DSGVO – Auftragsdatenverarbeitungs-Vertrags (ADV)


(Markus Naumann) #1

Hallo Zusammen,
irgendwie erinnert mich die ganze Unsicherheit und der Aktionismus rund um das Thema DSGVO an die Jahrtausendwende mit dem bekannte Millennium-Bug. Nichtsdestotrotz muss man natürlich versuchen, eine DSGVOkonforme Webseite hinzubekommen.

Leider ist das Topic "DSGVO und RapidWeaver geschlossen, deshalb an dieser Stelle meine Frage:

  1. Muss grundsätzlich jeder Webseiteninhaber einen Auftragsdatenverarbeitungs-Vertrag (ADV) mit seinem Provider z.B. 1und1, Strato etc. im Rahmen der DSGVO abschließen – auch wenn vielleicht nur eine Kommunikation über Mailadresse bzw. einem Kontaktformular stattfindet?

  2. Muss ich als Webdesigner ebenfalls einen solchen Vertrag mit den Providern des Webseiteninhabers abschließen?

  3. Muss ich als Webdesigner mit meinem Auftraggeber einen ADV abschließen?

Vielen Dank schon einmal für die Unterstützung.


(Michael M.) #2

Der Milleniumbug beruhte auf einer Vermutung, die DSVGO ist Realität.

Zu 1: Ja. Das geht teilweise recht einfach - eine Übersicht gibt es hier: https://www.blogmojo.de/adv-vertraege/

Zu 2: Nein, der Seitenbetreiber ist in der Pflicht, es sei denn, dein Vertrag mit dem Kunden hat das anders geregelt

Zu 3: Das kommt darauf an, ob du in irgendeiner Weise Zugriff auf personenbezogene Daten hast


(Markus Naumann) #3

Hallo Michael, vielen Dank für die schnelle Rückmeldung, die mir auf jeden Fall weiterhilft.


(Tomas Jakobs) #4

Guten Morgen,

  1. Ja, wenn Du gewerblich unterwegs bist und im Namen Deiner Kunden z.B. Zugänge zu Websites, Admin-Konsolen oder Websites hast, irgendwas auf Servern eines ISPs hochlädst, in Kontakt mit Serverlogs kommst, mit Namen oder Email Adressen von Mitarbeitern - kurz das ganz normale Business. Jeder vernünftige ISP (ich nutze z.B. Domainfactory) bietet Dir ADV Formulare an, die Du nur ausfüllen und unterschreiben brauchst. Diese kannst Du dann zusammen mit Deinem EIGENEN (!) Verfahrensverzeichnis ablegen.

  2. Kommt drauf an. Meiner bescheidenen und nicht allgemeinverbindlichen Rechtsauffassung nach: Wenn Du im Auftragsverhältnis Deines Kunden handelst dann brauchst Du mit dessen ISP kein ADV. Handelst Du hingegen auf eigene Rechnung und verkaufst die Leistungen eines ISP weiter, dann ja.

  3. Eindeutig ja!

Erlaube mir ein paar ergänzende Worte. Aus Deinem Beitrag höre ich eine gewisse Geringschätzung des Themas. Das ist schade denn gerade in jüngster Vergangenheit haben sich einige Dinge ereignet, die Dich eigentlich wachrütteln sollten. Die Datenschutzgrundverordnung ist das Beste, was uns die EU gegeben hat und hilft die Guten von den dreisten Dieben, Datenhehlern und Abzockern zu trennen. Und gerade in unserer Branche herrscht eine derartige Intransparenz. Jetzt wird endlich jeder Webdesigner abgestraft, der ohne Sinn und Verstand sich einfach irgendwoher Plugins oder Addons für seinen Baukasten zieht und damit die Websites seiner Kunden “beglückt”. Daß dabei im Hintergrund Malware und Tracker verteilt werden oder Kunden- und Besucherdaten an Dritte Datenhehler gepetzt werden, das war bisher scheißegal. Endlich wird dieses relevant! Endlich rücken Security-Tools wie Mozilla Observatory, Webbkoll oder SSL Labs in den Vordergrund.

Warum beauftragen Kunden, die von Internet in der Regel wenig Ahnung haben nochmal einen professionellen Webdesigner? Wenn Du Dich jetzt erst mit dem Thema, wenige Wochen vor Einführung beschäftigst, naja… ich würde sagen: zu spät.


