vielen Dank für den tollen Artikel.
Ist eine Firma, die für ein Unternehmen einen E-Learning Kurs durchführt, bei dem Lerndaten, Name, E-Mail, IP Adresse, Lernhistorie usw. gespeichert werden ein Auftragsverarbeiter, wenn der E-Learning Anbieter und das Unternehmen sich auf Artikel 6 DSGVO berufen und es einen Vertrag gibt? Wäre das anders, wenn vom E-Learning Anbieter eine Einwilligung der Lernenden eingeholt wird, dass alle am Trainingsprozess Beteiligten die (Lern-)Daten erhalten sollen? Vielen Dank!
Hallo Herr Schmidt,
danke für die Anfrage.
Aus meiner Sicht ist der eLearning Anbieter auf jeden Fall ein Auftragsverarbeiter, da er vom Unternehmen beauftragt wurde. Der Unternehmer nutzt das Tool, um seine Mitarbeiter fortzubilden, also hat der Mitarbeiter ja nicht die Wahl, welchen Toolanbieter er nutzen möchte. Der Mitarbeiter macht die Fortbildungen im Auftrag seines Unternehmens, oder? Daher sehe ich auf jeden Fall die Auftragsverarbeitung.
Anders wäre es, wenn der Mitarbeiter und Sie als Toolanbieter direkt eine Rechtsgrundlage der Verarbeitung eingehen würden. Das tuen sie aber nicht. Die Rechtsgrundlage nach Art. 6 DSGVO bezieht sich nur zwischen dem Unternehmen und dem Mitarbeiter. Sie als Schulungsanbieter haben mit den Mitarbeiter keine Rechtsgrundlage der Verarbeitung der Daten. Das ist auch ein Zeichen für eine Auftragsverarbeitung.
Ich hoffe, das hilft Ihnen weiter. Wenn nicht melden Sie sich auch gerne direkt bei uns für Rückfragen.
Herzliche Grüße
Regian
Hallo Frau Stoiber,
vielen Dank für diese tolle, außerordentlich fundierte und überaus hilfreiche Webpräsenz!
Beim Thema der VERNEINUNG von Auftragsverarbeitung (AV) habe ich bisher weder im DSK-Papier noch bei der Bitkom den Hinweis mit „E-mail Providern, die nur die E-mail Übermittlung sicherstellen und keine weiteren Funktionen anbieten“ finden können.
Wenn derartige E-Mail-Provider jedoch kein Auftragsverarbeiter sind, was sind sie dann? Die Übermittlung von Mails (samt darin enthaltender personenbezogener Daten) ist ja per se eine Verarbeitungstätigkeit, die der Provider ausführt, ohne aber Entscheidungsbefugnisse hinsichtlich der Datenerhebung und -nutzung zu haben, richtig?. Hat nicht vielmehr der Nutzer des E-Mail-Dienstes dann auch die maßgebliche Hoheit über Mittel und Zwecke der Verarbeitung, was eben für AV sprechen würde?
Da ich nicht davon ausgehe (bitte korrigieren Sie mich aber gerne!), dass Sie Joint Controllership gem. Art. 26 DSGVO für diese Konstellation als einschlägig erachten, folgende Frage: Handelt es sich aus Ihrer Sicht bei derartigen E-Mail-Providern um eine Aufgabenverlagerung (alt nach BDSG: „Funktionsübertragung“)?
Vielen Dank und herzliche Grüße, Jan S.
Lieber Jan,
vielen Dank für Ihre Frage.
Meines Wissens war die Entscheidung für reine E-Mail Provider ähnlich begründet, wie bei Telefonanbieter. Auch die entscheiden über Mittel und Zweck, sind aber keine Auftragsverarbeiter. Hier entfällt die AV, da sie in diesem Fall als Telekommunikationsanbieter gelten und damit deren gesetzlichen Anforderungen unterliegen. Hier wiegen die gesetzlichen Anforderungen weitaus höher, als die des Datenschutzes, daher entfällt die Auftragsverarbeitung.
Das wäre vergleich mit den Steuerberatern. Auch die sind durch ihre gesetzlichen Anforderungen an hohe Standards der Informationssicherheit gebunden. Damit entfällt die Auftragsverarbeitung.
