TOMs im AVV Vertrag

Unterauftragsverhältnisse

Unterauftragsverhältnisse werden ebenfalls vom AVV-Vertrag geregelt. Hierbei handelt es sich um eine Situation, wenn ein externes Unternehmen mit der Datenverarbeitung im Namen einer anderen Firma beauftragt werden soll. Das ist sehr oft der Fall, wenn man spezifische Leistungen benötigt, die man nicht selbst erbringen kann. So werden zwischen den Firmen Unteraufträge abgeschlossen, um die Aufgaben der Kunden effizient zu lösen und dabei datenschutzkonform zu bleiben. Es gibt jede Menge Nuancen zu beachten, wenn man Unterauftragsverhältnisse in voller Übereinstimmung mit den DSGVO-Normen gestalten möchte.

Das Gesetz definiert die Unterauftragsverhältnisse als rechtliche Fixierung von Zusatzleistungen durch Drittanbieter, die für die Erbringung der Hauptleistung zwingend erforderlich sind. Das bedeutet z.B., dass der Dienstleister bestimmte Drittanbieter einschalten muss, um den Kunden zufriedenzustellen. Somit werden immer mindestens drei Unternehmen involviert, deren Anzahl ist aber nicht begrenzt und es können mehrere Unterauftragsverhältnisse zustande kommen, falls das für die Erbringung der Leistung notwendig sein sollte.

Mittlerweile ist es vor allem im IT-Bereich Gang und Gäbe, dass im Zuge einer Auftragserteilung mehrere Unterauftragsverhältnisse zustande kommen. Das hängt damit zusammen, dass hochspezialisierte Firmen und Services nicht alles auf eigene Faust erledigen können und im Rahmen der Projekte Daten mit diversen Schnittstellen ausgetauscht werden sollen, um den jeweiligen Aufgaben gerecht zu werden. Aber auch für andere Branchen und Aktivitäten sind Unterauftragsverhältnisse von Belang. Das alles unterstreicht noch einmal die Relevanz der möglichst genauen rechtlichen Festlegung von Unterauftragsverhältnissen in jedem spezifischen Fall.

Beim Teilen von Kundendaten mit Drittanbietern kommt es auf die absolute Datensicherheit und den ausreichenden Datenschutz an. Eine Grundlage dafür bildet der AVV-Vertrag. In diesem Sinne wird im Vertrag genau festgelegt, welche personenbezogenen Daten geteilt werden und wie sie zu verarbeiten sind. Dabei wird auch genau beschrieben, was mit diesen Daten beim Drittanbieter passiert, z.B. die Daten werden gespeichert, mutiert, migriert usw. Dabei ist es wichtig, alle möglichen Prozesse vorherzusehen und in den AVV-Vertrag mit einfließen zu lassen.

Einen wichtigen Punkt stellt ebenfalls die Kommunikation zwischen den Vertragsparteien dar und sie soll im Vertrag ebenfalls thematisiert werden. Vor allem ist es notwendig, um die Berichtspflicht der Kooperationspartner festzulegen und die Sicherheit und Integrität der personenbezogenen Daten sicherzustellen, die im Zuge der Auftragsbearbeitung geteilt werden. Am besten ist es, wenn man eine stufenweise Struktur etabliert, bei der der Kunde mit dem Auftragnehmer kommuniziert und ihm alle seine Anforderungen übermittelt, während das Unterauftragsverhältnis alleine zwischen dem Auftragnehmer und dem Unterauftragnehmer ausgehandelt wird. Das erspart Kosten, macht die Kommunikation leichter und ermöglicht eine genaue Implementierung des Datenschutzes, denn der Auftraggeber gestaltet das Unterauftragsverhältnis laut Vereinbarungen mit dem Endkunden. Es ist daher empfehlenswert und lohnend, dies im AVV-Vertrag auf jeden Fall festzuhalten.

Darüber hinaus sollte man mitbedenken, was mit personenbezogenen Daten passiert, wenn das Projekt zu Ende ist und diese Daten ohne Nutzen herumliegen. Dadurch entsteht potenziell die Gefahr, dass eine Datenpanne bei einem Drittanbieter die Sicherheit personenbezogener Daten des Kunden gefährden kann. Damit dieses Risiko ausgeschlossen wird, soll im AVV-Vertrag erwähnt werden, dass alle Daten nach dem Abschluss des Auftrages zu löschen bzw. sicher zurückzugeben sind. Durch solche Formulierungen schützt man sich selbst als Unternehmen und die personenbezogenen Daten seiner Kunden.

