#08 Auftragskontrolle

[Michael] Moin, René.

[René] Moin, Michael. Moin in die Runde. Ja, dann will ich jet­zt gar nicht so viele Worte ver­lieren. Starten wir direkt rein ins The­ma. Heute geht es um die Auf­tragskon­trolle. Also immer noch im Zuge der tech­nis­chen organ­isatorischen Maß­nah­men, wo wir let­ztes Jahr ges­tartet sind. Da machen wir auch genau­so weit­er.

[Michael] Erzähl mal was. Ja, genau. Wenn wir über Auf­tragskon­trolle reden, müssen wir uns erst mal Gedanken machen, was ist denn ein Auf­trag, was ist eine Kon­trolle und mit wem schließen wir über­haupt einen Auf­trag. Und heute ist es mehr so reg­u­la­torisch, lastig und geht ein biss­chen mehr in die DSG­VO-Rich­tung rein. Und es ist aber ganz super, dass du mit dabei bist als Dien­stleis­ter in der IT-Branche. Du wirst ja wohl ein Auf­tragsver­ar­beit­er sein bzw. mit dir wer­den Kon­trollen durchge­führt und du bist das Opfer von Kon­trollen. Und zwar müssen Auf­tragskon­trollen gemacht wer­den oder Auf­tragskon­trollen erfol­gen mit Auf­tragsver­ar­beit­ern. Das ist ein biss­chen DSG­VO-Text, da gehen wir ein biss­chen mehr ins Detail rein. Und da muss am Anfang ganz klar gek­lärt wer­den, wer ist denn Auf­tragsver­ar­beit­er und wer ist es eben nicht. Und wenn ich einen Auf­trag oder wenn ich mit einem Ver­trag mit Auf­tragsver­ar­beit­er gemacht habe, dann muss ich die Tätigkeit von diesem Auf­tragsver­ar­beit­er auch kon­trol­lieren. Und das ist die Auf­tragskon­trolle. Und das ist das The­ma, wie gehe ich mit Auf­tragsver­ar­beit­ern um, was wir heute besprechen wollen. Geht ein biss­chen in die DSGVO rein. Ich werde vielle­icht mit ein paar Artikeln um die Ohren wer­fen. Es kann nachge­le­sen wer­den, logis­cher­weise alles, was wir hier erzählen in der DSGVO. Und da geht es los. Und da ist die Frage, wo geht es denn eigentlich los? Bzw. René, seid ihr denn ein Auf­tragsver­ar­beit­er und kennst du weit­ere Auf­tragsver­ar­beit­er? Um mal kurz den Rah­men zu schließen, was ein Auf­tragsver­ar­beit­er ist und was kein­er ist.

[René] Ja, ich sage mal so, wir sind natür­lich Auf­tragsver­ar­beit­er. Ja, das gren­zt sich ja natür­lich an der einen oder anderen Stelle dann nochmal ab. Aber ja, natür­lich dadurch, dass wir Zugriff auf Dat­en haben in gewis­sen Bere­ichen, ist das so. Und ja, ein weit­er­er Auf­tragsver­ar­beit­er ist ja logis­cher­weise, wenn wir jet­zt irgend­wie ja noch Soft­ware ein­set­zen, wo der Her­steller dann meinetwe­gen auch noch irgend­wie Zugriff darauf erhält. Also wenn wir irgend­wie Lizen­zen einkaufen und der Sup­port von dem Pro­dukt am Ende des Tages dann auch Ein­sicht hat. Also spätestens dann haben wir noch ein weit­eres Ele­ment im Boot.

[Michael] Genau, ich bin heute mal ein biss­chen gemein, ich kit­zle dich mal ein biss­chen raus. Aber dann kann man es ganz gut rausar­beit­en. Heute machst du mal Opfer. Warum glaub­st du, dass du ein Auf­tragsver­ar­beit­er bist?

