Im ersten Schritt bezüglich der Umsetzung der DSGVO empfahl ich Dir eine Liste mit allen «Datenflüssen»  aufzuschreiben.
Nun geht es um die externen Datenverarbeiter. Also alle Anbieter, welche Deine «Kundendaten» bzw. personenbezogene Daten…

  • verarbeiten
  • speichern
  • analysieren
  • oder zumindest ansehen können

In der Regel musst Du mit all diesen externen Anbietern einen Auftragsverarbeitungsvertrag (AV) abschliessen.

Kurz zusammengefasst beinhaltet dieser Vertrag, dass der Anbieter sich an die Regelungen der DSGVO hält und Dich bei Missbrauch der Daten (z.B. Datenmissbrauch) informiert.

Disclaimer:
Als Webdesignerin darf und kann ich keine Rechtsauskunft geben! Ich schildere in diesem Artikel lediglich mein Verständnis zu diesem Thema.
Ich möchte mit diesem und den folgenden Artikeln meine Sicht der DSGVO weitergeben um Dich zu unterstützen, auch weiterhin eine rechtssichere Website zu betreiben. Wenn Du wirklich rechtssichere Antworten erhalten möchtest, musst Du aber einen Anwalt kontaktieren.

Beispiele von Auftragsverarbeiter

  • Google Dienste
  • E-Mailanbieter
  • Webhoster
  • Newsletter Anbieter
  • Rechnungs- und Buchhaltungssoftware
  • Webdesigner
  • Buchhalter
  • Social Media Berater

Die Liste ist nicht abschliessend. Sobald ein Unternehmen oder eine private Person auf Deine Kundendaten bzw. von Dir gespeicherte personenbezogene Daten zugreifen kann, solltest Du einen Vertrag abschliessen.

Merke Dir, dass Du einen Vertrag abschliessen musst und nicht umgekehrt. Denn im Grunde gibst Du die personenbezogenen Daten weiter, daher musst Du dafür sorgen, dass diese Daten nicht weiterverwendet werden!

Ein Beispiel: Je nach Auftrag habe ich als Webdesignerin Zugriff auf Deine Website, Google Analytics, Online Terminvereinbarungstools usw. Hier überall speicherst Du personenbezogene Daten. Damit ich diese Daten nicht «missbrauchen» kann, ist ein solcher Vertrag notwendig.

Zweites Beispiel: Du arbeitest mit dem Tool Webinaris. Da auch hier personenbezogene Daten gesammelt und gespeichert werden welche DU lieferst, ist ein solcher Vertrag notwendig.

US-Anbieter

Bei amerikanischen Anbietern empfiehlt es sich zu prüfen, ob diese sich an das Privacy Shield  Abkommen halten.

Dies kannst Du auf dieser Website prüfen:

https://www.privacyshield.gov

Muster Auftragsverarbeitungsvertrag (AV)

Hier einige Links wo Du Muster für Auftragsverarbeitungsverträge nach DSGVO findest:

E-Recht 24 im Mitgliederbereich unter dem Punkt DSGVO
https://www.e-recht24.de

Datenschutz-Guru.de
https://www.datenschutz-guru.de/auftragsdatenverarbeitung

Activemind.de
https://www.activemind.de/datenschutz/dokumente/av-vertrag/

Wer kümmert sich um den Vertrag?

Wie oben beschrieben, bist im Grunde Du in der Pflicht. Aber keine Sorge die meisten Anbieter bieten bereits einen solchen Vertrag an.

Damit Du nicht so lange suchen musst wie ich 😊 erstellte ich untenstehende Liste. Einige Anbieter sind selber noch mit der Umsetzung der DSGVO beschäftigt. Daher keine Sorge, wenn Dein Anbieter noch keine Lösung anbietet.

Trotzdem solltest Du dies im Auge behalten und ggf. solltest Du dich um einen anderen Anbieter kümmern.

„Gratis Anbieter“
Vorsicht bei einigen gratis Anbieter bzw. deren gratis Angeboten. Z.B. sind nach meinen Recherchen Gmail, Google Drive usw. nicht DSGVO konform. Diese Angebote sind auch für private Anwender gedacht und da braucht es keine DSGVO!
Ich empfehle jeweils die Business Version dieser Angebote zu verwenden. Also z.B. GSuite, Microsoft Business oder auch Dropbox Business usw.

Halte dabei immer im Hinterkopf, dass es um personenbezogene Daten geht. Also wenn Du z.B. auf der privaten Google Drive / Google Doc technische Anleitungen erstellst und somit keine personenbezogene Daten abspeicherst, dann ist die DSGVO nicht relevant.

