Im ersten Schritt bezüglich der Umsetzung der DSGVO empfahl ich Dir eine Liste mit allen «Datenflüssen» aufzuschreiben.
Nun geht es um die externen Datenverarbeiter. Also alle Anbieter, welche Deine «Kundendaten» bzw. personenbezogene Daten…
- verarbeiten
- speichern
- analysieren
- oder zumindest ansehen können
In der Regel musst Du mit all diesen externen Anbietern einen Auftragsverarbeitungsvertrag (AV) abschliessen.
Kurz zusammengefasst beinhaltet dieser Vertrag, dass der Anbieter sich an die Regelungen der DSGVO hält und Dich bei Missbrauch der Daten (z.B. Datenmissbrauch) informiert.
Disclaimer:
Als Webdesignerin darf und kann ich keine Rechtsauskunft geben! Ich schildere in diesem Artikel lediglich mein Verständnis zu diesem Thema.
Ich möchte mit diesem und den folgenden Artikeln meine Sicht der DSGVO weitergeben um Dich zu unterstützen, auch weiterhin eine rechtssichere Website zu betreiben. Wenn Du wirklich rechtssichere Antworten erhalten möchtest, musst Du aber einen Anwalt kontaktieren.
Beispiele von Auftragsverarbeiter
- Google Dienste
- E-Mailanbieter
- Webhoster
- Newsletter Anbieter
- Rechnungs- und Buchhaltungssoftware
- Webdesigner
- Buchhalter
- Social Media Berater
Die Liste ist nicht abschliessend. Sobald ein Unternehmen oder eine private Person auf Deine Kundendaten bzw. von Dir gespeicherte personenbezogene Daten zugreifen kann, solltest Du einen Vertrag abschliessen.
Merke Dir, dass Du einen Vertrag abschliessen musst und nicht umgekehrt. Denn im Grunde gibst Du die personenbezogenen Daten weiter, daher musst Du dafür sorgen, dass diese Daten nicht weiterverwendet werden!
Ein Beispiel: Je nach Auftrag habe ich als Webdesignerin Zugriff auf Deine Website, Google Analytics, Online Terminvereinbarungstools usw. Hier überall speicherst Du personenbezogene Daten. Damit ich diese Daten nicht «missbrauchen» kann, ist ein solcher Vertrag notwendig.
Zweites Beispiel: Du arbeitest mit dem Tool Webinaris. Da auch hier personenbezogene Daten gesammelt und gespeichert werden welche DU lieferst, ist ein solcher Vertrag notwendig.
US-Anbieter
Bei amerikanischen Anbietern empfiehlt es sich zu prüfen, ob diese sich an das Privacy Shield Abkommen halten.
Dies kannst Du auf dieser Website prüfen:
Muster Auftragsverarbeitungsvertrag (AV)
Hier einige Links wo Du Muster für Auftragsverarbeitungsverträge nach DSGVO findest:
E-Recht 24 im Mitgliederbereich unter dem Punkt DSGVO
https://www.e-recht24.de
Datenschutz-Guru.de
https://www.datenschutz-guru.de/auftragsdatenverarbeitung
Activemind.de
https://www.activemind.de/datenschutz/dokumente/av-vertrag/
Wer kümmert sich um den Vertrag?
Wie oben beschrieben, bist im Grunde Du in der Pflicht. Aber keine Sorge die meisten Anbieter bieten bereits einen solchen Vertrag an.
Damit Du nicht so lange suchen musst wie ich 😊 erstellte ich untenstehende Liste. Einige Anbieter sind selber noch mit der Umsetzung der DSGVO beschäftigt. Daher keine Sorge, wenn Dein Anbieter noch keine Lösung anbietet.
Trotzdem solltest Du dies im Auge behalten und ggf. solltest Du dich um einen anderen Anbieter kümmern.
„Gratis Anbieter“
Vorsicht bei einigen gratis Anbieter bzw. deren gratis Angeboten. Z.B. sind nach meinen Recherchen Gmail, Google Drive usw. nicht DSGVO konform. Diese Angebote sind auch für private Anwender gedacht und da braucht es keine DSGVO!
Ich empfehle jeweils die Business Version dieser Angebote zu verwenden. Also z.B. GSuite, Microsoft Business oder auch Dropbox Business usw.
Halte dabei immer im Hinterkopf, dass es um personenbezogene Daten geht. Also wenn Du z.B. auf der privaten Google Drive / Google Doc technische Anleitungen erstellst und somit keine personenbezogene Daten abspeicherst, dann ist die DSGVO nicht relevant.
