Mit vereinten Kräften zum Auftragsverarbeitungsvertrag (AVV)

AuftragsverarbeitungsvertragRawpixel

Gastbeitrag von Elisa Sophia Foltyn von www.coolcat-creations.com über ihre Zusammenarbeit mit Dr. Ronald Kandelhard und ihren gemeinsamen Weg zum Auftragsverarbeitungsvertrag für Joomla Webdesigner:

1. Einleitung:

Die Joomla Community betreibt mehrere Chatrooms auf Basis des Collaboration-Tools „GLIP“ Hier tauschen sich alle aus, die zum Joomla! Projekt beitragen, wir diskutieren Joomla-interne Projekte aber helfen uns auch gegenseitig bei unserer alltäglichen Arbeit. Unter anderem haben wir auf GLIP einen deutschsprachigen DSGVO Chat eingerichtet, in dem wir unser Wissen miteinander teilen.

 

2. Eigener Auftragsverarbeitungsvertrag

In dem besagten DSGVO Chat, haben wir irgendwann festgestellt, dass die zu diesem Zeitpunkt verfügbaren Auftragsdatenverarbeitungsverträge (AVV) nicht zu unseren Dienstleistungen als Webdesigner und Webentwickler passen.

Daher kamen wir auf die Idee, per Crowdfunding einen solchen AVV für uns erstellen zu lassen. Ronald Kandelhard unterstützte uns dabei, und erstellte einen AVV für unsere Branche, so wie er jetzt auf www.easycontracts.de zu finden ist.

 

3. Die Anlagen zum Auftragsverarbeitungsvertrag

Der AVV war da, doch um die Anlagen zum Vertrag mussten wir uns selbst kümmern. Dabei bereitete uns die „Anlage 1“ anfangs etwas Kopfzerbrechen.

a) Ziel der Anlage 1

Bei der ersten Anlage im Rahmen der Datenschutzgrundverordnung (DSGVO) geht es darum, Klarheit darüber zu bekommen, wer in welchem Umfang Zugriff auf Daten hat.

Oftmals laufen Aufträge an Webentwickler so ab, dass Zugangsdaten zum Hosting oder zum Backend des eingesetzten CMS per E-Mail oder über andere Kommunikationswege übermittelt werden. Als Webdesigner bevorzugen wir einen vollen Zugriff auf den Kundenbereich des Hosters. Bis wir unseren Kunden erklärt haben, was ein FTP oder gar SSH Zugang ist und was wir mit einer Datenbank meinen, haben wir gerne flott selbst alles eingerichtet.

b) Zugriff auf Daten

Bisher haben wir es nicht wirklich für notwendig empfunden, den Kunden darüber aufzuklären, dass wir dann je nach Hosting-Anbieter Zugriff auf seine Daten haben. Zum einen ist das für technisch versierte Leute wie uns ja logisch und zum anderen interessieren uns die E-Mails oder Rechnungsdaten unserer Kunden nicht. Wir wollen einfach nur einen unkomplizierten Zugriff in den Verwaltungsbereich, um unser Setup vorzunehmen.

c) Aufklärung über den Datenzugriff in Anlage 1

In der Anlage 1 listen wir unseren Kunden auf, auf welche Daten wir Zugriff haben und wessen Daten in diesem Fall betroffen sind. Das ist sinnvoll, denn so kann sich niemand hintergangen fühlen, und so kann auch jeder für sich entscheiden, ob die Zugänge weiterhin aufrecht gehalten oder nach der Ausführung eines Auftrages wieder entzogen werden. Diesen Schritt nehmen wir unseren Kunden im Endeffekt ab. Denn eigentlich müsste der Kunde untersuchen und wissen auf welche Daten wir Zugriff haben und uns diese Information zur Einbindung in den AVV zur Verfügung stellen.

d) Vorgaben der DSGVO

Die DSGVO sieht in dem Fall keine besondere Form der Anlage vor, es gibt lediglich eine lockere inhaltliche Vorgabe, was in der Anlage stehen soll. Das wären die Bereiche auf die wir Zugriff haben, die Art der Daten und die betroffenen Personen.

