Hervorragend, wenn Du bereits mit Odoo ERP arbeitest. Warum? Ganz einfach, weil Du dann nur noch mit Deinem Server-Provider (dem Hoster Deines Servers) einen AV-Vertrag (also einen Auftragsverarbeitungsvertrag) schließen musst. Meist hat Dein Provider so einen Vertrag bereits in seinem Service-Portal für dich abrufbar bereitgestellt.
Was machen alle anderen? Wenn Du mehrere Dienstleister für Dein E-Mail-Marketing nutzt (vielleicht eine Agentur beauftragt hast, Du eine oder gar mehrere verschiedene Software-Lösungen einsetzt, Du einen Server-Provider oder/und Subunternehmen, welche Dir bei der Ausführung Deines Marketings helfen, nutzt) - dann ist es sehr wahrscheinlich, dass Du dem einen oder anderen auch Deine E-Mail-Empfängerliste(n) übergibst oder diese schlicht durch ihre Tätigkeit für Dich Zugriffsmöglichkeiten auf Deine Daten haben.
Was ist dann zu tun? Das erkläre ich Dir jetzt in diesem Blog.
Wann einen Auftragsverarbeitungsvertrag abschließen?
Wenn Du keinen offensichtlichen Datenschutz-Verstoß begehen möchtest, musst Du von Deiner Empfängerliste (Mailingliste) eine Einwilligung einholen, dass Du die Daten auch an Dritte weitergeben darfst. Du kannst Dir sicher vorstellen, dass eine Datensammlung mit diesem Zusatz noch schwieriger werden wird, als das bisher schon der Fall ist. Daher ist das keine gute Idee.
Aus diesem Grund musst Du zwingend mit allen externen Personen/ Unternehmen, mit Zugriff auf Deine personenbezogene Daten, eine s.g. AV-Vereinbarung abschließen. Für alle, die es genauer wissen wollen: rechtlich verankert ist die AV-Vereinbarung in Art. 28 der EU-DSGVO.
Was steht in so einer AV-Vereinbarung eigentlich?
„Die Datenschutz-Grundverordnung (DSGVO) bietet europaweit einheitlich die Möglichkeit zur s.g. Auftrags-Verarbeitung (ehemals in Deutschland als Auftragsdaten-Verarbeitung bekannt). Die Auftragsverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragsverarbeiter gemäß den Weisungen des für die Datenverarbeitung Verantwortlichen auf Grundlage eines Vertrages.“
Das bedeutet im Klartext: Du muss eine schriftliche Vereinbarung über AV mit dem beauftragten externen Unternehmen schließen. In dieser Vereinbarung muss in etwa wie folgt stehen:
- Wen du beauftragst, und was der Auftragnehmer genau für dich tut.
- Auf welche Daten Dein Auftragnehmer aufgrund seiner Tätigkeit Zugriff hat und welche Personen(-gruppe/n) betroffen sind.
- Es sollte auch drinstehen, dass Du als „Inhaber der Daten“ (juristisch: „verantwortliche Stelle“) Dir das Weisungsrecht vorbehältst und der Auftragnehmer sich Deinen Anweisungen unterwirft, also in Bezug auf die Daten nichts selbst entscheiden darf. Er also lediglich die „verlängerte Werkbank“ spielt - mehr nicht.
- Wie er Deine Daten zu schützen hat. Im Datenschutz spricht man hier von „Technischen und organisatorischen Maßnahmen“.
- Evtl. sollte noch rein, welcher Subunternehmer sich der Auftragnehmer zur Erfüllung seiner Pflichten gegenüber bedient. Mit jedem dieser Subunternehmer muss der Auftragnehmer nämlich ebenfalls eine AV-Vereinbarung geschlossen haben, und die solltest Du Dir auf alle Fälle vor Abschluss Deiner AV-Vereinbarung mit ihm auch zeigen lassen.
Wie bereits erwähnt, haben die meisten (seriösen) Service-Provider bereits Vorlagen für einen AV-Vertrag, welcher auf ihre angebotenen Dienste ausgelegt sind. Dennoch bleibt es in Deiner Verantwortung als s.g. verantwortliche Stelle, Deine Daten sorgfältig zu schützen. Da Du dir das Weisungsrecht vorbehalten musst (und der Auftragnehmer inhaltlich nichts entscheiden darf) kann er im ersten Schritt auch nicht haftend gemacht werden, wenn sich jemand wegen eines Datenschutz-Verstoßes gegen Dich wendet.
