Datenschutzgrundverordnung Must Knows für Schweizer KMUs und Gründer
Legal

DSGVO: Datenverarbeitungsvereinbarungen – wie und wo?

Unter der neuen Datenschutzgrundverordnung der EU – und später auch unter dem neuen Schweizer Datenschutzgesetz – haben Datensammler (Data Collector / Unternehmen) eine wesentlich höhere Verantwortung für die Verarbeitung der gesammelten Daten als bis anhin. 

Sie sind dabei nicht nur für ihre eigenen, internen Prozesse verantwortlich, sondern auch dafür, was mit den von ihnen gesammelten Daten bei Dritten gemacht wird. Dritte, die im Auftrag von Firmen, Unternehmen oder Einzelpersonen Daten weiterverarbeiten sind sogenannte Data Processor oder Datenverarbeiter. 

Mit jedem, der Daten weiterverarbeitet muss zwingend eine Datenverarbeitungsvereinbarung / ein Datenverarbeitungsvertrag / Data Processor Agreement unterzeichnet werden. 

 

Was empfehlen wir unseren Kunden?

Häufig ist es so, dass sich Unternehmen gar nicht bewusst sind, dass sie mit einer ganzen Fülle von Datenverarbeitern arbeiten. Als erstes empfehlen wir daher eine Auslegeordnung.

  • Mit welchen „Programmen“, Apps und Plattformen arbeiten wir tagtäglich? 
  • Welche Tracking-Tools verwenden wir?
  • Haben wir Marketing-Automations-Software im Einsatz?
  • Versenden wir Newsletter?
  • Haben wir Landingpages?
  • Haben wir Anbindungen zu Online-Zahlungsmöglichkeiten?
  • Wo sind die Daten unserer Mitarbeitenden gespeichert?
Das ergibt meistens schon eine unglaublich lange Liste von Datenverarbeitungspartnern. Und weil wir eh kein Marketing zum Selbstzweck mögen, empfehlen wir im nächsten Schritt eine Überprüfung der eigenen Prozesse:
 
  • Welche Daten sammeln wir wo und wozu?
  • Nutzen wir die gesammelten Daten auch wirklich so, wie wir das beabsichtigen?
  • Wo verwenden wir einen RollsRoyce obwohl es auch eine .xls Tabelle tun würde?
Dieser Reality Check führt meistens dazu, dass man sich gut und gern von 1/3 der Programme, Apps und Tools trennen kann.

 

Mit den Data Processors auf der dann bereinigten Liste gilt es dann die Datenverarbeitungsvereinbarungen/verträge abzuschliessen. Und, wenn sich solche Datenverarbeiter in einem Land mit schwächerem Datenschutz (zum Beispiel den USA) befindet, wird überdies ein Vertrag über die Datensicherheit und eine Offenlegung in der Datenschutzerklärung notwendig.

Und wenn wir das Gefühl haben, dass wir alle Hausaufgaben nach bestem Wissen und Gewissen gemacht haben, empfehlen wir unseren Kunden sich mit einem Anwalt des Vertrauens zusammenzusetzen und diesen alles checken – und wo nötig – optimieren zu lassen.

 

Wie komme ich an diese Vereinbarungen?

Da sieht man sich also mit Google, Facebook und Amazon konfrontiert und soll mit denen Verträge unterzeichnen. 

Glücklicherweise ist es so, dass die meisten der Big Player erkannt haben, dass die Compliance/Konformität mit der DSGVO sehr schnell zum Qualitätsstandard werden wird. Entsprechend gibt es vielerorts bereits die Möglichkeit sich die Data Processor Agreements / Addendums herunterzuladen und digital oder in hardcopy an die jeweiligen Unternehmen zu senden. 

Nur vereinzelt ist es so, dass auch grössere Anbieter noch nicht auf das Inkrafttreten vorbereitet sind. Wenn man sich von solchen Anbietern aus geschäftlichen Gründen nicht trennen kann oder will, sollte man wenigstens sicherstellen, dass man den Prozess dokumentiert (Mail an den Kundendienst, alle Antworten,…). Sollte der Anbieter langfristig keine Anstalten machen (selbst nach dem 25. Mai) sich um entsprechende Verträge und Anpassungen seiner Tools (zum Beispiel Opt-out Möglichkeiten) zu kümmern, empfiehlt sich die Ausschau nach Alternativen.

Wir haben nachfolgend eine Linksammlung zum Thema Datenverarbeitungsverträge erstellt. Diese ist weder abschliessend noch können wir für die Aktualität oder Richtigkeit der Angaben auf den jeweiligen Links haften.

  • Eine sehr umfassende Liste für Online-Unternehmen und Blogger gibt es von Blogmojo (letztmals aktualisiert am 9.4.2018): Übersicht
  • Speziell für die datenschutzkonforme Nutzung von Google Analytics gibt es einen Blog-Beitrag von .kloos: Blog-Beitrag
  • In der Facebookgruppe von Kanzlei Keese-Haufs „DSGVO und Online Marketing Recht“ werden wöchentlich aktuelle Themen und Updates zu Datenverarbeitungsverträgen (in Deutschland heissen die ADV = Auftragsdatenverarbeitungsverträge) diskutiert/publiziert: Hier geht es zur Gruppe
Hast du weitere hilfreiche Links oder Linksammlungen, dann freuen wir uns über einen Kommentar unter diesem Post.

2 Gedanken zu „DSGVO: Datenverarbeitungsvereinbarungen – wie und wo?“

Kommentar verfassen