1. Home
  2. dogado
  3. Rechnungen & Verträge
  4. DSGVO & Auftragsdatenverarbeitung
  5. Fragen und Antworten zum AV Vertrag, Datenschutz und DSGVO

Fragen und Antworten zum AV Vertrag, Datenschutz und DSGVO

Hier finden Sie alle Fragen und Antworten die uns regelmäßig zum Thema AV Vertrag, Datenschutz und DSGVO erreichen.

Wichtiger Hinweis: Grundsätzlich sind Sie als Betreiber einer Webseite selbst in der Verantwortung, die Grundsätze der DSGVO bei der Erhebung und Verarbeitung der personenbezogenen Daten zu beachten. Unsere Hinweise sind an dieser Stelle kein Ersatz für eine Rechtsberatung. Wir empfehlen Ihnen sich von einem Anwalt oder Datenschutzbeauftragten beraten zu lassen.

Wenn Sie einen Vertrag zur Auftragsverarbeitung mit uns abschließen möchten, stellen wir Ihnen diesen Vertrag gerne kostenfrei zur Verfügung. Weitere Informationen zum Abschluss des Vertrags zur Auftragsverarbeitung finden Sie hier.

Die häufigsten Fragen beantworten wir Ihnen hier. Sollten Sie darüber hinaus Fragen haben, erreichen Sie unseren Datenschutzbeauftragen per E-Mail unter avv@dogado.de. Bitte haben Sie Verständnis dafür, dass wir keine Rechtsberatung anbieten können.

Eine kurze Übersicht zur DSGVO

DSGVO steht für die Datenschutzgrundverordnung. Die DSGVO ist am 24. Mai 2016 mit einer Übergangsfrist von 2 Jahren in Kraft getreten. Seit dem 25. Mai 2018 ist die Übergangsfrist ausgelaufen. Das Ziel der DSGVO ist es, die Privatsphäre zu stärken und mehr Kontrolle über persönliche Daten zu gewährleisten. Der Nutzer soll selbst aktiv entscheiden können, welche Daten er herausgibt und welche nicht. Darüber hinaus soll der Nutzer mehr Transparenz darüber haben, was mit den Daten geschieht.

Für wen gilt die DSGVO?

Die DSGVO gilt für alle Unternehmen und Gewerbetreibende mit Sitz oder Niederlassung in der europäischen Union, die personenbezogene Daten verarbeiten. Das trifft auch auf nahezu alle Webseitenbetreiber zu, insbesondere bei der Nutzung von z.B. Kontaktformularen, Google Analytics, Facebook Pixel, Newsletter, etc. Die DSGVO gilt nicht für natürliche Personen, die ausschließlich persönliche oder familiäre Tätigkeiten ausüben.

Wer schließt einen Vertrag zur Auftragsverarbeitung ab?

Einen Vertrag zur Auftragsverarbeitung muss abschließen, wer personenbezogene Daten im Auftrag verarbeiten lässt. Dies ist z.B. der Fall, wenn Sie auf Ihrer Webseite ein Shop-System betreiben, Kontaktformulare nutzen und diese Webseite bei einem Anbieter wie z.B. dogado betrieben wird. In diesem Fall ist der Abschluss eines Vertrags zur Auftragsverarbeitung mit hoher Wahrscheinlichkeit notwendig. Weitere Informationen zum Abschluss dieses Vertrags finden Sie hier. Bitte beachten Sie, dass wir keine Rechtsberatung zur Auftragsverarbeitung anbieten können.

Welche Logfiles gibt es und welche Daten werden erfasst?

Es werden Zugriffs-Logfiles und Fehler-Logfiles auf dem Server gespeichert. Diese Logfiles enthalten die IP Adresse des Besuchers, und damit personenbezogene Daten.  Es werden dort folgende Daten erfasst:

Besuchte Webseite
Uhrzeit zum Zeitpunkt des Zugriffes
Menge der gesendeten Daten in Byte
Quelle/Verweis, von welchem Sie auf die Seite gelangten
Verwendeter Browser
Verwendetes Betriebssystem
Verwendete IP Adresse

Die Logfiles können Sie selbst einsehen. Sie befinden sich im Ordner /logs auf Ihrem Webspace. Die aktuellen Daten sind in den Dateien access_log und error_log gespeichert. Die Löschung erfolgt dann nach spätestens 14 Tagen.

