Iubenda logo
Generator starten

Anleitungen

INHALTSÜBERSICHT

Verantwortung der Webagentur gemäß der DSGVO

Da es sehr wahrscheinlich ist, dass eine Agentur personenbezogene Daten im Auftrag ihrer Kunden verarbeitet, ist es ratsam, bestimmte Vorsichtsmaßnahmen zu treffen, um das Auftreten von Streitigkeiten so weit wie möglich zu begrenzen.

Falls die Agentur der externe Verantwortliche für die Datenverarbeitung ist, muss sie dies tun:

  • einen Ad-hoc-Vertrag (genannt “Auftragsverarbeitungsvereinbarung”, “Vertrag nach Art. 28 der Verordnung 679/2016” oder “Benennung des Verantwortlichen für die Datenverarbeitung”– Hier finden Sie weitere Informationen und eine Vorlage zum Herunterladen) mit jedem Verantwortlichen (d. h. dem Kunden) unterzeichnen; und
  • transparent und proaktiv handeln, um im Falle von Audits nachweisen zu können, dass Sie alles richtig gemacht haben.
Was ist der Unterschied zwischen Verantwortlichen und Auftragsverarbeiter?

Der Begriff “Verantwortlicher” bezeichnet jede natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten ihrer Nutzer entscheidet. Es ist die Person, die bestimmt, “warum” und “wie” die gesammelten personenbezogenen Daten verarbeitet werden sollen, in der Regel der Anbieter der Website/App (in diesem Fall der Kunde).

Der Begriff “Auftragsverarbeiter” bezeichnet jede natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Dies ist zum Beispiel bei einer Agentur der Fall, die für ihre Kunden Newsletter oder Marketingkampagnen durchführt.

Pflichten der Agentur

Nach der DSGVO sind dies die Pflichten des Auftragsverarbeiters (Agentur) gegenüber dem Verantwortlichen (Kunde):

  • Die Agentur ist nur zur Verarbeitung personenbezogener Daten auf der Grundlage der dokumentierten Anweisungen des Kunden verpflichtet. Das bedeutet, dass sich die Agentur strikt an die Verarbeitungsanweisungen des Kunden halten muss, die in der Regel größtenteils in der oben erwähnten Auftragsverarbeitungsvereinbarung festgelegt sind. Die Anweisungen des Kunden umfassen den gesamten Datenverarbeitungszyklus, d.h. von der Erfassung bis zur Beendigung der Verarbeitung. Daraus folgt, dass die Agentur nach Abschluss der Verarbeitung die personenbezogenen Daten löschen oder an den Kunden zurückgeben muss, je nachdem, welche Anweisungen der Kunde (d. h. der Verantwortliche) erteilt hat.
  • Personenbezogene Daten müssen streng vertraulich behandelt werden: Um dies zu gewährleisten, muss die Agentur sicherstellen, dass die Verarbeitung nur von befugtem Personal durchgeführt wird, das zur Vertraulichkeit verpflichtet ist (oder gesetzlich dazu verpflichtet wurde). Diese Verpflichtung gegenüber den Mitarbeitern wird in der Regel durch schriftliche Verarbeitungsanweisungen erfüllt. Diese Anweisungen enthalten Klauseln darüber, wie die Daten zu verarbeiten sind, sowie Vorschriften über den Schutz der Privatsphäre im Rahmen der Verarbeitung.
  • Die Agentur muss dann dafür sorgen, dass alle erforderlichen Sicherheitsmaßnahmen ergriffen werden, und darf ohne vorherige schriftliche Genehmigung des Kunden nicht auf die Dienste einer externen Partei (z. B. als Unterauftragsverarbeiter) zurückgreifen.
  • Die Pflichten der Agentur zur Unterstützung und Zusammenarbeit sind grundlegend. Durch geeignete technische und organisatorische Maßnahmen muss die Agentur dem Kunden helfen, auf die Anfragen der Nutzer zur Ausübung ihrer Rechte zu beantworten. Nehmen wir zum Beispiel an, dass ein Nutzer die Berichtigung seiner E-Mail-Adresse in einer Datenbank beantragt, die für den Versand von Direct Email Marketing (DEM) verwendet wird. Wenn die Agentur, die für die Instandhaltung der entsprechenden Datenbank und den Versand solcher E-Mails zuständig ist, den Antrag der betroffenen Person erhält, muss sie den Kunden (d. h. den Verantwortlichen) unverzüglich informieren und gemäß den erteilten Anweisungen vorgehen.
  • Die Agentur muss den Kunden bei der Erfüllung aller Pflichten unterstützen, die sich aus Situationen wie einer Verletzung des Schutzes personenbezogener Daten, bei einer vorherigen Konsultation der Aufsichtsbehörde oder bei der Notwendigkeit einer Datenschutz-Folgenabschätzung ergeben.
  • Die Agentur muss dem Kunden alle in ihrem Besitz befindlichen Informationen zur Verfügung stellen, die für den Nachweis der Einhaltung der gesetzlichen Verpflichtungen durch den Kunden erforderlich sind. Dabei darf sie Überprüfungen (einschließlich Inspektionen), die direkt vom Kunden oder von einer anderen vom Kunden beauftragten Person durchgeführt werden, nicht behindern.
Haftungsausschluss und iubenda-Software

