Direkte Kontaktaufnahme: 02663 9150619|info@stc-makler.de

Auftragsdatenverarbeitung

Home/Allgemein, News Gewerbe/Auftragsdatenverarbeitung

Auftragsdatenverarbeitung

Auftragsdatenverarbeitung –

Worauf sollten Sie achten?

Viele Unternehmen setzen auf externe Anbieter, um datenbasierte Aufgaben zu erledigen. Ob Sie ein Callcenter, einen Marketing-Dienstleister oder eine Personalagentur mit Ihren Geschäften betrauen: Immer sollten Sie auf angemessenen Datenschutz achten. Wie Sie das tun können und worauf Sie sonst noch achten sollten, erfahren Sie hier.

.

1. Was ist eigentlich Auftragsdatenverarbeitung?

Auftragsdatenverarbeitung (kurz ADV oder auch AV) liegt immer dann vor, wenn ein Unternehmen einen Dienstleister damit beauftragt, bestimmte Daten zu erheben, verarbeiten oder zu nutzen. Zu diesem Zweck wird zwischen der verantwortlichen Stelle und dem Dienstleister ein Vertrag geschlossen, der die Aufgaben des Dienstleisters sowie die Maßnahmen zum Datenschutz festhält.

Beispiele für Auftragsdatenverarbeitung sind unter anderem:

  • Externe Verteiler für Newsletter, denen zu diesem Zweck Kundendaten mitgeteilt werden
  • Callcenter, die im Auftrag mit (potenziellen) Kunden kommunizieren
  • Marktforschungsinstitute, die im Auftrag Ihres Unternehmens forschen
  • Extern gehostete Server, auf denen Kunden- oder andere personenbezogene Daten gespeichert werden
  • Dienstleistungen, für die die Kenntnis der Daten nicht zwingend notwendig ist, aber nicht ausgeschlossen werden kann, wie IT-Wartung oder Entsorgung von Akten.

Explizit ausgeschlossen von Auftragsdatenverarbeitung sind Postversand und Bankgeschäfte.

©STC Research

.

2. Pflichten des Auftraggebers

Obwohl der Auftragnehmer verpflichtet ist, die an ihn übertragenen Daten angemessen zu schützen, liegt die Hauptverantwortung beim Auftraggeber. Falls Sie ADV in Anspruch nehmen, sollten Sie sich Ihrer Pflichten also genau bewusst sein, sodass Sie im Zweifelsfall eingreifen können.

Wie Sie sich und Ihr Unternehmen gegen Datenverlust absichern können, falls doch einmal etwas passiert, erfahren Sie hier.

.

2.1 Vertragsgestaltung

Der Vertrag, der zwischen Auftraggeber und -nehmer geschlossen wird, kann im Schadenfall ausschlaggebend dafür sein, welche Partei haftet. Daher ist es wichtig, dass alle nötigen Datenschutzmaßnahmen im Vertrag festgehalten werden. Dieser Vertrag muss schriftlich verfasst werden, wobei die elektronische Variante nicht ausgeschlossen ist.

Was gehört in den Vertrag?

Die Fragen, die definitiv im Vertrag über die Auftragsdatenverarbeitung geklärt werden müssen, sind:

  • Dauer und Gegenstand der Dienstleistung: Worin besteht der Auftrag und wie lange dauert er?
  • Umfang, Art und Zweck der Dienstleistung: Welche Mittel sind vorgesehen, um welche Ziele zu erreichen?
  • Kategorie der Daten: Wie viele und welche Daten dürfen erhoben oder genutzt werden?
  • Dateninhaber: Aus welchem Personenkreis stammen die Daten, z.B. Kunden oder Mitarbeiter des Auftraggebers?
  • Welche technischen Maßnahmen müssen konkret getroffen werden?
  • Welche organisatorischen Maßnahmen müssen konkret getroffen werden?
  • Gewährleistung der Möglichkeit zur Berichtigung, Löschung oder Sperrung der Daten
  • Pflichten des Auftragnehmers: Welche Kontrollen sind durchzuführen?
  • Sind Unteraufträge gestattet? In welchem Umfang und wann?
  • Kontrollrechte des Auftraggebers sowie Mitteilungspflicht im Fall von Verstößen
  • Zu welchen Handlungen berechtigt die Weisung den Auftragnehmer?
  • Wie hat der Auftragnehmer zu verfahren, wenn der Auftrag beendigt ist?

Eine Mustervereinbarung zum Datenschutz in ADV stellt unter anderem der Hessische Datenschutzbeauftragte zur Verfügung: Muster

.

2.2 Weitere Pflichten des Auftraggebers

Im Punkt Vertragsgestaltung wurde bereits die Mitteilungspflicht des Auftraggebers einer ADV erwähnt. Tatsächlich verbleibt die Hauptverantwortung für die verwendeten Daten stets beim Auftraggeber; gegen diesen werden auch Rechte von Betroffenen geltend gemacht, falls es zum Streit kommt. Als Auftraggeber können Sie den Datenschutz also nicht einfach dem externen Anbieter überlassen. Stattdessen ergeben sich neben der Vertragsgestaltung noch weitere Pflichten für den Auftraggeber:

.

Auswahl des Auftragnehmers

Der Auftragnehmer muss danach ausgewählt werden, wie tauglich er ist, den gesetzlichen Datenschutzanforderungen gerecht zu werden – schon vor Beginn eines Geschäftsverhältnisses sollten Sie sich also über Ihre potentiellen Geschäftspartner informieren und begründen können, warum diese vertrauenswürdig sind.

Kontrollpflicht

Als Auftraggeber sind Sie verpflichtet, vor und während der Auftragsausführung zu überprüfen, ob Ihr Geschäftspartner sich an die geltenden Datenschutzgesetze hält. Mehr Informationen dazu, welche Voraussetzungen hierfür erfüllt sein müssen, finden Sie hier.