(Tomas Jakobs) #5

Du hast im Grunde immer Zugriff auf personenbezogene Daten, da eine IP bereits allgemein als Datum eines “personenbezogen” Satzes betrachtet wird. Du könntest einfach einen Tracker irgendwo hinzufügen und könntest in Kenntnis von allen Zugriffen gelangen - sprich Du arbeitest auf jeden Fall in einem sicherheits- und datenschutzrelevanten Kontext Deines Kunden.


(Michael M.) #6

Der Auftragnehmer (also der Webdesigner) handelt ausschließlich nach den Weisungen des Auftraggebers (also des Kunden) (§ 11 Abs. 3 Satz 1 BDSG). Die Verantwortlichkeit für die Verarbeitung bleibt daher vollständig beim Kunden. Er ist es, der sich im Zweifel um den Vertrag zur Auftragsverarbeitung kümmern muss. Dass der Kunde i.d.R noch weniger Ahnung hat, wie du und ich, entpflichtet ihn nicht.

Allerdings hast du nach § 633 BGB ein mängelfreies Werk abzuliefern, insofern lässt sich wahrscheinlich zumindest eine Mitwirkungspflicht ableiten

Das ist teilweise richtig, soweit du Zugriff auf die Accountverwaltung oder die Trackingdaten (wobei die teilweise abgekürzt und anonymisiert sind - dann dürfte die Verpflichtung entfallen) hast. Das ist aber nicht zwingend der Fall

Disclaimer: Ich bin kein Rechtsanwalt - das ist also keine Rechtsberatung und nur eine Meinungsäusserung

Meine volle Zustimmung. Aber der der Karren steckt bereits wahrscheinlich bereits unrettbar im Dreck. Das Gesetz kommt 10 Jahre zu spät. Facebook & Co werden sich einen Kehricht um die DSVGO kümmern, Datensammeln ist deren Kerngeschäft und das werden sie nicht aufgeben. Was passieren wird, ist Kosmetik und regelmässige Zuckerberg’sche “Entschuldigungen”.

Am Ende trifft es diejenigen, die nur am Rande gemeint waren - die anderen (also wir) werden die Abmahnindustrie (die aufgrund eines eigentlich “gut gemeinten” Gesetzes entstand) allein schon aufgrund der unklaren und widersprüchlichen Gesetzeslage füttern dürfen. Das Gesetz produziert nicht Rechtssicherheit, sondern das genaue Gegenteil - rund 70 Öffnungsklauseln, länderspezifisch unterschiedliche Durchführungsbestimmungen und das Weiterbestehen länderspezifischer Datenschutzgesetze mit teilweise differierenden Vorgaben werden das Ihrige dazu beitragen

Grundsätzlich ist es sicherlich sinnvoll, spätestens jetzt eine gewerbliche Haftpflichtversicherung abzuschießen, wenn man die nicht ohnehin schon hat


(Tomas Jakobs) #7

Aber der der Karren steckt bereits wahrscheinlich bereits unrettbar im Dreck.

Nein finde ich nicht. Als kleiner Anbieter hast Du hier eindeutig mehr Chancen zu punkten. Als Softwareentwickler und IT Security Mensch kann ich Dir sagen, daß bei den Großen derzeit alles im Notmodus operiert und einige da ganz böse in Ihrer Sorglosigkeit erwischt wurden.

Das ist teilweise richtig, soweit du Zugriff auf die Accountverwaltung oder die Trackingdaten (wobei die teilweise abgekürzt und anonymisiert sind - dann dürfte die Verpflichtung entfallen) hast. Das ist aber nicht zwingend der Fall

Dein “teilweise” würde ich eher bei 99& ansetzen. Die meisten Marketingbuden nutzen Google Analytics und dort nutzt kaum jemand die Anonymsierungsfunktionen https://support.google.com/analytics/answer/2763052?hl=de

Persönlich bin ich komplett Google-frei und nutze lieber piwik/matomo.

Gewerbliche Haftpflichtversicherung

Gewerbliche Haftpflichtversicherung taugen nix. Besser ist es qualitativ sauber zu arbeiten und sich durch eine risikominimierende Firmenkonstruktion (sprich Kapitalgesellschaft) abzusichern. Hält einem nebenbei auch die Künstlersozialkasse von Website-Kunden fern.

