EU-Datenschutz-Grundverordnung: Mit ZEP auf der sicheren Seite

Am 25. Mai 2018 war es soweit. Zu diesem Stichtag trat die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Ziel der Verordnung ist es, den Schutz personenbezogener Daten EU-weit zu harmonisieren und zu stärken. Unternehmen, die solche Daten speichern und verarbeiten, müssen im Rahnen der Neuregelung noch umfangreichere Maßnahmen zum Schutz dieser Daten ergreifen. Geschieht diese Speicherung und Verarbeitung im Rahmen der Auftragsdatenverarbeitung durch einen Dritten, zum Beispiel einen Cloud Service Provider, müssen seit Mai 2018 ebenfalls neue Regelungen beachtet werden, die wir Ihnen im Folgenden kurz erläutern möchten.

Webseite, Online-Shop, Cloud-Lösung: In diesen Fällen greift die Auftragsdatenverarbeitung

So wird die bisher in § 11 Bundesdatenschutzgesetz geregelte Auftragsdatenverarbeitung durch die EU-DSGVO neu geregelt. Von Auftragsdatenverarbeitung sprach man dabei, wenn ein Dritter im Rahmen einer vertraglichen Vereinbarung für ein Unternehmen personenbezogene Daten verarbeitet, z.B. auf seinen IT-Systemen speichert. Anwendungsbeispiele sind Webseiten, auf denen sich Besucher in Online-Formulare eintragen können, oder Online-Shops, über die Kunden Käufe tätigen können. Diese Webseiten oder E-Shops werden in der Regel ja nicht vom Anbieter selbst, sondern von einem Hoster oder Internet Service Provider betreiben. Die Folge: Die personenbezogenen Daten der Webseitenbesucher oder Online Shop-Käufer landen dann ebenfalls bei diesem Dienstleister.

Ein weiterer Anwendungsbereich in der Praxis ist die Nutzung von Software-Anwendungen, die im Cloud Computing-Modell betrieben werden. Beispiel ZEP: Nutzen Sie unsere Zeiterfassungslösung im Cloud Computing-Modell, so werden die mit der ZEP-Zeiterfassung und seinen Zusatzmodulen (z.B. Faktura) verarbeiteten Daten der Kunden und Mitarbeiter beim Cloud Service Provider, also uns gespeichert. Nach bisheriger Rechtsprechung haben wir damit für unsere Kunden die Auftragsdatenverarbeitung nach BDSG übernommen.

Von der "Auftragsdaten"- zur "Auftrags"-Verarbeitung

Die Tatsache, dass die Bezeichnung „Auftragsdatenverarbeitung“ mit Inkrafttreten der EU-DSGVO in „Auftragsverarbeitung“ umbenannt wurde, ist sicher die Änderung, die am wenigsten ins Gewicht fällt. Wichtiger ist da schon die Tatsache, dass es nun einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO geben muss, der den bisherigen Vertrag zur AuftragsDATENverarbeitung nach § 11 BDSG ersetzt.

Ähnlich wie sein Vorgänger regelt dieser Vertrag die Rechten und Pflichten beider Parteien bei der Auftragsverarbeitung nach § 28 DSGVO wie z.B.

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten, Kreis betroffener Personen
• Umfang der Weisungsbefugnisse
• Pflichten und Rechte des Verantwortlichen
• Pflichten des Auftragsverarbeiters

EU-DSGVO: Mit ZEP auf der sicheren Seite

Selbstverständlich haben wir uns bereits seit längerem mit den Vorgaben der EU-DSGVO beschäftigt und die entsprechenden Maßnahmen im Bereich Datenschutz umgesetzt, um diese Vorgaben im Rahmen der Auftragsverarbeitung mit ZEP zu erfüllen. Eine aktuelle Fassung des Vertrags zur Auftragsverarbeitung gemäß Art. 28 EU-DSGVO liegt ebenfalls vor und ist Grundlage für alle Neukundenverträge. Alle Bestandskunden haben den „Ergänzungsvertrag zum Datenschutz“ fristgerecht zum Gegenzeichnen erhalten.

Falls Sie weitere Fragen zum Datenschutz bei ZEP allgemein oder zur EU-DSGVO und deren Umsetzung bei der Nutzung von ZEP haben, stehen wir Ihnen gerne zur Verfügung.