[René] Weil ich die Möglichkeit habe, in Dat­en zu sehen. Also jet­zt, ich sage mal so, wenn ich jet­zt keinen Zugriff auf gewisse Sys­teme habe, ja, dann bin ich nicht der Auf­tragsver­ar­beit­er oder der Daten­ver­ar­beit­er. Aber in dem Augen­blick, wo ich die Möglichkeit habe, Dat­en einzuse­hen, sehe ich das zumin­d­est so, das wäre auch Auf­tragsver­ar­beit­er.

[Michael] Okay, was wäre denn mit einem Steuer­ber­ater? Wäre das auch ein Auf­tragsver­ar­beit­er in deinem Sinne? Ich bin gemein heute.

[René] Ich löse aber gle­ich.

[Michael] Nein. Okay, also pass auf. Es gibt, wenn man in die DSGVO geht und geht in die ganze The­matik rein, muss man grob unter­schei­den zwis­chen, wer ist ver­ant­wortlich und wer ver­ar­beit­et im Auf­trag. Und da gren­zt es sich ganz klar ab. Ver­ant­wortlich ist der, der über die Zweck- und Mit­tel entschei­det für die Ver­ar­beitung der Dat­en und der ver­ant­wortlich ist für die Dat­en. Ein Auf­tragsver­ar­beit­er hinge­gen ist nicht ver­ant­wortlich für den Zweck und für die Mit­tel der Ver­ar­beitung, son­dern der ver­ar­beit­et die Dat­en des Ver­ant­wortlichen im Auf­trag des Ver­ant­wortlichen. Und der Ver­ant­wortliche bleibt ver­ant­wortlich für die Ver­ar­beitung sein­er Dat­en beim Auf­tragsver­ar­beit­er. Oh, viel ver­ant­wortlich, viel Auf­tragsver­ar­beit­er. Also bedeutet, ihr seid IT-Dien­stleis­ter. Ihr kriegt die Auf­gabe gestellt, pflege meine IT. Das heißt, ihr bes­timmt nicht über Zweck und Mit­tel der per­so­n­en­be­zo­ge­nen Dat­en, die ihr ver­ar­beit­et, son­dern ihr seid ein rein­er Dien­stleis­ter, die Zugriff auf die Dat­en haben.

[Michael] Und ihr seid auch nicht für die Dat­en ver­ant­wortlich, son­dern die DSGVO und den Daten­schutz und Umgang mit den Dat­en muss euer Kunde mit euch fest­stellen, definieren und der bleibt für euch ver­ant­wortlich. Und der muss natür­lich dann euch kon­trol­lieren. Das ist die Auf­tragskon­trolle. Und den Ver­trag, den ihr dann miteinan­der schließt, ist der soge­nan­nte AV-Ver­trag, Ver­trag zur Auf­tragsver­ar­beitung. Früher zu BDSG-Zeit­en hieß das ADV, Auf­trags­daten­ver­ar­beitungsver­trag. DSGVO nen­nt sich nur noch Ver­trag zur Auf­tragsver­ar­beitung, sprich AV-Ver­trag. Und da gren­zt es sich ab. Und diese Gren­ze ist ganz klar zu ziehen zwis­chen, wer ist ver­ant­wortlich für Zweck und Mit­tel. Und da ist, wenn man Beispiele nehmen will für einen Auf­tragsver­ar­beit­er, ganz klar, ihr Serv­com IT-Dien­stleis­ter, Cloud-Ser­vicean­bi­eter, Mar­ketinga­gen­turen, Soft­ware-as-a-Ser­vice-Fir­men, also Ser­ven-Fir­men, die eine Soft­ware-Plat­tform anbi­eten, wo man dann seine eige­nen Dat­en hochladen kann. Klas­sik­er ist Time­but­ler, Per­so­nio, irgendwelche Soft­waren, die qua­si arbeit­en für euch Unternehmen. Die entschei­den alle nicht über den Zweck und über die Mit­tel der Ver­ar­beitung und sind alle nicht für die Dat­en ver­ant­wortlich, son­dern die arbeit­en lediglich als ver­längert­er Arm von der ver­ant­wortlichen Per­son des Unternehmens, sprich vom Chef und von dem Unternehmen selb­st. Wohinge­gen eine eigen­ver­ant­wortliche Tätigkeit oder auch ein Dien­stleis­ter, der eigen­ver­ant­wortlich tätig ist, ist ganz klas­sisch ein Steuer­ber­ater, Wirtschaft­sprüfer, Immo­bilien­mak­ler, Recht­san­waltkan­zleien oder aber auch Per­sonal­dien­stleis­tungs­fir­men, die ich in Anspruch nehme, um Mitar­beit­er zu suchen, also diese typ­is­chen Arbeitsver­mit­tler. Das sind klas­sisch eigen­ver­ant­wortliche Tätigkeit­en, weil die über den Zweck und Mit­tel der Dat­en bes­tim­men, die sie ver­ar­beit­en. Und die schick­en euch dann nur die Ergeb­nisse rüber.

