Mit dem Inkrafttreten der DSGVO am 25. Mai 2018 ist nicht nur das Bewusstsein im Umgang mit Daten gestiegen. Auch die Unsicherheiten und Unklarheiten sind größer geworden. Viele Fragen gibt es auch rund um das Thema Auftragsverarbeitung (früher als Auftragsdatenverarbeitung bezeichnet). Die meisten haben vermutlich bereits davon gehört. Aber in vielen Köpfen besteht noch Unklarheit, was das ist und was es überhaupt damit auf sich hat.
Vielen Agenturen oder Marketingunternehmen ist gar nicht bewusst, dass sie Auftragsverarbeiter sind. Auftragsverarbeiter verarbeiten bzw. nutzen fremde Daten im Auftrag des Kunden. Dies ist zum Beispiel der Fall, wenn Sie Newsletter für Ihre Kunden versenden oder die Daten, die Ihr Kunde Ihnen zur Verfügung stellt, für sonstige Marketingaktionen oder Marketingmaßnahmen im Auftrag des Kunden nutzen, so zum Beispiel auch für die Auswertung von Statistiken, Zielgruppen-Analysen und ähnliches. Es genügt sogar bereits die Möglichkeit, auf personenbezogene Daten zuzugreifen, wie im Falle des Webhostings. In all diesen Fällen sind Sie Auftragsverarbeiter.
Eine Neuerung, die die DSGVO mit sich gebracht hat, ist die gemeinsame Haftung von Auftraggeber und Auftragnehmer der Auftragsverarbeitung. Das bedeutet, die Agentur, die im Auftrag des Kunden die Daten, die der Kunde ihm zur Verfügung stellt, verwaltet oder auf irgend eine Art damit zu tun hat, haftet neben dem Kunden nun mit für die Einhaltung der Datenschutzbestimmungen. Das war vor der DSGVO noch anders – da haftete nur der Kunde für „seine“ Daten und war stärker in der Pflicht, für die Einhaltung der Datenschutzbestimmungen zu sorgen.
Was gibt es also für die Agentur im Umgang mit den zur Verfügung gestellten Daten zu beachten, um die Datenschutzbestimmungen einzuhalten? Ein wichtiger Punkt ist, dass ein sogenanntes Verarbeitungsverzeichnis geführt werden muss. Das ist eine Liste, in der die Tätigkeiten aufgelistet sind, durch die die zur Verfügung gestellten Daten verarbeitet werden. Ausgenommen von dieser Pflicht sind Unternehmen, die nur gelegentlich Daten für andere Unternehmen verarbeiten, sofern sie weniger als 250 Mitarbeiter haben. Agenturen, die regelmäßig Newsletter, Hosting oder andere Dienste für ihre Kunden anbieten, müssen also immer ein Verarbeitungsverzeichnis in Bezug auf den Umgang mit den Daten der Kunden führen. In Art. 30 Abs. 2 DSGVO sind alle Informationen aufgelistet, die in dem Verarbeitungsverzeichnis enthalten sein müssen. Darin müssen Name und Adresse der Agentur sowie des Kunden enthalten sein sowie die Angabe, in welcher Weise mit den Daten umgegangen wird, das heißt die Kategorie der Verarbeitung (z.B. Newsletter-Versand). Falls die Daten an ein Drittland übermittelt werden, das nicht zur EU gehört (z.B. USA), muss auch diese Information in die Liste aufgenommen werden. Häufig wird übersehen, dass bei der Inanspruchnahme von Diensten wie Google Analytics, MailChimp oder einigen Clouddiensten eine Übermittlung der Daten an die USA bzw. ein Drittland stattfindet. In dem Fall muss zudem in dem Verzeichnis angegeben werden, ob eine Garantie zur Einhaltung des Datenschutzes, wie z.B. das Privacy-Shield-Abkommen mit den USA besteht und das Unternehmen, an das die Daten übermittelt werden, danach zertifiziert ist. Es gibt im Internet eine Liste mit allen durch das Privacy-Shield-Abkommen zertifizierten Unternehmen. In der Liste kann man gezielt nach Unternehmen suchen und abfragen, ob diese zertifiziert sind.
In das Verzeichnis gehört last but not least eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit.
Mit dem Inkrafttreten der DSGVO ist jedes Unternehmen verpflichtet, mit technischen und organisatorischen Maßnahmen für die Datensicherheit zu sorgen. Je sensibler die Daten, desto stärker müssen die Sicherheitsmaßnahmen sein.
Abgesehen von dem Führen eines Verzeichnisses sowie der Umsetzung von technischen und organisatorischen Maßnahmen zur Gewährleistung eines hohen Datenschutzniveaus, müssen die Agenturen mit den Datenschutzbehörden zusammenarbeiten und falls gefordert, zum Beispiel die Liste bzw. das Verarbeitungsverzeichnis den Datenschutzbehörden vorlegen.
Ein wichtiger Punkt, der in der Praxis bislang oft vernachlässigt wurde, nun aber mit dem Inkrafttreten der DSGVO wieder stärker in das Bewusstsein getreten ist, ist der Abschluss eines Auftragsverarbeitungsvertrages mit dem Kunden. Dieser ist unbedingt erforderlich. Anderenfalls drohen Bußgelder, die von der Datenschutzbehörde verhängt werden können. In Art. 28 DSGVO sind alle Punkte aufgeführt, die in dem Vertrag geregelt sein sollten. Hieran kann man sich gut orientieren. Sofern Dienste wie Google Analytics, MailChimp, Dropbox oder ähnliches genutzt werden, liegen mit den jeweiligen Anbietern der Dienste Auftragsverarbeitungen vor. Google, MailChimp und Co verarbeiten in diesen Fällen die Daten im Auftrag des Anwenders der Dienste. Auch in diesen Fällen müssen somit Verträge mit den jeweiligen Anbietern geschlossen werden. Anbieter wie Google, MailChimp, Newsletter2Go, Dropbox, etc. stellen online vorgefertigte Auftragsverarbeitungsverträge zur Verfügung. Ein Abschluss des Vertrages in elektronischer Form reicht nach der DSGVO aus.
Schließlich darf nicht vergessen werden, die Informationen im Hinblick auf den Umgang mit den personenbezogenen Daten einschließlich der Weitergabe an Dienstleister in die USA in die Datenschutzerklärung aufzunehmen sind. Im letzteren Fall ist auch anzugeben, ob die Dienstleister, wie zum Beispiel Google zur Einhaltung der Datenschutzbestimmungen (in dem Fall nach dem Privacy-Shield-Abkommen) zertifiziert sind.
Bitte beachten Sie, dass sich die Ausführungen nur auf die rechtliche Situation in Deutschland beziehen.