Viele Unternehmen setzen auf externe Anbieter, um datenbasierte Aufgaben zu erledigen. Ob Sie ein Callcenter, einen Marketing-Dienstleister oder eine Personalagentur mit Ihren Geschäften betrauen: Immer sollten Sie auf angemessenen Datenschutz achten. Wie Sie das tun können und worauf Sie sonst noch achten sollten, erfahren Sie hier.
Auftragsdatenverarbeitung (kurz ADV oder auch AV) liegt immer dann vor, wenn ein Unternehmen einen Dienstleister damit beauftragt, bestimmte Daten zu erheben, verarbeiten oder zu nutzen. Zu diesem Zweck wird zwischen der verantwortlichen Stelle und dem Dienstleister ein Vertrag geschlossen, der die Aufgaben des Dienstleisters sowie die Maßnahmen zum Datenschutz festhält.
Beispiele für Auftragsdatenverarbeitung sind unter anderem:
Obwohl der Auftragnehmer verpflichtet ist, die an ihn übertragenen Daten angemessen zu schützen, liegt die Hauptverantwortung beim Auftraggeber. Falls Sie ADV in Anspruch nehmen, sollten Sie sich Ihrer Pflichten also genau bewusst sein, sodass Sie im Zweifelsfall eingreifen können.
Wie Sie sich und Ihr Unternehmen gegen Datenverlust absichern können, falls doch einmal etwas passiert, erfahren Sie hier.
Der Vertrag, der zwischen Auftraggeber und -nehmer geschlossen wird, kann im Schadenfall ausschlaggebend dafür sein, welche Partei haftet. Daher ist es wichtig, dass alle nötigen Datenschutzmaßnahmen im Vertrag festgehalten werden. Dieser Vertrag muss schriftlich verfasst werden, wobei die elektronische Variante nicht ausgeschlossen ist.
Die Fragen, die definitiv im Vertrag über die Auftragsdatenverarbeitung geklärt werden müssen, sind:
Eine Mustervereinbarung zum Datenschutz in ADV stellt unter anderem der Hessische Datenschutzbeauftragte zur Verfügung: Muster
Im Punkt Vertragsgestaltung wurde bereits die Mitteilungspflicht des Auftraggebers einer ADV erwähnt. Tatsächlich verbleibt die Hauptverantwortung für die verwendeten Daten stets beim Auftraggeber; gegen diesen werden auch Rechte von Betroffenen geltend gemacht, falls es zum Streit kommt. Als Auftraggeber können Sie den Datenschutz also nicht einfach dem externen Anbieter überlassen. Stattdessen ergeben sich neben der Vertragsgestaltung noch weitere Pflichten für den Auftraggeber:
Auswahl des Auftragnehmers
Der Auftragnehmer muss danach ausgewählt werden, wie tauglich er ist, den gesetzlichen Datenschutzanforderungen gerecht zu werden – schon vor Beginn eines Geschäftsverhältnisses sollten Sie sich also über Ihre potentiellen Geschäftspartner informieren und begründen können, warum diese vertrauenswürdig sind.
Kontrollpflicht
Als Auftraggeber sind Sie verpflichtet, vor und während der Auftragsausführung zu überprüfen, ob Ihr Geschäftspartner sich an die geltenden Datenschutzgesetze hält. Mehr Informationen dazu, welche Voraussetzungen hierfür erfüllt sein müssen, finden Sie hier.
Mitteilungspflicht
Sollten Ihnen Verfehlungen des Auftragnehmers auffallen, sind Sie verpflichtet, diese der zuständigen Stelle unverzüglich zu melden.
Dokumentationspflicht
Es reicht nicht, nur Kontrollen durchzuführen und Verstöße zu melden: Ihre Kontrolltätigkeiten sollten Sie in jedem Fall dokumentieren. Dies ist nicht nur Ihre Pflicht, es kann Ihnen im Streitfall auch helfen zu beweisen, dass Sie die nötigen Kontrollen durchgeführt haben.
Wie bereits erwähnt verbleibt auch bei Auftragsdatenverarbeitung die Hauptverantwortung für personenbezogene Daten beim Auftraggeber. Dennoch ist der Auftragnehmer natürlich nicht von jeglicher Verantwortung freizusprechen. Neben dem Einhalten des Vertrags ist er zudem zu folgendem verpflichtet:
In Kürze gilt in allen EU-Staaten die europäische Datenschutzgrundverordnung, kurz DSGVO.
In der DSGVO werden Datenschutzregelungen, die bisher durch die Einzelstaaten geregelt wurden, einheitlich und verpflichtend festgehalten. Unter anderem legt die DSGVO neue Standards für Datensicherheit fest und klärt, wann und aus welchen Gründen personenbezogene Daten gelöscht werden müssen. Zudem legt sie einen deutlich größeren Bußgeldrahmen für Verstöße fest.
„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“
Das bedeutet: Jede Information, die sich einer natürlichen Person zuordnen lässt, gilt als personenbezogene Daten. Hierfür muss die Person nicht namentlich identifiziert sein: Die Möglichkeit der Identifizierung reicht aus. Durch eine Zuordnung wie „Der Fahrer des Wagens mit dem Kennzeichen XX-555“ wird eine Person identifizierbar, die Daten damit personenbezogen.
Als Unternehmen, das Daten verarbeitet – auch, wenn Sie nur E-Mail-Adressen zum Versand von Newslettern speichern – sollten Sie sich über die Änderungen durch die DSGVO informieren. Zu diesem Zweck hat STC die wichtigsten Informationen für Sie zusammengestellt:
Auch, wenn Sie die Verarbeitung von Kundendaten einem Dritten überlassen, verbleibt die Verantwortung bei Ihnen. Falls es trotz aller Vorsicht zu einem Zwischenfall mit Datenverlust kommen sollte, ist es gut, abgesichert zu sein. Versicherer bieten hierzu spezielle Cyber-Policen an, die Ihnen und Ihrem Unternehmen die Möglichkeit geben, sich auf Ihr Hauptgeschäft zu konzentrieren, anstatt sich Sorgen über Hacker oder Datenklau zu machen. Eine Cyber-Police besitzt ein individuelles Deckungskonzept, um alle relevanten Versicherungsarten zu involvieren. Daher kann sie aus Haftpflicht und auch einer Eigenschadenversicherung bestehen. Sie ist also das Rundumpaket aller benötigten Absicherungen für Cyberfälle.
Weitere Informationen zu Cyber-Risiken und deren Absicherung sowie Ihr persönliches Versicherungsangebot finden Sie hier.
Haben Sie weiterführende Fragen zur Auftragsdatenverarbeitung oder möchten besser abwägen können, welcher Anbieter für Sie der richtige ist? Oder sind Sie auf der Suche nach der richtigen Absicherung in Cyber-Fragen? Füllen Sie einfach das untenstehende Formular aus – Wir melden uns so schnell wie möglich bei Ihnen.