Vereinbarung zur Auftragsverarbeitung
Im Rahmen der EU-weiten Datenschutzgrundverordnung (kurz DSGVO) unterliegen (fast alle) Unternehmen der Dokumentationspflicht.
Gemeint ist damit, dass ein "Verzeichnis der Verarbeitungstätigkeiten" angelegt werden muss. Dieses umfasst sämtliche Verarbeitungstätigkeiten, die in der Zuständigkeit des Unternehmens liegen. Werden personenbezogene Daten außerhalb des Unternehmens verarbeitet – hier reicht es schon, wenn diese auf einem Server gespeichert werden – ist eine Vereinbarung über eine Auftragsverarbeitung (AV-Vereinbarung) vorgesehen. Diese soll u.a. sicherstellen, dass das an der Datenverarbeitung beteiligte Unternehmen die zur Verarbeitung bereitgestellten Daten entsprechend schützt.
Begriffserklärung
Personenbezogene Daten
Alle Informationen, die sich auf eine Person (natürlich oder juristisch) beziehen und diese bekannt/bestimmbar machen. Dazu gehören u.a.:
- Name
- Geburtsdatum
- Geschlecht
- Adresse
- Einkommen
- Bild
- Stimme
- Fingerabdruck
- fixe oder dynamische IP-Adressen.
Kategorien betroffener Personen
Wichtiger Teil der AV-Vereinbarung ist die Angabe über die Kategorien betroffener Personen, auf die sich die Datenverarbeitung erstreckt. Möglich sind hier etwa:
- aktuelle und ehemalige MitarbeiterInnen
- KundInnen
- Partnerunternehmen
- LieferantInnen
- InteressentInnen
- Newsletter-AbonnentInnen
- Beratungsunternehmen (Steuerberatung, Rechtsberatung etc.)
Verarbeitung
Laut DSGVO (Art. 4 Z 2) fällt unter den Begriff "Verarbeitung" jeder Vorgang im Zusammenhang mit personenbezogenen Daten:
- Erheben
- Erfassen
- Organisieren
- Ordnen
- Speichern
- Anpassen
- Verändern
- Auslesen
- Abfragen
- Verwenden
- Offenlegen
- Verbreiten
- Bereitstellen
- Abgleichen
- Verknüpfen
- Einschränken
- Abgleichen
- Löschen
- Vernichten
Verantwortlicher
Ersetzt den im österreichischen Datenschutzgesetz (DSG 2000) definierten Begriff AUFTRAGGEBER. Der Verantwortliche entscheidet (alleine oder gemeinsam mit anderen) welche personenbezogenen Daten warum (Zwecke) und wie (Mittel) verarbeitet werden.
Auftragsverarbeiter
Ersetzt den im österreichischen Datenschutzgesetz (DSG 2000) definierten Begriff DIENSTLEISTER. Der Auftragsverarbeiter bearbeitet personenbezogene Daten im Auftrag des Verantwortlichen.
Vereinbarung über eine Auftragsverarbeitung (AV-Vereinbarung)
- Regelt die Rechte und Pflichten im Umgang mit personenbezogenen Daten von Verantwortlichem und Auftragsverarbeiter.
- Soll sicherstellen, dass der Auftragsverarbeiter die ihm vom Verantwortlichen anvertrauten Daten ausschließlich zu den Zwecken verarbeitet, für die der Verantwortliche sie erhoben hat.
- Verpflichtet den Auftragsverarbeiter, die Daten entsprechend zu schützen und gibt dem Verantwortlichen diesbezüglich umfassende Kontrollrechte.
Wann brauchen Sie eine AV-Vereinbarung?
Es reicht aus, wenn Sie personenbezogene Daten auf Ihrem abaton-Hosting-Produkt speichern. Damit gewähren Sie abaton theoretischen Zugang zu diesen Daten, was eine AV-Vereinbarung begründet.
Beispiele:
- Sie versenden Newsletter über Ihr abaton-Hosting-Produkt, Namen und E-Mail-Adresse der Empfänger sind auf einem abaton-Server hinterlegt. Personenkategorien könnten in diesem Fall Kunden, Interessenten, Lieferanten und eventuell auch Mitarbeiter sein; Art der personenbezogenen Daten wären Name sowie E-Mail-Adresse.
- Sie betreiben einen Online-Shop, bei einer Anmeldung bzw. einem getätigtem Kauf werden Name, Adresse, Telefonnummer sowie E-Mail-Adresse vom Kunden abgefragt und auf einem abaton-Server gespeichert. Die entsprechende Personenkategorie wäre hier Kunde, Art der personenbezogenen Daten: Name, Adresse, Telefonnummer und E-Mail-Adresse.
- Kunden oder andere Personen können Sie über ein Kontaktformular auf Ihrer Webseite erreichen, die eingetragenen Daten werden auf einem abaton-Server gespeichert. Personenkategorien wären hier etwa Kunden und Interessenten; Art der personenbezogenen Daten entsprechend den verwendeten Formularfeldern Name, Telefonnummer, E-Mail-Adresse etc.
Sie benötigen KEINE AV-Vereinbarung, wenn...
- personenbezogene Daten öffentlich auf Ihrer Webseite zugänglich sind, zum Beispiel wenn Sie die Kontaktdaten Ihrer Mitarbeiter auf einer Team- oder Kontaktseite zur Verfügung stellen.
- Sie personenbezogene Daten ausschließlich auf Systemen speichern, die sich an Ihrem eigenen Unternehmensstandort befinden.
Holen sie sich ihre AV-Vereinbarung mit abaton
Um unseren Kunden den Start in die DSGVO etwas zu erleichtern, haben wir für Sie eine AV-Vereinbarung vorbereitet. Wenn Sie eine AV-Vereinbarung für Ihre Unterlagen benötigen, schicken Sie uns bitte ein E-Mail an datenschutz@abaton.at. Das E-Mail sollte folgende Informationen enthalten:
- Personenkategorien, die der Auftragsverarbeitung unterliegen
- Arten von personenbezogenen Daten, die von der Auftragsverarbeitung betroffen sind
Wir ergänzen für Sie die AV-Vereinbarung und übermitteln Ihnen das unterfertigte Dokument für Ihre Unterlagen.
Interesse?
Sie haben Fragen zur Auftragsverarbeiter-Vereinbarung? Wir beraten Sie gerne! Nutzen Sie dazu das nachfolgende Formular und wir rufen Sie gerne zurück oder schicken Ihnen Informationen per E-Mail. Alternativ können Sie uns gerne auch ein E-Mail an datenschutz@abaton.at schicken.