Umsetzung

Ich empfehle Dir für den 2. Schritt die Auftragsverarbeitungsverträge abzuschliessen oder Dir zu notieren, bei welchem Anbietern Du dies später nachholen musst.

Schreib Dir alles auf damit Du für den «Schritt 3 – Verarbeitungsverzeichnis erstellen » vorbereitet bist.

Liste Anbieter und Auftragsverarbeitungsverträge (AV)

Diese Liste werde ich fortlaufend erweitern und aktualisieren. Trotzdem wird diese auf keinen Fall alle Anbieter enthalten. Frag bei Unklarheiten direkt bei Deinem Anbieter nach.

Stand Liste 24.05.2018 / alphabetisch sortiert

Dropbox

Drobpox und die DSGVO
Hier findest Du allgemeine Informationen zum Datenschutz und zur DSGVO.
https://www.dropbox.com/de/help/security/general-data-protection-regulation

Ich empfehle Dropbox Business zu verwenden. Hier werden die Daten verschlüsselt übertragen und abgelegt. Ob ein AV nötig bzw. bereitgestellt wird, konnte ich auch nach mehrmaligen Nachfragen leider nicht herausfinden.

Facebook

Facebook und die DSGVO
Hier findest Du allgemeine Informationen zum Datenschutz und zur DSGVO.
https://www.facebook.com/business/gdpr#Facebook-als-Datenverantwortlicher-vs.-Auftragsverarbeiter

Nach meinem Verständnis ist hier kein AV nötig.

Interessant und Vorsicht geboten ist aber bei der Verwendungvon folgenden Diensten:

Facebook Pixel

Für die Verwendung des Pixels braucht es vermutlich einen AV.  Dieser steht noch nicht zur Verfügung. Ob dies wirklich nötig ist und ein AV angeboten wird, ist mir zur Zeit nicht bekannt.
Zudem brauchst Du eine Opt-Out Möglichkeit und einen Hinweis in der Datenschutzerklärung. Ich empfehle Dir folgenden Artikel:
https://drschwenke.de/facebook-pixel-voraussetzungen-fuer-einen-rechtssicheren-einsatz/

Ein WordPress Opt-Out Plugin für Facebook findest Du z.B hier
https://de.wordpress.org/plugins/opt-out-facebook-pixel-dsgvo-gdpr/#description

Custom Audiences

Hier musst Du sicherstellen, dass die Daten rechtmässig erhoben werden und an Facebook weitergeleitet werden dürfen. Zusätzlich musst Du folgende Nutzungsbedingungen akzeptieren:
https://www.facebook.com/ads/manage/customaudiences/tos.php#

Google

Google und der Datenschutz
Hier findest Du allgemeine Informationen zum Datenschutz und zur DSGVO.
https://privacy.google.com/intl/de_ALL/businesses/controls/

AdWords

Hier fungiert der Kunde und Google jeweils als unabhängige Verantwortliche gemäss der DSGVO, mit Ausnahme der Funktionen „Kundenabgleich“ und „Ladenverkäufe.
Daher kein AV nötig!

AdSense

Meines Wissens fungiert hier der Kunde und Google jeweils als unabhängige Verantwortliche gemäss der DSGVO, daher kein AV nötig!

Analytics

Hier muss der AV akzeptiert, die Daten müssen anonymisiert werden und zudem muss dies auf der Website in der Datenschutzbestimmung stehen.
Eine Anleitung für diese Schritte findest Du hier:
www.lichtweb.ch/google-analytics-wordpress

Data Studio

Gehe auf Nutzerkonto – Konto und Datenschutz und akzeptierte den „Zusatz zur Datenverarbeitung“

GSuite

Hier muss auch die AV akzeptiert werden. Arbeite selber nicht mit GSuite, denke aber dass dies vergleichbar wie bei Data Studio und Analytics im Nutzerkonto zu finden ist.

Merchant Center

Theoretisch übermittelst Du hier nur Produktdaten und keine personenbezogene Daten.
Daher meines Wissens kein AV nötig.

Search Console

Da Du hier keine personenbezogenen Daten an Google weiterleitest, meines Wissens kein AV nötig

Tag Manager

Hier muss der AV akzeptiert und die Daten müssen anonymisiert weitergeleitet werden.
Eine Anleitung hierzu findest Du hier:
www.lichtweb.ch/google-tag-manager-dsgvo

YouTube

Meines Wissens brauchst Du hier keine AV, da es ja die Plattform von Google ist.
Vorsicht bei eingebetteten YouTube Videos  auf Deiner Website! Hier müssen verschiedene Einstellungen beachtet werden. Verschiedene Möglichkeiten findest Du unter folgendem Link
https://www.blogmojo.de/youtube-videos-datenschutzkonform-einbetten/

Microsoft

Interessant sind hier vor allem auch z.B. OneDrive Business und SharePoint. Nach mehrmaligen Nachfragen bei Microsoft wurde mir bestätigt, dass die Daten verschlüsselt übermittelt und gespeichert werden.

