Ist es legal per­so­nen­be­zo­ge­ne Daten mei­ner Kun­den (wie E‑Mail Adres­se, Namen) an einen Dienst­leis­ter, z.B. an einen Ver­sand­dienst­lei­ter wie Acti­ve Cam­pai­gn oder an einen vir­tu­ell täti­gen Mit­ar­bei­ter (VA), wei­ter­zu­ge­ben? 

Die DSGVO schützt per­so­nen­be­zo­ge­ne Daten. Selbst­stän­di­ge sind für den Schutz der per­so­nen­be­zo­ge­nen Kun­den­da­ten ver­ant­wort­lich und zwar auch dann, wenn sie die Ver­ar­bei­tung ins­be­son­de­re zu  tech­nisch- orga­ni­sa­to­ri­schen Zwe­cken an einen Dienst­leis­ter (“Auf­trags­ver­ar­bei­ter”) wei­ter­ge­ben (müs­sen). Das bedeu­tet kon­kret: Die Wei­ter­ga­be an einen Dienst­leis­ter (z.B. CRM, E‑Mail Mar­ke­ting Soft­ware) befreit NICHT von der Haf­tung nach der Daten­schutz­grund­ver­ord­nung (Arti­kel 5, 4 Abs. 8 DSGVO). Viel­mehr muss der Selbst­stän­di­ge hier den Dienst­leis­ter anwei­sen und gewähr­leis­ten, dass der Dienst­leis­ter die per­so­nen­be­zo­ge­nen Daten auch nach den Vor­ga­ben der DSGVO ver­ar­bei­tet. Zum Zwe­cke der ord­nungs­ge­mä­ßen Auf­trags­ver­ar­bei­tung ist die “Wei­ter­ga­be” an einen Dienst­leis­ter dann legal.

Wie kön­nen Sie daher sicher­stel­len, dass ihre Dienst­leis­ter die Kun­den­da­ten ent­spre­chend der DSGVO ord­nungs­ge­mäß ver­ar­bei­ten?

Hier mei­ne 5 Tipps, damit die Daten­ver­ar­bei­tung durch einen Dienst­leis­ter DSGVO kon­form ist:

  1. Füh­ren Sie eine Lis­te der Dienst­leis­ter, die in ihrem Auf­trag die per­so­nen­be­zo­ge­nen Daten der Kun­den, Nut­zer und poten­zi­el­len Kun­den ver­ar­bei­ten. Dazu gehö­ren auch Diens­te­an­bie­ter wie E‑Mail Mar­ke­ting Soft­ware, Buch­hal­tungs­soft­ware, Cloud­diens­te, CRM usw.- im Grun­de jeder auf­grund eines Auf­tra­ges täti­ge Dienst­leis­ter, der ihren Wei­sun­gen unter­liegt.
  2. Über­prü­fen Sie vor­ab, ob der jewei­li­ge Dienst­leis­ter sich ver­pflich­tet, die Bestim­mun­gen der DSGVO ein­zu­hal­ten und ihren ent­spre­chen­den daten­schutz­recht­li­chen Wei­sun­gen zu fol­gen.
  3. Schlie­ßen Sie einen schrift­li­chen Ver­trag mit ihrem Auf­trags­ver­ar­bei­ter ab, der ins­be­son­de­re die Bereit­stel­lung  der per­so­nen­be­zo­ge­nen Daten  im Auf­trags­ver­hält­nis und die Ver­ar­bei­tungs­pro­zes­se der bear­bei­ten­den Daten und die beson­de­ren Bedin­gun­gen für den Ein­satz von Sub­un­ter­neh­men nach der DSGVO regelt. US-Ame­ri­ka­ni­sche IT Dienst­leis­tungs­un­ter­neh­men stel­len in der Regel einen Vor­druck als Ver­trag über die Auf­trags­ver­ar­bei­tung zur Ver­fü­gung. Prü­fen Sie, ob dar­in die wesent­li­che Bestim­mun­gen der DSGVO wie Ver­ar­bei­tungs­pro­zes­se nach DSGVO, Sicher­heit und Wei­ter­ga­be von Daten an Sub­un­ter­neh­men daten­schutz­kon­form gere­gelt sind. Bei ande­ren, indi­vi­du­ell beauf­trag­ten Dienst­leis­tern (z.B. Vir­tu­al Assi­stants) müs­sen sie dafür sor­gen, dass die ent­spre­chen­den daten­schutz­recht­li­chen Ver­ein­ba­run­gen zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zwi­schen ihnen nach­weis­lich getrof­fen wor­den sind.
  4. Über­prü­fen Sie, ob der Dienst­leis­ter inner­halb oder außer­halb der EU/EWR sitzt, ins­be­son­de­re, wo sich die Ser­ver des Dienst­leis­ters zur Spei­che­rung und Ver­ar­bei­tung der Daten befin­den.
  5. Wer­den die Daten zur Ver­ar­bei­tung an Ser­ver außer­halb der EU/EWR über­mit­telt, dann benö­ti­gen Sie für die Ver­ar­bei­tung der Daten eine beson­de­re Rechts­grund­la­ge. Zunächst prü­fen sie, ob die Daten­über­mitt­lung in Dritt­län­der erfolgt, die gemäß Ange­mes­sen­heits­be­schlüs­se der EU Kom­mis­si­on ein der DSGVO adäqua­tes Daten­schutz­ni­veau haben. Ein Über­sicht der Län­der, die ein ange­mes­se­nes der DSGVO ent­spre­chen­des Daten­schutz­ni­veau haben, fin­den sie hier. Exis­tiert für das jewei­li­ge Dritt­land kein Ange­mes­sen­heits­be­schluss, kann die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in ein Dritt­land unter den Vor­aus­set­zun­gen des Art. 46 DSGVO erfol­gen, wenn der Auf­trags­ver­ar­bei­ter geeig­ne­te Garan­tien vor­ge­se­hen hat und sofern den betrof­fe­nen Per­so­nen durch­setz­ba­re Rech­te und wirk­sa­me Rechts­be­hel­fe zur Ver­fü­gung ste­hen. Als sol­che geeig­ne­ten Garan­tien kom­men ins­be­son­de­re von der Euro­päi­schen Kom­mis­si­on geneh­mig­te Stan­dard­ver­trags­klau­seln. Wur­den dage­gen kei­ne Stan­dard­ver­trags­klau­seln ver­ein­bart, dann hilft nur noch die aus­drück­li­che, daten­schutz­recht­li­che Zustim­mung von jedem ein­zel­nen Betrof­fe­nen zur Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in ein (unsi­che­res) Dritt­land. Über die Ein­wil­li­gung zum Daten­trans­fer in ein Dritt­land haben sie in ihrer Daten­schutz­er­klä­rung zu infor­mie­ren. Die Ein­wil­li­gung kann elek­tro­nisch vom Betrof­fe­nen vor dem Daten­trans­fer etwa im Kon­takt­for­mu­lar ein­ge­holt und doku­men­tiert werden.Eine Check­box zum Ankreu­zen (kein vor­weg­ge­nom­me­nes Ankreu­zen!) genügt. Sind die Daten bereits als Bestands­da­ten in der Kun­den­lis­te des Selbst­stän­di­gen vor­han­den und soll ein Daten­trans­fer außer­halb der EU/EWR nach­träg­lich statt­fin­den, dann ist dafür noch­mals eine erneu­te Ein­wil­li­gung erfor­der­lich.