Auftragsverarbeitungsvertrag und DSGVO: Brauch ich das und wenn ja, wie geht’s? (Part IV)

DSGVO und Auftragsverarbeitung

Dieser Aspekt der DSGVO-Umsetzung ist am wenigsten bekannt. Viele meiner Kundinnen sagen deshalb auch ganz schnell: „Brauch‘ ich nicht, schließlich sammle ich auf der Webseite außer eMail-Adressen keine kundenbezogenen Daten!“. Leider ist das nicht richtig. Denn durch die Zusammenarbeit mit Dienstleistern wie Hosting-Services, Webdesignern, Cloud-Diensten oder Newsletter-Anbietern gewähren sie diesen Unternehmen Zugriff zum Beispiel auf die IP-Adresse ihrer Besucher. Dieser Artikel zielt weniger auf die genaue Definition der Auftrags(daten)verarbeitung ab. Dazu finden Sie hier eine fundierte Abhandlung. Hier möchte ich zeigen, wie ich selbst vorgegangen bin. Dazu habe ich diese Checkliste genutzt, die ich Ihnen sehr ans Herz legen möchte, zumal sie regelmäßig aktualisiert wird.

Für den Abschluss eines AV-V sind beide Parteien verantwortlich. Das heißt, Ihr Hosting-Dienstleister sollte sowohl auf Sie zukommen, als auch Sie die Verantwortung haben, ihn deswegen anzusprechen. Denn unterm Strich sind Sie dafür verantwortlich, dass Sie mit Ihrer Webseite alle Erfordernisse der DSGVO erfüllen. Das gilt übrigens auch für Ihre eigenen Kunden, wenn Sie zum Beispiel als Webdesignerin Zugriff auf die Homepages Ihrer Kunden haben.

Die Checkliste von Finn und Nele ist übersichtlich aufgebaut. Zu den wichtigsten Anbietern wurde der Download- bzw. Kontaktlink recherchiert. Sie finden dort auch vermerkt, falls es noch kein entsprechendes Angebot gibt. Dann heißt es: abwarten.

Am besten, Sie gehen die Checkliste von Finn und Nele Position für Position durch – lassen Sie sich nicht von der Fülle der Punkte entmutigen. Die notwendigen Formalien lassen sich in einige wenige Gruppen ordnen. Bei mir waren das:

  • Hosting-Dienstleister (der Partner, der diese Webseite für unsere Besucher bereithält)
  • Newsletter-Anbieter (darauf gehe ich in Part V meiner DSGVO-Serie näher ein)
  • Cloud-Dienste wie AWS von Amazon (dort halte ich Freebies zum Download bereit)
  • Software as a Service (wie Adobe, Hubspot, YouCanBookMe oder im Buchhaltungsbereich Datev oder Fastbill)
  • Online-Schulungsplattformen wie Edupip
  • Webseiten-Baukästen (wie Jimdo und WordPress. Während Jimdo bereits eine AV-V zur Verfügung stellt, ist dies bei WordPress noch in Arbeit)
  • Plug-ins Ihrer Webseite achten. Diese müssen ebenfalls DSGVO-konform sein. Hier empfehle ich Ihnen die sehr umfassende Liste von WP Ninjas, mit der ich selbst gearbeitet habe.

Keine AV-V sind übrigens für Anbieter wie Digistore24, PayPal  oder Xing erforderlich. Hier ist der Anbieter für die ordnungsgemäße Datensicherheit verantwortlich.

Meine Empfehlung: Gehen Sie die Listen durch und tun Sie entspannt das, was in Ihrer Macht steht. Halten Sie Ihr Wissen aktuell, in dem Sie geeigneten Anbietern wie zum Beispiel e-Recht24, Sören Siebert oder Regina Stoiber folgen. 
Haben Sie Fragen, Anmerkungen oder Ergänzungen zu diesem Artikel? Dann freue ich mich sehr auf Ihre Nachricht!

YouTube aktivieren?

Auf dieser Seite gibt es mind. ein YouTube Video. Cookies für diese Website wurden abgelehnt. Dadurch können keine YouTube Videos mehr angezeigt werden, weil YouTube ohne Cookies und Tracking Mechanismen nicht funktioniert. Willst du YouTube dennoch freischalten?