DSGVO – 4: Dienstleister

DSGVO

Die DSGVO widmet sich umfangreich der Frage nach der Verantwortung und den Beziehungen zwischen den Verantwortlichen. Zur Erinnerung: wir hatten ja einen in der Firma, der für alle Fragen zum Datenschutz verantwortlich ist – er/sie hat möglicherweise die Verantwortung für verschiedene Prozesse an Kollegen delegiert, hat aber bei Fragen „den Hut auf“.

Nun gibt es aber in jedem Unternehmen Dinge, die man nicht selber macht – Spezialisten tun manches einfach effizienter.  Klar kann man auch seine Steuererklärung selber machen,  aber wenn es keinen Spaß macht, delegiert man es gern. Und gibt dazu jede Menge Daten außer Haus.

Aber, wird nun der Verantwortliche für den Datenschutz fragen…dieser Steuermensch sieht ja ALLES von unseren Kunden und von unseren Mitarbeitern! Laut DSGVO sind dies „Betroffene“ – genau genommen müssten wir sie vorher fragen, ob sie das auch OK finden. Und sie könnten auch noch  Widerspruch einlegen!

Im Falle der Steuerberater scheint sich ein Konsens durchzusetzen, dass sie keine „Auftragsverarbeiter“ sind, aber das Beispiel verdeutlicht, wie man vorgehen kann um Prozesse zu identifizieren, die „extern“ sind.

Heutzutage gibt es viele Teilprozesse in unserem Bereich des Lebensmittelhandels, die komplett im Internet ablaufen – Neukundenanmeldung, Bestellungen und Änderungen annehmen, Bezahlen abwickeln, Informationen über die Zustellung übertragen usw. Und bei vielen dieser Aktionen treten Spezialisten  in Aktion -“ im Auftrag“.

Auch bisher schon musste man bei Auftragsverarbeitung genau hinschauen, was der Dienstleister denn so tut. Hält er die Vorgaben ein? Dokumentiert er Prozesse und sorgt sich wirklich um meine Daten? Da aber im Zweifelsfall nur der Auftraggeber haftete, war dem Auftragnehmer das, nun ja, nicht so wichtig. Jetzt aber haben die Auftragnehmer auch ein eigenes Interesse die Regeln einhalten – sie müssen nun ebenso für Schäden bei Betroffenen geradestehen.

Diese Schäden möchte der Auftragnehmer natürlich vermeiden – und wie bisher sollte er dazu seine „technischen und organisatorischen Maßnahmen“ dazu darlegen. Schon das Niederschreiben dieser Dinge kann einiges an Nachfragen im eigenen Haus auslösen – und einiges an Schwachstellen aufdecken.

Mit der neuen Datenschutzregelung muss ein Vertrag mit jedem Dienstleister geschlossen werden, der personenbezogene Daten verarbeitet. Im Rahmen des PCG-Teams ist Ökobox-Online so ein Dienstleister. Aber auch Ökobox-Online  macht nicht alles selbst und hat deshalb Verträge mit diesen Unter-Auftragnehmern, die wieder mit ihren Lieferanten u.s.w.

Diese Kette kann ganz schön lang werden, trotzdem muss der „Betroffene“ oft vorher gefragt werden, z.B. wenn die Daten in Gegenden landen, die nicht dem europäischem Recht unterliegen. Bis zu welchem Detail dies geht, wird wohl erst die zukünftige Rechtssprechung zeigen. Der Auftrag des Gesetzgebers ist aber klar: schaffe Transparenz und mach es möglich, das Deine Kunden wissen was mit ihren Daten passiert, sollten sie mit Dir Geschäfte machen.

Und Geschäfte machen wir schon, wenn ein Besucher unsere Webseite betritt – ich vermute viele Leser wissen nicht, wie viele Unter-Auftragnehmer allein bei einem simplen Seitenaufruf beschäftigt werden. Hier mal ein Bild eines Firefox-Browser-Plugins („Lightbeam„), welches grafisch darstellt, wer alles noch von meinem Besuch der bild.de Starteite (Rund, in der Mitte) erfahren hat.

Fast alle der kleinen Dreiecke sind Internet-Computer von Firmen, die nicht zu Bild gehören, also in diesem Sinne Auftragsverarbeiter sind. Oft sind dies Werbenetzwerke – der Verlag möchte natürlich auch etwas verdienen für die Recherche all dieser wichtigen Nachrichten – (das nennt man übrigens „berechtigtes Interesse“). Die IP-Adresse, also eine Kennung die unser  Browser beim Abruf mitgibt, wird aber allgemein zu den „persönlichen Daten“ gezählt  (vielleicht möchte man ja lieber für sich behalten, das man mal auf bild.de war ;-=) ) . Das heißt, dass in der Datenschutzerklärung der Webseite einiges aufgelistet sein müsste.

Einige Dreiecke in dem Bild „gehören“ übrigens Google. Wir wissen das Google mit Werbung Geld verdient – und die kann man umso besser platzieren, je genauer man die Zielgruppe kennt. Nun ja, ich war also auch mal auf bild.de, das weiß nun auch Google.

Google hat das übrigens clever angestellt, um an diese Daten zu kommen – sie haben über die Jahre phantastisch einfach zu benutzende und kostenlose Programmier-Werkzeuge, Bibliotheken und Dienste geschaffen, die oft und gern von Web-Designern und Programierern verwendet werden.  Google Analytics? Tolle Schriften? Landkartenansichten? Wir sind selbst schuld daran, das wir die nun in unseren Datenschutzerklärungen auflisten müssen.

In den nächsten Tagen werden die Kunden von Ökobox-Online den neuen DSGVO-AV-Vertrag von Ökobox-Online bekommen. „AV“ steht hier für Auftragsverarbeitung.  Die Kollegen haben sich Mühe gegeben, das Dokument lesbar zu gestalten. Übrigens auch eine Vorgabe der Verordnung.

Einiges davon wird auch in den Datenschutzerklärungen Eurer Websites stehen müssen. Aber dazu das nächste Mal.

Hausaufgabe:
Browser-Plugin installieren (s.o.) und den eigenen WebSite kontrollieren: was wird dabei alles abgefragt?

Disclaimer: Wir können und wollen hier keine Rechtsberatung sein – dies ist lediglich unsere nach bestem Wissen geschilderte Vorgehensweise. Die natürlich schon aus Raumgründen unvollständig ist. Wenn Ihr selber Anregungen habt, z.B. von Eurem Haus-Juristen, schreibt einen Kommentar!

Update 13.5.18: Die DSGVO schreibt Verträge mit Auftragsverarbeitern vor. Ein Vertragsabschluss erfolgt z.B. durch eine (auch elektronische) Bestätigung der Kenntnisnahme. Nur so kann die DSGVO erfüllt werden und der AV im Schadensfall eines Betroffenen auch mit in Haftung genommen werden.

 

4 Gedanken zu „DSGVO – 4: Dienstleister“

  1. Vielen Dank für diese Infos. Ich habe eure Ausführungen mit grossen Interesse gelesen. Gibt es schon was neues?
    schöne Grüße
    Heidrun -Ökokiste Bremen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.