Es ist zu betonen, dass ein Haftungsausschluss die Agentur von der Verantwortung für die “Güte” der Produkte von iubenda entbindet, nicht aber von der allgemeinen Haftung.

Wenn die Agentur beispielsweise die Google-Analytics-Klausel in die Datenschutzerklärung und Cookie-Richtlinie aufnimmt und der Link zu den Datenschutzbestimmungen des Anbieters falsch ist, liegt dies in der Verantwortung von iubenda. Wenn die Agentur jedoch Google Analytics hinzufügt, die Website aber einen anderen Dienst nutzt, liegt die Verantwortung bei der Agentur, es sei denn, die Agentur weist nach, dass sie davon befreit ist (z. B. wenn der Kunde die Dokumente genehmigt oder die Aufnahme dieser Klausel ausdrücklich verlangt hat).

Pflichten des Kunden und der Agentur bei Schäden an Nutzern

Artikel 82 der DSGVO ist die wichtigste Vorschrift über die zivilrechtliche Haftung bei der Verarbeitung personenbezogener Daten und das daraus resultierende Recht auf Schadenersatz und legt fest, dass:

 Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Während der Verantwortliche (Kunde) für den Schaden haftet, der durch die gegen die DSGVO verstoßende Verarbeitung verursacht wird, ist der Auftragsverarbeiter (Agentur) nur dann für den Schaden verantwortlich, der durch die Verarbeitung verursacht wird, wenn:

  • er seine Verpflichtungen gemäß der DSGVO nicht erfüllt hat, oder
  • inkonsequent oder entgegen den (rechtmäßigen) Anweisungen des Kunden gehandelt hat.

Die Agentur kann haftbar gemacht werden, wenn:

  • sie gegen die Anweisungen des Kunden verstößt (auch wenn sie die Grenzen ihrer Zuständigkeit überschreitet; in diesem Fall sieht die DSGVO vor, dass sie die Verantwortung dafür als unabhängiger Eigentümer übernimmt);
  • sie dem Kunden nicht hilft (z. B. bei Verletzung des Schutzes personenbezogener Daten oder Folgenabschätzungen);
  • sie dem Kunden die in ihrem Besitz befindlichen erforderlichen Informationen nicht zur Verfügung stellt;
  • sie den Kunden nicht darüber informiert, dass eine Anweisung des Kunden gegen das Gesetz verstößt;
  • sie, obwohl sie dazu verpflichtet ist, keinen Datenschutzbeauftragten (DSB) benennt;
  • sie einen nicht zuvor zugelassenen Unterauftragsverarbeiter benennt;
  • sie einen Unterauftragsverarbeiter beauftragt, der keine ausreichenden Garantien bietet;
  • sie keine Aufzeichnungen über die Verarbeitungsvorgänge führt.

Die Bedingungen für den Haftungsausschluss

Der Kunde oder die Agentur können nur dann von der Haftung befreit werden, wenn sie nachweisen können, dass der Schaden in keiner Weise ihnen zuzuschreiben ist (z. B. wenn er auf eine Datenverarbeitung zurückzuführen ist, die nicht von ihnen vorgenommen wurde).

Gesamtschuldnerische Haftung

Ist der Schaden mehreren Verantwortlichen oder Auftragsverarbeitern (oder beiden) zuzurechnen, so haftet jeder von ihnen gesamtschuldnerisch für den vollen Betrag des Schadensfall.

In diesem Fall kann die verantwortliche Person, die die Schadenskosten in voller Höhe (in solidum) ersetzt hat, jeden Anteil des verbleibenden Schadensersatzes entsprechend jedem Haftungsanteil der übrigen beteiligten Inhaber oder haftenden Parteien einfordern.

Siehe auch