Auftragsverarbeitung

Keine Angst! Dieses kompliziert aussehende Wort ist neben dem Einholen von Opt-Ins der Klassiker im E-Mail-Marketing. Der Hintergrund der Auftragsverarbeitung (kurz: AV) ist eigentlich simpel: Sie bedienen sich (nicht zwingend, aber sehr wahrscheinlich) anderer Unternehmer, um Ihr professionelles E-Mail-Marketing zu betreiben. Vielleicht beauftragen Sie eine Agentur, einen Hersteller einer Software-Lösung, einen Server Hoster oder weitere Unternehmen. Outsourcing eben. Wenn Sie das tun, geben Sie sehr wahrscheinlich dem einen oder anderen auch Empfängerlisten, oder er hat schlicht bei seiner Tätigkeit Zugriff darauf.

Wenn Sie eine solche Situation haben und keinen offensichtlichen Datenschutzverstoß begehen wollen, haben Sie zwei Möglichkeiten: Entweder Sie holen von jedem Betroffenen (also von jedem Newsletter-Abonnenten!) die Einwilligung ein, dass Sie seine Daten an Dritte weitergeben dürfen. Oder Sie schließen mit allen Ihren Externen mit Zugriff auf personenbezogene Daten eine AV-Vereinbarung ab. Es dürfte klar sein: Die erste Variante ist nicht nur kompliziert, sondern schreckt auch Anmelder ab. Es bleibt Ihnen beim Outsourcing im E-Mail-Marketing also praktisch nur die AV. Rechtlich verankert ist die AV übrigens in Art. 28 EU-DSGVO.

Was steht in einer AV-Vereinbarung?

Die DSGVO drückt es so aus:

„Die Datenschutz-Grundverordnung bietet europaweit einheitlich die Möglichkeit zur sog. Auftragsverarbeitung (ehemals in Deutschland als Auftragsdatenverarbeitung bekannt). Die Auftragsverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragsverarbeiter gemäß den Weisungen des für die Datenverarbeitung Verantwortlichen auf Grundlage eines Vertrages.“

Auf jeden Fall müssen Sie eine schriftliche Vereinbarung über AV mit dem beauftragten externen Unternehmen abschließen. In dieser Vereinbarung muss grob gesagt stehen…

• wen Sie beauftragen, und was der Auftragnehmer für Sie tut.
• auf welche Daten der Auftragnehmer anlässlich seiner Tätigkeit Zugriff hat und welche Personen(gruppen) betroffen sind.
• dass Sie als „Herr der Daten“ (juristisch: „verantwortliche Stelle“) sich das Weisungsrecht vorbehalten und der Auftragnehmer sich Ihren Weisungen unterwirft, also selbst in Bezug auf die Daten nichts entscheiden darf. Er muss sozusagen bereit sein, nur „verlängerte Werkbank“ zu spielen.
• wie er Ihre Daten schützt. Im Datenschutz spricht man von „Technischen und Organisatorischen Maßnahmen“.
• gegebenenfalls welcher Subunternehmer sich der Auftragnehmer zur Erfüllung seiner Pflichten gegenüber bedient. Mit jedem dieser Subunternehmer muss der Auftragnehmer wiederum eine AV-Vereinbarung geschlossen haben, und die sollen Sie sich vor Abschluss Ihrer AV-Vereinbarung mit ihm auch zeigen lassen.

Seriöse Service Provider haben Vertragsvorlagen für ihre Dienste. Dennoch ist es unterm Strich Ihre Verantwortung als verantwortliche Stelle, diese Daten sorgfältig zu schützen. Da Sie sich das Weisungsrecht vorbehalten müssen und der Auftragnehmer inhaltlich nichts entscheiden darf, kann er jedenfalls im ersten Schritt auch nicht dafür haften, wenn sich jemand wegen eines Datenschutzverstoßes gegen Sie wendet.

AV-Vereinbarungen können je nach Konstellation sowie Zahl und Aufgaben der Subunternehmer recht komplex werden. Daher sollten sie unbedingt von einem Rechtsanwalt vorbereitet beziehungsweise geprüft werden.

Kurz gesagt: Schließen Sie mit jedem externen Unternehmen, das auf Ihre Empfängerdaten zugreifen kann, eine Vereinbarung über Auftragsverarbeitung nach Art. 28 EU-DSGVO ab. Seriöse Anbieter bieten Ihnen auf Anfrage regelmäßig Vertragsvorlagen dafür, sodass Sie nicht „das Rad neu erfinden“ müssen.