Umsetzung
Ich empfehle Dir für den 2. Schritt die Auftragsverarbeitungsverträge abzuschliessen oder Dir zu notieren, bei welchem Anbietern Du dies später nachholen musst.
Schreib Dir alles auf damit Du für den «Schritt 3 – Verarbeitungsverzeichnis erstellen » vorbereitet bist.
Liste Anbieter und Auftragsverarbeitungsverträge (AV)
Diese Liste werde ich fortlaufend erweitern und aktualisieren. Trotzdem wird diese auf keinen Fall alle Anbieter enthalten. Frag bei Unklarheiten direkt bei Deinem Anbieter nach.
Stand Liste 24.05.2018 / alphabetisch sortiert
Dropbox
Drobpox und die DSGVO
Hier findest Du allgemeine Informationen zum Datenschutz und zur DSGVO.
https://www.dropbox.com/de/help/security/general-data-protection-regulation
Ich empfehle Dropbox Business zu verwenden. Hier werden die Daten verschlüsselt übertragen und abgelegt. Ob ein AV nötig bzw. bereitgestellt wird, konnte ich auch nach mehrmaligen Nachfragen leider nicht herausfinden.
Facebook und die DSGVO
Hier findest Du allgemeine Informationen zum Datenschutz und zur DSGVO.
https://www.facebook.com/business/gdpr#Facebook-als-Datenverantwortlicher-vs.-Auftragsverarbeiter
Nach meinem Verständnis ist hier kein AV nötig.
Interessant und Vorsicht geboten ist aber bei der Verwendungvon folgenden Diensten:
Facebook Pixel
Für die Verwendung des Pixels braucht es vermutlich einen AV. Dieser steht noch nicht zur Verfügung. Ob dies wirklich nötig ist und ein AV angeboten wird, ist mir zur Zeit nicht bekannt.
Zudem brauchst Du eine Opt-Out Möglichkeit und einen Hinweis in der Datenschutzerklärung. Ich empfehle Dir folgenden Artikel:
https://drschwenke.de/facebook-pixel-voraussetzungen-fuer-einen-rechtssicheren-einsatz/
Ein WordPress Opt-Out Plugin für Facebook findest Du z.B hier
https://de.wordpress.org/plugins/opt-out-facebook-pixel-dsgvo-gdpr/#description
Custom Audiences
Hier musst Du sicherstellen, dass die Daten rechtmässig erhoben werden und an Facebook weitergeleitet werden dürfen. Zusätzlich musst Du folgende Nutzungsbedingungen akzeptieren:
https://www.facebook.com/ads/manage/customaudiences/tos.php#
Google und der Datenschutz
Hier findest Du allgemeine Informationen zum Datenschutz und zur DSGVO.
https://privacy.google.com/intl/de_ALL/businesses/controls/
AdWords
Hier fungiert der Kunde und Google jeweils als unabhängige Verantwortliche gemäss der DSGVO, mit Ausnahme der Funktionen „Kundenabgleich“ und „Ladenverkäufe.
Daher kein AV nötig!
AdSense
Meines Wissens fungiert hier der Kunde und Google jeweils als unabhängige Verantwortliche gemäss der DSGVO, daher kein AV nötig!
Analytics
Hier muss der AV akzeptiert, die Daten müssen anonymisiert werden und zudem muss dies auf der Website in der Datenschutzbestimmung stehen.
Eine Anleitung für diese Schritte findest Du hier:
www.lichtweb.ch/google-analytics-wordpress
Data Studio
Gehe auf Nutzerkonto – Konto und Datenschutz und akzeptierte den „Zusatz zur Datenverarbeitung“
GSuite
Hier muss auch die AV akzeptiert werden. Arbeite selber nicht mit GSuite, denke aber dass dies vergleichbar wie bei Data Studio und Analytics im Nutzerkonto zu finden ist.
Merchant Center
Theoretisch übermittelst Du hier nur Produktdaten und keine personenbezogene Daten.
Daher meines Wissens kein AV nötig.
Search Console
Da Du hier keine personenbezogenen Daten an Google weiterleitest, meines Wissens kein AV nötig
Tag Manager
Hier muss der AV akzeptiert und die Daten müssen anonymisiert weitergeleitet werden.
Eine Anleitung hierzu findest Du hier:
www.lichtweb.ch/google-tag-manager-dsgvo
YouTube
Meines Wissens brauchst Du hier keine AV, da es ja die Plattform von Google ist.