Wir suchen noch den Link zu der Entscheidung, dass reine E-Mail Provider keine Auftragsverarbeiter sind und ergänzen ihn.
Ich hoffe, das hilft Ihnen weiter.
Herzliche Grüße
Regina Stoiber
Liebe Regina, vielen Dank für die schnelle, umfassende und nachvollziehbare Antwort! Die entsprechende Entscheidung wäre eine extrem wertvolle Ergänzung, über die ich mich außerordentlich freuen würde. Wie immer allerherzlichsten Dank für diesen Wissenstransfer. Liebe Grüße, Jan S.
Hallo Frau Stoiber,
wie sieht es bei folgenden Fall aus? Leider ist das BayLDA aus Kapazitätsgründen nicht bereit, seine Meinung zu äußern.
Vermietung der Berufskleidung durch unseren Kunden mit Personenbezug beim Auftraggeber (Name, Vorname, Größe (evtl. Bestimmung durch Ausmessen der Körperpartien), Kürzungen und Verlängerungen an der Berufskleidung, Eintrittsdatum des Mitarbeiters, Austrittsdatum des Mitarbeiters, evtl. Pausieren der Dienstleistungen durch lange Abwesenheiten des Mitarbeiters, bei persönlicher Schutzausrüstung PSA Ermittlung der Waschhäufigkeit und im Hygienebereich auch Ermittlung der Tauschhäufigkeit der Mitarbeiter und Waschzyklen der Kleidung auf Wunsch des Kunden)
Hierbei werden die personenbezogenen Daten automatisiert mit einer Software für die Abrechnung und Produktionssteuerung und durch Sortieranlagen verarbeitet. Der eigentliche Kern ist Gegenstand ist das Vermieten von Berufskleidung mit dem Ziel den Mitarbeitern der Kunden die Berufskleidung passend von der Stückzahl, zum richtigen Zeitpunkt und für jeden Mitarbeiter persönlich sortiert und in seinen Schrank zu legen.
Sind in diesem Fall die personenbezogenen Daten „nur“ Beiwerk?
Wenn die personenbezogenen Daten nur Beiwerk sind, welche rechtlichen Punkte sind zu beachten?
Ein Auftragsverarbeitungsvertrag muss nicht geschlossen werden?
Gilt die Wäscherei in diesem Fall als Verantwortlicher und muss alle Mitarbeiter ihrer Kunden gemäß den Informationspflichten über die Erhebung der personenbezogenen Daten informieren?
Viele Grüße
Felix Heim
Hallo Herr Heim,
danke für die Anfrage. Ja, das LDA ist momentan wirklich sehr beschäftigt. Gerne schildern wir Ihnen unsere Einschätzung. Wir haben das auch nochmal intern kurz diskutiert.
Wir sind uns einig, dass wir hier keine Auftragsverarbeitung sehen, da das Kerngeschäft nicht die Verarbeitung der personenbezogenen Daten ist. Grundsätzlich sagt das LDA Bayern in seinen FAQs auch, dass das Reinigen von Berufskleidung mit Namensschildern keine Auftragsverarbeitung ist. Sie bieten zwar darüber hinaus noch weiteren Service an. Trotzdem würden wir das nicht unter die Auftragsverarbeitung sehen. So unsere Einschätzung.
Sie haben natürlich recht, dass Sie trotzdem die Daten entsprechen schützen müssen. Die Wäscherei ist für diese Daten der Verantwortliche. Sie müssen sicherstellen, dass die Daten entsprechend der Vorgaben nach Art. 32 DSGVO geschützt sind.
Bezüglich Informationspflicht wäre unsere Empfehlung folgende:
– Stellen Sie auf Ihrer Webseite die Passage zur „Auftragsabwicklung“ (oder wie der Begriff am besten passt) in der Informationspflicht zur Verfügung und informieren Sie, dass Sie Mitarbeiterdaten Ihrer Kunden erhalten. Welche Daten das sind, müssen Sie kurz auflisten (wie oben in Ihrem Kommentar).
– Der Kunde, also der Arbeitgeber muss in seiner Informationspflicht seine Mitarbeiter informieren, dass er Daten an Sie weiter gibt.
