Wer Datenschutz oder DSGVO nur hört, möchte gerne Reißaus nehmen: Vielfach fühlt man sich dadurch gestört und im Vorankommen behindert, der Aufwand ist hoch und so richtig verstehen tut man auch nichts… dieses Bild wird nun durch eine Umfrage des Digitalverbands Bitkoms bestätigt:
„Unternehmen stehen beim Datenschutz unter permanenten Stress. Sie wollen dem Datenschutz Genüge tun, aber dazu müssen sie nicht nur europaweit Gerichtsurteile verfolgen und die unterschiedliche Auslegung aus den Mitgliedsstaaten kennen, sondern sich zusätzlich mit 18 verschiedenen Lesarten von Datenschutzaufsichten allein in Deutschland auseinandersetzen. Das ist vor allem für kleinere Unternehmen immer schwerer zu stemmen“, so Susanne Dehmel, Geschäftsleiterin bei der Bitkom für Recht & Sicherheit.
Das sind Ergebnisse einer repräsentativen Befragung von 502 Unternehmen mit 20 oder mehr Beschäftigten in Deutschland.
Bei der Frage, was die größten Herausforderungen bei der Umsetzung der DSGVO sind, wurden diese drei Antworten am häufigsten gegeben:
- Rechtsunsicherheit: 78 %
- Zu viele Änderungen bzw. Anpassungen: 74%
- Mangelnde Umsetzungshilfen durch Aufsichtsbehörden: 66 %
Auch wir stellen in unserer Beratung regelmäßig fest, dass die Unsicherheit sehr groß ist, die natürlich die Unlust auf dieses Thema nur noch verstärkt. Daher werden wir immer mal wieder auch verstärkt einige Hinweise und Tipps geben, und wir fangen mal spontan mit dem Auftragsverarbeitungsvertrag (kurz: AVV).
Was ist ein AVV und wann braucht man ihn?
Man stelle sich vor, ein Veranstalter beauftragt eine Eventagentur mit der Planung und Durchführung einer Veranstaltung, dazu gehört u.a. auch das Teilnehmermanagement. Hier liegt auf der Hand, dass die Eventagentur Daten der Teilnehmer verarbeitet: Namen, Mailadressen, Postadressen usw.
Diese Daten verarbeitet die Eventagentur allerdings nicht aus Langeweile, sondern weil sie den Auftrag bekommen hat, sich um das Teilnehmermanagement zu kümmern. Aus Sicht der DSGVO gesprochen verarbeitet die Eventagentur also fremde Daten (nämlich die der Teilnehmer) im Auftrag des Veranstalters: Der Veranstalter hat mit seinem Auftrag entschieden, dass die Eventagentur das machen soll, und mehr oder weniger auch wie sie es machen soll.
Die Eventagentur ist dann ein sog. Auftragsverarbeiter.
Die Folge:
Veranstalter und Eventagentur müssen nun einen Vertrag über diese Auftragsverarbeitung schließen: Den AVV.
Die Besonderheiten:
Eine Besonderheit, die oft übersehen wird: Bei den meisten Verträgen ist es so, dass die Vertragspartner frei entscheiden können, was sie darin regeln wollen, und auch ob sie explizit einen ausführlichen Vertrag überhaupt wollen (oder ob sie sich nicht einfach auf die gesetzlichen Regelungen stützen wollen). Nicht so im AVV.
Die Notwendigkeiten:
In einem AVV werden u.a. die TOM´s geregelt: Die technischen und organisatorischen Maßnahmen, die der Auftragsverarbeiter gewährleisten soll. Es muss auch geregelt werden, was konkret der Auftragsverarbeiter tun darf oder was nicht.
Und der Auftragsverarbeiter muss offenlegen, welche Unterauftragsverarbeiter er einsetzt.
Übrigens: Wenn wir beim Beispiel oben der Eventagentur bleiben, und die Eventagentur als Generalunternehmer weitere Dienstleister als Subunternehmer beauftragt, die ebenfalls die fremden Daten mit verarbeiten, dann muss die Eventagentur 2 AVV schließen:
- Einen AVV mit dem Veranstalter als Auftraggeber,
- und einen zweiten AVV mit den eigenen Subunternehmern.
Diese beiden AVV sind großteils durchaus ähnlich oder identisch, aber es kommt wie so oft auf die Details an, die unterschiedlich sein können.
Die Risiken:
Fehlt der AVV, droht ein Bußgeld. Außerdem kann es natürlich passieren, dass dieser Fehler dazu führt, dass die Untersuchung der Aufsichtsbehörde ausgeweitet wird auf weitere Datenverarbeitungsvorgänge im Unternehmen.
Wann kann so etwas überhaupt bekannt werden? Es gibt eine Reihe von potentiellen Auslösepunkten, ein eher harmloses Beispiel: Ein Teilnehmer bekommt bspw. mit, dass eine Eventagentur involviert ist, die er nicht kennt. Ein extremeres Beispiel: Die Eventagentur nutzt die Maildresse von Teilnehmern, um gleich noch Werbung über die eigenen Dienstleistungen zu verschicken.
In vielen Situationen kann sich ein Betroffener veranlasst sehen, auch direkt die Aufsichtsbehörden einzuschalten…
Handlungsempfehlungen
- Als Unternehmen oder als Datenschutzbeauftragter sollten Sie prüfen, wo es Datenverarbeitungsvorgänge gibt, die
- im Auftrag von Dritten durchgeführt werden, und/oder
- an Dritte beauftragt werden.
- Erstellen Sie eine Handlungsanweisung für die Beschäftigten und unterweisen diese darin, solche Konstellationen im täglichen Doing zu erkennen.
- Stellen Sie sicher, dass die Verarbeitungen in diesen Konstellationen erst startet, wenn ein AVV unterschrieben ist.
- Stellen Sie sicher, dass solche AVV nicht „einfach blind“ bzw. pro forma unterschrieben, nur um einen AVV in der Schublade zu haben: Ein AVV muss auch gelebt werden und soweit möglich individuell zu dem Auftrag passen.
- Profitieren Sie von unserer Expertise!
In unserer Kanzlei verfügen wir in zwei Rechtsgebieten über eine hohe Expertise und viel Erfahrung: Mit Rechtsanwalt Thomas Waetke im Veranstaltungsrecht, und mit Rechtsanwalt Timo Schutt im Datenschutzrecht. Wir kennen also die Bedürfnisse und Gewohnheiten der Veranstaltungsbranche einerseits, aber auch die Herausforderungen aus der DSGVO andererseits.
- Wir finden zunächst die Konstellationen, in denen ein AVV notwendig wird.
- Wir erstellen dann u.a. solche AVV, sowohl für den Hauptauftraggeber gegenüber seinem Generalunternehmer, ebenso für den Generalunternehmer gegenüber seinen Subunternehmern.
- Wir beraten bei der sinnvollen Zusammensetzung von technischen und organisatorischen Maßnahmen (TOM´s).
- Wir können Ihnen Guidelines für die Beschäftigten erstellen genauso wie Hilfestellungen bei der Unterweisung geben.