IT für kleine Unternehmen


Der Kleinunternehmen-IT-Wegweiser

DSGVO-konforme Datenverarbeitung in der Zusammenarbeit mit Agenturen und Hostingpartnern

Überblick zur DSGVO-konformen Datenverarbeitung bei der Zusammenarbeit mit Agenturen und Hostingpartnern, einschließlich wichtiger Verträge und Schutzmaßnahmen."

Die Datenschutz-Grundverordnung (DSGVO) hat seit ihrer Einführung im Jahr 2018 maßgeblich die Art und Weise verändert, wie Unternehmen in der Europäischen Union und im DACH-Raum (Deutschland, Österreich, Schweiz) mit personenbezogenen Daten umgehen. Für kleine und mittelständische Unternehmen (KMU), die mit externen Dienstleistern wie Agenturen und Hostingpartnern zusammenarbeiten, bringt die DSGVO eine Reihe von Anforderungen und Pflichten mit sich, insbesondere im Hinblick auf Datenverarbeitungsverträge.

Wichtigkeit von Datenverarbeitungsverträgen

Datenverarbeitungsverträge sind zentral, wenn es um die Zusammenarbeit mit Drittanbietern geht. Diese Verträge stellen sicher, dass beide Parteien ihre Pflichten nach der DSGVO erfüllen. Sie definieren, wie personenbezogene Daten verarbeitet, geschützt und übertragen werden.

Notwendige Dokumente und Vorlagen

Datenverarbeitungsvertrag (DPA)

Dies ist das Kernstück der Dokumentation. Es legt fest, wer für welche Datenverarbeitungsvorgänge verantwortlich ist und wie die Daten geschützt werden.

Auftragsverarbeitungsvertrag (AVV)

Insbesondere für deutsche Unternehmen relevant, stellt dieser Vertrag sicher, dass der Dienstleister die Daten im Einklang mit der DSGVO verarbeitet.

Technische und organisatorische Maßnahmen (TOMs)

Technische und organisatorische Maßnahmen (TOMs) sind Sicherheitsvorkehrungen, die Unternehmen ergreifen, um personenbezogene Daten zu schützen. Dazu gehören Verschlüsselung, Zugangskontrollen, Datenschutzrichtlinien und Schulungen, um die Datenschutzanforderungen zu erfüllen und Daten vor unbefugtem Zugriff zu bewahren.

Datenschutz-Folgenabschätzung (DSFA)

Bei bestimmten Risiken oder Arten der Datenverarbeitung kann eine DSFA notwendig sein.

Beispiel: Einführung eines Systems zur Mitarbeiterüberwachung

Ein Unternehmen plant, ein neues IT-System zu implementieren, das die Aktivitäten seiner Mitarbeiter während der Arbeitszeit überwacht. Dies könnte beispielsweise ein fortschrittliches Überwachungssystem sein, das nicht nur die Arbeitszeiten und Pausenzeiten erfasst, sondern auch das Verhalten der Mitarbeiter am Arbeitsplatz überwacht, wie etwa ihre Interaktionen am Computer, ihre Bewegungen im Büro oder ihre Kommunikation über Unternehmensgeräte.

Warum ist eine DSFA erforderlich?

Hohe Risiken für die Privatsphäre: Solche Überwachungssysteme können tief in die Privatsphäre der Mitarbeiter eingreifen und haben das Potenzial, detaillierte Profile über ihr Verhalten und ihre Aktivitäten zu erstellen.

Bewertung der Notwendigkeit und Verhältnismäßigkeit: Eine DSFA hilft zu bewerten, ob die Überwachung notwendig und verhältnismäßig ist oder ob weniger invasive Methoden zur Erreichung des gleichen Ziels eingesetzt werden können.

Identifikation und Minderung von Risiken: Die DSFA ermöglicht es dem Unternehmen, die Risiken, die sich aus der Verarbeitung ergeben, zu identifizieren und Maßnahmen zu ihrer Minderung zu ergreifen.

Erfüllung der rechtlichen Verpflichtungen: Unter der DSGVO ist es erforderlich, bei Verarbeitungsvorgängen, die wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen, eine DSFA durchzuführen.

Transparenz und Rechenschaftspflicht: Die DSFA dokumentiert, wie das Unternehmen seine Datenschutzpflichten ernst nimmt und fördert das Vertrauen der Mitarbeiter und anderer Stakeholder.