Die Logfiles werden zur Aufrechterhaltung des sicheren Serverbetriebs erhoben und temporär gespeichert. Wir speichern zur Sicherstellung des Betriebs, die IP-Adressen in unseren Logfiles bis zu 14 Tage. Wo technisch möglich und sinnvoll, anonymisieren wir IP-Adressen nach 24 Stunden.

Welche Daten werden serverseitig gespeichert und verarbeitet?

Neben den Logfiles findet von uns aus keine weitere Speicherung von Daten statt. Bedenken Sie jedoch, dass Ihre Scripte ebenfalls personenbezogene Daten enthalten, erfassen oder/und verarbeiten und diese auch in Datenbanken speichern. Dies betrifft zum Beispiel über ein Kontaktformular versendete Daten oder Daten, die bei Bestellungen aus Ihrem Online-Shop in der Datenbank abgelegt werden. Hier ist gemäß Art. 32 DSGVO zu beachten, dass die Übertragung der personenbezogenen Daten grundsätzlich verschlüsselt erfolgen muss, was in der Praxis bedeutet, dass die Verbindung grundsätzlich per HTTPS erfolgen muss. Die Nutzung eines SSL-Zertifikates ist daher notwendig.

Diese Daten werden dann technisch auf unseren Systemen, von uns als Ihr Dienstleister, verarbeitet. Aus diesem Grund ist ein Auftragsverarbeiter-Vertrag notwendig, in dem die Rechte und Pflichten von Ihnen als Auftraggeber und uns als Auftragnehmer geregelt sind. Weiterhin verpflichten wir uns, die Daten im entsprechenden Maße vor Fremdzugriffen zu schützen. Dieser Vertrag kann gemäß Art. 28 DSGVO in elektronischer Form abgeschlossen werden und ist von Ihnen in Kürze im Kundencenter einsehbar.

Eine Auswertung von IP-Adressen aus statischen Gründen, die nicht zur Betriebssicherheit notwendig sind oder zu werblichen Zwecken, wird nicht durchgeführt.

Benötige ich als Reseller einen AV Vertrag?

Wenn Sie personenbezogene Daten verarbeiten oder einen Vertrag zur Auftragsverarbeitung mit Ihren Kunden abschließen, benötigen Sie auch als Reseller einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO mit uns. In Ihrem Vertrag zur Auftragsverarbeitung, den Sie mit Ihren Kunden schließen, müssen Sie uns als Subunternehmer aufführen.

Wer benötigt alles einen AV Vertrag?

In den meisten Fällen geht der Betrieb einer Webseite mit der Verarbeitung personenbezogener Daten einher. Dies betrifft zum Beispiel Kontaktformulare, Shopsysteme und weitere Applikationen, mit denen personenbezogene Daten verarbeitet oder gespeichert werden. Wir empfehlen Ihnen gemeinsam mit Ihrem Datenschutzbeauftragten zu prüfen, ob die Voraussetzungen der Verarbeitung personenbezogener Daten in Ihrem Falle zutreffen und ob der Abschluss eines Vertrags zur Auftragsverarbeitung notwendig ist.

Was passiert, wenn ich keinen Vertrag zur Auftragsdatenverarbeitung abschließe?

„Hat das Unternehmen mit dem externen Dienstleister keinen den Anforderungen des § 11 Abs. 2 Satz 2 BDSG entsprechenden Vertrag geschlossen, kann es schnell richtig teuer werden. Nach § 43 Abs. 1 Nr. 2b, Abs. 3 BDSG kann die zuständige Aufsichtsbehörde ein sattes Bußgeld von bis zu 50.000 Euro verhängen, wenn der Auftrag zur Datenverarbeitung „nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt“ wird.

Das bedeutet: Haben die Parteien keinen Vertrag zur Auftragsdatenverarbeitung geschlossen oder entspricht dieser nicht den Anforderungen des § 11 Abs. 2 Satz 2 BDSG, kann die zuständige Aufsichtsbehörde das Unternehmen zur Kasse beten. Der Abschluss eines Vertrags zur Auftragsdatenverarbeitung sollte also weit oben auf der Agenda stehen.

Daneben können auch die Personen, deren Daten betroffen sind, vom Auftraggeber und Auftragnehmer Schadensersatz verlangen. Beide Parteien haben dabei die Möglichkeit, ihre Unschuld nachzuweisen und so eine Ersatzpflicht zu verhindern. Dafür müssen sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.