Laut Microsoft genügt es diesen Vertrag herunterzuladen und abzuspeichern. Du findest diesen unter folgendem Link (Online Services Terms)
https://www.microsoft.com/en-us/licensing/product-licensing/products.aspx

Weitere Informationen zu Microsoft und die DSGVO findest Du unter folgendem Link:
https://www.microsoft.com/de-de/TrustCenter/privacy/gdpr

Newsletter Anbieter

Active Campain

Kann hier runtergeladen werden:
https://help.activecampaign.com/attachments/token/uwR3MAvkLs1CbfZX7o2pL2HtH/?name=ActiveCampaign+-+Data+Processing+Addendum+-+031918+%281%29.pdf

CleverReach

Unter Mein Account – Einstellungen – Datenschutz zu finden.

GetResponse

Unter Konto verwalten – Data Processing Agreement zu finden.

Klick Tipp

Direkt im Account unter Mein Konto > Auftragsdatenverarbeitung

MailChimp

https://mailchimp.com/legal/forms/data-processing-agreement

Webanbieter / Webbaukästen

Jimdo.com

AV vorhanden, kann hier heruntergeladen werden
https://jimdo-legal.zendesk.com/hc/de/articles/360000782763

Wix.com

Teil der AGB muss laut Wix.com nicht unterschrieben werden.
https://www.wix.com/about/privacy-dpa-users

WordPress.com

In Bearbeitung / Abklärung.
Interessante Forum Diskussion zum Thema
https://de.forums.wordpress.com/topic/adv-vertrag-fur-bdsg-bundes-datenschutz-gesetz/page/10/

Webhoster

In der Regel speichert Dein Webhoster personenbezogene Daten z.B. auch via Deiner WordPress Installation bei Kommentaren, Formularen aber auch Deine E-Mails usw. Daher ist hier in der Regel ein AV notwendig.

Erfahrungsgemäss sind einige deutsche Webhoster bereits ready – Schweizer Webhoster sind meist noch in der Abklärung und Umsetzung.

All-Inkl.com

AV vorhanden kann per Support angefordert werden.
Neu auch in der Member Area – Stammdaten zu finden.

Cyon.ch

Die ADV-Vereinbarung ist im my.cyon-Konto unter «Meine Daten» verfügbar.

Hostpoint.ch

Im Control Panel – Menü  Admin – Verträge – Reiter AGB & ADV aufklappen und den Vertrag einsehen sowie abschliessen.

Hoststar.ch

Steht direkt im My Panel zur Verfügung

Metanet.ch

Vertrag kann via Support angefordert werden.

Novatrend.ch

Kundencenter – ADV Vereinbarung

Diverse Anbieter

Acuityscheduling

Datenschutzbestimmung:
https://help.acuityscheduling.com/hc/en-us/articles/219149587-Security-Privacy-Compliance

Digistore

Kein AV nötig. Digistore verkauft die Produkte unter seinem eigenen Namen. Daher Funktionsübertragung und keine Auftragsverarbeitung!

Drift

Die sind nun bereit und es gibt auch neue Einstellungen. So kann man z.B. vor dem Chatstart einen „Datenschutzhinweis“ hinzufügen.
https://www.drift.com/gdpr/

Evernote

Anscheinend in Bearbeitung. Abwarten.
Mehr Infos
https://evernote.com/intl/de/privacy/gdpr

PayPal

Meines Wissens kein AV nötig.
https://www.onlinehaendler-news.de/recht/rechtsfragen/31217-neue-paypal-agb-was-haendler-dazu-wissen-sollten.html

Webinaris

Vorhanden – Anleitung ist hier zu finden
https://webinaris.zendesk.com/hc/de/articles/360000953705-ADV-AVV-Vertrag-zur-Auftragsdatenverarbeitung-gem%C3%A4%C3%9F-DSGVO-abschlie%C3%9Fen

Terminland

https://www.terminland.de/downloads/Terminland-AGB_ADV.pdf

Trello.com

Muss beim Support angefordert werden support@trello.com

YouCanbook.me

Anscheind im Account zu finden. Nutze es selber nicht, aber hier mehr Infos
https://support.youcanbook.me/article/245-privacy-and-data

Newsletter

Mit der Anmeldung bist Du einverstanden, dass ich Dir Newsletter zu den Themen WordPress, AdWords und Online Marketing zusende. Du kannst Dich jederzeit von meinem Newsletter abmelden. Weitere Informationen findest Du in der Datenschutzerklärung.