[René] Ja, wenn ich da kurz ein­hak­en darf.

[Michael] Immer gerne.

[René] Ich sehe das genau­so. In der Rei­hen­ver­ar­beitung der Dat­en sehe ich das auch so, aber wenn ich jet­zt zum Beispiel, wir machen ja auch BI. Das bedeutet, ich habe ja Zugriff auf wirk­lich alle Inhalte, meinetwe­gen von der ERP-Soft­ware, von einem Kun­den und ver­ar­beite diese Dat­en tat­säch­lich so, also bere­ite sie auf, dass er damit arbeit­en kann. Dann habe ich ja einen Vol­lzu­griff auf seine Dat­en und ich ver­ar­beite sie auch.

[Michael] Ja, aber nicht in deinem Ver­ant­wor­tungs­bere­ich. Der sagt zu dir, der entschei­det über Zweck und Mit­tel. Der sagt, du machst jet­zt das für mich. Und in dem Moment bist du sein ver­längert­er Arm und bist ein Auf­tragsver­ar­beit­er. Du unter­schei­dest nicht eigen­ver­ant­wortlich, was mit den Dat­en passiert, was du mit den Dat­en machst, wie du die Dat­en ver­ar­beitest und was mit den Dat­en weit­er passiert, son­dern du bekommst einen klaren Auf­trag und kriegst gesagt, diese Dat­en, also diese meine Dat­en, ver­ar­beitest du für mich und spielst du für mich zurück. Und in dem Moment bist du Auf­tragsver­ar­beit­er. Okay, aber dann sind wir ja genau da drin. Ihr seid Auf­tragsver­ar­beit­er. Was natür­lich klar ist, es gibt immer wieder Gren­zen, immer wieder Dinge, wo man klar wer­den muss oder wo man sich über­legen muss, wer ver­ar­beit­et jet­zt hier wem seine Dat­en, wer ist Auf­tragsver­ar­beit­er und wer ist es eben nicht. Es ist immer so ein Run­ning Thing. Ich gucke immer noch mal wieder, muss mich schlau machen, muss Gren­zfälle betra­cht­en, muss mir anguck­en, ver­ar­beit­et er jet­zt wirk­lich einen Auf­trag, ist es schon eigen­ver­ant­wortlich und wer macht jet­zt was an welch­er Stelle. Typ­is­ches Beispiel habe ich diese Woche, ist mir diese Woche mal wieder seit län­gerem um die Nase gekom­men, war ein Unternehmen, was Cor­po­rate Ben­e­fits macht. Das heißt, das ist so ein Bonus­pro­gramm für Mitar­beit­er. So stellen sich die Fra­gen, wenn ich einen Anbi­eter habe, der so ein Bonus­pro­gramm für Mitar­beit­er anbi­etet, ist das jet­zt ein Auf­tragsver­ar­beit­er von mein­er Fir­ma, von mir, Kunde oder arbeit­et er eigen­ver­ant­wortlich und da muss man sich ein­fach mal hin­set­zen, muss sich Gedanken machen und dann kommt man ganz schnell zu dem Ergeb­nis, der ver­ar­beit­et eigen­ver­ant­wortlich seine Dat­en und ist kein Auf­tragsver­ar­beit­er, weil die Mitar­beit­er sich bei dem auf frei­williger Basis anmelden, das Unternehmen und der Chef an sich vom Unternehmen da gar keinen Ein­fluss drauf hat, son­dern die Mitar­beit­er melden sich da an und das Koop­er­a­tionspro­gramm und das ganze Ben­e­fit­pro­gramm wird kom­plett von dieser Ben­e­fit Plat­tform abgedeckt, sodass es da eine absolute Abtren­nung gibt an dieser Stel­lung, keine Auf­tragsver­ar­beitung stat­tfind­et. Find­et eine Auf­tragsver­ar­beitung statt, hat die DSGVO im Artikel 28 Dinge definiert, die geregelt wer­den müssen zwis­chen der ver­ant­wortlichen Per­son und dem Auf­tragsver­ar­beit­er und diese mün­den und diese beschließen oder diese ergeben den berühmten AV-Ver­trag, das ist mir eben schon angeschlit­ten, dieser AV-Ver­trag, der immer hin und her geschoben wird, den auch ihr mit euren Kun­den abschließt, rührt aus DSGVO 28 her und da in diesem AV-Ver­trag wer­den halt ein­fach Spiel­regeln definiert, ich gehe jet­zt nicht ins tief­ere Detail rein, kann man nach­le­sen und da wer­den halt ein­fach Spiel­regeln definiert, wie der Auf­tragsver­ar­beit­er mit den per­so­n­en­be­zo­ge­nen Dat­en der ver­ant­wortlichen Per­so­n­en im Sinne der DSGVO umzuge­hen hat.