Um den Bogen zu RapidWeaver zurück zu bekommen: Ich vermisse eine klare Kennzeichnung von Addon und Theme Autoren, woher diese Ihre Ressourcen beziehen bzw. ob Schriften, JQueries, Icons etc. lokal geladen oder quer durch das Web verlinkt werden. Das geht leider aus meiner Sicht hier unter. Es war richtig viel Arbeit meine Website DSGVO konform zu machen.


(Michael Doepke) #8

Es ist im Grunde sogar noch schlimmer.
Die verschieben einfach die bisher erhobenen Daten von Irland (aus der EU) nach USA (nicht-EU).
Betroffen davon sind ca. 1,5 Milliarden Nutzer.
Siehe z.B.


oder


(Tomas Jakobs) #9

Naja Facebook als US Unternehmen ist ein schlechtes Beispiel. Mit dem Cloud Act wissen wir ja, wo wir da stehen. Es ist mir schleierhaft, wie manche sich ex­hi­bi­ti­o­nis­tisch mit Ihrem kompletten Leben auf einer Werbeplattform geben. Und wenn ich dort nicht ein paar Gruppen zu administrieren hätte, hätte ich dort auch kein Profil. Wobei es mittlerweile auch kaum einen Unterschied macht, denn auch ohne Profil werden Schattenprofile und Daten von den ganzen Social-Media Plugins auf Webseiten gesammelt.

Die DSGVO hilft das zumindest für uns EU Bürger einzudämmen. Sogesehen sind Deine Links eigentlich ein Beleg dafür, daß diese wirkt. Daß ein Konzern, der sich ansonsten einen Dreck kümmert, plötzlich dazu getrieben wird die Daten von EU Bürgern von den übrigen zu separieren.


(Markus Naumann) #10

Hallo jakobssystem,
vielen Dank für Deine Anmerkungen und Hinweise. Das mit den “Heraushören” bewerte ich ich mal als individuelle Optimierungsmöglichkeit Deinerseits, da wäre doch noch Luft nach oben. Ich schätze die neue DSGVO von ihrer Idee und ihrem Ziel sehr wohl, von der Ausführung her halte ich sie aber für katastrophal. Alleine wenn ich Diesem kurzen Thread folge, treffen teilweise vollkommen andere Ansichten aufeinander – warum ist das so? Weil diese DSGVO eben nicht transparent und verständlich ist! Sie schürrt Unsicherheit und Angst auf allen Seiten, sowohl beim Webdesigner als auch beim Kunden.


(Tomas Jakobs) #11

Guten Morgen, Unsicherheiten und Ängste von etwas Neuem sind immer psychologisch begründet. Sobald man sich mit Datenschutz & Security auseinandersetzt - denn beides geht Hand in Hand ineinander - und die Dinge mal - ich sage salopp - mit normalen Menschenverstand betrachtet, stellst man fest, daß es so kompliziert nicht ist. Im Prinzip kannst Du alles auf folgende Maxime runterbrechen:

Datenverarbeitung von persönlichen Daten ist grundsätzlich verboten. Erst mit der Erlaubnis des Benutzers darfst Du diese überhaupt nutzen (Verbot mit Erlaubnisvorbehalt).

Ein Produkt (Website, Software, etc.) muß von Grund auf bereits im Entstehungsprozess auf Datensparsamkeit und Datenschutz ausgelegt sein Anwendern immer die maximal möglichen Einstellmöglichkeiten per Default geben. By Design and Default.

Ich führe derzeit für einen Kunden ein Security Audit durch. Dabei sind mir im “Beifang” einige IPs von offen am Internet bzw. direkt per Port-Forwarding hinter 0815-Routern betriebene Exchange-Server aufgefallen von einigen Rechtsanwälten und Steuersozietäten. Was meinst Du wie hellhörig diese wurden, als ich diese freundlich kontaktiert habe und denen höflichst auf den Umstand hingewiesen habe, daß jeder die Emails mitlesen kann. Nach einer anfänglichen, na sagen wir mal Lethargie und Achselzucken, wurden diese ganz schnell, als ich Ihnen erzählte, mit welchen internen IPs Ihre Server betrieben wurden, wohlgemerkt alles noch ohne zu “hacken” sondern mit einfachen und handelsüblichen Penetrations-Tools festgestellt. Was meinst Du wie diese plötzlich schnell wurden.

