Die DSGVO schützt personenbezogene Daten. Ihr Unternehmen ist für den Schutz der personenbezogenen Kundendaten (wie E-Mail Adresse) verantwortlich und zwar auch dann, wenn sie die Verarbeitung insbesondere zu  technisch- organisatorischen Zwecken an einen Dienstleister (“Auftragsverarbeiter”) delegieren.

5 Tipps, damit sie datenschutzkonform sind.

Das bedeutet konkret: Sie können sich nicht durch die Beauftragung eines Dienstleisters (z.B. CRM, E-Mail Marketing Software) von der Verantwortung befreien (Artikel 5, 4 Abs. 8 DSGVO). 

 

Wie können Sie daher sicherstellen, dass ihre Dienstleister die Kundendaten entsprechend der DSGVO rechtmäßig verarbeiten?

Hier meine 5 Tipps, damit sie auch bei der Datenverarbeitung durch von ihnen beauftragten Dritten DSGVO konform sind:

Führen Sie eine Liste der Dienstleister, die im Auftrag ihre Daten verarbeiten. Dazu gehören Diensteanbieter wie E-Mail Marketing Software, Buchhaltungssoftware, Clouddienste, CRM usw.- im Grunde jeder aufgrund eines Auftrages tätige Dienstleister, der ihren Weisungen unterliegt.Überprüfen Sie vorab, ob der Dienstleister die Bestimmungen der DSGVO einhält.

Schließen Sie einen schriftlichen oder elektronischen Vertrag mit ihrem Auftragsverarbeiter ab, der insbesondere die Bereitstellung der Daten und die besonderen Bedingungen für den Einsatz von Subunternehmen nach der DSGVO regelt. Sollten sie große Dienstleister wie etwa Mailchimp Inc. beauftragen, werden diese in der Regel einen Vertrag über die Auftragsverarbeitung zur Verfügung stellen, bei kleineren Dienstleistern (z.B. Virtual Assistent) müssen sie dafür sorgen, dass die entsprechenden Regelungen zwischen ihnen nachweislich getroffen worden sind.

Überprüfen Sie, ob der Dienstleister innerhalb oder außerhalb der EU/EWR sitzt, insbesondere, wo sich die Server des Dienstleisters zur Speicherung und Verarbeitung der Daten befinden.

Werden die Daten zur Verarbeitung an Server außerhalb der EU/EWR übermittelt, gilt Folgendes:

Zunächst prüfen sie, ob die Datenübermittlung in Drittländer erfolgt, die gemäß Angemessenheitsbeschlüsse der EU Kommission ein der DSGVO adäquates Datenschutzniveau haben. 

Ein angemessene der DSGVO entsprechendes Datenschutzniveau haben u.a. folgende Länder: Andorra, Argentinien, Kanada, Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, Uruguay und die U.S.A (EU-US Privacy Shield/ nur US- Unternehmen, die zertifiziert sind).

Die EU Kommission hat gemäß Art. 45 Abs. 3 DSGVO sogenannte Angemessenheitsbeschlüsse für diese Länder erlassen. Hierin stellt sie fest, dass personenbezogene Daten in diesem Drittland (oder in einem bestimmten Gebiet oder Sektor) einen mit dem Europäischen Datenschutzrecht vergleichbaren adäquaten Schutz genießen. Hat die Europäische Kommission einen entsprechenden Angemessenheitsbeschluss gefasst, so dürfen personenbezogene Daten, sofern die sonstigen Bestimmungen der DSGVO eingehalten werden, ohne weitere Genehmigung an das jeweilige Land übermittelt werden.¹ Datentransfers auf der Grundlage eines Angemessenheitsbeschlusses sind folglich privilegiert: Sie werden solchen innerhalb der EU gleichgestellt.²

Aber was ist, wenn ihr Dienstleister weder in Länder der EU/EWR noch in Drittländer auf der Grundlage eines Angemessenheitsbeschlusses oder an US Unternehmen Daten übermittelt, die nicht nach Privacy Shield zertifiziert sind?

Existiert für das jeweilige Drittland kein Angemessenheitsbeschluss, kann die Übermittlung personenbezogener Daten in ein Drittland gleichwohl unter den Voraussetzungen des Art. 46 DSGVO zulässig sein.³

Danach darf ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Als solche geeigneten Garantien kommen insbesondere von der Europäischen Kommission genehmigte Standardvertragsklauseln in Betracht.

Was, wenn der Dienstleister keine Standardvertragsklauseln vereinbart?

In diesem Fall hilft nur noch die ausdrückliche Zustimmung von jedem einzelnen Betroffenen zur Übermittlung personenbezogener Daten in ein (unsicheres) Drittland.

Über die Einwilligung zum Datentransfer in ein Drittland haben sie in ihrer Datenschutzerklärung zu informieren. Die Einwilligung ist elektronisch oder schriftlich vom Betroffenen im Zeitpunkt der Erhebung seiner Daten etwa im Kontaktformular einzuholen und zu dokumentieren. In elektronischem Format etwa in Form eines Formulars mit Kästchen zum Ankreuzen (kein vorweggenommenes Ankreuzen!). Sind die Daten bereits erhoben worden und ein Datentransfer außerhalb der EU/EWR soll nachträglich stattfinden, dann ist dafür eine entsprechende, gesonderte Einwilligung einzuholen. 

Quellen:

¹Der Hessische Beauftragte für Datenschutz und Informationsfreiheit

²Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, ebenda.

³Der Hessische Beauftragte für Datenschutz und Informationsfreiheit

Sie interessieren sich dafür? Alles was Sie tun müssen ist, mit mir in Kontakt treten.