[Michael] Das heißt, da wird halt ein­fach ganz klar definiert, pass auf, du bekommst von mir jet­zt Dat­en zu dem und dem Zweck. Mit diesen Dat­en hast du das und das zu machen. Das und das sind die Dat­en, die du über­haupt kriegst von mir. Art und Kat­e­gorien der per­so­n­en­be­zo­ge­nen Dat­en. Der Zweck, was du haben musst, du ver­ar­beitest die für irgen­deine Sache. Geh mal auf Per­son­al und nehm mal mal Per­so­nio, das ist, glaube ich, ein ganz guter Per­son­al­soft­ware, wo man das ein biss­chen beispiel­haft da machen kann. Da ste­ht in so einem AV-Ver­trag halt ein­fach drin, pass auf, du bist Per­so­nio, du hast die Auf­trage von mir, Per­son­alak­ten zu ver­wal­ten, du bekommst von mir Per­son­al­daten­sätze von meinen Mitar­beit­ern, Name, Vor­name, Nach­na­men, Adresse, Beruf­ssta­tus, E‑Mail-Adresse etc. pp. Das wird da alles aufge­lis­tet. Zweck davon ist, Per­son­alver­wal­tung, du darf­st mit diesen Dat­en nichts machen, außer mir diese zur Ver­fü­gung zu stellen. Das heißt, du darf­st mir den Dat­en nicht irgend­was für deine Zwecke benutzen. Das heißt, du darf­st dir die Daten­sätze nicht ziehen, darf­st sie nicht verkaufen, darf­st nichts etc. pp. mit diesen Dat­en machen, son­dern du hast sicherzustellen, dass diese Dat­en in mein­er Instanz liegen bleiben und du hast sicherzustellen, dass du auch geeignete tech­nis­che und organ­isatorische Maß­nah­men triff­st, um sicherzustellen, dass diese Dat­en von mir bei dir heim­lich sich­er abliegen und ver­ar­beit­et wer­den. Und das ist dieser AV-Ver­trag, der damit geschlossen wird. Das heißt, mit dem AV-Ver­trag regle ich die Daten­ver­ar­beitung zwis­chen dem Auf­tragsver­ar­beit­er und dem ver­ant­wortlichen Unternehmen. Und da sagt die DSGVO, diesen AV-Ver­trag und diese Ver­ar­beitung muss ich als ver­ant­wortliche Per­son für mich definieren, ist das, was mir mein Auf­tragsver­ar­beit­er da jet­zt anbi­etet und das, was der mir sagt oder was der mir sagt in seinem Ver­trag, was er alles erfüllt und diese tech­nis­chen organ­isatorischen Maß­nah­men von dem Auf­tragsver­ar­beit­er da dran ist, sind die für mich als ver­ant­wortliche Per­son so aus­re­ichend, dass ich dem Auf­tragsver­ar­beit­er zutraue, meine Dat­en an dieser Stelle sich­er zu ver­wahren und sich­er zu ver­ar­beit­en. Und das ist diese Auf­tragskon­trolle.

