Datenschutz (-dokumente) für Unternehmer nach DSGVO! Was wird benötigt?

Datenschutz (-dokumente) für Unternehmer nach DSGVO! Was wird benötigt?

Mindestanforderungen Datenschutz

Die Datenschutzgrundverordnung (DSGVO) ist schon mehr als zwei Jahre alt und trotzdem müssen wir immer wieder feststellen, dass Unternehmer den Mindeststandard für Datenschutz nicht einhalten und fragen, welche Datenschutzdokumente sie benötigen. Wir haben festgestellt, dass eine Vielzahl von Unternehmer und Mandanten das Thema Datenschutz erst dann ernst nehmen, wenn ein Bescheid der Datenschutzbehörde zugestellt wird. Unserer Auffassung nach, ist es dann schon reichlich spät und es geht um Schadensbegrenzung. Aus diesem Grund möchten wir einige Mindeststandards im Datenschutzrecht vorstellen oder in Erinnerung rufen.

Verzeichnis der Verarbeitungstätigkeiten

Wenn wir bei unseren Mandanten nachfragen, ob sie uns ihr Verzeichnis der Verarbeitungstätigkeiten zeigen können, dann kommen meistens fragende Blicke. Was ist das? Gehört das zum Datenschutz? Unserer Auffassung nach ist das die Landkarte für das Datenschutzrecht in einem Unternehmen. Es ist von essenzieller Bedeutung und nach Art. 30 DSGVO Pflicht! Dieses Verzeichnis kann sehr einfach ausgestaltet werden oder aber auch natürlich komplex, je nachdem welche Datenflüsse in einem Unternehmen strömen. Wie ein solches erstellt wird, werden wir in einem separaten Beitrag vorstellen. Im Internet bestehen zudem zahlreiche Muster und auch die Datenschutzbehörden stellen solche zur Verfügung. Aus diesem Grund ist auch die Datenschutzbehörde relativ unnachgiebig, wenn ein solches fehlt. Die Schwierigkeit besteht hier meist in der Anlage für die technischen und organisatorischen Maßnahmen (TOM). Aber auch dafür gibt es Vorlagen. Gleichwohl sollte ein solche Anlage natürlich individuell angepasst werden.

Datenschutzerklärung und Datenschutzhinweise

Man kann schon mit Fug und Recht behaupten, dass mit Einführung der Datenschutzgrundverordnung (DSGVO) der Begriff Datenschutzerklärung in aller Munde ist. Datenschutz wird häufig gleichgesetzt mit Datenschutzerklärung. Aus diesem Grund gehen wir davon aus, dass die meisten Unternehmer über eine solche verfügen, wenn sie Waren und Dienstleistungen über das Internet anbieten. Was alles in eine Datenschutzerklärung gehört, werden wir in einem separaten Beitrag darlegen. Es ergibt sich aber aus Art. 13 und Art. 14 DSGVO. Hier gilt es zu wissen, dass sich aufgrund der stetig wandelnden Rechtsprechung, immer wieder Neuerungen ergeben und im Prinzip eine Datenschutzerklärung vom 25. Mai 2018 nicht mehr aktuell sein dürfte. Datenschutzhinweise sind im Übrigen die Hinweise nach Art. 13 oder Art. 14 aus Art. 13 und Art. 14 DSGVO, wenn personenbezogene Daten nicht über die Webseite erhoben werden.. Wenn beispielsweise jemand sie offline anschreibt also klassich per Brief.

Auftragsverarbeitungsverträge und Datenschutz

Auch die Auftragsverarbeitungsverträge nach Art. 28 DSGVO werden häufig vergessen. Fast jeder Unternehmer nutzt das Kommunikationsmittel E-Mail und muss daher mit seinem Anbieter einen Auftragsverarbeitungsvertrage schließen. Wer überdies Google, Facebook oder andere ähnliche Anbieter nutzt, muss auch mit denen entsprechende Auftragsverarbeitungsverträge schließen.

Weitere Unterlagen

Es müssen zudem eine Vielzahl von anderen Datenschutzdokumenten vorrätig gehalten werden. Dies hängt aber dann nunmehr davon ab, ob das Unternehmen Mitarbeiter hat, ob es deren Fotos auf der Webseite hochladen möchte oder ob es Gesundheitsdaten verarbeitet. Das richtet sich dann nach dem Einzelfall. Sprechen Sie uns gerne an und wir prüfen für Sie, was Sie genau benötigen.