– Wenn Sie dies als Service anbieten möchten, können Sie ja Ihren Kunden die Informationspflicht für dessen Mitarbeiter schon zur Verfügung stellen.
Ich hoffe, das hilft Ihnen weiter.
Herzliche Grüße
Regina Stoiber
Hallo Frau Stoiber! Danke sehr für diesen wirklich interessanten Artikel. Ich hätte eine Frage zu einem Projekt:
Drei Unternehmen entwickeln gemeinsam eine Software für B2B Kunden. Unternehmen A hat das Projekt ins Leben gerufen. Unternehmen B übernimmt die Verrechnung gegenüber den Kunden. Ist B nun Auftraggeber gegenüber A? Braucht es nun eine Auftragserteilung von B an A? (A hat ja ursprünglich das Projekt gemeinsam mit B gegründet). Oder ist dies typischerweise ein Joint Controllership und es ist keine Auftragserteilung zwischen den umsetzenden Unternehmenspartnern notwendig?
Danke sehr für Ihre Antwort!
Danke!
Aus unserer Sicht wären das zwei getrennte Verträge.
Das Verhältnis zwischen A und B ist eine gemeinsame Verantwortlichkeit. Also brauchen Sie einen Vertrag nach Art. 26 DSGVO.
Zwischen B, der gegenüber dem Kunden auftritt, und dem Kunden braucht es dann einen AV-Vertrag nach Art. 28 DSGVO. Unternehmen A wird in diesem AV Vertrag als Subdienstleister genannt.
So wäre unser Vorschlag.
Ich hoffe, das hilft Ihnen weiter.
Herzliche Grüße
Regina Stoiber
Hallo Frau Stoiber,
ich bin Ihnen sehr dankbar, dass Sie uns an Ihrem Wissen teilhaben lassen und auf sämtliche Fragen eingehen. Das ist nicht selbstverständlich und daher möchte ich dies, bevor ich meine Frage stelle, erwähnen. Danke!
Ist ein AV-Vertrag mit dem Hersteller bzw. der verantwortlichen Person(en) einer Videokonferenz-Software, die für Veranstaltungen und/oder Seminare genutzt werden soll, zwingend erforderlich? Beispiele: JitsiMeet, WebEx, Senfcall oder ähnliche Lösungen.
Vielen Dank im Voraus für Ihre Auskunft.
Beste Grüße
Nils
Hallo Herr Holtmann, danke das freut mich. Für dieses positive Feedback machen wir das gern 🙂
Ja, hier benötigen Sie auf jeden Fall einen AV Vertrag.
Viele Grüße
Regina
Hallo Regina,
am 31.07.19 hast Du zu einer Frage zu Cookiebot folgendes geantwortet: „…nein, der Anbieter ist kein Auftragsverarbeiter. Die Einwilligung des Users bleibt lokal gespeichert und wird nicht zum Anbieter übertragen.“
Aber der Administrator muss sich doch mit persönlichen Daten auf dem Portal von Cookiebot registrieren. Somit findet schon eine Datenverarbeitung statt und es müsste nach meiner Auffassung dann auch ein AVV erstellt werden(?)
Danke und Gruß
Ralf
Hallo Regina,
noch eine Frage zu Cookiebot: Können die Erklärungen zu den Cookies in der Datenschutzerklärung einer Webseite durch den automatisierten Eintrag von Cookiebot ersetzt werden?
Vielen Dank schon mal
Gruß Ralf
Hallo Frau Stoiber,
um als Firma für iOS Apps entwicklen und veröffentlichen zu können müssen sich die einzelnen Programmierer bei Apple im Developer Portal (https://developer.apple.com/programs/enroll//) registrieren mittels Apple ID (Name, E-Mail, Geb-Datum, Land) und es muss auch ein Entwicklervertrag mit Apple abschließen. Das Thema Datenschutz kommt darin nicht vor und auch den Apple Privacy Terms kann ich nicht entnehmen, dass sich Apple wegen des Portal Logins als AV Nehmer sieht. Die Anmeldedaten werden aber wohl auch in USA gespeichert. Diese Apple ID bzw. Portalanmeldung hat auch im Kern nichts mit der eigentlichen App Entwicklung zu tun und ich kann auch Apple keinen Weisungen erteilen wie mit meinen Daten umzugehen ist. Ich sehe eher Apple eigene Zwecke im Vordergrund (Identifizierung und Authorisierung der Entwickler vor der Freigabe einer App zum Schutz ihrer iOS Welt) und würde Apple für diesen Fall als eigenständig Verantwoltichen ansehen. Können Sie mir hier zustimmen oder sollte ich mich um eine AV Vereinbarung bemühen? Viele Grüße Markus
Hallo Markus,
als Auftragsverarbeiter würde ich Apple in diesem Zusammenhang auch nicht sehen. Wir hatten kurz dazu diskutiert.