[Michael] Und diese Auf­tragskon­trolle muss auch fort­laufend überwacht wer­den. Also ich als ver­ant­wortliche Per­son, DSGVO, muss ja sich­er­stellen, dass meine Ver­ar­beitung oder die Ver­ar­beitung, die unter mein­er Ver­ant­wor­tung liegt, das haben wir ja eben gesagt, regelmäßig über­prüft wird und ich sich­er­stellen kann, dass mein Auf­tragsver­ar­beit­er auch das Lev­el, was wir mal vere­in­bart haben, immer noch hält und immer noch auf dem aktuellen Lev­el ist. Und auch das ist diese Auf­tragskon­trolle. Und darüber definiert sich das. Das bedeutet, Unternehmen, die mit Auf­tragsver­ar­beit­ern arbeit­en und das garantiert alle und jedes, ich habe noch kein Unternehmen getrof­fen, was nicht mit irgend­wo an irgen­deinem dran­hängt, der der Auf­tragsver­ar­beit­er ist. Die müssen mit diesem Auf­tragsver­ar­beit­er einen AV-Ver­trag abschließen. Der AV-Ver­trag muss auch vernün­ftig geprüft wer­den. Also den muss man sich auch anguck­en. Ja, das reicht nicht, wenn man sagt, komm, lad mal irgen­dein For­mu­lar runter, wir set­zen mal oben zwei Namen ein, machen unten eine Unter­schrift drüber und der Tropf ist gelutscht. Son­dern das ist ein wichtiges Doku­ment, was man sich anguck­en muss. Das heißt, man prüft ein­mal ini­tial, ist der Auf­tragsver­ar­beit­er geeignet, passt das alles, Häkchen dran und dann muss man regelmäßig immer mal wieder mit dem Auf­tragsver­ar­beit­er in Kon­takt treten. Sagen, hier, pass mal auf, wir haben let­ztes Jahr oder vor zwei Jahren, das ist ein Zeitraum, das darf man selb­st bes­tim­men, einen Ver­trag miteinan­der geschlossen. Ist das denn noch so? Passen deine Toms noch? Hat sich was geän­dert? Bist du noch nach ISO zer­ti­fiziert? Wohnst du noch, also hast du deine Fir­ma noch in dem Gebäude etc. pp., um ein­fach zu erken­nen, dass das ini­tial definierte Sicher­heit­sniveau immer noch da ist und immer noch aus­re­icht für meine Dat­en, die ich da liegen habe.

[René] Dann sag mal, was schätzt du so prozen­tu­al, wie die Fir­men das tat­säch­lich auch nehmen mit den AVs? Also bei mir zum Beispiel, wenn ich jet­zt gucke, wir sind Dien­stleis­ter, wenn wir jet­zt einen AV mit dem Kun­den schließen möcht­en, wird man hier und da schon komisch angeguckt. Alle wis­sen zwar, dass es gibt, aber ich empfinde es als noch sehr schwieriges The­ma. Klar, am Ende des Tages, die meis­ten set­zen dann ihr Auto da drunter und sagen, haupt­sache wir kön­nen starten. Aber so wie du es jet­zt beschreib­st, wie wird das gelebt?

