Einleitung
Ein Auftragsverarbeitungsvertrag (AVV oder AV-Vertrag) ist erforderlich, wenn personenbezogene Daten an Dritte im Rahmen eines Auftrags weitergegeben und von diesen verarbeitet oder genutzt werden. Die Anforderungen an die Weitergabe von Daten sind in der EU-DSGVO geregelt.
Personenbezogene Daten sind nicht nur Name und Geburtsdatum sondern eben auch die aktuelle IP Adresse mit der Dein Kunde auf Deine Webseite kommt. Als typischer Website Betreiber gibst Du Deine Daten an folgende Typen von Unternehmen weiter:
- Web-Hoster: Wenn Deine Webseite nicht auf einem eigenen Server liegt. (sondern bei einem Hosting Anbieter)
- Web-Agentur: Wenn Deine Web-Agentur Deine Webseite betreut und Einblick auf Statistik, Newsletter-Abonnenten, o.ä. haben.
- Cloud-Softwareanbieter (wie E-Mail Hoster und Newsletter Hoster, z. B. Microsoft 365): Diese speichern personenbezogene Daten für Deine Website auf ihren Servern.
- Tracking Tools: Tracking Tools wie ein externer Matomo-Server oder Google-Analytics haben reichlich personenbezogene Daten auf ihren Servern.
- Externe Wartung Deiner Webseite: Damit ist die Wartung von Servern und Computern durch einen externen Dienstleister, insbesondere auch Fernwartung gemeint.
AV-Verträge im Sinne der Datenschutz-Grundverordnung (DSGVO) regeln die Verarbeitung personenbezogener Daten durch alle Parteien, die an Deiner Webseite im Aufbau und Betrieb beteiligt sind. AV-Verträge sind wichtig, um sicherzustellen, dass die Verarbeitung personenbezogener Daten in Übereinstimmung mit den Anforderungen der DSGVO durchgeführt wird und um die Verantwortung für mögliche Verstöße zu klären. Es ist wichtig darauf zu achten, dass die AV-Verträge die Anforderungen der DSGVO erfüllen.
Letztendlich hilft ein Auftragsverarbeitungsvertrag auch dabei Strafzahlungen und Bußgelder zu vermeiden, sowie das Kundenvertrauen zu stärken.
Was ist ein AV-Vertrag und warum ist er wichtig?
Die Weitergabe personenbezogener Daten an einen Auftragsverarbeiter muss auf der Grundlage eines Vertrags zwischen Dir (dem Verantwortlichen) und dem Auftragsverarbeiter (Hosting-Anbieter, Cloud Service Provider, etc.) erfolgen, um die Rechte und Pflichten von beiden Parteien sowie ggf. erforderliche Subdienstleister zu regeln. Der AV-Vertrag garantiert, dass der Auftragsverarbeiter nicht in Erscheinung tritt und nicht berechtigt ist, die übermittelten personenbezogenen Daten für eigene Zwecke oder im eigenen Interesse zu nutzen (gemäß Art. 28 DSGVO). Du bleibst weisungsbefugt, verantwortlich und haftbar für die Verarbeitung und den Schutz der Daten (gemäß Art. 29 DSGVO).
Der AV-Vertrag muss schriftlich abgeschlossen werden, bevor der erste Datentransfer erfolgt, also, klar bevor Du Deine Webseiten veröffentlichst.
Die 3 fatalsten Irrtümer im Zusammenhang mit AV-Verträgen
Erster fataler Irrtum: Ich bin davon gar nicht betroffen
Jeder, der eine Webseite betreibt und nicht alles selber macht (eigener Server fürs Hosting, Wartung, Newsletter, etc.) ist davon betroffen. Die rechtlichen Grundlagen geben dazu genügend und eindeutig Auskunft.
Hauptanteil hat die Tatsache, dass die IP-Adresse des Webseiten-Besuchers als personenbezogenes Datum zählt.
Zweiter fataler Irrtum: Es reicht auf die Verlässlichkeit des Auftragnehmers zu vertrauen
Obwohl der Hauptauftrag (z.B. Wartung Deiner Webseite) mündlich vereinbart werden kann, ist es unerlässlich, dass für die Datenverarbeitung eine zusätzliche, schriftliche Vereinbarung vorliegt. Dies kann besonders bei kleinen Aufträgen unbequem sein, jedoch gibt es Möglichkeiten, dies zu umgehen, indem man Vereinbarungen trifft, die auch zukünftige Arbeiten umfassen.