Gespeicherte Daten im AVV Vertrag

Auch gespeicherte Daten altern und können irgendwann einmal zum Teil oder ganz nicht mehr aktuell werden. In solchen Fällen ist eine Berichtigung angesagt. Unter Berichtigung versteht man Korrekturen bzw. Änderungen von fehlerhaften bzw. nicht mehr aktuellen Daten, die vorgenommen werden können, wenn dies notwendig ist. Sollte ein Zweifel an der Richtigkeit der gespeicherten Daten bestehen bzw. diese aus gesetzlich festgelegten Gründen nicht geändert werden können, ist von einer Einschränkung die Rede, wenn die Daten nicht mehr bearbeitet bzw. genutzt werden können. Die Löschung von Daten tritt ein, wenn diese zerstört werden und niemandem mehr zur Verfügung stehen. Alle diese Vorgänge sind miteinander verbunden und insofern für den Datenschutz wichtig, als sie zur Datenschutzkonformität beim Arbeiten mit diversen Unternehmen beitragen und die Verfügbarkeit von personenbezogenen Daten über längere Zeiträume hinweg sicherstellen.

Es sei hervorgehoben, dass alle Änderungen bzw. Berichtigungen von Daten nur auf Antrag von betroffenen Personen bzw. dem Urheber von personenbezogenen Daten erfolgen können. Dies sollte allenfalls protokolliert werden. Das betrifft auch die Berichtigung von Daten selbst, um die Transparenz und Nachverfolgbarkeit von Änderungen nachhaltig sicherstellen zu können. Auch die Löschung von Daten bedarf eines schriftlichen Antrages der Betroffenen, um korrekt und datenschutzkonform abgewickelt zu werden. Diese Manipulationen können in bestimmten Fällen nicht ausgeführt werden, wenn dies von der jeweiligen aktuellen Gesetzgebung so vorgesehen ist. Dies ist z.B. der Fall, wenn man kein Recht darauf hat, personenbezogene Daten zu löschen, falls diese Aktion die Rechte der Betroffenen verletzen würde.

Um datenschutzkonform zu agieren, müssen die Berichtigung, Einschränkung und Löschung von personenbezogenen Daten im AVV-Vertrag ausführlich beschrieben werden. So werden potenzielle Gefahren bei einer Datenpanne bzw. einem Datenverlust ausgeschlossen. Im Vertrag ist auf alle Fälle festzuhalten, dass fehlerhafte bzw. nicht der Wahrheit entsprechende Daten zu berichtigen sind, sollte ein entsprechender Antrag eingebracht sein. In diesem Fall sollen die Betroffenen über die gemachten Berichtigungen ebenfalls informiert werden. Die Pflicht, über die gemachten Änderungen zu berichten, muss dabei ebenfalls in den AVV-Vertrag mit einfließen, damit die Konformität mit den aktuellen Datenschutzbestimmungen gewährleistet werden kann.

Auch die Einschränkung von Daten und deren Bedingungen gehört ebenfalls in den AVV-Vertrag. Dabei sollen unbedingt alle Fälle erwähnt werden, die im Gesetz aktuell vorgesehen sind. Das wird es ermöglichen, sich vor allen möglichen datenschutzbezogenen Problemen zu schützen. Sehr oft werden in solchen Fällen elektronische Systeme gebraucht, in denen einzelne Datensätze leicht eingeschränkt werden können. Dabei ist es von besonderer Bedeutung, dass eine eindeutige Kennzeichnung von solchen Sätzen gegeben ist, denn das ist in Bezug auf die geltende Rechtslage ausschlaggebend, wenn es um den Datenschutz geht.

Was die Löschung angeht, sollen die Fälle festgelegt werden, wann dies möglich ist und wann nicht. Z.B. eine Löschung von personenbezogenen Daten wäre in diesem Sinne nach der Beendigung eines Projekts korrekt. Auch die Löschung kann unter anderem auf Anfrage der betroffenen Personen eingeleitet werden, deren personenbezogene Daten bei einem Unternehmen gespeichert sind. Alle diese Aspekte sind relevant für den AVV-Vertrag. Darüber hinaus ist nicht zu vergessen, die jeweiligen Verantwortungsbereiche der einzelnen Vertragsparteien genau zu definieren. Das schafft klare Strukturen und eine bessere Kommunikation bei allen datenschutzbezogenen Fragen.