Beispiel

Hostingpartner

Wenn Sie mit einem Hostingpartner zusammenarbeiten, der Dienste wie Serverhosting, Website-Hosting oder ähnliche Services bereitstellt, ist es aus Sicht der Datenschutz-Grundverordnung (DSGVO) wichtig, bestimmte Dokumente zu haben und Verfahrensweisen festzuleegen. Hier sind die wesentlichen Dokumente und ihre jeweiligen Zuständigkeiten:

  1. Datenverarbeitungsvertrag (DPA) [Pflicht]
    Was es ist: Ein DPA ist eine Vereinbarung zwischen Ihnen (als Datenverantwortlichem) und Ihrem Hostingpartner (als Datenverarbeiter), die genau festlegt, wie personenbezogene Daten verarbeitet werden sollen.
    Wer liefert es: Der Hostingpartner sollte einen standardisierten DPA zur Verfügung stellen, der an die spezifischen Bedürfnisse Ihres Unternehmens angepasst werden kann.
  2. Auftragsverarbeitungsvertrag (AVV) [Pflicht]
    Was es ist: In einigen Ländern, insbesondere in Deutschland, ist ein spezieller Auftragsverarbeitungsvertrag erforderlich. Dieser regelt ebenfalls die Bedingungen der Datenverarbeitung.
    Wer liefert es: Ähnlich wie beim DPA sollte der Hostingpartner eine Vorlage bereitstellen, die dann individuell angepasst wird.
  3. Sicherheitsrichtlinien und Zertifikate [optional]
    Was es ist: Dokumentation über die Sicherheitsmaßnahmen des Hostingpartners, einschließlich eventueller Zertifizierungen wie ISO 27001, die die Einhaltung von Best Practices in der Informationssicherheit zeigen.
    Wer liefert es: Der Hostingpartner sollte Informationen über seine Sicherheitsmaßnahmen und Zertifizierungen bereitstellen.
  4. Technische und organisatorische Maßnahmen (TOMs) [Pflicht]
    Was es ist: Eine detaillierte Beschreibung der technischen und organisatorischen Maßnahmen, die der Hostingpartner zum Schutz Ihrer Daten ergreift.
    Wer liefert es: Der Hostingpartner ist verantwortlich für die Bereitstellung dieser Informationen.
  5. Datenschutzerklärung [optional für den Kunden, jedoch ein Muss für den Hoster, wenn er eine Website betreibt]
    Was es ist: Eine Erklärung, die beschreibt, wie personenbezogene Daten auf Ihrer Website gesammelt, genutzt und geschützt werden.
    Wer liefert es: Obwohl Ihr Hostingpartner möglicherweise Vorlagen oder Richtlinien zur Verfügung stellt, sind Sie als Website-Betreiber für die Erstellung und Pflege der Datenschutzerklärung verantwortlich.
  6. Incident Response Plan [optional]
    Was es ist: Ein Plan für den Umgang mit Datenpannen, einschließlich der Benachrichtigung von Aufsichtsbehörden und betroffenen Personen.
    Wer liefert es: Dies sollte eine gemeinsame Anstrengung sein. Ihr Hostingpartner sollte über Verfahren verfügen, um solche Vorfälle zu managen und Sie zu informieren.

Während die "Muss-Haben" Dokumente unerlässlich sind, um die gesetzlichen Anforderungen der DSGVO zu erfüllen, bieten die optionalen Dokumente zusätzliche Sicherheitsebenen und helfen dabei, ein umfassendes Datenschutz- und Sicherheitsframework aufzubauen. Es ist wichtig, dass alle Dokumente sorgfältig geprüft und auf dem neuesten Stand gehalten werden, um eine fortlaufende Compliance zu gewährleisten. In der Praxis ist es oft empfehlenswert, auch die optionalen Dokumente als Bestandteil des Datenschutzmanagementsystems zu betrachten, da sie wesentlich zur Transparenz, Vertrauensbildung und Risikominderung beitragen können.