Anwalt für Datenschutz

Wenn Sie Fragen zum Datenschutz haben, dann können Sie uns telefonisch unter 069 405 64282 telefonisch erreichen oder per E-Mail an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz und zertifizierter Datenschutzbeauftragter in Frankfurt am Main und bundesweit.

Rufen Sie uns an!

Beitragsbild: Adeolu Eletu

Wann besteht eine Auftragsverarbeitung nach DSGVO?

Wann besteht eine Auftragsverarbeitung nach DSGVO?

Auftragsverarbeitungsvertrag

Im Zuge der neuen Datenschutzgrundverordnung (DSGVO) stellen sich viele Unternehmer die Frage, wann muss ich einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO) schließen bzw wann liegt Auftragsverarbeitung vor? Manche haben sogar von ihren Dienstleistern einen vorgesetzt bekommen, mit der Bitte,diesen unterschrieben zurückzuschicken. Bevor man natürlich einen Vertrag unterschreibt, muss man wissen worum es sich hierbei handelt.

Auftragsverarbeitung DSGVO

In Art. 4 Nr. 8 der DSGVO ist die Auftragsverarbeitung gesetzlich definiert. Auftragsverarbeiter ist danach eine natürliche oder juristische Person, Behörde, Einrichtung oder anderer Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Viel Klarheit bringt diese Definitionen leider nicht. Es kommt also darauf an, dass im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet werden. Verantwortlicher ist dabei die natürliche oder juristische Person, Behörde, Einrichtung oder anderer Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Weisungsrecht

Es kommt für die Auftragsverarbeitung darauf an, dass zwischen Verantwortlicher und Auftragsarbeiter ein Weisungsrecht besteht. D.h. so viel, dass derjenige Verantwortlicher ist, der über den Zweck und die Mittel der Verarbeitung der personenbezogenen Daten entscheidet. Erteilt dieser einem anderen eine Weisung, wie er diese personenbezogenen Daten verarbeiten soll, ist dieser andere ein Auftragsverarbeiter. Wenn ich beispielsweise ein Callcenter für mich arbeiten lasse, so entscheidet dieses nicht über den Zweck der Erhebung der personenbezogenen Daten. Es hat keinen Spielraum zu sagen, ich möchte folgende Daten vom Kunden wissen. Es ist an die Weisungen gebunden, die der Unternehmer ihm erteilt hat. Es muss also die personenbezogenen Daten erheben, die dieser festgelegt hat, also beispielweise Namen und Telefonnummer für einen Rückruf. Damit ist das Callcenter ein Auftragsverarbeiter.

Abgrenzungen

Derzeit ist aufgrund der jungen Geschichte der DSGVO und der fehlenden Rechtsprechung noch nicht gesichert, wie man in Abgrenzungsfragen bei der Auftragsverarbeitung entscheiden sollte. Manche vertreten eine sogenannte Schwerpunkttheorie. Danach ist keine Auftragsverarbeitung gegeben, wenn die Erhebung der Daten zum Schwerpunkt der Tätigkeit des Unternehmens gehört. So ist beispielsweise ein Transportdienstleistungsunternehmen kein Auftragsverarbeiter, wenn es personenbezogenen Daten an Dritte auf Weisung des Verantwortlichen transportiert. Der Transport ist nämlich die Kerntätigkeit des Transportunternehmens. Andere Beispiele sind Rechtsanwälte, Steuerberater oder beispielsweise ein Labor. Hier besteht aber zwischen den sich mit Datenschutz befassen den Autoren unterschiedliche Auffassungen. Manche wählen als sichersten Weg im Zweifel einen Auftragsverarbeitungsvertrag. Das Problem darin ist, dass ich dann mich beispielsweise als Auftragsverarbeiter Weisungen des Verantwortlichen unterwerfe.