Cookies: Gespeicherte Daten in der Praxis

Cookies sind kleine, aber sehr wichtige Textdateien, die bei jedem Besuch einer Website generiert werden. Diese werden entweder nach der Beendigung einer jeden Sitzung gelöscht oder bleiben auf dem Rechner der Betroffenen gespeichert, um später wieder aufgerufen zu werden. Cookies dienen dazu, es den Webseiten zu erleichtern, ihre Benutzer wiederzuerkennen und sich an die individuellen Bedürfnisse eines jeden Internetnutzers anzupassen. So essentiell sie für alle Geschäfte im Internet sind, bergen sie für Unternehmen jede Menge Gefahren, die mit dem Datenschutz zu tun haben. Das liegt vor allem daran, dass Cookies zahlreiche personenbezogene Informationen sammeln, die ohne eine ausdrückliche Einwilligung der Benutzer nicht verarbeitet werden können. Sollten Cookies von einem Drittanbieter verarbeitet werden (was eigentlich fast immer der Fall ist), empfiehlt sich dringend der Abschluss eines AVV-Vertrages. Dadurch lässt sich die Haftung begrenzen und alle wichtigen Aspekte des Datenschutzes werden im Vertrag schriftlich fixiert. Dadurch haben die online Unternehmen mehr Sicherheiten, dass sie datenschutzkonform agieren und keine Probleme bekommen.

Die Einwilligung in die Verarbeitung eigener Daten steht dabei im Vordergrund, was die datenschutzkonforme Nutzung von Cookies anbelangt. In erster Linie soll im AVV-Vertrag fixiert werden, dass die Einwilligung ausdrücklich zu erfolgen hat, d.h. es kann nicht angenommen werden, dass die Kunden Cookie-Richtlinien akzeptieren, ohne sich mit ihnen vorher vertraut gemacht zu haben. Es ist festzuhalten, dass eine Einwilligung immer freiwillig erfolgt und an einen bestimmten Verarbeitungszweck gebunden ist. Dieser soll sowohl im AVV-Vertrag als auch in der Cookie-Richtlinie im Klartext genannt werden. Dadurch kann man sich effektiv absichern, indem alle Aspekte der Sammlung und Auswertung von personenbezogenen Daten möglichst transparent und sicher bleiben.

Damit diese Sicherheit auch auf der technischen Ebene gewährleistet werden kann, wird Verschlüsselung angewendet. Das bedeutet, das alle Daten nicht in ihrer lesbaren Form übertragen werden, sondern einen Verschlüsselungsprozess durchlaufen. Ohne einen dazugehörigen Schlüssel wird es dabei unmöglich sein, einen Zugriff auf die verschlüsselten personenbezogenen Daten zu bekommen. Eine Verschlüsselung ist eine datenschutzkonforme und effektive Maßnahme, die alle möglichen Arten von Datenpannen auf ein Minimum reduziert und es möglich macht, ohne größeren Aufwand datenschutzkonform zu arbeiten. Gerade deswegen soll eine Regelung der Verschlüsselung von personenbezogenen Daten in den AVV-Vertrag unbedingt übernommen werden. Es soll festgehalten werden, dass eine Verschlüsselung obligatorisch ist und welche Art von Verschlüsselung jeweils angewendet werden soll, um die Sicherheit aller Daten langfristig zu garantieren.

Des Öfteren werden die personenbezogenen Daten dabei in diversen Datenbanken aufbewahrt, welche sehr bequem sind, um diese zu verarbeiten und zu analysieren. Dynamische Datenbanken spielen in modernen Geschäftsabläufen eine eminent wichtige Rolle. Mit der Entwicklung von Internet- und Cloud-Technologien gewannen die Datenbanken immer mehr an Bedeutung. Zugleich soll allerdings nicht vergessen werden, dass dadurch auch datenschutzbezogene Risiken und Gefahren um ein Vielfaches gestiegen sind. Nicht nur Hackerangriffe und Viren, sondern auch unbefugte Zugriffe und Systemüberlastungen gehören zu den möglichen Ursachen der Datenpannen, welche durch eine ausreichende rechtliche Absicherung im AVV-Vertrag möglichst eliminiert werden sollen.