Mein Punkt ist: Im Internet herrscht ein asymmetrisches Informationsgefälle - ich bezeichne es schon als Krieg. Wer heute nicht auf Datensparsamkeit und Datenschutz achtet, der wird in wenigen Jahren keine Chance bzw. Alternativen mehr haben. Das gilt für jeden: Für den Unternehmer mit seinen Mitarbeitern, für den kleinen Selbständigen und für den Mensch in seinem Privaten.

Es beginnt immer im Kleinen: Verlinke ich ein JQuery oder Fontawesome direkt auf irgendeinem fremden S3 Server oder binde ich diese besser lokal von meinem eigenen Server ein? Schreibe ich noch zusätzlich eine CSP oder rotze ich alles einfach raus? Du hast die Chance, es gut und besser zu machen, als andere, die sich damit nicht auseinander setzen wollen oder können.


(Markus Naumann) #12

Vielen Dank nochmals für Deine Ergänzungen.


(Michael M.) #13

Nun ja, auf eine psychischen Alteration würde ich das nicht reduzieren wollen…

Es geht nicht um Angst. Natürlich wehren wir uns immer gehen Neues, besonders, wenn es so umfangreich daherkommt wie die DSVGO. Und sicher ist ein verbesserter Datenschutz nötig - nur ist dieses Machwerk in keiner Weise rechtssicher. Und das veranlasst tatsächlich zu einer berechtigten Sorge, was da kommen mag und v.a. wer diese Rechtsunsicherheit zu seinen eigenen Gunsten ausnutzen wird. Die Abmahnindustrie feiert jedenfalls gerade in großes Fest (“das ist eine Ölquelle, die wir anzapfen können”, schrieb letzt jemand in einer Massenmail an diverse Anwaltskanzleien)


(Tomas Jakobs) #14

Ich glaube wir verlieren uns in Grundsatzdiskussionen. Neue Gesetze sind per Definiton nicht “rechtssicher”, weil sich diese in de Praxis erst noch bewähren müssen. Natürlich lauern links und rechts die Opportunisten, die einem entweder FUD (Fear, Uncertainty, Doubt Bullshit) erzählen oder alles verharmlosen.

Lehn’ Dich bitte ein ein wenig zurück, nimm die Vogelperspektive ein und schaue, was aktuell jetzt oder in der nächsten Zeit in der Branche passiert. Das Thema ist auf dem Radar und das ist sehr gut und auf jeden Fall ein Fortschritt.


(Markus Naumann) #15

Hallo apfelpuree, ich möchte an dieser Stelle gerne nochmals auf Punkt 3 (Punkt 1und 2 sind klar) zu sprechen kommen. Vertragspartner mit dem Hoster ist in meinem Fall der Webseitenbetreiber. Mein Part besteht im Grunde aus der Gestaltung/Umsetzung/Aktualisierung der entsprechenden Webseite. Es kann aber durchaus vorkommen, das ich z.B. mit der Erstellung einer Mailadresse für das Unternehmen beauftragt werden – wird aber inzwischen auch schon von dort übernommen. Ich habe aber grundsätzlich keinen Zugriff auf personenbezogene Daten von Kunden des Unternehmens – das läuft eher über Drittunternehmer, die von meinem Kunden entsprechend beauftragt werden.

Müsste ich aus Deiner Sicht trotzdem in irgendeiner Form einen entsprechenden ADV abschließen und wenn ja, müsste dann nicht im zweiten Schritt das Unternehmen auf mich zukommen?

Sorry bin ein wenig verwirrt, hoffe aber, das bestimmte Regeln eher “theoretischer Natur” sind. In der Praxis können Datenschutz-Aufsichtsbehörden ja schon seit längerm eine fehlende oder unvollständige Vereinbarung mit einem empfindlichen Bußgeld belegen. Bislang haben sie allerdings von dieser Möglichkeit nur sehr zurückhaltend Gebrauch gemacht. Theoretisch müssten Webseitenbetreiber als „verantwortliche Stelle“ zudem in gewissem Umfang kontrollieren, ob Dienstleister die Vereinbarung auch einhalten. Dies ist möglicherweise ein Grund, warum auch die Dienstleister eher zögerlich mit dem Abschluss entsprechender Vereinbarungen sind.

Vielen Dank für Deine Bemühungen.