Die Daten aus der App verarbeitet Apple ja nicht, oder? Also hier im Sinne vom Datenschutz. Wenn dies der Fall wäre, dann wäre eine gemeinsame Verantwortlichkeit zu prüfen.
in diesem Fall, wenn Apple nur das Portal zur Verfügung stellt und bestimmte Mindestrichtlinien an die Apps stellt, würden wir weder AV noch gem. Verantwortlichkeit ausschließen.
Viele Grüße
Regina
Hallo Regina,
auf unserem Vereins-Internetauftritt haben wir ein E-Mail-Formular von „dw-formmailer.de“ eingebunden, das unsere Besucher nutzen, um mit dem Verein Kontakt aufzunehmen. Die Eingabemasken haben wir zusammengestellt.
Nun haben wir als Verein doch keinerlei Einfluss darauf, ob und was die Besucher dort eintragen. Müssen wir dann trotzdem, neben dem Hoster für unsere Internetseite, auch noch einen AV-Vertrag mit dw-formmailer abschließen?
Ich hoffe sehr, dass Sie mir hier weiterhelfen können, denn ich bin mit meinem Latein am Ende.
Viele Grüße
Will P.
Hallo Will,
ich kannte den Dienst nicht. Ja, ich sehe den Anbieter dw-formmailer auf jeden Fall als Auftragsverarbeiter. Unabhängig davon, was Der Kunde für Daten eingibt, verarbeitet Der Anbieter in Ihrem Auftrag die Daten. Das ist auf jeden Fall ein AV-Verhältnis (sofern Der Anbieter keine eigene Verwendung der Daten hat – wovon ich nicht ausgehe!!).
Viele Grüße
Regina
Hallo Regina,
vielen Dank für die prompte Info!
Ich hatte soetwas schon befürchtet, denn DW-Formmailer bietet für den kostenlosen Account leider keinen AV-Vertrag an. Hatte gehofft, dass dies bei den wenigen E-Mails im Jahr auch nicht erforderlich wäre. Schade.
Da müssen wir dann wohl in den sauren Apfel beißen und einen kostenpflichtigen abschließen.
Nochmals Danke für die Info und bleiben Sie gesund!
Viele Grüße
Will
Hallo Frau Stoiber,
vielen dank für die Einschätzung. Das deckt sich auch mit meinen Gedanken dazu. Apple wird hier keine personenbezogenen Daten aus oder in den selbsterstellten Apps verarbeiten, sondern stellt nur dieses Portal zur Verfügung, das man nutzen muss um Software für iPhones und Co entwickeln und für diese Geräte überhaupt zugänglich machen zu können.
Viele Grüße
Markus
Hallo, ein selbstständiger Handelsvertreter (Firmierung: GBG UG) aus Süddeutschland erhält von einem norddeutschen Hersteller Kaufinteressenten-Kontaktdaten, kontaktiert diese Interessenten und schliesst Aufträge im Namen des Herstellers ab. Ist der Handelsvertreter ein Auftragsverarbeiter oder nicht?
DANKE im Voraus.
Nein, Handelsvertreter sehen wir nicht als Auftragsverarbeiter.
Hallo Frau Stoiber,
ich betreue die EDV einer Partnervermittlung. (auch per Fernzugriff)
Das Datenbankprogramm mit den gespeicherten Daten wird nicht von mir supportet. Bei meiner Tätigkleit geht es „nur“ um Hardware und Betriebsysteme. Ich hole keine Daten zu mir und verarbeite diese nicht. Theoretisch ist ein Zufgriff auf alle Daten des Systems für mich möglich, ich aber nicht meine Aufgabe. Bin ich AV oder reicht eine Datenschutzvereinbarung für Wartung und Pflege von IT-Systemen.
