Im Dschungel der DSGVO, Teil 1: AV Verträge
Meine DSGVO Erfahrungen, Teil 1 oder: Die Suche nach AV Verträgen
Als Freiberufler bzw. Einzelunternehmer muss (und will !) ich mich natürlich um den Datenschutz kümmern und mich an die Vorgaben der Datenschutzgrundverordnung, kurz DSGVO, halten.
Dieser Beitrag ist ein Erfahrungsbericht. Und kann hoffentlich den Freiberuflern und Selbständigen unter meinen Lesern ein bisschen weiterhelfen.
Ich gebe hier meine eigene Meinung und mein eigenes Wissen (Eigenrecherche) wieder. Das ersetzt selbstverständlich keine rechtliche Beratung.
Einige Maßnahmen erscheinen mir relativ einfach, so habe ich meine Webseite schon sehr gut optimiert. SSL Zertifikat, Datenschutzbestimmungen, Anpassung der Kontaktformulare und natürlich der korrekte Einsatz von Google Analytics. Vielleicht mache ich dazu demnächst noch einen eigenen Beitrag.
Schwieriger wird es bei der ganzen Dokumentation. Da bin ich ehrlich gesagt etwas im Verzug und schreibe jeden Tag etwas weiter am Verfahrensverzeichnis und all den anderen Dokumentationen.
Ein wichtige Vorgabe in der DSGVO ist der Vertrag zur Auftragsverarbeitung (AV), wenn die Verarbeitung von Daten an Dritte übergeben wird. Das sind zum Beispiel E-Mail Hoster, Webseiten Hoster oder eben auch Google Analytics.
Hier mal drei Beispiele aus meinem Umfeld:
1. DSGVO Reise: AV Vertrag mit E-Mail Anbietern/Hostern
Ich verwende sowohl ein E-Mail Paket von Strato als auch Microsoft Office 365 mit Exchange Online.
Strato
Den AV Vertrag von Strato gibt es ganz einfach.
Einloggen, im Kundenbereich im linken Menü „Vertragsänderungen“ und dann „Auftragsverarbeitung“ auswählen. Und da ist er der Vertrag.
Easy.
Microsoft
AV Vertrag von Microsoft? Pustekuchen. Den scheint es so nicht zu geben. Ist Bestandteil der Microsoft Online Service Terms. Diese akzeptiert man automatisch, wenn man O365 bestellt.
Diese Microsoft Online Terms stehen online zur Verfügung. Und können sich immer wieder ändern. Was einerseits von Vorteil ist, weil so Änderungen ergänzt werden können, wie jetzt aktuell in Bezug auf die DSGVO. Aber: Jeder ist selbst verantwortlich, sie aktuell abzurufen. Finde ich etwas schwierig. Besser wäre da, dazu auch eine Information zu bekommen.
Noch besser wäre es, einen eigenständigen AV Vertrag anzubieten. Der übrigens – so mein Kenntnisstand – eigentlich schriftlich erfolgen müsste und erst ab 25.05. auch online geschlossen werden kann.
Ich habe mir jetzt die aktuellen Terms heruntergeladen, die sind übrigens vom 01. März und somit ziemlich aktuell. Die DSGVO relevanten Informationen finden sich in Anhang 4.
Wer die Microsoft OSTs auch gern noch mal aktuell herunterladen will, kann folgenden Weg gehen:
- Auf die Microsoft Lizenz Seite gehen.
- Dort unter „Produktlizenzierung“ den Unterpunkt „Dokumente zur Produktlizenzierung“ aufrufen. Nicht wundern, die nächste Seite ist dann Englisch.
- Auf der Seite „Licensing Terms and Documents“ rufen Sie den Tab „Licensing Document Search“ auf.
- In der angezeigten Tabelle folgende Filter verwenden: Language = German, Region = EMEA, Sector = Commercial
- In den angezeigten Suchergebnissen finden sich nun die MicrosoftOnlineServicesTerms(German)(March2018).
Vielleicht gibt es einen einfacheren Weg. Ich hatte erwartet, die Terms auch in meinen O365 Admin Center oder Konto zu finden. Hab ich aber nicht.
Wer sein Office 365 über einen Microsoft Partner bestellt hat, kann wahrscheinlich auch einfach den fragen.