Keine Patentlösung

Aus meiner Sicht, gibt es hier keine Patentlösung. Wichtig wird sein, dass man in jedem Fall begründen können muss, warum man gerade keine Auftragsverarbeitung oder eben eine vorliegen hat. Dies müsste dann argumentativ gegen eine Bußgeldbehörde verteidigt werden. Der Teufel steckt hier im Detail. Die Zuordnung ist von erheblicher Bedeutung. Ein Verstoß dagegen führt zu einem Verstoß gegen die DSGVO . Dies wiederum führt zu Bußgeldern bzw. gegebenenfalls zu Abmahnungen. Ein Vertrag sollte nicht vorschnell abgeschlossen werden.

Anwalt für Datenschutz

Wenn Sie also Fragen rund um die Zuordnung einer Tätigkeit zur Auftragsbearbeitung haben, können Sie uns gerne unter 069 405 64 282 oder per Email an info@rechtsanwalt-dsgvo.de erreichen.

Ihr Anwalt und Datenschutzbeuaftragter für DSGVO in Frankfurt.

Rufen Sie uns an!

Beitragsbild: Markus Spiske

Was soll ich in einem Auftragsverarbeitungsvertrag regeln?

Was soll ich in einem Auftragsverarbeitungsvertrag regeln?

Auftragsverarbeitung

Unsere Mandanten fragen uns, was sie in einem Auftragsverarbeitungsvertrag regeln sollten. Vor allem fragen sie sich, was passiert, wenn der Auftragsvearbeitungsvertrag nicht den Mindestanforderungen genügt. Die Regelung zum Auftragsverarbeiter finden sich in Art. 28 der Datenschutzgrundverordnung (DSGVO). Dort ist eine Reihe von rechten und Pflichten vorgegeben, die in einem Auftragsvearbeitungsvertrag enthalten sein müssen.

Konsequenz eines fehlerhaften Auftragsverarbeitungsvertrags

Vorweg sollte jedermann der Daten im Auftragsverarbeitungsverhältnis verarbeitet bewusst sein, dass ein Auftragsverarbeitungsvertrag der gegen die Anforderungen der Datenschutzgrundverordnung (DSGVO) verstößt, ein Bußgeld in Höhe von 4 % des Jahres Bruttoumsatzes (weltweit) zur Folge haben kann. Aus diesem Grund wird relativ schnell deutlich, dass eine „gewisse“ Sorgfalt bei der Erstellung eine solchen Vertrages zwingend notwendig ist, jedenfalls empfehlenswert ist.

Liste der Mindestanforderungen Auftragsverarbeitungsvertrag

Eine beispielhafte Liste an Vertragspunkten, die aus unserer Sicht in einem Auftragsverarbeitungsvertrag gehören:

  • Gegenstand und Dauer des Auftrages Absatz Umfang, Art und Zweck der Datenverarbeitung
  • Maßnahmen nach Art. 32 Datenschutzgrundverordnung
  • Regelung des Weisungsrechts
  • Regelung zu Unterauftragsverhältnisse
  • Kontrollrechte des Auftraggebers
  • Vertraulichkeitsverpflichtung von Beschäftigten
  • Regelungen zum Datenschutzvorfälle und Informationspflichten
  • Löschung und Rückgabe von Daten

Aus unser Sicht stellen dies die Mindestanforderungen dar und je nachdem, ob Sie als Auftragnehmer und Auftraggeber handeln, bestehen natürlich vielfältige Gestaltungsmöglichkeiten. Es muss auch bei solchen Verträgen immer auch die Interessen des Vertragspartners berücksichtigt werden und ein Vertrag verhandelt werden, der ausgewogen ist. Nur das gewährleistet, dass hinterher ein teurer Streit vermieden werden kann.

Anwalt für Datenschutz

Sollten Sie Fragen rund um die Ausgestaltung des Auftragsverarbeitungsvertrages haben oder einen solchen vorgelegt bekommen haben und wollen diesen überprüft wissen, dann können Sie mich jederzeit unter der Tel.-Nr. 069 405 64 282 telefonisch oder per E-Mail unter info@rechtsanwalt-dsgvo.de erreichen.

Wir freuen uns über Ihren Anruf oder Ihre Nachricht.

Ihr Anwalt und TÜV-zertifizierter Datenschutzbeauftragter  in Frankfurt.

Beitragsbild: Markus Spiske