Danke für Ihre Einschätzung.
Hallo Herr Ernstberger,
danke für Ihre Frage.
Das ist wirklich sehr speziell und würde wohl zu vielen Diskussionen führen, wenn Sie kein Auftragsverarbeiter wären bzw. sich als keinen sehen würden. Mein Vorschlag wäre ein AV-Vertrag. Da Sie ja IT-Dienstleister sind und Support leisten, fallen Sie unter diese Vorgabe.
In Ihrem Fall wäre ein ganz „normaler“ Standard-AV Vertrag sehr schnell erstellt. Es gibt kostenlose Vorlagen. Wir nutzen z.B. die der GDD. Den können Sie sich herunterladen und ausfüllen.
Viele Grüße
Regina Stoiber
Vielen Dank für die schnelle Anwort.
Hallo Frau Stoiber,
vielen Dank für die ausführlichen Informationen rund um die DSGVO und die Auftragsverarbeitung.
Ein Punkt ist für mich leider noch immer undurchsichtig: Muss ich als Eigentümer eines Miethauses einen Auftragsverarbeitungsvertrag mit der Hausverwaltung schließen? Die Hausverwaltung kümmert sich in meinem Namen und alle Angelegenheiten (Controlling Mieteingänge, Ansprechpartner für Schäden & Vermittlung von Handwerkern, bei Bedarf Neuvermietung, Kündigung). Die gesamte Kommunikation mit den Mietern wird durch die Hausverwaltung geführt. Wie verhält es sich in diesem Fall?
Die Liste vom LDA (Abgrenzung Auftragsverarbeitung) betrachtet nur WEG-Verwaltungen.
Lieben Dank für Ihre Einschätzung & viele Grüße, Regina
Hallo Regina,
vielen Dank für Ihre Anfrage.
Das LfDI Niedersachsen hat sich zu dieser Thematik geäußert. Nachstehend zitiere ich die Aussage der Aufsichtsbehörde:
„Besteht ein Auftragsverarbeitungsverhältnis zwischen einer Wohnungseigentümergemeinschaft und einer Hausverwaltung?
Nein, zwischen der Wohnungseigentümergemeinschaft und der Hausverwaltung liegt in der Regel kein Auftragsverarbeitungsverhältnis vor. Vielmehr ist die Hausverwaltung selbst Verantwortlicher, da sie im Rahmen ihrer Dienstleistung die personenbezogenen Daten in eigener Verantwortung verarbeitet. Dies ergibt sich aus § 27 des Gesetzes über das Wohnungseigentum und das Dauerwohnrecht (WEG), in dem die Aufgaben und Befugnisse des Verwalters geregelt sind.“
Quelle: https://lfd.niedersachsen.de/startseite/infothek/faqs_zur_ds_gvo/faq-auftragsverarbeitung-189637.html (siehe Punkt 7 h).
Somit ist auch unserer Sicht auch kein Auftragsverarbeitungsvertrag zwischen Eigentümer und der Hausverwaltung zu schließen.
Liebe Grüße,
Jasmin
Guten Tag Regina,
zunächst vielen Dank für die tolle Seite. Ich habe viele interessante Punkte für mich entdeckt.
Ich wollte für meinen Arbeitgeber, einen Fitnessgerätehersteller, abklären, ob wir mit unseren Subunternehmern ebenfalls einen AVV abschließen müssen oder eine Vertraulichtserklärung im Hauptvertrag ausreichend ist?
Unsere Subunternehemr erhalten von uns personenbezogene Daten (Namen, Adressen, Kontaktdaten) zur Auftragsbearbeitung, d.h. die Firma, welche das Lager und den Transport durchführt zur Bereitstellung und Lieferung der bestellten Artikel und die Firma, welche die Geräte installiert, zur Kontaktaufnahme und Planung des Aufbaus der bestellten Artikel direkt mit den Kunden.
Die Dauer der Speicherung muss explizit definiert werden, oder?
Müssen wir mit den einzelnen Dienstleistern einen AVV abschließen?
Vielen Dank für das Feedback.
