Seite wählen
Datenschutz im Auftrag

Datenschutz im Auftrag

Nathalie Salibian-Waltz (SW2Legal)

Nathalie Salibian-Waltz

Anwältin, Autorin & Bloggerin

Ist es legal personenbezogene Nutzerdaten (wie E-Mail Adresse, Namen) im Auftrag, z.B. an einen Versanddienstleiter wie Active Campaign oder an einen virtuell tätigen Mitarbeiter (VA), verarbeiten zu lassen? 

Auftragsverarbeitung

Die DSGVO schützt personenbezogene Daten. Selbstständige sind für den Schutz der personenbezogenen Kundendaten verantwortlich und zwar auch dann, wenn sie die Verarbeitung insbesondere zu  technisch- organisatorischen Zwecken an einen Dienstleister (“Auftragsverarbeiter”) weitergeben (müssen). Das bedeutet konkret: Die Weitergabe an einen Dienstleister (z.B. CRM, E-Mail Marketing Software) befreit NICHT von der Haftung nach der Datenschutzgrundverordnung (Artikel 5, 4 Abs. 8 DSGVO). Vielmehr muss der Selbstständige hier den Dienstleister anweisen und gewährleisten, dass der Dienstleister die personenbezogenen Daten auch nach den Vorgaben der DSGVO verarbeitet. Zum Zwecke der ordnungsgemäßen Auftragsverarbeitung ist die „Weitergabe“ an einen Dienstleister dann legal.

Wie können Sie daher sicherstellen, dass ihre Dienstleister die Kundendaten entsprechend der DSGVO ordnungsgemäß verarbeiten?

Hier meine 5 Tipps:

  1. Führen Sie eine Liste der Dienstleister, die in ihrem Auftrag die personenbezogenen Daten der Kunden, Nutzer und potenziellen Kunden verarbeiten. Dazu gehören auch Diensteanbieter wie E-Mail Marketing Software, Buchhaltungssoftware, Clouddienste, CRM usw.- im Grunde jeder aufgrund eines Auftrages tätige Dienstleister, der ihren Weisungen unterliegt.
  2. Überprüfen Sie vorab, ob der jeweilige Dienstleister sich verpflichtet, die Bestimmungen der DSGVO einzuhalten und ihren entsprechenden datenschutzrechtlichen Weisungen zu folgen.
  3. Schließen Sie einen schriftlichen Vertrag mit ihrem Auftragsverarbeiter ab, der insbesondere die Bereitstellung  der personenbezogenen Daten  im Auftragsverhältnis und die Verarbeitungsprozesse der bearbeitenden Daten und die besonderen Bedingungen für den Einsatz von Subunternehmen nach der DSGVO regelt. US-Amerikanische IT Dienstleistungsunternehmen stellen in der Regel einen Vordruck als Vertrag über die Auftragsverarbeitung zur Verfügung. Prüfen Sie, ob darin die wesentliche Bestimmungen der DSGVO wie Verarbeitungsprozesse nach DSGVO, Sicherheit und Weitergabe von Daten an Subunternehmen datenschutzkonform geregelt sind. Bei anderen, individuell beauftragten Dienstleistern (z.B. Virtual Assistants) müssen sie dafür sorgen, dass die entsprechenden datenschutzrechtlichen Vereinbarungen zur Verarbeitung personenbezogener Daten zwischen ihnen nachweislich getroffen worden sind.
  4. Überprüfen Sie, ob der Dienstleister innerhalb oder außerhalb der EU/EWR sitzt, insbesondere, wo sich die Server des Dienstleisters zur Speicherung und Verarbeitung der Daten befinden.
  5. Werden die Daten zur Verarbeitung an Server außerhalb der EU/EWR übermittelt, dann benötigen Sie für die Verarbeitung der Daten eine besondere Rechtsgrundlage. Zunächst prüfen sie, ob die Datenübermittlung in Drittländer erfolgt, die gemäß Angemessenheitsbeschlüsse der EU Kommission ein der DSGVO adäquates Datenschutzniveau haben. Ein Übersicht der Länder, die ein angemessenes der DSGVO entsprechendes Datenschutzniveau haben, finden sie hier. Existiert für das jeweilige Drittland kein Angemessenheitsbeschluss, kann die Übermittlung personenbezogener Daten in ein Drittland unter den Voraussetzungen des Art. 46 DSGVO erfolgen, wenn der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Als solche geeigneten Garantien kommen insbesondere von der Europäischen Kommission genehmigte Standardvertragsklauseln. Wurden dagegen keine Standardvertragsklauseln vereinbart, dann hilft nur noch die ausdrückliche, datenschutzrechtliche Zustimmung von jedem einzelnen Betroffenen zur Übermittlung personenbezogener Daten in ein (unsicheres) Drittland. Über die Einwilligung zum Datentransfer in ein Drittland haben sie in ihrer Datenschutzerklärung zu informieren. Die Einwilligung kann elektronisch vom Betroffenen vor dem Datentransfer etwa im Kontaktformular eingeholt und dokumentiert werden.Eine Checkbox zum Ankreuzen (kein vorweggenommenes Ankreuzen!) genügt. Sind die Daten bereits als Bestandsdaten in der Kundenliste des Selbstständigen vorhanden und soll ein Datentransfer außerhalb der EU/EWR nachträglich stattfinden, dann ist dafür nochmals eine erneute Einwilligung erforderlich. 

 

5 Tipps für ein rechtssicheres Impressum

Deine Daten werden gemäß unserer Datenschutzerklärung verarbeitet.

Rechts-Check zum Festpreis

Mach dein Online-Business rechtssicher mit der Erstberatung Rechts-Check. Ein Format, das ich speziell für Selbstständige aufgelegt habe.

Start-up Gründung

Start-up Wachstum

Start-up Exit

weitere Artikel

Mein Blog für Selbstständige

Hier findest Du alle für Dich relevanten Infos über aktuelle Themen im Online-Recht: