Wie gehe ich mit meinen Dienstleister/innen im Datenschutz um? Du solltest zuerst prüfen, ob deine Dienstleister sogenannte Auftragsverarbeiter sind, z.B. Personen oder Firmen, die für dich personenbezogene Daten von Kund/innen oder Mitarbeitenden verarbeiten. Dazu gehören u.a. Webhosting-Anbieter, E-Mail-Dienste, Newsletter-Tools, Web-Analyse, Zahlungsanbieter, Cloud-Dienste oder Website-Bilder.
Wenn das der Fall ist, brauchst du mit diesen Dienstleister/innen einen Auftragsverarbeitungsvertrag (AV-Vertrag). Wichtig ist, dass du diesen Vertrag prüfst, freigibst und vor allem dokumentierst. Es gibt dafür Vorlagen, etwa vom Branchenverband Datenschutz GDD oder Bitkom, die sich gut eignen. Einen solchen AV-Vertrag solltest du nicht einfach von ChatGPT schreiben lassen, weil juristische Rechtstexte komplex sind.
Bei großen Dienstleistern wie Microsoft oder Google bekommst du oft keinen AV-Vertrag direkt unterschrieben, sondern musst die Verträge auf deren Webseiten suchen. Dort gilt meist, dass du durch Nutzung der Dienste automatisch zustimmst. Tipp des Experten: Lade dir diese Verträge herunter und speichere sie lokal ab, weil sich die Datenschutzbestimmungen oft ändern.
Wenn du selbst als Dienstleister/in arbeitest, z.B. als Person in der IT, Buchhalter/in oder Webdesigner/in, dann bist du häufig ebenfalls Auftragsverarbeiter für deine Kund/innen. In dem Fall sollte dein/e Kund/in dir einen AV-Vertrag geben. Falls nicht, solltest du einen AV-Vertrag anbieten, damit du klar in der Rolle des Auftragsverarbeiters bleibst. Ohne diesen Vertrag bist du mit dem/der Kund/in gemeinsam verantwortlich für die Daten und kannst im schlimmsten Fall mit Bußgeldern und Schadenersatzforderungen belastet werden.
Es gibt Listen mit über 200 fertigen AV-Verträgen für verschiedene Anbieter. Das hilft dir, schnell zu erkennen, welche Tools als Auftragsverarbeiter gelten und welche Verträge du brauchst.
Es kostet etwas Zeit und Mühe, aber es lohnt sich. Fülle Verarbeitungsverzeichnisse aus, kümmere dich um die AV-Verträge und dokumentiere alles sorgfältig. Selbst wenn nicht alles perfekt ist, ist es wichtig, dass du zeigen kannst, dass du Datenschutz ernst nimmst und Prozesse eingerichtet hast. So bist du gut vorbereitet, falls mal eine Aufsichtsbehörde oder ein Anwalt nachfragt.
Kurz gesagt: Fang an, nutze die Vorlagen und Tools, dokumentiere alles und bleib dran. Das sei der beste Weg, um Ärger zu vermeiden, erklärt der Experte.
Du möchtest Kommentare bearbeiten, voten und über Antworten benachrichtigt werden?
Jetzt kostenlos Community-Mitglied werden