Weiters ist es unzulässig den AV-Vertrag per AGB abzuschließen, da der Gesetzgeber eine gesonderte Vereinbarung für jeden Auftrag vorsieht. Es ist allerdings möglich, dass ein AV-Vertrag Teil der Allgemeinen Geschäftsbedingungen (AGB) ist, solange er die Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) erfüllt. Der AV-Vertrag muss eindeutig als solcher gekennzeichnet und von den AGB getrennt sein, damit er leicht zugänglich und verständlich ist. Natürlich muss er auch alle erforderlichen Informationen beinhalten.
Dritter fataler Irrtum: Ich übertrage das Ganze einfach auf einen externen Dienstleister
Ein Fehler wäre anzunehmen, dass die gesetzlichen Anforderungen an den Datenschutz dadurch reduziert werden, wenn die gesamte Datenverarbeitung an eine externe Stelle ausgelagert wird. Beispielsweise kann ein Marketingunternehmen die Verwaltung der Newsletter Empfänger übernehmen und sich um die Erhebung der Daten, alle Anfragen und den Datenschutz kümmern.
In diesem Fall ist es jedoch kein Auftrag auf Datenverarbeitung sondern eine Funktionsübertragung. Die Daten gehören dem Dienstleister und der wiederum muss die Gesetze erfüllen.
Aber Du willst doch die Liste Deiner Newsletter Abonnenten selbst besitzen, oder?
Auch die Übertragung an ein Unternehmen ins Ausland ist keine Lösung. Daten, die im Inland erhoben werden, dürfen ohne Zustimmung der betroffenen Personen oder gesetzliche Erlaubnis nur innerhalb der EU bzw. EWR weitergegeben werden. Eine Zustimmung der betroffenen Personen ist erforderlich, wenn man ein Unternehmen in z.B. den USA mit der Wartung des Systems oder Versand des Newsletters beauftragen will.
Beispiel: Ein typischer Webseiten Betreiber
Als Basis für dieses Beispiel wird von einem typischen Webseitenbetreiber ausgegangen. Er hat seine Webseite basierend auf WordPress durch eine Agentur erstellen lassen und einen Hosting-Anbieter gewählt um die Webseite zu hosten. Für mehr Information über die Benutzer hat er Matomo als Analyse Tool installiert. Als Sicherheits-Plugin hat er sich für Wordfence entschieden. Weiters benötigt er einen Newsletter-Dienst um E-Mails zu sammeln, mittels dessen er seine Produkte in regelmäßigen Abständen bewerben kann. Da er bei den Diensten auf Third-Party Cookies völlig verzichtet und auch sonst nur Session Cookies verwendet, benötigt er kein Cookie Consent Tool. Für seine SEO Tätigkeiten hat er die Google Search Console konfiguriert.
Inhaltlich verzichtet er auf eingebettete Daten wie YouTube Videos oder Instagram Posts.
Agentur
Die Agentur, die das Erstellen und Gestalten Deiner Webseite übernimmt, benötigt nicht unbedingt einen AV-Vertrag. Sobald die Webseite jedoch in Betrieb ist und die Agentur auf die Webseite Zugriff hat, wird es jedoch notwendig, da sie durch das WordPress Admin-Portal Zugriff auf personenbezogene Daten hat.
Oft hat die Agentur zusätzlich zum „Vertrag für die Erstellung“ auch gleich einen AVV Vertrag bereit den Du einfach mit ihr unterzeichnen musst.
Hosting-Anbieter
Dieser hostet Deine Webseite und hat somit Zugriff auf die Logdateien Deines Webservers, welche wiederum IP Adressen Deiner Besucher aufzeichnet. Meist sind Hosting-Anbieter schon lange darauf vorbereitet und stellen Dir den notwendigen AV-Vertrag direkt zur Verfügung. Du musst Dich nur darum kümmern.
Wenn Du z.B. Deine Webseite bei HostEurope hostest, kannst Du den AV-Vertrag direkt herunterladen, ausfülle, unterfertigen und an HostEurope zurücksenden: https://www.hosteurope.de/faq/kis/allgemeines0/adv-vertrag-abschliessen/ und https://www.hosteurope.de/Dokumente/
Sicherheits-Plugin
Wordfence sammelt und speichert IP-Adressen zum Zwecke des Schutzes vor Brute-Force-Angriffen (ein Hacker probiert mögliche Passwort-Kombinationen aus um Sich auf Deiner Website einzuloggen. Automatisiert! ) und DDoS-Angriffen (Dein Server kann durch eine Flut an unerwünschten Anfragen überlastet werden) auf deren Servern. Somit muss man entsprechend dem Artikel „Wordfence and GDPR – General Data Protection Regulation“ von Defiant (dem Macher von Wordfence) zustimmen um einen gültigen AV-Vertrag zu haben.
https://www.wordfence.com/help/general-data-protection-regulation/
Analyse-Tool
Ein Analyse-Tool ist sehr wichtig, um den Verkehr auf Deiner Webseite zu messen. Datenschutzrechtlich ist es wichtig, dass die erhobenen Nutzerdaten lokal auf Deinem Server oder in Europa gespeichert und nicht weitergegeben werden. Außerdem sollte es auch ohne Cookies auskommen. Die lokale Installation des Matomo Plugins bei WordPress erfüllt diese Voraussetzungen.