Eine sichere Speicherung von Daten in Datenbanken gehört zu den Hauptprinzipien des Datenschutzes. Vertraulichkeit, Integrität und Verfügbarkeit sind dabei unerlässlich, um die dauerhafte Speicherung von Daten und ihre Stabilität im Laufe der Zeit gewährleisten zu können. Vor allem sind die Datenbanken deswegen zu schützen, weil ohne die erforderlichen Maßnahmen ihre Inhalte unter Umständen irreversibel verloren gehen können oder von Dritten missbraucht werden. So wird dagegen mit Stärkung der internen Sicherheit, aber auch mit technischen Maßnahmen vorgegangen. In erster Linie soll in einem AVV-Vertrag ein Artikel über die Datensicherung enthalten sein, welcher die Verfügbarkeit der gesammelten personenbezogenen Daten dauerhaft sicherstellen soll. Dies ist vor allem mit regelmäßigen Backups möglich, die oft genug durchgeführt werden sollen, damit alle Daten zu jeder Zeit gesichert werden.

Zur weiteren Sicherheit von Datenbanken werden zusätzliche Datenbankverschlüsselungsmethoden angewendet, die das höchste Sicherheitsniveau versprechen. Auch diese sollten in einem AVV-Vertrag unbedingt eine Erwähnung finden, denn dadurch wird sichergestellt, dass die Datenbank auf lange Sicht keinen Bedrohungen ausgesetzt wird. Die am meisten gebrauchten Methoden sind unter anderem Transparent Data Encryption (TDE), Verschlüsselungsproxy und Datenverschlüsselung durch eine externe App. Alle diese Methoden haben es gemeinsam, dass sie auf aktuellen technischen Errungenschaften im Bereich der Kryptografie basieren und ein hohes Niveau des Datenschutzes bieten. Im AVV-Vertrag ist dabei festzuschreiben, welche Methode angewendet werden soll, damit es für alle Parteien verbindlich und transparent ist.

Eine Verschlüsselung basiert immer auf bestimmten Standards, die heutzutage das höchste Sicherheitsniveau bieten. Typische Verschlüsselungsstandards sind unter anderem AES- und RSA-Verschlüsselung, die von Behörden, Banken und anderen öffentlichen Einrichtungen gebraucht werden, um den besten Schutz der personenbezogenen Daten zu ermöglichen. Weitere gängige Standards sind DES und AES, was bedeutet Data Encryption Standard und Advanced Encryption Standard. Diese sind aktuell weit verbreitet und eignen sich besonders gut dafür, um Datenbanken zu verschlüsseln und vor Angriffen Dritter zu schützen. Diese Standards sehen einen sehr aufwendigen und komplizierten Prozess der Verschlüsselung vor, sodass die Daten zu jeder Zeit sicher gespeichert werden. Vor diesem Hintergrund soll in einem AVV-Vertrag vereinbart werden, mit welchen Standards die Verschlüsselung einer jeden Datenbank tatsächlich realisiert wird.

Server-Sicherheit spielt dabei auch eine große Rolle. Alle Webseiten und Datenbanken befinden sich auf bestimmten Servern, sodass die letzten vor allen möglichen Angriffen erfolgreich geschützt werden sollen. Es ist in einem AVV-Vertrag unbedingt vorzusehen, dass für die Datenverarbeitung ausschließlich sichere Server zum Einsatz kommen dürfen. Diese verfügen nämlich über gewisse Schutz- und Verschlüsselungsmechanismen, sodass auf ihnen alle Datenpannen ausgeschlossen werden. Dabei ist es gerade nicht unwichtig, in welchem Land sich das jeweilige Server befindet. In diesem Sinne ist es empfehlenswert, im Vertrag festzumachen, dass die Server entweder in Deutschland oder in jedem anderen EU-Land sein sollen. Denn erst dann genießt man den vollen Schutz durch die DSGVO.

Man unterscheidet dabei zwischen diversen Servertypen, darunter Webserver für Webseiten, Fileserver zur Übertragung von Dateien, Mailserver für die Einrichtung von Korrespondenz per E-Mail, Datenbankserver, Proxyserver als Kommunikationsschnittstelle und DNS-Server, die eine Web-Adresse in die IP-Adresse konvertieren. Wie man sehen kann, erfüllen alle Servertypen diverse Funktionen und werden entsprechend klassifiziert. In Bezug auf den AVV-Vertrag sollen die einzelnen Server und Servertypen, die jeweils zum Einsatz kommen, genau spezifiziert werden. Sie alle erfordern auch unterschiedliche Schutzmechanismen. Diese sollen dann je nach Vorgaben der Kunden gewählt und im Vertrag schriftlich definiert werden.

