Auftragsdatenverarbeitungsverträge und Verordnungen

Foto von Mike Lawrence https://www.flickr.com/photos/157270154@N05/38466671226 (CC BY 2.0)

Foto von Mike Lawrence https://www.flickr.com/photos/157270154@N05/38466671226 (CC BY 2.0)

Geht es dir auch so? Gefühlt sprechen alle, wirklich alle, über die anstehende Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Im letzten Artikel hier im Blog (Von Cookies und Zuständen) habe ich das schon anklingen lassen. Da es ja nun bald ernst wird, ganz deutlich die wichtige Nachricht in diesem Artikel!

Wir werden allen Novatrend Kunden einen sogenannten Auftragsdatenverarbeitungsvertrag bis zum 25. Mai im Kunden Center zur Verfügung stellen.

Da deine Hosting-Daten auf unseren Servern liegen und wir mit diesen Daten zwangsläufig in Berührung kommen, müssen wir deine Daten ordentlich behandeln und dürfen damit keinen Unfug treiben. Genau das machen wir bereits heute: ordentlich behandeln und kein Unfug treiben!

In der Zukunft …

  • kannst du, wenn sich deine Website ausschliesslich an ein Schweizer Publikum richtet (Für die Schweiz hat die DSGVO nur Relevanz, sobald ein Unternehmen Kunden aus dem europäischen Ausland hat oder dort geschäftlichen Aktivitäten nachgeht.), 
  • musst du, wenn sich deine Website an ein Publikum in der Europäischen Union richtet (das europäische Datenschutzrecht gilt auch für außereuropäische Unternehmen, soweit diese ihre Waren oder Dienstleistungen im europäischen Markt anbieten.),

… einen Auftragsdatenverarbeitungsvertrag mit jedem schliessen, der deine Daten verarbeitet.

In solchen Verträgen geht es um:

… die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der Auftragsverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit der Dienstleistung in Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können …

Um welche weiteren Dinge geht es bei der DSGVO?

Hier kurz zusammengefasst, die Dinge, die uns ebenfalls wichtig erscheinen:

  1. Die Information und Einholung einer Einwilligung der Person, deren Daten verarbeitet werden.
    Was für uns beim Hosting deiner Daten gilt, gilt natürlich auch für deine Websites und den Umgang mit den Daten deiner Besucher:
    Seit 2009 gibt es dafür die
    „Cookie-Richtlinie“ der EU
  2. Grundsätze: Data protection by design und Data protection by default 
    Diese Begriffe sind neu und wurden bisher eher als „Privacy by Design“ und „Privacy by Default“ bezeichnet. Das bedeutet, dass die Technik der Datenverarbeitung von vornherein darauf entworfen und ausgerichtet ist und die Voreinstellungen so ausgewählt sind, dass den Grundsätzen des Datenschutzes Genüge getan wird. Ein solch dokumentiertes Vorgehen kann dabei helfen, die Einhaltung der DSGVO nachzuweisen.
  3. Benennung eines Vertreter in der EU
    Die DSGVO sieht europaweit die Bestellung von Datenschutzbeauftragten vor. Kleinstunternehmer und kleine Unternehmen müssen keinen Datenschutzbeauftragten stellen.
  4. Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten
    Die Informationen darüber sind „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu liefern“. 
    Im letzten WordPress Update 4.9.6 ist bereits in den Einstellungen eine  Datenschutzerklärung vorgesehen, siehe auch t3n – WordPress 4.9.6
  5. Das Recht auf „vergessen werden“
    Das Recht auf vergessen werden umfasst einerseits, dass eine betroffene Person das Recht hat, das Löschen aller sie betreffenden Daten zu fordern, wenn die Gründe für die Datenspeicherung entfallen. Darüber hinaus muss aber auch der Verarbeiter selbst aktiv die Daten löschen, wenn es keinen Grund mehr für eine Speicherung und Verarbeitung gibt.
  6. Es gibt jetzt Strafen!
    Bei Verstössen gegen die DSGVO können in Zukunft Bussgelder verhängt werden.

Fazit

Gefühlt sprechen alle über die anstehende Datenschutz-Grundverordnung und jeder, der sich damit beschäftigen muss, merkt schnell:

Das Thema ist komplex, vieles nicht hundertprozentig klar geregelt und nach und nach wird sich das „hinruckeln“.

Die NZZ empfiehlt, die Gelegenheit zu nutzen um mal Daten-mässig aufzuräumen.
In diesem Sinne wünsche ich allen Lesern einen guten Start in das Zeitalter der  Datenschutz-Grundverordnung .

Links:

Autor: hagengraf

consultant, author, trainer, solution finder, web architect, developer, open source lover, visionary, orator, the good old webmaster. Able to simplify!

Ein Gedanke zu „Auftragsdatenverarbeitungsverträge und Verordnungen“

Kommentar verfassen