Auftragsverarbeitungsverträge müssen rechtliche Standards einhalten
Online-Händler kennen das Prinzip: Erheben sie personenbezogene Daten ihrer Kundinnen und Kunden und verarbeiten diese, sind sie aus datenschutzrechtlicher Sicht dafür verantwortlich, das auf rechtskonforme Beine zu stellen. Nun kommt es aber vor, dass die Daten weitergegeben werden müssen, etwa weil man für den Kundenservice auf ein externes Callcenter zurückgreift, oder aber weil man sich eines externen Webhosters bedient. Arbeitet der jeweilige Dienst weisungsgebunden und verarbeitet in diesem Kontext personenbezogene Daten, stellt das eine Auftragsverarbeitung dar. Bedeutet sozusagen: Der Online-Händler bleibt aus rechtlicher Sicht der Verantwortliche, der Host wäre lediglich Auftragsverarbeiter.
Wer Aufträge erteilt, tut aber ganz grundsätzlich gut darin, den genauen Rahmen des Auftrags festzulegen – dieses Prinzip gilt nicht nur allgemein, sondern auch ganz konkret und auf rechtlicher Grundlage im Bereich Auftragsverarbeitung. Die DSGVO gibt vor, welche Rechte, Pflichten und Maßnahmen in entsprechenden Auftragsverarbeitungsverträgen zu regeln sind.
DSGVO: Viele Standardverträge erfüllen Anforderungen nicht
Wie die Berliner Datenschutzbeauftragte berichtet, würden in den Aufsichtsbehörden immer wieder Anfragen von Verantwortlichen eingehen, die feststellen, dass der vom Webhoster angebotene AVV die rechtlichen Anforderungen nicht erfüllt.
Die Untersuchungen der Aufsichtsbehörden bestätigten das. „Immer wieder berichten sie uns von mangelhaften Standardverträgen, die Webhoster nicht gewillt sind zu ändern“, sagt Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI. So gebe es in vielen AVV keine ausreichenden Nachweise des Webhosters darüber, dass dieser die vereinbarten Datenschutzmaßnahmen auch umsetzt. Für Website-Betreiber ist das ein ernstes Problem, denn, wie gesagt: Sie sind die Verantwortlichen, und sie müssen gegenüber Behörden und Betroffenen die Einhaltung der Vorschriften nachweisen können.
Überprüfung durch Behörden in diversen Bundesländern
Man wolle Hosts und Verantwortliche daher beim Abschluss rechtskonformer AVV unterstützen, so heißt es in der Ankündigung. Man ermuntere alle IT-Dienstleister, ihre Standardverträge selbstständig zu prüfen und an das Gesetz anzupassen. Bußgelder, so heißt es weiter, könnten nicht nur die Verantwortlichen erhalten, die IT-Dienstleister ohne ordnungsgemäßen AVV einsetzen, sondern auch die Dienstleister selbst. Neben der Berliner Datenschutzbeauftragten untersuchen auch die Datenschutzaufsichtsbehörden aus Niedersachsen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und Bayern die Situation in ihren jeweiligen Bundesländern.
Sie wollen immer über die neuesten Entwicklungen im Online-Handel informiert sein? Mit unseren Newslettern erhalten Sie die wichtigsten Top-News und spannende Hintergründe direkt in Ihr E-Mail-Postfach –
Jetzt abonnieren!
Kommentar schreiben
Antworten
Der Händlerbund bietet dafür doch bestimmt Fachanwälte oder entsprechende Abos für Rechtssicherhei t? Bei den Verträgen zur Auftragsdatenve rarbeitung bin ich mir da gar nicht sicher. Eine Marktlücke?
Ganz allgemein: Da es eine stabile Rechtslage gibt und diese auch unverändert bleibt, was ist jetzt eigentlich anders als vorher? Dass kontrolliert wird, damit müssen wir ja immer rechnen... und sei es vom Mitbewerber.
So viele Fragen...
________________________________________
Antwort der Redaktion
Hallo Erik,
für solche Fragen bietet der Händlerbund tatsächlich ein Datenschutzpake t hat: marketplace.haendlerbund.de/.. ./
Mit den besten Grüßen
die Redaktion
Ihre Antwort schreiben