Mit vereinten Kräften zum Auftragsverarbeitungsvertrag (AVV)

In dem besagten DSGVO Chat, haben wir irgendwann festgestellt, dass die zu diesem Zeitpunkt verfügbaren Auftragsdatenverarbeitungsverträge (AVV) nicht zu unseren Dienstleistungen als Webdesigner und Webentwickler passen.

Der AVV war da, doch um die Anlagen zum Vertrag mussten wir uns selbst kümmern. Dabei bereitete uns die „Anlage 1“ anfangs etwas Kopfzerbrechen.

Bei der ersten Anlage im Rahmen der Datenschutzgrundverordnung (DSGVO) geht es darum, Klarheit darüber zu bekommen, wer in welchem Umfang Zugriff auf Daten hat.

Oftmals laufen Aufträge an Webentwickler so ab, dass Zugangsdaten zum Hosting oder zum Backend des eingesetzten CMS per E-Mail oder über andere Kommunikationswege übermittelt werden. Als Webdesigner bevorzugen wir einen vollen Zugriff auf den Kundenbereich des Hosters. Bis wir unseren Kunden erklärt haben, was ein FTP oder gar SSH Zugang ist und was wir mit einer Datenbank meinen, haben wir gerne flott selbst alles eingerichtet.

Bisher haben wir es nicht wirklich für notwendig empfunden, den Kunden darüber aufzuklären, dass wir dann je nach Hosting-Anbieter Zugriff auf seine Daten haben. Zum einen ist das für technisch versierte Leute wie uns ja logisch und zum anderen interessieren uns die E-Mails oder Rechnungsdaten unserer Kunden nicht. Wir wollen einfach nur einen unkomplizierten Zugriff in den Verwaltungsbereich, um unser Setup vorzunehmen.

In der Anlage 1 listen wir unseren Kunden auf, auf welche Daten wir Zugriff haben und wessen Daten in diesem Fall betroffen sind. Das ist sinnvoll, denn so kann sich niemand hintergangen fühlen, und so kann auch jeder für sich entscheiden, ob die Zugänge weiterhin aufrecht gehalten oder nach der Ausführung eines Auftrages wieder entzogen werden. Diesen Schritt nehmen wir unseren Kunden im Endeffekt ab. Denn eigentlich müsste der Kunde untersuchen und wissen auf welche Daten wir Zugriff haben und uns diese Information zur Einbindung in den AVV zur Verfügung stellen.

Die DSGVO sieht in dem Fall keine besondere Form der Anlage vor, es gibt lediglich eine lockere inhaltliche Vorgabe, was in der Anlage stehen soll. Das wären die Bereiche auf die wir Zugriff haben, die Art der Daten und die betroffenen Personen.

Das macht es für uns schwer, ein solches Dokument zu verfassen. Wenn wir schon Gesetzes wegen etwas verfassen müssen wollen wir doch klare Richtlinien haben, wie etwas auszusehen hat, nicht wahr?

Also haben wir uns zusammengesetzt und versucht, das was der Staat von uns haben will, mustergültig auszuarbeiten und prompt Zustimmung von Ronald Kandelhard bekommen. Diese Ausarbeitung möchten wir als Deutsche Joomla-Community gerne mit Ihnen teilen. Seien Sie sich aber bewusst, dass dies nur ein Beispiel ist, und je nach Kunde komplett anders aussehen kann.

Anschließend legen wir in Stichpunkten dar, welche Personengruppen von unserem Datenzugriff generell betroffen sind.

Nun folgt eine Übersicht über die verschiedenen Bereiche und den dort betroffenen Daten und den in diesem Bereich betroffenen Personengruppen.

Die oben genannten Punkte decken zum großen Teil die Dienste ab, zu denen wir bei unseren Kunden Zugriff haben. Ausnahmen fügt jeder individuell hinzu, Nichtzutreffendes nimmt jeder für sich aus dieser Auflistung heraus. Denn wir führen nicht für jeden unserer Kunden Social Media Management durch, auch kümmern wir uns nicht bei allen Kunden um einen Google Analytics Account. Also: Wir haben in unserem Muster eine Übersicht von Daten erstellt, auf die wir möglicherweise Zugriff haben und bearbeiten diese einzelnen Bereiche kundenbezogen.

Je nach Hosting-Anbieter sind die Punkte Vertragsbereich und Produktadministration getrennt. Eine gute Sache wie ich im übrigen finde, da uns die Rechnungsdaten etc. unserer Kunden nichts angehen. Doch manchmal brauchen wir zumindest vorübergehend Zugriff zum Vertragsbereich, um das Bestellen von Zusatzoptionen, wie zum Beispiel neue Domains oder SSL Zertifikate, zu übernehmen.

Wir müssen daran denken, dass unsere Kunden mit all der Hosting-Thematik oft völlig überfordert sind und uns einfach alles geben was wir haben wollen, ohne daran zu denken welches (Daten)vertrauen sie in uns setzen.

Die Kategorien von Daten auf die wir Zugriff haben und wer davon betroffen ist, sind je nach Kunde so unterschiedlich, dass man sich einfach selbst damit befassen muss. Am besten loggt man sich bei den verschiedenen Diensten ein und schaut: was sehe ich alles? Dann können Sie die Bereiche für sich ausfüllen.

Auch in anderen Bereichen haben wir Zugriff auf Daten: Wir sehen wer sich auf der Webseite registriert, wir haben die „Macht“ darüber User-Accounts zu löschen, haben Einsicht auf die E-Mails der angemeldeten Nutzer, sehen je nach Setup Analysedaten und Statistiken zur Webseite, bekommen die Nachrichten von Interessenten und Kunden zu sehen, die an die Facebook Fanseite gesendet werden, wissen Bescheid über die Mitarbeiter des Kunden und deren Qualifikationen u.s.w. All das sollten wir uns und unseren Kunden bewusst machen und auch hinterfragen ob das eigentlich sein muss. Je weniger Zugriff wir haben, desto weniger Datenpannen können passieren und desto weniger kommen wir in Erklärungsnot.

Unter dem Punkt „Sonstiges“ haben wir eine Art salvatorische Klausel eingefügt, denn es kann immer wieder zu irgendwelchen Situationen kommen, in denen man kurzfristig Zugriff auf Daten bekommt. Beispielsweise wenn der Kunde uns sein iPhone in die Hand drückt damit man ihm hilft, E-Mail-Accounts einzurichten. Da das nicht zu unserem Job gehört, liste ich es nicht in dem Muster auf, wir können ja nicht wegen jeder Kleinigkeit einen neuen Vertrag schließen.

Zum Schluss listen wir noch auf, welche Subunternehmer wir engagieren (zum Beispiel beim Hosting).

Sie sehen, die Inhalte der Anlage 1 sind individuell, und so können wir Ihnen keinen Rat geben, wie Sie diesen auszufüllen haben, über das angehängte Muster können wir Ihnen aber zumindest ein Gefühl vermitteln, um was es geht.