Noch eine Woche, dann ist Weihnachten…. erm, EU-DSGVO! Aktuell ein großes Thema, täglich bekommt man E-Mails dazu, und da dürfen wir nicht fehlen. Wir müssen unsere Kunden in diesem Fall als Auftragsdatenverarbeiter unterstützen, um ihre Webseite für die EU-DSGVO vorzubereiten. Dazu ist ein Vertrag zur Auftragsdatenverarbeitung notwendig! Aber der Reihe nach:
Viele Kunden fragen uns: was ist der Vertrag zur Auftragsdatenverarbeitung, und in welchen Fällen brauche ich ihn? Der ADV-Vertrag regelt, wie lima-city personenbezogene Daten, mit denen wir im Rahmen von Webhosting, Cloud-VPS oder E-Mail in Kontakt kommen, verarbeitet. Dieser Vertrag ist immer dann notwendig, wenn ein Kunde bei uns personenbezogene Daten verarbeitet. Verarbeiten bedeutet dabei alles, was irgendwie mit personenbezogenen Daten zu tun hat: speichern, übertragen, verändern, zusammenführen, etc. Auf dem Webspace ist ein klassischer Fall das Kontaktformular (der Absender gibt Name und E-Mail-Adresse an). Aber schon der Einsatz einer Firewall – was wir natürlich tun, sonst könnten wir u.a. nicht die Vorgaben der EU-DSGVO einhalten – beinhaltet die Nutzung von personenbezogenen Daten: die IP-Adresse wird dabei mit einer Liste von IP-Adressen, die gesperrt sind, abgeglichen – und schon ist die IP-Adresse „genutzt“ und damit werden personenbezogene Daten verarbeitet. Ein modernes Datenverarbeitungssystem mit einer Schnittstelle wie HTTP/HTTPS muss zwingend personenbezogene Daten verarbeiten, ansonsten kann es nicht sicher gestaltet werden. Die Katze beißt sich da in den Schwanz: wer ein sicheres Datenverarbeitungssystem betreiben will, muss dafür personenbezogene Daten (=IP-Adressen) verarbeiten und muss die dann wieder angemessen schützen – wozu wiederum die Verarbeitung personenbezogener Daten notwendig ist. Bei E-Mail-Postfächern ist es ebenfalls unmöglich, keine personenbezogenen Daten zu verarbeiten. Wann immer man eine E-Mail von einem „menschlichen Absender“ empfängt, sind darin personenbezogene Daten enthalten, in der Signatur, der Name des Absenders selbst ist personenbezogen, die E-Mail-Adresse häufig ebenfalls, etc.
Zusammengefasst: Wenn man ein E-Mail-Postfach auf unseren E-Mail-Servern benutzt oder eine Webseite bei uns hosted oder Cloud-VPS betreibt, dann ist dieser Vertrag notwendig. Ein häufiges Missverständnis ist übrigens, dass das neu ist: tatsächlich ist dieser Vertrag seit der Neufassung vom Bundesdatenschutzgesetz von 1990 – also mittlerweile 28 Jahre – notwendig, aber jetzt wird es plötzlich ernst genommen.
Wie schließe ich den Vertrag ab? Der Vertrag zur Auftragsdatenverarbeitung lässt sich ganz einfach in der Verwaltung unter dem Menüpunkt „ADV-Vertrag“ ausfüllen und abschließen. Dazu muss angegeben werden, welche Daten-Typen und zu welchem Zweck (Vertragsdaten, Personenstammdaten, Daten zur Lohnabrechnung, etc.) über welche Betroffenen (Kunden, Mitarbeiter, etc.) gespeichert werden. Für unsere Kunden mit kostenpflichtigen Webhosting-Paketen (Premium-Paket, Mini, Starter, Business, Excellence) ist es kostenlos möglich, bis zu 5 Verträge je Account anzulegen.
Bei dem kostenlosen Webspace müssen wir zur Refinanzierung von Aufwand und Verpflichtungen, die uns aus den Verträgen entsteht, eine Gebühr berechnen. Derzeit berechnen wir 10 € (inkl. USt) pro Jahr für den Abschluss eines Vertrags zur Auftragsdatenverarbeitung für Kunden mit kostenlosem Webspace. Eine einmalige Gebühr haben wir verworfen, da die Verpflichtungen aus dem Vertrag über Jahre laufen können, und zum anderen unsere Kunden keinen Anreiz hätten, ihre Verträge und Auftragsdatenverarbeitung regelmäßig zu prüfen. In einem Jahr (Juni 2019) werden wir dann prüfen, wie sich die Kosten für die ADV-Verträge für den kostenlosen Webspace entwickeln und entscheiden, ob wir die Gebühr nach unten oder oben anpassen müssen oder vielleicht sogar auf sie verzichten können. Kunden mit kostenlosem Webspace, die einen solchen Vertrag schließen möchten, wenden sich bitte per Mail an den Support.
Die Umsetzung der EU-DSGVO ist keine einmalige Sache, die nach dem 25.5.2018 abgeschlossen ist, sondern es sollen Prozesse, Systeme und Regelungen schaffen, die den Datenschutz dauerhaft garantieren und laufend optimiert und angepasst werden. Dementsprechend ist eine regelmäßige Prüfung der Verträge im Sinne aller.
Wenn noch Fragen offen sind: die Kommentarfunktion ist geöffnet und wie immer freut sich der Support über E-Mail 🙂 – Und nun ein schönes, verlängertes Wochenende!
Update: die Einschätzung zur Verarbeitung personenbezogener Daten bei Webhosting wurde korrigiert.