Datenschutz: Datenverarbeitung im Auftrag (Teil 4)

Erfahren Sie im Tipp 4 die Einzelheiten über „Datenverarbeitung im Auftrag“ in und außerhalb der EU . Der 4. Tipp informiert über die damit verbundenen rechtlichen Anforderungen und gibt konkrete Handlungsempfehlungen.

Tipp 4: Datenschutzerklärungen von Dienstleistern prüfen
Viele Unternehmen übermitteln Daten an Dritte, die für sie tätig sind oder Dienste erbringen – beispielsweise an Betreiber von Web-Analyse Systemen. Werden personenbezogene Daten von Dritten verarbeitet, bedeutet dies nach deutschem Recht eine „Datenverarbeitung im Auftrag“.

Nach §11 Bundesdatenschutzgesetz bleibt der Auftraggeber in diesem Fall für die ordnungsgemäße Datenverarbeitung verantwortlich. Übermittelt ein Unternehmen also Daten etwa an einen Web-Analyse Anbieter und hat dafür keine ausdrückliche Zustimmung der Nutzer, haftet es für daraus entstehende Probleme und den Missbrauch durch Dritte. Verwendet der Web-Analyse Dienstleister beispielsweise die ihm zur Verarbeitung vorliegenden Daten in personenbezogener Form für weitere Zwecke – etwa für die Bildung von personalisierten Interessensprofilen – oder gibt er personenbezogene Daten an Dritte weiter, wie dies bei kostenlosen Web-Analyse Diensten oft der Fall ist, ist nach geltendem Recht eine ausdrückliche Einwilligung des Betroffenen in Opt-In-Form vor der Datenerhebung erforderlich (§§ 12 Abs. 1 und 2, 13 Abs. 2 Telemediengesetz). Für Zuwiderhandlungen ist derjenige verantwortlich, auf dessen Internetseite(n) die Daten erhoben wurden. Unternehmen können sich nicht darauf berufen, dass sie in die technischen Abläufe ihres Dienstleisters keine Einsicht hatten.

Konkrete Handlungsempfehlung:
Analysieren Sie Ihre Datenverwendung genau. Sehen Sie sich die Vertrags- und Datenschutzerklärungen Ihrer Dienstleister im Detail an und bestehen Sie auf Klarheit. Lassen Sie sich von Ihren Analyse-Anbietern und Dienstleistern schriftlich mitteilen, wozu sie die auf Ihrer Internetseite erhobenen Daten verwenden, wenn eine solche Information nicht klar und verständlich bereitgestellt wird. Bleiben Sie hartnäckig, wenn Dritte Ihnen keine klare und vollständige Auskunft geben wollen und verzichten Sie im Zweifelsfall auf die Beauftragung.

Erfolgt die Datenverarbeitung durch Dritte außerhalb der EU, müssen Sie sich auf jeden Fall die Einhaltung des deutschen Rechts bei der Datenverarbeitung bestätigen lassen. Lassen Sie sich auch hier keineswegs durch ausweichende Antworten abwimmeln.

Um Auftragsdatenverarbeiter zu testen, lassen Sie sich den Inhalt der Verpflichtung zum Datengeheimnis, die diese für ihre Mitarbeiter verwenden, mitteilen und bestätigen, dass alle Mitarbeiter, die an der Auftragsdatenverarbeitung beteiligt sind, dementsprechend verpflichtet wurden. Sie sollten sich darüber hinaus vom Dienstleister auch sein Datenschutzkonzept vorlegen lassen.

Verlassen Sie sich nicht allein auf Prüfsiegel, mit denen etwa Web-Analyse Anbieter werben. Denn viele privatwirtschaftliche Prüfunternehmen untersuchen die Einhaltung der Datenschutzgesetze gar nicht. Häufig werden nur die Website und die Usability untersucht, nicht aber, ob die Anbieter interne Prozesse gemäß den deutschen rechtlichen Anforderungen etabliert haben und ihre Web-Analytics Lösung 100 Prozent datenschutzkonform ist. Achten Sie deswegen unbedingt darauf, ob ein Web-Analyse Anbieter von einer offiziellen Behörde geprüft wurde. Nur diese garantiert maximale Sicherheit.