Vorsicht bei eingebetteten YouTube Videos auf Deiner Website! Hier müssen verschiedene Einstellungen beachtet werden. Verschiedene Möglichkeiten findest Du unter folgendem Link
https://www.blogmojo.de/youtube-videos-datenschutzkonform-einbetten/
Microsoft
Interessant sind hier vor allem auch z.B. OneDrive Business und SharePoint. Nach mehrmaligen Nachfragen bei Microsoft wurde mir bestätigt, dass die Daten verschlüsselt übermittelt und gespeichert werden.
Laut Microsoft genügt es diesen Vertrag herunterzuladen und abzuspeichern. Du findest diesen unter folgendem Link (Online Services Terms)
https://www.microsoft.com/en-us/licensing/product-licensing/products.aspx
Weitere Informationen zu Microsoft und die DSGVO findest Du unter folgendem Link:
https://www.microsoft.com/de-de/TrustCenter/privacy/gdpr
Newsletter Anbieter
Active Campain
Kann hier runtergeladen werden:
https://help.activecampaign.com/attachments/token/uwR3MAvkLs1CbfZX7o2pL2HtH/?name=ActiveCampaign+-+Data+Processing+Addendum+-+031918+%281%29.pdf
CleverReach
Unter Mein Account – Einstellungen – Datenschutz zu finden.
GetResponse
Unter Konto verwalten – Data Processing Agreement zu finden.
Klick Tipp
Direkt im Account unter Mein Konto > Auftragsdatenverarbeitung
MailChimp
Webanbieter / Webbaukästen
Jimdo.com
AV vorhanden, kann hier heruntergeladen werden
https://jimdo-legal.zendesk.com/hc/de/articles/360000782763
Wix.com
Teil der AGB muss laut Wix.com nicht unterschrieben werden.
https://www.wix.com/about/privacy-dpa-users
WordPress.com
In Bearbeitung / Abklärung.
Interessante Forum Diskussion zum Thema
https://de.forums.wordpress.com/topic/adv-vertrag-fur-bdsg-bundes-datenschutz-gesetz/page/10/
Webhoster
In der Regel speichert Dein Webhoster personenbezogene Daten z.B. auch via Deiner WordPress Installation bei Kommentaren, Formularen aber auch Deine E-Mails usw. Daher ist hier in der Regel ein AV notwendig.
Erfahrungsgemäss sind einige deutsche Webhoster bereits ready – Schweizer Webhoster sind meist noch in der Abklärung und Umsetzung.
All-Inkl.com
AV vorhanden kann per Support angefordert werden.
Neu auch in der Member Area – Stammdaten zu finden.
Cyon.ch
Die ADV-Vereinbarung ist im my.cyon-Konto unter «Meine Daten» verfügbar.
Hostpoint.ch
Im Control Panel – Menü Admin – Verträge – Reiter AGB & ADV aufklappen und den Vertrag einsehen sowie abschliessen.
Hoststar.ch
Steht direkt im My Panel zur Verfügung
Metanet.ch
Vertrag kann via Support angefordert werden.
Novatrend.ch
Kundencenter – ADV Vereinbarung
Diverse Anbieter
Acuityscheduling
Datenschutzbestimmung:
https://help.acuityscheduling.com/hc/en-us/articles/219149587-Security-Privacy-Compliance
Digistore
Kein AV nötig. Digistore verkauft die Produkte unter seinem eigenen Namen. Daher Funktionsübertragung und keine Auftragsverarbeitung!
Drift
Die sind nun bereit und es gibt auch neue Einstellungen. So kann man z.B. vor dem Chatstart einen „Datenschutzhinweis“ hinzufügen.
https://www.drift.com/gdpr/
Evernote
Anscheinend in Bearbeitung. Abwarten.
Mehr Infos
https://evernote.com/intl/de/privacy/gdpr
PayPal
Meines Wissens kein AV nötig.
https://www.onlinehaendler-news.de/recht/rechtsfragen/31217-neue-paypal-agb-was-haendler-dazu-wissen-sollten.html
Webinaris
Vorhanden – Anleitung ist hier zu finden
https://webinaris.zendesk.com/hc/de/articles/360000953705-ADV-AVV-Vertrag-zur-Auftragsdatenverarbeitung-gem%C3%A4%C3%9F-DSGVO-abschlie%C3%9Fen
Terminland
https://www.terminland.de/downloads/Terminland-AGB_ADV.pdf
Trello.com
Muss beim Support angefordert werden support@trello.com
YouCanbook.me
Anscheind im Account zu finden. Nutze es selber nicht, aber hier mehr Infos
https://support.youcanbook.me/article/245-privacy-and-data