[Michael] Das Gute an der Sache ist, also gehen wir mal rüber in die Prax­is. In der Prax­is ist es so, dass meis­tens die Auf­tragsver­ar­beit­er, bleiben wir bei euch, seid ein super Beispiel, diese AV-Verträge zur Ver­fü­gung stellen, weil ihr ja darin beschreibt, was ihr mit den Dat­en macht, welche Dat­en, also weil ihr ja eure tech­nis­chen organ­isatorischen Maß­nah­men darin beschreibt, ihr ein grobes Kon­strukt habt und sagt, bei der Dien­stleis­tung haben wir den Unter­auf­trag­nehmer und so weit­er und so fort. Ihr habt das prä­pari­ert und ihr stellt eurem Kun­den diesen Blanko zur Ver­fü­gung und der Kunde hat den Ben­e­fit, dass er nur noch ein­tra­gen muss, welche Art der Dien­stleis­tung er bei euch eingekauft hat, beziehungsweise welche Art der Dat­en er bei euch ver­ar­beit­en lassen will. Das sind so diese Pflicht­felder, Kat­e­gorien der betrof­fe­nen Per­so­n­en und betrof­fene Per­so­n­en, die er da ein­trägt, sodass es sehr ein­fach ist für die. Ver­ant­wortlich für diesen AV-Ver­trag ist aber nicht der Auf­tragsver­ar­beit­er, das heißt ihr seid nicht dafür ver­ant­wortlich, einen AV-Ver­trag mit eurem Auf­tragge­ber zu schließen, son­dern der Auf­tragge­ber ist ver­ant­wortlich, mit euch einen AV-Ver­trag zu haben. Das bringt euch in die kom­fort­able Sit­u­a­tion. Ihr kön­nt die AV-Verträge anbi­eten und wenn die nicht juckt und sich die Sau kratzt bei denen, ob da jet­zt ein AV oder was geschlossen ist, am Ende vom Tag lei­der Gott sei Dank nicht eure Par­ty. Ihr soll­tet und ihr werdet immer den Kun­den darauf hin­weisen, dass er sagen, naja eigentlich müsste man einen AV-Ver­trag haben. Im Sup­port-Fall, wenn ihr darauf zugreifen müsst, kön­nt ihr immer sagen, wir haben keinen AV-Ver­trag von euch vor­liegen. Reg­u­la­torisch, ein biss­chen gren­zw­er­tig, was wir hier tun. Wenn der ver­ant­wortliche Auf­tragge­ber von euch sagt, mir egal, Voll­gas, gerne per Mail, dass ihr Nach­weis habt, dann ist das so. Und in der Prax­is, genau gelebte Prax­is, meine Kun­den schließen mit allen ihren Dien­stleis­tern AV-Verträ­gen ab. Da lege ich einen sehr großen Wert und einen sehr großen Fokus drauf. Das ist eine Sisy­phus-Arbeit, weil nicht alle Dien­stleis­ter so gut aufgestellt sind, wie die Sur­f­com, die einen AV-Ver­trag so ste­hen haben, dass sie gewehrbei­fuß sind und proak­tiv auf ihren Kun­den auftreten. Und das ist in vie­len Stellen echt eine Sisy­phus-Arbeit, Dien­stleis­ter dazu zu brin­gen, mit meinen Kun­den einen AV-Ver­trag abzuschließen. Und dann muss man, dann ist das immer die Abwä­gung bei meinen Kun­den, wo ich sage, pass auf, du hast jet­zt Dien­stleis­ter XY, der funk­tion­iert nicht so, wie wir uns das denken. Er liefert keinen AV-Ver­trag oder der AV-Ver­trag sieht aus wie Bulle und du merkst, er hat halt ein­fach auch keine Sorgfalt auf das ganze The­ma. Der liefert mir keine tech­nis­chen organ­isatorischen Maß­nah­men hin­ter­her, der bockt. Und dann muss mein Kunde oder dann über­lasse ich meinem Kun­den die Entschei­dung, gehe ich mit diesem Dien­stleis­ter den Weg weit­er oder suche ich Alter­na­tiv­en? Weil das ist ja die Kon­se­quenz aus der ganzen Sache. Wenn ich einen habe, der echt Hulle ist, dann sage ich meinem Kun­den, vielle­icht ist es der Falsche. Vielle­icht dann doch eher nach einem anderen Dien­stleis­ter suchen. Das ist so gelebte Prax­is. Und ger­ade im Rede­fluss, gelebte Prax­is ist auch, nur weil ein Unternehmen groß ist, heißt es nicht zwin­gend erforder­lich, dass sie einen hohen Fokus auf den Daten­schutz haben und vernün­ftige AV-Verträge und eine Koop­er­a­tion mit den Kun­den machen. Also ich habe schon richtig tolle AV-Verträge von kleinen Unternehmen gese­hen, die sich echt sorgfältig dazu machen. Und ich habe schon absolute Dinge gese­hen von großen Unternehmen, wo ich ein­fach nur mit den Ohren geschlack­ert habe. Ich bin jet­zt der Erste, der nach so einem Ding fragt oder was. Pflicht schon seit jeher. Fokus seit DSGVO 2018 und ich schreibe dich im Jahr 2023 nach einem AV-Ver­trag an und du guckst mich an wie ein Auto. Also irgend­was scheint unrund zu laufen bei euch. Und ja, indi­vidu­elle Beratungskiste. Meine Kun­den schließen mit allen Dien­stleis­tern einen AV-Ver­trag ab. Und die, die es nicht brin­gen oder die nicht funk­tion­ieren als Dien­stleis­ter, entschei­det mein Kunde, ob er das Risiko geht, den Weg mit dem weit­erzuge­hen oder nicht. Ich berate.

