Datenschutz auf Webseiten (3)
Auftragsverarbeitung: Was muss bedacht werden?
Werden die Daten der Besucherinnen und Besucher einer Webseite nicht vom Betreiber der Webseite verarbeitet, sondern von einem externen Dienste-Anbieter, handelt es sich meist um eine Auftragsverarbeitung. Das ist beispielsweise der Fall, wenn man sich für das Abonnement eines Newsletters nicht beim Webseitenbetreiber anmeldet, sondern bei einem externen Unternehmen, das den Versand von Newslettern übernimmt, zu diesem Zwecke eine in die Webseite integrierte Eingabemaske zur Verfügung stellt und so die Daten der Abonnentinnen und Abonnenten erfasst und verarbeitet. In einem derart gelagerten Fall muss der Webseitenbetreiber mit dem Anbieter des Dienstes einen Auftragsverarbeitungsvertrag, kurz AVV, schließen, so Art. 28 DSGVO. Damit die Vorgaben und die Vorgehensweise in solchen und ähnlichen Fällen geklärt werden können, empfiehlt es sich dringend, einen Datenschutzbeauftragten einzubeziehen.
Wer muss den Auftragsverarbeitungsvertrag schließen?
Wichtig ist, dass die Notwendigkeiten geklärt werden, bevor ein externer Dienst eingebunden wird. Auch der Auftragsverarbeitungsvertrag sollte vor seinem Abschluss daraufhin geprüft werden, ob er datenschutzrechtlich einwandfrei ist. Dabei ist wiederum zu prüfen, ob der Verantwortliche den AVV mit dem Diensteanbieter direkt abschließen muss oder ob dieser Vertrag zwischen dem Diensteanbieter und dem eigentlichen Betreuer der Webseite geschlossen werden muss. Bei der Klärung dieses Sachverhalts kann ebenfalls der Datenschutzbeauftragte einbezogen werden.
Verantwortlichkeiten bei der Auftragsverarbeitung
Im Falle einer Auftragsverarbeitung liegt die Verantwortung für die Verarbeitung der Daten nach wie vor beim Verantwortlichen, wie ihn die DSGVO definiert. Ihm obliegt auch die Informationspflicht. Damit die Vorgaben der DSGVO erfüllt werden, ist darauf zu achten, dass der AVV rechtskonform ist und dass die durch den eingebundenen Dienst erfolgenden Datenverarbeitungen auch tatsächlich durch den Vertrag abgedeckt werden. Sind die externen Anbieter in Drittländern ansässig, die nicht zur EU beziehungsweise nicht zum EWR gehören, ist außerdem darauf zu achten, dass die Regelungen der DSGVO für die Übermittlung von personenbezogenen Daten in diese Drittländer erfüllt sein müssen.
Sie haben Fragen zur Auftragsverarbeitung?
Dann sind wir sehr gern Ihre Ansprechpartner. Kommen Sie auf uns zu und vereinbaren Sie Ihren persönlichen Beratungstermin mit uns: Unsere Telefonnummer lautet 09122 6937302. Selbstverständlich können Sie uns auch jederzeit eine Nachricht senden. Wir freuen uns auf Ihre Fragen!
Ihr Team von Datenschutz Prinz
Lesen Sie auch hier weiter:
- Folge 1: Externe Dienste und Tools korrekt einbinden
- Folge 2: Informationspflichten richtig erfüllen
- Folge 4: Die Risikoanalyse ist unverzichtbar
Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.
Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!
Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.