Das macht es für uns schwer, ein solches Dokument zu verfassen. Wenn wir schon Gesetzes wegen etwas verfassen müssen wollen wir doch klare Richtlinien haben, wie etwas auszusehen hat, nicht wahr?

Also haben wir uns zusammengesetzt und versucht, das was der Staat von uns haben will, mustergültig auszuarbeiten und prompt Zustimmung von Ronald Kandelhard bekommen. Diese Ausarbeitung möchten wir als Deutsche Joomla-Community gerne mit Ihnen teilen. Seien Sie sich aber bewusst, dass dies nur ein Beispiel ist, und je nach Kunde komplett anders aussehen kann.

e) Die erforderlichen Informationen für die Anlage

Zunächst stellen wir fest, in welchem Bereich wir unserem Auftraggeber Dienstleistungen anbieten. In unserem Fall sind es „Dienstleistungen im Bereich der Administration 
von Joomla Webseiten (Sicherung, Wartung, Aktualisierung und Instandhaltung von System und Inhalten) per individuelle Beauftragung (schriftlich oder mündlich)“ manche bieten auch Reselling von Hosting an, das ist jedoch eine Ausnahme.

f) Die generell betroffenen Personen

Anschließend legen wir in Stichpunkten dar, welche Personengruppen von unserem Datenzugriff generell betroffen sind.

Dies könnten folgende sein:
  • Auftraggeber
  • Kunden und Interessenten des Auftraggebers
  • Kunden und Interessenten der Kunden des Auftraggebers
  • Mitarbeiter und Lieferanten des Auftraggebers
  • Webseitenbesucher und registrierte Webseitenbesucher

g) Die betroffenen Daten

Nun folgt eine Übersicht über die verschiedenen Bereiche und den dort betroffenen Daten und den in diesem Bereich betroffenen Personengruppen.

Beispiel-Bereiche:
  • Vertragsbereich Hosting
  • Produktadministration Hosting
  • Voller Backendzugriff des CMS (Administration)
  • Analysedaten von Statistikdiensten
  • Social Media Account (Facebook)
  • Mitarbeiterdaten des Auftraggebers
  • Kundendaten des Auftraggebers
  • Newsletter-Administration (MailChimp, Newsletter2Go,…)
  • Online-Shop (Rechnungsadressen, Versanddaten…)
  • Veranstaltungsmanagement (Angemeldete Teilnehmer)
  • Sonstiges

Die oben genannten Punkte decken zum großen Teil die Dienste ab, zu denen wir bei unseren Kunden Zugriff haben. Ausnahmen fügt jeder individuell hinzu, Nichtzutreffendes nimmt jeder für sich aus dieser Auflistung heraus. Denn wir führen nicht für jeden unserer Kunden Social Media Management durch, auch kümmern wir uns nicht bei allen Kunden um einen Google Analytics Account. Also: Wir haben in unserem Muster eine Übersicht von Daten erstellt, auf die wir möglicherweise Zugriff haben und bearbeiten diese einzelnen Bereiche kundenbezogen.

4. Beispiel: Vertragsbereich Hosting

Je nach Hosting-Anbieter sind die Punkte Vertragsbereich und Produktadministration getrennt. Eine gute Sache wie ich im übrigen finde, da uns die Rechnungsdaten etc. unserer Kunden nichts angehen. Doch manchmal brauchen wir zumindest vorübergehend Zugriff zum Vertragsbereich, um das Bestellen von Zusatzoptionen, wie zum Beispiel neue Domains oder SSL Zertifikate, zu übernehmen.

Wir müssen daran denken, dass unsere Kunden mit all der Hosting-Thematik oft völlig überfordert sind und uns einfach alles geben was wir haben wollen, ohne daran zu denken welches (Daten)vertrauen sie in uns setzen.

Die Kategorien von Daten auf die wir Zugriff haben und wer davon betroffen ist, sind je nach Kunde so unterschiedlich, dass man sich einfach selbst damit befassen muss. Am besten loggt man sich bei den verschiedenen Diensten ein und schaut: was sehe ich alles? Dann können Sie die Bereiche für sich ausfüllen.