Wenn das verstanden wurde, machen wir es jetzt ein wenig komplizierter 😎:

Wenn ein Hosting-Anbieter lediglich die Hardware bereitstellt und der Kunde ab dem Betriebssystem die vollständige Kontrolle übernimmt, ändert sich die Verantwortung bezüglich der Datenschutzdokumente etwas. In diesem Szenario agiert der Hoster eher als Infrastrukturanbieter, und die Verantwortlichkeiten im Hinblick auf die DSGVO können sich wie folgt darstellen:

Datenverarbeitungsvertrag (DPA)

Situation: Auch wenn der Hoster nur die Hardware bereitstellt, kann ein DPA erforderlich sein. Dies hängt davon ab, ob der Hoster in irgendeiner Weise Zugriff auf personenbezogene Daten hat oder technische Möglichkeiten besitzt, diese Daten zu verarbeiten.
Verantwortung: Es liegt in der Verantwortung des Hosters, einen DPA bereitzustellen, wenn er als Datenverarbeiter agiert. Wenn der Hoster jedoch keinen Zugriff auf personenbezogene Daten hat, kann die Rolle als Datenverarbeiter in Frage gestellt werden.


Technische und organisatorische Maßnahmen (TOMs)

Situation: Der Hoster sollte unabhängig vom Umfang seiner Dienstleistungen grundlegende Sicherheitsmaßnahmen zum Schutz der physischen Infrastruktur und zur Gewährleistung der Verfügbarkeit der Dienste ergreifen.
Verantwortung: Der Hoster ist verantwortlich für die Bereitstellung von Informationen über die von ihm implementierten TOMs, insbesondere solche, die die physische und grundlegende technische Sicherheit betreffen.

Auftragsverarbeitungsvertrag (AVV)

Situation: Wenn der Hosting-Provider nur die Hardware bereitstellt und der Kunde ab dem Betriebssystem die Kontrolle übernimmt, könnte es sein, dass der Provider keine direkte Auftragsverarbeitung im Sinne der DSGVO durchführt. Dies hängt davon ab, ob er Zugang zu oder Kontrolle über die auf den Servern gespeicherten personenbezogenen Daten hat.

Verantwortung bei keiner Auftragsverarbeitung: Falls der Hosting-Provider keinen Zugriff auf die personenbezogenen Daten hat, agiert er nicht als Auftragsverarbeiter. In diesem Fall liegt die Verantwortung für die Einhaltung der DSGVO beim Kunden. Der Kunde muss sicherstellen, dass die Datenverarbeitung auf den Servern den DSGVO-Vorschriften entspricht.

Verantwortung bei Auftragsverarbeitung: Wenn der Hosting-Provider jedoch in irgendeiner Weise Zugang zu oder Kontrolle über die personenbezogenen Daten hat, gilt er als Auftragsverarbeiter. In diesem Fall ist ein Auftragsverarbeitungsvertrag (AVV) zwischen dem Kunden und dem Provider erforderlich, um die Einhaltung der DSGVO zu gewährleisten.

Das Beispiel hat hoffentlich die Idee und Funktionsweise ein wenig verständlich gemacht.

B2B vs B2C - ist da ein Unterschied?

Die Datenschutz-Grundverordnung (DSGVO) ist eine wichtige gesetzliche Regelung in der Europäischen Union, die die Verarbeitung personenbezogener Daten regelt. Sie hat Auswirkungen auf die Datenverarbeitung sowohl im B2B- als auch im B2C-Bereich.

  1. B2B und DSGVO:

    • Datenübermittlung: Unternehmen, die Geschäfte mit anderen Unternehmen in der EU tätigen, müssen sicherstellen, dass die Übermittlung von personenbezogenen Daten an Dritte (einschließlich B2B-Partnern) gemäß den DSGVO-Anforderungen erfolgt.
    • Auftragsverarbeitungsverträge: B2B-Unternehmen, die als Auftragsverarbeiter personenbezogener Daten im Auftrag eines anderen Unternehmens handeln, müssen Auftragsverarbeitungsverträge abschließen, um die Einhaltung der DSGVO sicherzustellen.
    • Datenschutz-Folgenabschätzung: In bestimmten Fällen, in denen die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten von Personen darstellt, müssen B2B-Unternehmen Datenschutz-Folgenabschätzungen gemäß der DSGVO durchführen.
  2. B2C und DSGVO:

    • Zustimmung und Transparenz: B2C-Unternehmen müssen sicherstellen, dass sie von ihren Kunden die ausdrückliche Zustimmung zur Verarbeitung ihrer personenbezogenen Daten erhalten und diese transparent über den Zweck und die Verwendung der Daten informieren.
    • Rechte der betroffenen Personen: Gemäß der DSGVO haben Einzelverbraucher das Recht auf Zugang, Berichtigung, Löschung und Übertragbarkeit ihrer Daten. B2C-Unternehmen müssen diese Rechte respektieren und entsprechende Mechanismen zur Erfüllung dieser Anforderungen implementieren.
    • Datenminimierung und Zweckbindung: B2C-Unternehmen müssen sicherstellen, dass sie nur die Daten erfassen, die für den jeweiligen Zweck erforderlich sind, und diese Daten nicht für andere Zwecke verwenden, ohne die Zustimmung der betroffenen Person einzuholen.