Viele Grüße
Hallo Kathy,
nein, für diesen Fall braucht ihr keinen AV-Vertrag mit den Speditionsunternehmen.
Wie lange die Daten beim Spediteur vorgehalten werden, sollte aufgrund seiner internen Prozesse oder gesetzlichen Vorgaben gelten. Darüber muss der Spediteur eigentlich in der Informationspflicht informieren.
Ihr müsste das aber nicht explizit mit ihm regeln.
Viele Grüße
Regina
Hallo Regina,
vielen Dank für die vielen Informationen auf Ihrer website.
Wir haben einen Lieferanten, einen IT-Dienstleister, mit dem wir einen AV-Vertrag schließen möchten.
Er hat uns nun einen Vertragsentwurf vorgelegt, der weder eine Laufzeit noch konkrete Aufgaben beinhaltet.
Statt dessen verweist der Vertrag auf ein Leistungsverzeichnis, das alle Dienstleistungen beinhaltet, die der IT-Dienstleister anbietet.
Auf meine Frage, ob denn ein so allgemein gehaltener Vertrag überhaupt stimmig ist, bekam ich die Antwort:
„wir halten uns grundsätzlich an die DSGVO und schließen mit unseren Kunden Verträge, die alle unsere Dienstleistungen beinhalten. Wenn bei einem Kunden eine neue Aufgabe dazu kommt, brauchen wir das Thema AV-Vertrag nicht erneut zu bearbeiten.“
Wie seht ihr das? Entspricht ein AV-Vertrag, der allgemeingültig ist tatsächlich den Anforderungen der DSGVO?
Ich bin gespannt auf euer feedback.
Vielen Dank,
Birgit
Hallo Birgit,
danke für die Frage.
Das ist grundsätzlich auch unsere Empfehlungen, wenn das Leistungsspektrum ziemlich breit ist und sich auch ändern kann, auf eine Leistungsvereinbarung zu verweisen. Ansonsten wäre es tatsächlich so, dass jedesmal der AV-Vertrag angepasst werden muss.
Laufzeit kann man ebenfalls mit dem Zeitraum der Leistungsvereinbarung koppeln.
Wichtiger ist aber auch, dass im restlichen AV Vertrag die gesetzlichen Vorgaben eingehalten werden. Die Aussage, „wir halten uns grundsätzlich an die DSGVO…“ ist interessant 🙂
Viele Grüße – wir stehen gern für weiter Fragen zur Verfügung zum AV Vertrag.
Regina
Hallo Regina,
Stichwort:
Unterstützungsleistung beim IT- Notfallmanagement
„Bewältigung von IT-Notällen (Incident-Response)“,
durch ein externes Unternehmen (mit einem qualifizierten APT-Response Dienstleister im Sinne § 3 BSIG).
Wäre solch ein externer Dienstleister als Auftragsverarbeiter anzunehmen?
Freue mich auf deine Antwort.
Gruß Karo
Hallo Karola,
aus dem Stegreif würde ich sagen, ja.
…und je länger ich darüber nachdenke, bleibe ich beim Ja.
Ich sehe einen solchen Anbieter als Auftragsverarbeiter. Ich hoffe, das entspricht auch deiner Einschätzung.
VG Regina
Hallo Regina,
ich bin für einen Verein tätig, zu dessen Leistungen für die Mitglieder eine Fachzeitschrift gehört, die durch einen Verlag erstellt, gedruckt und versandt wird. Der Verlag hat eigene Kunden und eigene Datenschutzregeln, aber auch „unsere“ Kunden.
Wir liefern dem Verlag die Adressen unserer Mitglieder.
Benötigen wir einen Auftragsverarbeitungsvertrag mit dem Verlag?
Vielen Dank für deine Unterstützung Susanne
Hallo Susanne,
danke für deine Anfrage. Wir haben uns dazu auch intern abgestimmt. Wir sehen das ähnlich dem Dropshipping, hier wird keine Auftragsverarbeitung gesehen. Die Kertätigkeit ist die Erstellung der Fachzeitschrift.
Wir würden dazu tendieren, dass es sich hier um keine AV-Tätigkeit handelt.