Auch in anderen Bereichen haben wir Zugriff auf Daten: Wir sehen wer sich auf der Webseite registriert, wir haben die „Macht“ darüber User-Accounts zu löschen, haben Einsicht auf die E-Mails der angemeldeten Nutzer, sehen je nach Setup Analysedaten und Statistiken zur Webseite, bekommen die Nachrichten von Interessenten und Kunden zu sehen, die an die Facebook Fanseite gesendet werden, wissen Bescheid über die Mitarbeiter des Kunden und deren Qualifikationen u.s.w. All das sollten wir uns und unseren Kunden bewusst machen und auch hinterfragen ob das eigentlich sein muss. Je weniger Zugriff wir haben, desto weniger Datenpannen können passieren und desto weniger kommen wir in Erklärungsnot.

Unter dem Punkt „Sonstiges“ haben wir eine Art salvatorische Klausel eingefügt, denn es kann immer wieder zu irgendwelchen Situationen kommen, in denen man kurzfristig Zugriff auf Daten bekommt. Beispielsweise wenn der Kunde uns sein iPhone in die Hand drückt damit man ihm hilft, E-Mail-Accounts einzurichten. Da das nicht zu unserem Job gehört, liste ich es nicht in dem Muster auf, wir können ja nicht wegen jeder Kleinigkeit einen neuen Vertrag schließen.

Zum Schluss listen wir noch auf, welche Subunternehmer wir engagieren (zum Beispiel beim Hosting).

Sie sehen, die Inhalte der Anlage 1 sind individuell, und so können wir Ihnen keinen Rat geben, wie Sie diesen auszufüllen haben, über das angehängte Muster können wir Ihnen aber zumindest ein Gefühl vermitteln, um was es geht.

Für alles was ich oben beschrieben habe, gibt es von meinen Joomla-Kollegen Peter Martin und Sigrid Gramlinger auf der Webseite data2.eu ein fantastisches Tool, um all diese erfassten Daten zu verwalten und abzulegen.

 

5. Beispielausarbeitung:

Anlage 1 zum Auftrag gemäß Art. 28 DS-GVO:

Der Auftragsverarbeiter stellt dem Auftraggeber Dienstleistungen im Bereich der Administration von Joomla Webseiten (Sicherung, Wartung, Aktualisierung und Instandhaltung von System und Inhalten) per individuelle Beauftragung (schriftlich oder mündlich) zur Verfügung.

Im Falle von Hostingreselling: Der Auftragsverarbeiter stellt dem Auftraggeber außerdem Dienstleistungen (Domains, Webspace) als Reseller der Firma xxxx GmbH, xxxstraße x, xxxxx xxxxxxx zur Verfügung. Hostingdaten des Auftraggebers werden auf Servern der xxxxx GmbH bzw. den in Anhang 2 erwähnten Subunternehmern der xxxxx GmbH gespeichert.

Der Auftragsverarbeiter hat Zugriff auf folgende vom Auftraggeber zur Verfügung gestellten Daten.

Der Kreis der durch diese Zusatzvereinbarung Betroffenen umfasst:

  • Auftraggeber
  • Kunden und Interessenten des Auftraggebers
  • Kunden und Interessenten der Kunden des Auftraggebers
  • Mitarbeiter und Lieferanten des Auftraggebers
Vertragsbereich Hosting
Art der Daten
Kommunikationsdaten (z.B. Telefon, E-Mail), Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse), Vertragsabrechnungs- und Zahlungsdaten
Zweck der Datenerhebung
Unterstützung bei der Produktwahl, Wahl von Leistungen im Namen und Auftrag des Auftraggebers, Im Falle von Hosting als Dienstleistung: Erfüllung des Hauptauftrages
Kategorien der betroffenen Personen
Auftraggeber

Produktadministration Hosting
Art der Daten
Vorhandene Domains, E-Mail Adressen (ohne Zugriff), FTP-Accounts (ohne expliziten Zugriff), Datenbankzugänge (mit Zugriff), IP-Adressen, Protokolldaten, Statistiken
Zweck der Datenerhebung
Sicherung, Wartung, Aktualisierung und Instandhaltung von System und Inhalten, Erfüllung von Aufträgen (schriftlich oder mündlich)
Kategorien der betroffenen Personen
Auftraggeber, Mitarbeiter des Auftraggebers, Kunden und Interessenten des Auftraggebers, Kunden und Interessenten der Kunden des Auftraggebers