[René] Ja, ist auch meine Erfahrung. Und die guten AV-Verträge, da mein­test du natür­lich. Ja, genau.

[Michael] Den muss ein König aus­gear­beit­et haben. Ja, also wie gesagt, gelebte Prax­is, du erleb­st halt bei­des. Wichtig ist halt das, was wir heute auch in dem The­ma haben, wenn wir über Auf­tragskon­trolle sagen, es muss jedem klar sein, der Unternehmer ist, wenn ihr Dien­stleis­tun­gen irgend­wo einkauft, Klas­sik­er-SAS-Soft­ware oder irgend­was, dann sind das für euch Auf­tragsver­ar­beit­er.

[Michael] Mit diesen Auf­tragsver­ar­beit­ern müsst ihr einen Auf­tragsver­ar­beitungsver­trag beschließen. Und diesen Auf­tragsver­ar­beitungsver­trag sollte nicht ach so lange in der Schublade ver­sauern, son­dern ich sage immer, jährlich, spätestens alle zwei Jahre, sollte man sich den aus der Schublade mal raus­holen und sollte den Dien­stleis­ter anschreiben und fra­gen, passt das noch? Ist das alles in Ord­nung? Und so mache ich das auch. Also auch das wieder, diese regelmäßige Prü­fung obliegt der ver­ant­wortlichen Per­son, sprich nicht meine Auf­gabe als DSB, son­dern meine Beratungsauf­gabe als DSB, den Kun­den darauf hinzuweisen. Ich habe Tem­plates, ich habe Grund­mails, ich habe Form­blät­ter, ich habe Online-Plat­tfor­men, wo wir sehr schnell, sehr effek­tiv die Auf­tragsver­ar­beit­er von meinen Kun­den abfra­gen kön­nen, mit ein paar Basic-Sachen, das ist jet­zt keine Riesen­welt. Passt der AV-Ver­trag noch? Haben sich Zuständigkeit­en geän­dert? Ist der DSB noch aktuell, der da drin ste­ht, wenn es denn so ist? Hat sich an den TOMS was geän­dert? Schickt mir doch mal die aktuellen TOMS, macht doch mal hier, sagt mir doch mal das, seid ihr sich­er? Habt ihr Mitar­beit­er im Home­of­fice? Also so ein paar Basics wer­den abgeklap­pert. Ist für den Auf­tragsver­ar­beit­er, wenn er sich dranset­zt, eine Auf­gabe von 10 Minuten, Vier­tel­stunde. Ich kriege ein Feed­back-For­mu­lar, wir kön­nen uns das anguck­en. Heften es for­mal ab, wenn alles in Ord­nung ist, dann ist der TROPS gelutscht, das ist kein Riesend­ing. Ein­fach nur ein Dran­bleiben und ein Tun. Und du iden­ti­fizierst dann halt auch immer mal wieder so ein paar Sachen. Es gibt Fir­men, die in ihrem AV-Ver­trag Daten­schutzbeauf­tragte direkt reingeschrieben haben, die es schon lange nicht mehr gibt, die aber im AV-Ver­trag drin­ste­hen haben, wenn wir den DSB ändern, informieren wir euch proak­tiv, wo nie eine Mel­dung gekom­men ist. Es gibt Dinge, wo Fir­men auf ein­mal umge­zo­gen sind in andere Räum­lichkeit­en, Rechen­zen­trum sich geän­dert haben, alles mögliche etc. pp. Und das kriegst du nur weg, wenn du regelmäßig mal ein Draht zu deinem Auf­tragsver­ar­beit­er hast und mal kurz abcheckst, passt das noch so wie es war. So wie es bei euch auch passiert.