Viele Grüße
Regina
Hallo Regina,
erstmal vielen Dank für Deinen sehr aufschlussreichen Artikel, durch den mir nun klar ist, dass ich als freischaffender Software-Entwickler und IT-Administrator (Wartung, Weiterentwicklung und Neuentwicklung) definitiv zu den Auftragsverarbeitern gehöre, da ich bei meinen Aufträgen nicht verhindern kann, evtl. auch mal mit personenbezogenen Daten in Berührung zu kommen.
Was mir jedoch noch nicht ganz klar ist, ist die Verantwortlichkeit hinsichtlich der Erstellung eines AVV. Wenn ich Dich richtig verstanden habe, dann liegt es doch stets in der Verantwortung meiner Auftraggeber, mir einen AVV vorzulegen oder mich dazu aufzufordern, einen entsprechenden Vertrag mit Ihnen zu schließen und ihnen ggbf. bei der technischen Abschätzung zu helfen. Eine Initiative meinerseits ist hier doch nicht gefordert, oder?
Vielen Dank im Voraus für Deine Antwort!
Viele Grüße,
Patrick
Genau, da hast du vollkommen recht. In der Pflicht ist der Auftraggeber für die Einforderung des AVVs.
Allerdings empfehlen wir, als Dienstleister einen AV anzubieten. Das macht aus unserer Sicht nochmal einen anderen Eindruck und ist ja ein toller Service. Letztdlich musst du ja eh einen AVV haben. Selbst wenn der AG ihn einfordert, solltest du einen parat haben.
Ich hoffe, das hat dir weiter geholfen.
Viele Grüße
Regina
Hallo,
danke für den interessanten und gut zusammengefassten Beitrag. Ich habe derzeit einen Fall, bei dem es darum geht, dass ein Online-Schulungsunternehmen vom Auftraggeber Namen und Geburtsdatum der Mitarbeitenden erhält, diese dann vom Schulungsunternehmen einen Zugang erhalten und nach erfolgtem Kurs einen Test absolvieren, bei Bestehen einen Schulungsnachweis erhalten, dieser geht auch an den Auftraggeber. Frage ist, handelt sich sich hier auch um AV?
Hallo,
ja, in diesem Fall handelt es sich beim Anbieter des Portals um einen Auftragsverarbeiter.
Viele Grüße
Regina
Hallo,
wenn wir einen externen Arbeitssicherheitsbeauftragten für unser Unternehmen beauftragen, ist dies eine Auftragsverarbeitung? Oder genügt die „normale“ Vertraulichkeitsvereinbarung im Rahmen des Dienstleistungsvertrages?
Vielen lieben Dank und viele Grüße Roland
Hallo Roland,
wir haben diesbezüglich vor einiger Zeit beim BayLDA nachgefragt.
Unserer Ansicht nach ist eine externe Arbeitssicherheitsfachkraft kein Auftragsverarbeiter, da schwerpunktmäßig die Beratung und Unterstützung im Vordergrund steht als die Verarbeitung personenbezogener Daten. Die Behörde hat hierzu wie folgt geantwortet:
„Wir können nur bei einer flüchtigen Prüfung sagen, dass uns Ihre Einschätzung, wonach eine externe Fachkraft für Arbeitssicherheit kein Auftragsverarbeiter ist, weil nicht die Datenverarbeitung im Vordergrund steht, jedenfalls für plausibel halten.“
Es ist jedoch immer der Einzelfall zu prüfen, ob eine Auftragsverarbeitung vorliegt oder nicht.
Ich hoffe, ich konnte mit meiner Antwort weiterhelfen.
Liebe Grüße,
Jasmin
Hallo, vielen Dank für diese erhellende Ausarbeitung. Wie sieht es eigentlich bei Online Übersetzern wie z. B. DeepL aus? Wenn ich als Unternehmen eine DeepL Pro Lizenz erwerbe wird zumindest kein Text gespeichert und die Übersetzung findet im EWR statt. Was ist, wenn meine Mitarbeiter nun personenbezogene Daten dort eintragen? Oder sogar Gesundheitsdaten? 🙂 Muss ich dann eine VAV abschließen? Der Zweck ist ja irgendwie die Übersetzung des Textes und nicht die Verarbeitung des Inhaltes. Ganz herzlichen Dank für Ihre Einschätzung. Viele Grüße Lisa
Hallo Frau Stoiber,
vielen Dank für Ihren aufschlussreichen Bericht zum Thema Auftragsverarbeitung.
