Als Händler seid ihr verpflichtet einen Auftragsverarbeitungsvertrag abzuschließen, und zwar dann, wenn Dritte Daten für euch verarbeiten. Das sind zum Beispiel euer ERP- oder Schnittstellendienstleister. Wie das aktuelle Datenleck des JTL-Dienstleisters Modern Solution GmbH & Co KG zeigt. haben keine Nutzer der Schnittstelle moso.connect einen solchen Vertrag mit dem Dienstleister abgeschlossen. Das fällt den Händlern nun auf die Füße. Warum das so ist, erfahrt ihr hier.
Was ist ein AV-Vertrag?
Die DSGVO schreibt einen Auftragsverarbeitungsvertrag (AV-Vertrag) zwingend vor. Habt ihr keinen, verstoßt ihr gegen die DSGVO und dieser Verstoß kann mit einem Bußgeld belangt werden. Das wird er in den aktuellen Fällen wahrscheinlich auch werden. Ein AV-Vertrag regelt das Verhältnis zwischen euch und eurem Dienstleister. Er legt die Rechte und Pflichten fest. Er ist immer dann abzuschließen, wenn ihr personenbezogene Daten mit Weisungen außer Haus gebt. Also bspw. mit eurem Steuer- oder eurem Clouddienstleister aber auch mit ERP- und/oder Schnittstellendienstleistern. Rechte & Pflichten sind im Übrigen im Art. 28 der DSGVO geregelt.
»So soll u. a. gewährleistet werden, dass der Auftragnehmer die ihm anvertrauten Daten nur zu den Zwecken verarbeitet, für die der Auftraggeber die Daten erhoben hat. Vor allem aber wird der Dienstleister verpflichtet, die Daten in entsprechendem Maße zu schützen. Um dies auch tatsächlich zu gewährleisten, werden dem Auftraggeber im Vertrag diesbezüglich umfassende Kontrollrechte eingeräum«, so ein Datenschutzdienstleister.
Und was muss nun da alles drinstehen?
Ganz wichtig ist, dass es einen Anhang zum Vertrag geben soll, der die technischen und organisatorischen Maßnahmen bei eurem Dienstleister beschreibt. Idealerweise schaut ihr euch vorher einmal an, was euch z. B. eure Plattformen vorschreiben, um API-Zugriff zu erlangen. Diese Pflichten sollten immer durchgereicht werden.
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten, Kreis betroffener Personen
- Umfang der Weisungsbefugnisse
- Pflichten und Rechte des Verantwortlichen
- Pflichten des Auftragsverarbeiters:
- Verarbeitung nach dokumentierter Weisung,
- Ergreifung geeigneter Maßnahmen für die eigene Sicherheit der Verarbeitung,
- Rechtmäßige Hinzuziehung von Subunternehmen,
- Unterstützung des Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen,
- Unterstützung des Verantwortlichen bei der Einhaltung dessen Pflichten aus Art. 32 bis 36 DSGVO,
- Zurverfügungstellung von Informationen und Ermöglichung von Überprüfungen
Diese Auflistung ist NICHT vollständig. Es macht aber auch keinen Sinn, einen eigenen Vertrag entwickeln zu lassen. Wer Google bedient, bekommt eine Menge Musterverträge angeboten. Diese könnt ihr z. B. mit eurem (externen) Datenschutzbeauftragten anpassen.
Was ist nun zu tun?
Für die von dem aktuellen Datenleck betroffenen Händler ist das ›Kind in den Brunnen gefallen‹. ABER, es ist wichtig, dass ihr nun eure Obliegenheiten aus der DSGVO gerade rückt. Prüft eure betrieblichen Prozesse, wo euch Vereinbarungen fehlen und holt sie nach.
Im Umgang mit dem JTL-Partner Modern Solution GmbH & Co Kg solltet ihr natürlich auch einen Vertrag nachholen. Auch dann, wenn ihr jetzt die Zusammenarbeit gekündigt bzw. beendet habt. Legt ihnen einen Mustervertrag vor und lasst das Datumsfeld UNBEDINGT leer!
Was hätte er verhindern können?
Unterstellt, ein solcher Vertrag wäre vorhanden gewesen und alle Kontrollfristen wären erfüllt, dann hättet ihr euch geschmeidig zurücklehnen können. Den ganzen Murx den Moso mit moso.connect veranstaltet hat, hätte euch kaum berührt. Es wäre wahrscheinlich noch nicht einmal eine Meldepflicht für euch entstanden.
Kleiner Fun Fact: Es waren circa 300 (!) JTL-Software-Nutzer betroffen.
Welche Rolle spielt also JTL als ERP/Wawi-Anbieter und aktiver Werber für die ›moso.connect‹-Schnittstelle in diesem Kontext? Hätte da JTL nicht vorausschauender und verantwortlicher mit seinen Partnern und Dienstleistern umgehen sollen? Hat JTL sogar die Berichterstattung behindert und unterdrückt?
Moin,
leider nicht ganz korrekt… Grundsätzlich: Keine Verarbeitung von Personenbezogenen (pb) Daten ohne Auftragsdatenverarbeitungsvertrag. Rückwirkende Heilung ist NICHT möglich. Und: Der Auftraggeber ist Verantwortlicher. Nicht MoSo. Die sind Auftragnehmer in dem Spiel. Bußgeld zahlt der Auftraggeber, er ist und bleibt der Verantwortliche der pb Daten.
Der Verantwortliche muss melden an die Behörde, der Auftragnehmer unterstützt. Was ebenso inkorrekt ist seitens MoSo ist, dass der Datenschutzbeauftragte nicht benannt wird. In Gelsenkirchen arbeiten und der DSB kommt aus München – hier war wohl der günstige Preis vorrangig der Vater des Vetrages und nicht die Qualität. Sparen am falschen Ende, für einen Fuffi im Monat gibt´s keinen ordentlichen Datenschutz.
Von daher darf sich MoSo jetzt auf eine Klagewelle einstellen, denn alle Kosten, alle Reputationsschäden, alle Umsatzausfälle können einen materiellen oder immateriellen Schaden darstellen. Für MoSo sage ich mal: Ab zum Steuerberater und Insolvenz prüfen, den Mitarbeitern: Good Luck, vielleicht besser diese berufliche Station nicht im Lebenslauf aufführen. Der Laden ist dem Tod geweiht und wird diesen Vorfall nicht überleben… Schade um die Jobs.