(Michael M.) #16

Die gehören bei einer grundsätzlichen Änderungen der Situation dazu und sind durchaus nötig. Entspannt zurücklehnen kann ich mich nicht, denn es besteht Handlungsbedarf, den ich abzuarbeiten habe um nicht irgendwo haftungsrechtlich in eine Falle zu tappen

Und Rechtsunsicherheit ist nicht per se Teil von Gesetzgebung, sondern im Fall der DSGVO Fege der gesetzlichen Konstruktion. Und ich fürchte, die wird bleiben


(Michael M.) #17

Wenn du Email-Konten einrichtest, hast du auch Zugriff auf personenbezogene Daten. Aber meine bescheidene Einschätzung (wie ich schon schrieb: Ich bin kein Rechtsanwalt): Der Auftraggeber muss auf dich zukommen, er ist in der Pflicht.

Was das Thema “verantwortliche Stelle” angeht: Du bist nicht die verantwortliche Stelle für den Datenschutz des Auftraggebers. Wo sie dich allenfalls “drankriegen” können, ist die Mängelfreiheit deiner Arbeit


(Blaeser) #18

Dazu ein Erlebnisbericht als Webseitenbetreiber einer Vereinshomepage (rurland-bigband.de).

Auf eine Anfrage an unseren Hoster (kleines Systemhaus) ob wir mit ihm einen ADV- oder AVV-Vertrag im Rahmen der DSGVO benötigen erhielt ich folgende schriftliche Antwort:

Zitat “… nicht das ich wüßte - Sie sind die erste Person, welche mich so etwas fragt, obgleich ich von der DSGVO weiß! Wenn Sie auf Nummer Sicher gehen wollen, fragen Sie Ihren Rechtsanwalt - die Informationen können Sie mir dann gerne mitteilen!” Zitat Ende

Mit dieser Antwort sehr unzufrieden bat ich unseren Hoster um Bestätigung, dass er als Hoster unserer Webseite nicht als Auftragsverarbeiter im Sinne der DSGVO für uns fungiert.

Seine Antwort:
Zitat: xxx.de (sein Firmenname, Anm. Verfasser) fungiert nicht - so wie ich es selbst verstehe - als Hoster Ihrer Internetpräsenz als Auftragsverarbeiter im Sinne des DSGVO.” Zitat Ende

Für mich eine schwammige, unpräzise Formulierung die deutlich macht, dass selbst “Fachleute” unzureichend informiert sind und wir als Kunde sehr verunsichert sind.

MikiB


(Markus Naumann) #19

Vielen Dank für Deine Rückmeldung. Versuche mir halt u.a. aus den Beiträgen in diesem Forum ein Informationsbild zu schaffen, mit dem ich arbeiten kann. Aus meiner jetzigen Erfahrung liegen aber die Wissenslücken doch häufig beim Webseitenbetreiber, nur kann und will ich diese aufgrund des guten Auftragsverhältnisses nicht vor die Wand laufen lassen. Natürlich sollte man schon eine grobe Checkliste mit den wichtigsten Rahmenbedingungen/Regulierungen der DSGVO etc. mit seinem Aufgabenfeld abgleichen – eine hundertprozentige Sicherheit wird man zum jetzigen Zeitpunkt nicht erreichen. Wie “jakobssystems” schon sagte, sollte man beobachten, was in nächster Zeit passiert – es bleibt spannend.

Ein wenig Sorgen bereitet mir eher Rapid Weaver mit Stacks und PlugIns, da ich hier kaum die Möglichkeit habe, zu erkennen ob aus den Stacks unbemerkt Daten abgerufen werden bzw. woher bestimmte Scripte etc. bei deren funktionalen Ausführung stammen. Ich hoffe sehr, das die Entwickler, ob aus Europa oder nicht, hier sensibilisiert sind und Möglichkeiten in die Stacks implementieren, diese softwareseitigen Codes lokal zu speichern und abzurufen. Sollte es absehbar sein, das es hier Probleme geben könnte, wäre das für mich leider ein Grund Rapid Weaver nicht mehr zu verwenden. Aber wie gesagt, beobachten wir die weitere Entwicklung …


(Jannis from inStacks Software) #20

Doch, das geht wirklich mittels Google Developer Tools rech einfach. Dort gibt es einen Sources Tab, der anzeigt, von welcher Domain aus Daten geladen werden.