Dabei gilt für das beauftragende Unternehmen: Hat das Unternehmen mit dem externen Dienstleister keinen Vertrag über die Auftragsdatenverarbeitung geschlossen, wird sich ein Unschuldsnachweis kaum führen lassen.“ Quelle: e-recht24.de

Benötige ich jetzt ein SSL Zertifikat für meine Webseite, wenn ich ein Kontaktformular nutze über das mich Webseitenbesucher erreichen können?

Die Antwort ist relativ einfach, sie lautet JA.

Bei der Nutzung eines Kontaktformulars werden in der Regel personenbezogene Daten nach Art. 4 Nr. 1 DSGVO verarbeitet.

Die DSGVO legt fest, dass unter der Berücksichtigung seitens der Technik, der Implementierungskosten, Art, Umfang und Zweck der Verarbeitung, sowie Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen vom Webseiten-Betreiber technische und organisatorische Maßnahmen getroffen werden müssen, um die Daten zu schützen.

In der DSGVO wird ausdrücklich die Verschlüsselung personenbezogener Daten als eine solche technische Maßnahme benannt.

Eine Verschlüsselung mittels https für Kontaktformulare auf Webseiten entspricht dem Stand der Technik, ist kostengünstig und mit sehr wenig Aufwand umzusetzen.

Wie kann ich einen Vertrag zur Auftragsverarbeitung (AV) gemäß Art. 28 DSGVO abschließen?

Bitte lesen Sie dazu unseren Hilfeartikel: Wie kann ich einen Vertrag zur Auftragsverarbeitung (AV) gemäß Art. 28 DSGVO abschließen?

Muss ich den ganzen Vertrag zurücksenden?

Ja, bitte senden Sie uns alle Seiten des Vertrags inkl. Anhang zurück.

Warum muss ich mich dazu an CloudPit.IO anmelden?

CloudPit ist unser zentrales Kundenlogin. Lassen Sie sich von der Domainendung IO nicht verwirren, alle Daten in unserem CloudPit sind in dogado Rechenzentren in Deutschland gespeichert.

Mit CloudPit verwalten Sie Rechnungen, Vertrags- und Zahlungsdaten sowie Ihre Kontaktdaten online. Weitere Highlights sind das bequeme Bezahlen Ihrer offenen Rechnungen per PayPal oder die Bearbeitung Ihrer Zahlungsdaten in Echtzeit.

Wie melde ich mich an CloudPit.IO an, mein Login geht nicht?

Sie können sich mit Ihrer Kundennummer (beginnend mit einer 2 oder 3) anmelden. Wenn Sie einen Vertrag mit der ehem. tophoster haben und Sie verfügen noch über eine alte Kundennummer (beginnend mit TH), müssen Sie diese TH Kundennummer als Login-Namen nutzen.

Helfen Sie mir beim ausfüllen des Vertrags zur Auftragsverarbeitung?

Wir können und dürfen Ihnen leider keine Hilfestellung bei der Auswahl der Datenarten „Art der Daten und Kreis der Betroffenen“ geben. Gemäß der DSGVO haben wir keine Einsicht in die Daten und den Umfang der Informationen, die Sie mit unseren Produkten verwalten. Für alle Fragen zur Auswahl der Datenarten „Art der Daten und Kreis der Betroffenen“ können wir daher nur empfehlen sich durch einen Rechtsanwalt Ihres Vertrauens beraten zu lassen.

Kommen beim Abschluss des AV Vertrags Kosten auf mich zu?

Nein, der AV Vertrag kostet kein Geld. Ein AV Vertrag ist ein Vertrag zur Datenverarbeitung im Auftrag. Dieser regelt die betriebliche Datenverarbeitung mithilfe eines Dienstleisters, der dem Auftraggeber weisungsgebunden ist.

Benötigen ich einen AV-Vertrag, wenn ich E-Mail-Dienste über dogado nutze?

Die Nutzung von E-Mail-Diensten schätzen wir als Telekommunikationsdienstleistung ein, sodass unserer Einschätzung nach kein Abschluss eines AV-Vertrags notwendig ist. Nutzen Sie E-Mail allerdings innerhalb von Webanwendungen (z.B. Kontaktformulare oder CRM-Systeme), handelt es sich unserer Einschätzung nach um eine Auftragsverarbeitung, für die ein Abschluss eines AV-Vertrags notwendig ist. Bitte beachten Sie, dass diese Information keine Rechtsberatung ist. Wir empfehlen ihnen, Ihre individuelle Situation mit Ihrem Datenschutzbeauftragten zu prüfen.

Update vom Juni 5, 2018

Konnte der Artikel Ihnen weiterhelfen?

Ähnliche Artikel