Newsletter
Grundsätzlich benötigt unser beispielhafter Website Besitzer mit MailPoet keinen AV-Vertrag, denn der gesamte Newsletter-Service wird in diesem Fall auf seinem eigenen WordPress gehostet. Allerdings muss der Punkt „MailPoet“ Bestandteil seiner Datenschutzerklärung sein!
Cookie-Consent
Cookies sollten mittlerweile soweit als möglich völlig vermieden werden. Das ist natürlich bei Webshops eine andere Geschichte. Bei Webseiten oder Blogs, die über Produkte, eine Firma oder über Dich informieren kann man jedoch auf Cookies völlig verzichten.
Suchmaschinenoptimierung (SEO)
Google Search Console
Die Daten werden innerhalb der Google-Suche erhoben – und das geschieht unabhängig davon, ob die jeweils angezeigte Webseite die Google Search Console verwendet oder nicht. Somit benötigt man für die Google Search Console keinen AV-Vertrag und die Nutzung ist somit DSGVO konform.
RankMath
Rankmath ist ein populäres und kostenloses SEO-Plugin für WordPress. Es ist auf die Optimierung Deiner Website für Suchmaschinen ausgelegt und hat ein paar hilfreiche Features mehr, als sein großer Konkurrent „Yoast SEO“. Es verfügt über zahlreiche Funktionen, die die Optimierung der Website für bestimmte Keywords und Suchbegriffe, Verbesserung der Lesbarkeit des Inhalts und die Verbesserung der Navigation ermöglichen. Einige der wichtigsten Funktionen von Rankmath umfassen die Möglichkeit:
- Meta-Titel und Meta-Beschreibungen hinzuzufügen,
- automatisch XML-Sitemaps zu generieren,
- überwachen von Backlinks und
- die Analyse der Konkurrenz.
Ausnahmen
Datenverarbeiter, die aufgrund ihrer gewerbespezifischen und berufsständischen Pflichten bereits verpflichtet sind, personenbezogene Daten besonders zu schützen, gelten als eigenständig Verantwortliche. Laut Datenschutzkonferenz ist in diesen Fällen kein AV-Vertrag erforderlich.
Beispiele für diese Gruppe sind unter anderem: Steuerberater, Banken bei Geldtransfers, Rechtsanwälte und Notare sowie Postdienstleister bei Brieftransporten um nur einige zu nennen.
Rechtliche Grundlagen
DSGVO
Die EU-Datenschutz-Grundverordnung ist bereits am 25. Mai 2016, zwanzig Tage nach der Veröffentlichung im EU-Amtsblatt, in Kraft getreten. Aufgrund der Übergangsfrist kam sie allerdings erst zwei Jahre nach Inkrafttreten zur Anwendung. Seit dem 25. Mai 2018 ist deren Einhaltung durch die EU-Datenschutzaufsichtsbehörden und Gerichte überprüfbar.
https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX%3A32016R0679 und gleich zum Text der DSGVO
Deutschland
Seit 25. Mai 2018 gilt die Pflicht zur Aufsetzung von Auftragsverarbeitungsverträgen gemäß Art. 24 ff DSGVO bzw. § 11 BDSG. Sobald ein Dritter an der Datenverarbeitung beteiligt ist, muss ein AVV geschlossen werden.
https://www.gesetze-im-internet.de/bdsg_2018/index.html
Österreich
In Österreich gibt es seit 1978 ein Datenschutzgesetz, das wiederholt novelliert wurde, bevor es an die Normen der EU Datenschutz Grundverordnung angepasst wurde. Das aktuelle DSG kann im RIS kostenlos eingesehen werden:
https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=bundesnormen&Gesetzesnummer=10001597
Linksammlung
Datenschutzkonferenz ist das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder.
Österreichische Wirtschaftskammer zur DSGVO
Musterdokumente
Die Musterverträge & Dokumente müssen an die Umstände des jeweiligen Unternehmens angepasst werden und sollten nicht ohne vorherige Überprüfung verwendet werden.