Auftragsverarbeitung
Keine Angst! Dieses kompliziert aussehende Wort ist neben dem Einholen von Opt-Ins der Klassiker im E-Mail-Marketing. Der Hintergrund der Auftragsverarbeitung (kurz: AV) ist eigentlich simpel: Du bedienst Dich (nicht zwingend, aber sehr wahrscheinlich) anderer Unternehmer, um Dein professionelles E-Mail-Marketing zu betreiben. Vielleicht beauftragst Du eine Agentur, einen Hersteller einer Software-Lösung, einen Server-Hoster oder weitere Unternehmen. Outsourcing eben. Wenn Du das tust, gibst Du sehr wahrscheinlich dem einen oder anderen auch Empfängerlisten, oder er hat schlicht bei seiner Tätigkeit Zugriff darauf.
Wenn Du eine solche Situation hast und keinen offensichtlichen Datenschutzverstoß begehen willst, hast Du zwei Möglichkeiten: Entweder Du holst von jedem Betroffenen (also von jedem Newsletter-Abonnenten!) die Einwilligung ein, dass Du seine Daten an Dritte weitergeben darfst. Oder Du schließt mit allen Deinen Externen mit Zugriff auf personenbezogene Daten eine AV-Vereinbarung ab. Es dürfte klar sein: Die erste Variante ist nicht nur kompliziert, sondern schreckt auch Anmelder ab. Es bleibt Dir beim Outsourcing im E-Mail-Marketing also praktisch nur die AV. Rechtlich verankert ist die AV übrigens in Art. 28 EU-DSGVO.
Was steht in einer AV-Vereinbarung?
Die DSGVO drückt es so aus:
„Die Datenschutz-Grundverordnung bietet europaweit einheitlich die Möglichkeit zur sog. Auftragsverarbeitung (ehemals in Deutschland als Auftragsdatenverarbeitung bekannt). Die Auftragsverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragsverarbeiter gemäß den Weisungen des für die Datenverarbeitung Verantwortlichen auf Grundlage eines Vertrages.“
Auf jeden Fall musst Du eine schriftliche Vereinbarung über AV mit dem beauftragten externen Unternehmen abschließen. In dieser Vereinbarung muss grob gesagt stehen…
- wen Du beauftragst und was der Auftragnehmer für Dich tut.
- auf welche Daten der Auftragnehmer anlässlich seiner Tätigkeit Zugriff hat und welche Personen(gruppen) betroffen sind.
- dass Du als „Herr der Daten“ (juristisch: „verantwortliche Stelle“) Dir das Weisungsrecht vorbehältst und der Auftragnehmer sich Deinen Weisungen unterwirft, also selbst in Bezug auf die Daten nichts entscheiden darf. Er muss sozusagen bereit sein, nur „verlängerte Werkbank“ zu spielen.
- wie er Deine Daten schützt. Im Datenschutz spricht man von „Technischen und Organisatorischen Maßnahmen“.
- gegebenenfalls welcher Subunternehmer sich der Auftragnehmer zur Erfüllung seiner Pflichten gegenüber bedient. Mit jedem dieser Subunternehmer muss der Auftragnehmer wiederum eine AV-Vereinbarung geschlossen haben, und die sollest Du Dir vor Abschluss Deiner AV-Vereinbarung mit ihm auch zeigen lassen.
Seriöse Service Provider haben Vertragsvorlagen für ihre Dienste. Dennoch ist es unterm Strich Deine Verantwortung als verantwortliche Stelle, diese Daten sorgfältig zu schützen. Da Du Dir das Weisungsrecht vorbehalten musst und der Auftragnehmer inhaltlich nichts entscheiden darf, kann er jedenfalls im ersten Schritt auch nicht dafür haften, wenn sich jemand wegen eines Datenschutzverstoßes gegen Dich wendet.
AV-Vereinbarungen können je nach Konstellation sowie Zahl und Aufgaben der Subunternehmer recht komplex werden. Daher sollten sie unbedingt von einem Rechtsanwalt vorbereitet beziehungsweise geprüft werden.
Kurz gesagt: Schließe mit jedem externen Unternehmen, das auf Deine Empfängerdaten zugreifen kann, eine Vereinbarung über Auftragsverarbeitung nach Art. 28 EU-DSGVO ab. Seriöse Anbieter bieten Dir auf Anfrage regelmäßig Vertragsvorlagen dafür, sodass Du nicht „das Rad neu erfinden“ musst.
Inxmail Newsletter
Du möchtest spannende Insights und wertvolle Tipps rund um E-Mail-Marketing? Dann melde Dich für unseren Newsletter an!
Jetzt anmeldenInxmail Blog
Im Inxmail Blog erfährst Du Wissenswertes und Aktuelles aus der Welt des E-Mail-Marketings.
Zum Blog