Ende der Leistungserbringung

Nachdem ein Auftrag erfolgreich ausgeführt wurde, ist es an der Zeit, an die letzten Schritte zu denken, um die Geschäftsbeziehung und somit den AVV-Vertrag regelrecht zu beendigen. Hierbei gibt es auch etliche Punkte zu beachten, die in Bezug auf den Datenschutz besonders viel Aufmerksamkeit erfordern. So soll es im AVV-Vertrag unbedingt festgehalten werden, was mit personenbezogenen Daten passiert, wenn diese für die Erbringung einer Leistung nicht mehr notwendig sind. Dabei gibt es kein allgemeingültiges Vorgehen für alle und es hängt sehr stark davon ab, ob eine rechtliche Verpflichtung zur weiteren Aufbewahrung von diesen Daten besteht oder ob individuelle Vereinbarungen anderer Art getroffen werden können.

Sollte es gesetzlich nicht möglich sein, alle Daten nach der Auftragsbearbeitung zu löschen, so müssen diese weiterhin sicher aufbewahrt werden. Wenn auch die Geschäftsbeziehung zu Ende ist, bleiben alle Datenschutzbestimmungen weiterhin in Kraft und alle personenbezogenen Daten müssen immer sicher aufbewahrt werden. Dies erhöht das Risiko, dass diese Daten im Zuge einer Panne an Dritte gelangen, weswegen man sich für diese Option nur entscheiden sollte, wenn diese Daten zwingend aufbewahrt werden müssen. Andernfalls ist eine Löschung oder eine Rückgabe personenbezogener Daten die richtige Lösung, um datenschutzkonform zu agieren und sich vor möglichen Problemen zu schützen. Dadurch gibt es auch potenziell keine Möglichkeit, dass diese Daten gestohlen werden können.

Unter Löschung wird unter anderem das Recht der Betroffenen verstanden, vergessen zu werden. Das bedeutet, dass alle Daten, die vorher zur Auftragsverarbeitung notwendig waren, zerstört bzw. vernichtet werden, sodass sie nicht mehr zur Verfügung stehen und nicht mehr wiederhergestellt werden können. Dies kann im AVV-Vertrag als Bedingung für die Beendigung einer Geschäftsbeziehung vorgesehen werden, wenn man sicherstellen will, dass die betroffenen Personen durch potenzielle Datenschutzprobleme nicht gefährdet werden. Dabei sind auch Verantwortliche zu bestimmen, die die Löschung in vorgesehener Frist korrekt durchführen und die Betroffenen darüber informieren. Dies soll jedenfalls genau protokolliert werden, um datenschutzkonform zu bleiben und mögliche Risiken auf ein Minimum zu reduzieren.

Eine andere Option ist auch die Rückgabe von personenbezogenen Daten an das Unternehmen bzw. die Personen, die sie mit dem Verarbeiter teilten. Dabei soll im Vertrag genau festgelegt werden, wie die Rückgabe konkret stattfindet, welche Medien dafür gebraucht werden und wer für die korrekte Rückgabe verantwortlich ist. In diesem Fall gehen die Daten an die Stelle zurück, die sie im Zuge der Auftragsverarbeitung geteilt hat. In diesem Fall trägt der Datenverarbeiter keine Verantwortung mehr für die Datensicherheit, nachdem die Daten zurückgegeben wurden. Auch diese Aktion soll genauestens protokolliert werden, damit man alle datenschutzrelevanten Aspekte der Datenverarbeitung und -aufbewahrung genügend respektiert.

Durch eine genaue Definition aller Aspekte zur Beendigung des Auftragsverhältnisses im AVV-Vertrag kann man sich gegen alle unvorhergesehenen Ereignisse absichern, wenn es zu Problemen kommt. Die Löschung und Rückgabe von personenbezogenen Daten sind dabei die besten Wege, um einen Auftrag datenschutzkonform und erfolgreich zu beenden. Dadurch werden alle möglichen Komplikationen bei der Aufbewahrung von personenbezogenen Daten eliminiert, sodass man sich sicher sein kann, dass keine Regelungen der Datenschutzgrundverordnung verletzt wurden. Die Einbeziehung dieser Punkte in den AVV-Vertrag macht die Zusammenarbeit sicherer, besser und transparenter.