Mitteilungspflicht

Sollten Ihnen Verfehlungen des Auftragnehmers auffallen, sind Sie verpflichtet, diese der zuständigen Stelle unverzüglich zu melden.

Dokumentationspflicht

Es reicht nicht, nur Kontrollen durchzuführen und Verstöße zu melden: Ihre Kontrolltätigkeiten sollten Sie in jedem Fall dokumentieren. Dies ist nicht nur Ihre Pflicht, es kann Ihnen im Streitfall auch helfen zu beweisen, dass Sie die nötigen Kontrollen durchgeführt haben.

.

3. Pflichten des Auftragnehmers

Wie bereits erwähnt verbleibt auch bei Auftragsdatenverarbeitung die Hauptverantwortung für personenbezogene Daten beim Auftraggeber. Dennoch ist der Auftragnehmer natürlich nicht von jeglicher Verantwortung freizusprechen. Neben dem Einhalten des Vertrags ist er zudem zu folgendem verpflichtet:

  • Weisungsgebundenheit: Der Auftragnehmer darf die ihm zur Verfügung gestellten Daten nur genau nach der Weisung des Auftraggebers verarbeiten, außer, eine Abweichung ist gesetzlich unerlässlich.
  • Informationspflicht: Zieht ein Auftraggeber weitere Datenverarbeiter hinzu oder ersetzt bereits bestehende, so hat er den Auftraggeber darüber zu informieren.
  • Vertraulichkeit: Alle Personen, die die Daten verarbeiten, müssen einer Vertraulichkeitspflicht unterliegen.
  • Pflicht zur Datensicherheit: Wie jede europäische Stelle, die Daten verarbeitet, muss der Auftragnehmer sich ab dem 25. Mai 2018 an die DSGVO halten. Das bedeutet u.a., dass er abhängig vom Stand der Technik und der Sensibilität der Daten diese anonymisieren muss. Bei Verlust müssen die Daten zudem wiederhergestellt werden können.
  • Nach Beendigung des Auftrags müssen alle Daten entweder gelöscht oder an den Auftraggeber zurückgegeben werden.
  • Kooperationspflicht: Der Auftragnehmer muss den Auftraggeber bei seiner Pflicht, Kontrollen durchzuführen, unterstützen.

.

4. Ab 25. Mai 2018: Die DSGVO

In Kürze gilt in allen EU-Staaten die europäische Datenschutzgrundverordnung, kurz DSGVO.

In der DSGVO werden Datenschutzregelungen, die bisher durch die Einzelstaaten geregelt wurden, einheitlich und verpflichtend festgehalten. Unter anderem legt die DSGVO neue Standards für Datensicherheit fest und klärt, wann und aus welchen Gründen personenbezogene Daten gelöscht werden müssen. Zudem legt sie einen deutlich größeren Bußgeldrahmen für Verstöße fest.

Was sind personenbezogene Daten?
Personenbezogene Daten sind

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“

Das bedeutet: Jede Information, die sich einer natürlichen Person zuordnen lässt, gilt als personenbezogene Daten. Hierfür muss die Person nicht namentlich identifiziert sein: Die Möglichkeit der Identifizierung reicht aus. Durch eine Zuordnung wie „Der Fahrer des Wagens mit dem Kennzeichen XX-555“ wird eine Person identifizierbar, die Daten damit personenbezogen.

Als Unternehmen, das Daten verarbeitet – auch, wenn Sie nur E-Mail-Adressen zum Versand von Newslettern speichern – sollten Sie sich über die Änderungen durch die DSGVO informieren. Zu diesem Zweck hat STC die wichtigsten Informationen für Sie zusammengestellt:

DSGVO – Was ist das?

DSGVO – Was ändert sich?

.

5. Was tun im Schadenfall?

Auch, wenn Sie die Verarbeitung von Kundendaten einem Dritten überlassen, verbleibt die Verantwortung bei Ihnen. Falls es trotz aller Vorsicht zu einem Zwischenfall mit Datenverlust kommen sollte, ist es gut, abgesichert zu sein. Versicherer bieten hierzu spezielle Cyber-Policen an, die Ihnen und Ihrem Unternehmen die Möglichkeit geben, sich auf Ihr Hauptgeschäft zu konzentrieren, anstatt sich Sorgen über Hacker oder Datenklau zu machen. Eine Cyber-Police besitzt ein individuelles Deckungskonzept, um alle relevanten Versicherungsarten zu involvieren. Daher kann sie aus Haftpflicht und auch einer Eigenschadenversicherung bestehen. Sie ist also das Rundumpaket aller benötigten Absicherungen für Cyberfälle.

©STC Research

Weitere Informationen zu Cyber-Risiken und deren Absicherung sowie Ihr persönliches Versicherungsangebot finden Sie hier.

.

6. Kontakt

Haben Sie weiterführende Fragen zur Auftragsdatenverarbeitung oder möchten besser abwägen können, welcher Anbieter für Sie der richtige ist? Oder sind Sie auf der Suche nach der richtigen Absicherung in Cyber-Fragen? Füllen Sie einfach das untenstehende Formular aus – Wir melden uns so schnell wie möglich bei Ihnen.

Ihr Name (Pflichtfeld):

Ihre E-Mail-Adresse (Pflichtfeld):

Ihre Telefonnummer:

Zeitpunkt des gewünschten Rückrufs:

Betreff:

Ihre Nachricht:

captcha

Bitte geben Sie den Code ein:


Titelbild: © mooshny, Adobe Stock

By |Februar 24th, 2018|Allgemein, News Gewerbe|0 Comments