Eine Nachfrage habe ich tatsächlich ebenfalls.
Wir als Unternehmen möchten eine externe Marketing Agentur beauftragen, wenn ich Ihren Beitrag richtig gelesen habe, stellt uns nun diese Firma einen Auftragsverarbeitungsvertrag bzw. ist dazu verpflichtet? Ich freue mich auf Ihre Antwort, vielen Dank.
Liebe Frau Kaiser,
vielen Dank für Ihre Frage.
Pauschal würde ich nicht sagen, dass die Marketing-Agentur ein Auftragsverarbeiter ist. Sofern im Rahmen der Dienstleistung Layout und Designs oder eine Webseite entwickelt wird, ist das erst mal keine Auftragsverarbeitung.
Hat die Agentur aber Zugriff auf Analysetools wie Google Analytics für Ihre Webseite oder versendet die Newsletter / Papiermailings in Ihrem Auftrag, dann handelt es sich um einen Auftragsverarbeiter.
Es kommt also auf die konkrete Tätigkeit an.
Ich hoffe, ich konnte Ihnen weiterhelfen. Gerne können Sie sich für weitere Fragen auch direkt an uns wenden.
Herzliche Grüße
Regina Stoiber
Hallo,
mich würde interessieren ob es sich bei Fotografen und Werbeagenturen um AV handelt. Fotografen fertigen ja Fotos mit Personenabbildungen in unserem Aufrag an und stellen Sie uns oder Werbeagenturen zur Verfügung. Brauche ich dafür jedes mal einen AV-Vertrag? Und wie sieht es mit einzelnen Werbeprojeten aus. Wenn ich z. B ein Prospekt oder einen Werbefilm erstellen lassen will und dafür Fotos und Namen von Personen zur Verfügung stelle (die vorher selbstverständlich eingewilligt haben – keine professionellen Models sondern eher Mitarbeiter oder andere Freiwillige). Die Werbefirma arbeitet ja dann mit nach meiner Weisung mit zur Verfügung gestellten personenbezogenen Daten auch wenn der Hauptgrund die Erstellung eines Werbefilmes/prospektes ist.
Danke für die Antwort und eine informative Seite.
Hallo, vielen Dank für die Frage. In diesem Fall (auch wenn es sich um keine professionellen Models handelt), empfehlen wir trotzdem einen Model Release Vertrag abzuschließen. Einen Auftragsverarbeiter sehen wir hier auch nicht.
Viele Grüße
Regina
Sehr spannende Infos! Vielen Dank! Ich habe oben glaub einen kleinen Fehler gefunden: wordpress.org ist die selbstgehostete Variante, wordpress.com ist hingegen die Plattform. Ich gehe davon aus, dass Sie .com meinten mit Auftragsverarbeiter. => siehe Liste …
Vielen Dank für das Feedback und die Info. Wir passen das natürlich an.
Hallo Frau Stoiber,
ich möchte ein Flipbook (interaktives PDF, das per html-Code auf meiner Webseite eingebettet wird) erstellen. Das Flipbook wird beim Anbieter der Software für die Erstellung des Flipbooks gehostet. Der externe Hoster trackt die IP-Adresse und setzt ggf. ein Cookie (damit analysiert werden kann, wie oft das Flipbook angesehen wurde und sich der Nutzer ein Lesezeichen setzen kann, Grundlage ist hier aus meiner Sicht berechtigtes Interesse, um das Nutzererlebnis verbessern zu können). Ist der Hoster damit ein Auftragsverarbeiter und ich brauche einen AV mit ihm?
Ich würde mich sehr über eine Antwort freuen.
Vielen Dank
Hallo Barbara,
danke für Ihren Kommentar.
Na Ihrer Beschreibung (ohne das im Detail geprüft zu haben) sehe ich Flipbook als Auftragsverarbeiter und einen AV nötig.
Zudem sollten Sie beachten, welche Daten übertragen werden und ggf. eine Einwilligung vor der Übertragung an Flipbook einholen.
Herzliche Grüße
Regina Stoiber