Auftragsdatenverarbeitungsvereinbarung – Willkommen beim Datenschutz 2.0
- 02.11.2020
- | Autor: Bülent Cakir
Seit dem 25. Mai 2018 bis heute gibt es in Unternehmen ein Wort, bei dem es jedem eiskalt den Rücken runterläuft: DSGVO. Das neue Gesetz soll vor allem Verbraucher schützen und regelt die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten. Was zweifelsohne in der Theorie längst überfällig war, sorgt in der Praxis immer noch für jede Menge Arbeit, Verwirrung, aber auch Bewegung am Markt. Was bedeutet das aber für unsere Branche und unsere Kunden?
Was ist die Auftragsdatenverarbeitungsvereinbarung eigentlich?
Steigen wir mit der gewohnten Definitionsfrage in das Thema ein: Was ist denn überhaupt die Auftragsdatenverarbeitungsvereinbarung? Kurzum: Immer dann, wenn ein Unternehmen, also auch wir, mit jedweder Art personenbezogener Daten arbeiten, auf diese Zugriff haben, verwerten oder nutzen, ist der Bereich der Auftragsverarbeitung betroffen und es muss eine Auftragsdatenverarbeitungsvereinbarung geschlossen werden.
Zu den personenbezogenen Daten zählen:
- Name
- Anschrift
- E-Mail-Adresse
- Telefonnummer
- Geburtstag
- Kontodaten
- Standortdaten
- IP-Adresse
- Nutzungsverhalten
Auch pseudonymisierte Daten gehören dazu.
Good to know: Wir bei klaro haben bereits vor dem großen Paukenschlag des Gesetzgebers in Zusammenarbeit mit unseren Technologiepartnern diese Datenschutz-konforme Handhabung konsequent umgesetzt und entsprechende Richtlinien vereinbart. Schon seit vielen Jahren sind wir beim Thema Datenschutz ganz vorne mit dabei. Täglich sind unsere Datenschutzbeauftragten mit Feuereifer dabei, dass sensible Kundendaten bei uns sicher sind und wir trotzdem für unsere Kunden agil am Werbemarkt bleiben. Jetzt nur mit offiziellem Nachweis, der Auftragsdatenverarbeitungsvereinbarung.
Wann ist eine Auftragsdatenverarbeitungsvereinbarung nötig?
Immer wenn ein Unternehmen als Auftraggeber einen externen Dienstleister, wie uns beauftragt Daten zu verarbeiten, die sich auf Personen beziehen, muss eine Auftragsdatenverarbeitungsvereinbarung geschlossen werden. Dabei bleibt die Verantwortung für die sachgemäße Datenverarbeitung beim Auftraggeber. Der Gesetzgeber sieht den externen Dienstleister quasi als „verlängerten Arm“ des Auftraggebers.
Erweiterung der DSGVO und Auftragsdatenverarbeitungsvereinbarung: Die ePrivacy-Verordnung
Mit dem Inkrafttreten der DSGVO und dem Beschluss der Auftragsdatenverarbeitungsvereinbarung war vor allem für unsere Branche unklar, welche Ausmaße die einzelnen Bestimmungen auf den Markt haben. Ferner löst zeitgleich die anstehende ePrivacy-Verordnung, als Erweiterung der DSGVO, weiter große und neue Unsicherheiten aus. Viele Branchen-Experten sagen mit den Regularien eine schwere Schädigung des digitalen Business voraus.
Was ist denn überhaupt die ePrivacy-Verordnung (kurz ePVO)? Die ePrivacy-Verordnung bezieht sich auf die Regelung der Bereitstellung von elektronischen Kommunikationsdiensten und soll hier die elektronischen Kommunikationsdaten der Endnutzer sichern. Ebenso soll festgelegt werden, unter welchen Voraussetzungen Unternehmen Daten speichern dürfen. Die Erweiterung zur DSGVO und der Auftragsdatenverarbeitungsvereinbarung ist insofern für den Gesetzgeber wichtig, weil immer mehr technische und wirtschaftliche Neuentwicklungen Möglichkeiten für Werbetreibende schaffen und damit wieder die Nutzung von personenbezogenen Daten berührt ist.
Beispiele der möglichen Bestimmungen:
- Privatpersonen müssen, sobald die ePVO in Kraft tritt, die Möglichkeit haben, der künftigen Werbung zu widersprechen, ganz gleich, ob sie vorher bereits ein Produkt bei Unternehmen XY gekauft haben.
- Der Betreiber einer Webseite dürfte keine Informationen mehr sammeln, welche Geräte ein Nutzer für den Besuch verwendet.
- Auch dürften bestimmte Inhalte nicht mehr mit einer bestimmten Einwilligung gekoppelt werden.
- Sofern der Nutzer nicht aktiv einwilligt, wäre die Verarbeitungs- und Speicherfunktion, wie sich diese zum Beispiel bei Google Analytics gestaltet, unzulässig. Ausnahmefälle sind nicht ausgeschlossen.
- Personen müssen die Möglichkeit bekommen Ihre Einwilligung alle sechs Monate zu widerrufen. Dazu müssen Unternehmen Datenbanken anlegen, um so angelegte Stämme jederzeit widerrufen zu können. Das betrifft auch Backups.
Werden entsprechende Regelungen nicht eingehalten, drohen ähnliche Bußgelder, wie bei der DSGVO. Einerseits ist es hocherfreulich, dass Abmahngebühren ausgesetzt werden, um den Missbrauch von Daten zu unterstützen. Dennoch schaut besonders unser Handwerk weiterhin argwöhnisch auf die Entwicklungen.
Wir sind klar mit der Auftragsdatenverarbeitungsvereinbarung und Co.
Damit entsprechende Szenarien nicht Wirklichkeit werden, sind wir bei klaro für unsere Marktpartner immer einen Schritt voraus, engagieren uns in Verbänden und sind im stetigen Austausch mit unseren Technologie-Anbietern und im Dialog mit den Interessenvertretern der Digitalwirtschaft.
Wir sehen es als unsere Pflicht für Kunden, User, aber auch der ganzen Branche in Sachen DSGVO, der Auftragsdatenverarbeitungsvereinbarung und ePrivacy-Verordnung auf dem aktuellsten Stand zu bleiben und konsequent Lösungen zu suchen. Denn wer will schon völlig undifferenzierte Werbebanner, wie in den 1990er Jahren? Dass darauf User keinen Bock mehr haben, nachdem diese durch die heute erlebnisorientierte Customer-Journey verwöhnt sind, steht außer Frage. Und was ist mit dem Bezahlen für solche Inhalte? No way! Doch Bezahlschranken wären für Content-Anbieter sicher im ersten Moment realistisch, wenn wichtige Erlösquellen genommen werden. Das sollte jedoch weder im Interesse des Users noch im Interesse des Gesetzgebers sein.