Unabhängig davon, ob es sich um B2B- oder B2C-Transaktionen handelt, müssen Unternehmen, die in der EU tätig sind oder personenbezogene Daten von EU-Bürgern verarbeiten, die DSGVO-Bestimmungen einhalten. Dies erfordert eine sorgfältige Planung, Schulung der Mitarbeiter und die Implementierung angemessener Datenschutzmaßnahmen, um Bußgelder und rechtliche Konsequenzen zu vermeiden, die mit Verstößen gegen die DSGVO verbunden sind.


Wichtiger Hinweis: Dieser Artikel bietet eine grundlegende Übersicht und dient als Anstoß für die Auseinandersetzung mit der DSGVO-konformen Datenverarbeitung in der Zusammenarbeit mit Agenturen und Hostingpartnern. Es ist jedoch wichtig zu betonen, dass dieser Artikel keine rechtliche Beratung darstellt. Die DSGVO und verwandte Datenschutzgesetze können komplex sein, und ihre Anwendung variiert je nach spezifischen Umständen. Daher empfehlen wir Ihnen dringend, bei Unsicherheiten oder spezifischen Fragen einen qualifizierten Rechtsbeistand zu konsultieren. So stellen Sie sicher, dass Sie die Anforderungen der DSGVO vollständig verstehen und einhalten."

Empfehlung für weiterführende Informationen: eRecht24.de

Wenn Sie sich intensiver mit dem Thema Datenschutzgrundverordnung (DSGVO) und den damit verbundenen Herausforderungen für Unternehmen auseinandersetzen möchten, empfehle ich Ihnen die Plattform eRecht24.de. eRecht24.de ist eine etablierte Quelle für rechtliche Informationen im Internet, spezialisiert auf IT-Recht und Datenschutz. Ich bin selbst Kunde bei eRecht24.de und musste selbst schon erfolgreich deren Unterstützung in einem Fall erbitten.

Auf eRecht24.de finden Sie eine Vielzahl von Ressourcen, die speziell auf die Bedürfnisse von Unternehmen zugeschnitten sind, darunter:

Umfassende Artikel und Leitfäden: Die Website bietet detaillierte Artikel und Leitfäden, die verschiedene Aspekte der DSGVO abdecken. Diese Ressourcen sind besonders hilfreich, um ein grundlegendes Verständnis der Verordnung zu erlangen und um spezifische Fragen zu klären.

Checklisten und Tools: Für Unternehmen, die sicherstellen wollen, dass sie die DSGVO-Anforderungen erfüllen, stellt eRecht24 praktische Checklisten und Tools bereit. Diese können Ihnen dabei helfen, Ihre Datenschutzpraktiken zu überprüfen und anzupassen.

Aktuelle Rechtsprechung und Updates: Angesichts der sich ständig weiterentwickelnden Rechtslage im Bereich des Datenschutzes, bietet eRecht24.de regelmäßige Updates und Analysen aktueller Gerichtsentscheidungen und Gesetzesänderungen.

Forum und Community: Die Plattform verfügt über ein aktives Forum und eine Community, in der Sie sich mit anderen Nutzern austauschen und spezifische Fragen diskutieren können.

Beratungsangebote: Für individuelle Fragen und spezifische Anforderungen bietet eRecht24.de auch direkte Beratungsleistungen an.

Die Nutzung von eRecht24.de kann eine wertvolle Ergänzung für alle sein, die sich mit den Implikationen der DSGVO für ihr Unternehmen auseinandersetzen. Es ist jedoch wichtig zu beachten, dass, obwohl eRecht24.de zuverlässige und qualitativ hochwertige Informationen bereitstellt, es keinen Ersatz für eine individuelle Rechtsberatung durch einen qualifizierten Anwalt darstellt.

Besuchen Sie eRecht24.de für weitere Informationen und unterstützende Ressourcen.

eRecht24.de