2. DSGVO Reise: AV Vertrag mit dem Webhoster
Meine WordPress Webseite lasse ich über Raidboxes hosten. Hier war es ganz einfach. Über den Chat nach dem AV Vertrag gefragt. Download Link erhalten. Vertrag heruntergeladen, geprüft und unterschrieben zurückgesendet. Fertig.
Webseiten Hoster verarbeiten auf jeden Fall personenbezogene Daten. Auch wenn Sie keine Kontaktformulare oder Kommentarfunktionen oder Shop Funktionen auf der eigenen Webseite nutzen, so werden ja beispielsweise Log Files gespeichert.
Ich denke, die meisten Hoster sind gut vorbereitet und bieten bereits einen AV Vertrag an. Siehe Strato, die ja auch Webseiten hosten.
3. DSGVO Reise: AV Vertrag mit dem Anbieter meiner Buchhaltungssoftware
Ich arbeite mit LexOffice. Erfasse dort Kunden- wie Lieferantendaten, Angebote, Auftragsbestätigungen, Rechnungen und Zahlungen. Das beinhaltet personenbezogene Daten.
Nachdem ich fast eine Stunde gesucht hatte nach einem Download des Vertrags habe ich beim Support angerufen. Und ich bin schockiert. Es gibt keine AV Vertrag. Und es ist unklar, ob es diesen geben wird.
Das es ihn geben muss, steht außer Frage. Am Ende werde ich entscheiden müssen, ob ich selbst einen Vertrag aufsetze und an den Anbieter sende oder ob ich nicht mehr mit der Software arbeite.
30.03.2018, Update: Ich hatte nach der unbefriedigenden Aussage durch den telefonischen Support noch eine offizielle Support Anfrage per E-Mail gestellt. Und endlich eine valide Antwort bekommen. Zeitnah zum 25.05.2018 soll über die Software ein AV-Vertrag angeboten werden, dem digital zugestimmt werden kann.
20.05.2018, Update: Seit 15.05.2018 ist der AV Vertrag verfügbar und von mir bereits bestätigt und abgespeichert.
4. Und noch so einige Anbieter mehr
20.05.2018, Update: Ich musste noch den AV Vertrag mit LogMeIn abschließen, diese bieten GoToMeeting an, was ich gelegentlich für Webkonferenzen nutze.
Mein Fazit
Dass Unternehmen, die Daten verarbeiten, von sich aus einen Vertrag zur Auftragsverarbeitung bereitstellen, ist leider nicht selbstverständlich. Und wenn sie es tun, sind diese nicht immer einfach zu erreichen. Also sich besser jetzt darum kümmern, wenn es noch nicht erledigt ist.
Und immer daran denken: Verantwortlich sind beide Seiten. Wenn Ihnen der Auftragsverarbeiter keinen Vertrag anbietet, dann müssen Sie diesen erstellen. In einigen Fällen ist das vielleicht auch so gewünscht und vorteilhaft.
- Ob die Microsoft OSTs nach der DSGVO gültig sind, wage ich nicht einzuschätzen. Ich hoffe es.
- Offen ist für mich noch, inwiefern Social Media Management Tools als Auftragsverarbeiter einzustufen sind. Das konnte ich trotz mehrstündiger Recherchen und unendlichen vielen Stunden an Webinaren zum Thema noch nicht wirklich klären.
- Und zu guter Letzt muss ich auch noch einen eigenen AV Vertrag aufsetzen lassen, den ich in speziellen Kundenprojekten mit meinen Kunden abschließen muss.
Ich beneide keinen Datenschutzbeauftragten, aber sehr wohl die Unternehmen, die einen Datenschutzbeauftragten haben. Ich bin Unternehmerin, Fachkraft und Datenschutzverantwortliche in einer Person und das kann ganz schön an den Kräften zerren.
Wenn Sie in Ihrem Unternehmen einen Datenschutzbeauftragen haben, klopfen Sie dem Kollegen doch einmal auf die Schulter und danken Sie ihm für seinen Einsatz!
Wenn Sie wie ich Freiberufler oder ein kleines Unternehmen sind, wünsche ich Ihnen, dass Sie Ihren Weg durch den Dschungel der DSGVO schon gefunden haben oder zumindest ein Ende in Sicht ist.