Voller Backendzugriff des CMS (Administration)
Art der Daten
Benutzerdaten (Namen, E-Mail Adresse, IP Adressen, gespeicherte Anfragen, sonstige Profildaten, Passwörter in verschlüsselter Form, Action Logs (Joomla 3.9), Verwaltung von Anfragen zur Löschung und Export der Daten)
Zweck der Datenerhebung
Sicherung, Wartung, Aktualisierung und Instandhaltung von System, Inhalten und Benutzerdaten, Erfüllung von Aufträgen (schriftlich oder mündlich)
Kategorien der betroffenen Personen
Auftraggeber, Mitarbeiter des Auftraggebers, Kunden und Interessenten des Auftraggebers, Kunden und Interessenten der Kunden des Auftraggebers

Analysedaten von Statistikdiensten
Art der Daten
Vollständige Analysedaten der Webseitenbesuche
Zweck der Datenerhebung
Erfüllung von Aufträgen (z.B. Evaluierung, Reporting), Nutzung der Daten als Grundlage für weitere Maßnahmen
Kategorien der betroffenen Personen
Auftraggeber, Mitarbeiter des Auftraggebers, Kunden und Interessenten des Auftraggebers, Kunden und Interessenten der Kunden des Auftraggebers

Social Media Account (Facebook)
Art der Daten
Namen, Beiträge, Nachrichten und sonstige Interaktionen der Facebook Nutzer in privaten und öffentlichen Bereichen.
Zweck der Datenerhebung
Erfüllung des Auftrages im Namen des Seitenbetreibers
Kategorien der betroffenen Personen
Auftraggeber, Mitarbeiter des Auftraggebers, Kunden und Interessenten des Auftraggebers, Kunden und Interessenten der Kunden des Auftraggebers

Mitarbeiterdaten des Auftraggebers
Art der Daten
Personenstammdaten, Kommunikationsdaten, Vertragsstammdaten (Namen, E-Mail Adressen und Qualifikationen)
Zweck der Datenerhebung
Erfüllung des Auftrages
Kategorien der betroffenen Personen
Mitarbeiter des Auftraggebers

Kundendaten des Auftraggebers
Art der Daten
Namen, E-Mail Adressen, Webseiten-Daten, Domains
Zweck der Datenerhebung
Erfüllung des Auftrages
Kategorien der betroffenen Personen
Kunden und Interessenten des Auftraggebers

Sonstiges
Der Auftragsverarbeitungsvertrag umfasst auch alle sonstige Arten der Verarbeitung im Sinne der DSGVO zur Erfüllung des Auftrags. Die Zwecke der Verarbeitung sind alle zur Erbringung der beauftragten Leistungen. Kategorien der betroffenen Personen sind abhängig von der Beauftragung.

Im Falle von Hostingreselling oder andere Subunternehmen:

Beauftragte Subunternehmer Hosting und Domainservices

Direkt beauftragt: xxxxx GmbH, xxxxx xx, xxxxx xxxxxx
Hosting Dienste werden laut AVV der xxxxxx GmbH durch
xxxxx GmbH, xxxxxstraße xxx, xxxxx xxxxxx angeboten.
Domain Services werden laut AVV der xxxxxx GmbH durch
Xxxxx xxxxxx GmbH, xxxxxstraße xxx, xxxxx xxxxxx angeboten.

Über Elisa:

Joomla

Elisa Foltryn

Elisa Foltyn ist Dipl. Kommunikationswirtin und Mediendesignerin aus Nürnberg und im Bereich Webdesign/Programmierung auf Joomla! spezialisiert. Mit ihrer Firma coolcat-creations setzt sie sowohl Print- als auch Webprojekte um. Bei Amazon erschien Ende 2017 das Buch „Joomla! 3: Professionelle Webentwicklung“, das sie zusammen mit David Jardin geschrieben hat.

1 Kommentare

  1. Pingback: Der Auftragsverarbeitungsvertrag - easyContracts

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.