[René] Kann ich jet­zt gar nicht so viel zu sagen, ja passiert, machen wir. Aber da bist du ja auch dann stark hin­ter­her, das ist auch gut so.

[Michael] Ein­mal Auf­tragsver­ar­beit­er. Lass die Runde mal fra­gen, wir haben noch fünf Minuten Zeit. Kurze Fra­gen in der Runde. Kön­nen wir noch Fra­gen beant­worten? Habt ihr gezielte Fra­gen, Anmerkun­gen? Habt ihr eigene Erfahrun­gen gemacht? Wie geht ihr mit Auf­tragsver­ar­beit­ern um? Wollt ihr von mir noch mal oder von uns noch mal ganz kurz einen Input kriegen, was Auf­tragsver­ar­beit­er sind? Ganz klas­sisch, jed­er der eine Web­seite hat, seine Web­seite irgend­wo gehostet. Der Host­ing-Dienst von eur­er Web­seite ist ein Auf­tragsver­ar­beit­er. Also Stra­do, Mittwald, alle wie sie da heißen, sind Auf­tragsver­ar­beit­er, mit denen müsst ihr einen AV-Ver­trag abschließen. Habt ihr Soft­ware-Sys­teme, Per­so­nio, Time­but­ler, son­stige SRSS-Soft­ware, wo ihr drauf zugreift, die ihr nutzt. Auf­tragsver­ar­beit­er. Span­nen­der wird es noch mal, gehen wir jet­zt nicht mehr ins Detail drauf ein, aber span­nen­der wird es noch mal, wenn der Dien­stleis­ter, sprich der Auf­tragsver­ar­beit­er nicht in der EU sitzt, son­dern er sitzt in einem Drit­t­land. Ameri­ka, Kana­da, Aus­tralien, Afri­ka, Rus­s­land, Brasilien etc. Dann kön­nen noch mal andere AV-Verträge und andere Dinge notwendig sein. Das muss man sich in Ruhe anschauen. Von daher immer den Fokus auf europäis­che Dien­stleis­ter. Gerne Hand heben, kommt gerne hoch, quatscht gerne eine Runde mit uns, wir haben noch ein paar Minuten Zeit. Gut, sieht jet­zt nicht danach aus, als wenn es da noch Fra­gen geben würde. Der Micha hat sie tot­ge­labert.

[René] Ja, dann würde ich noch mal übernehmen und ankündi­gen in 14 Tagen, die näch­ste users lounge, da bleiben wir auch noch mal bei den Toms, aber schließen es so ziem­lich, also zumin­d­est die Toms an sich erst­mal ab, und zwar mit dem The­ma Daten­schutz­man­age­ment. Wo wer­den die Dat­en doku­men­tiert? Gerne alle dabei sein. Bis dahin, users-launch.de besuchen, LinkedIn uns kon­tak­tieren, mit uns in Verbindung treten, immer gerne melden, wenn Fra­gen sind, auch bei The­men, die wir jet­zt vielle­icht noch gar nicht die let­zte Zeit besprochen haben oder die wir auch noch nicht angekündigt haben. Dann schauen wir, dass wir die natür­lich auch mit irgend­wo platzieren, wo es ger­ade passt, oder vielle­icht auch noch mal dazwis­chen schieben, dass wir darüber noch mal sprechen kön­nen, und ja, son­st auf allen Plat­tfor­men, YouTube, was weiß ich. Zu find­en sind wir über­all. Und so würde ich mich ehrlich gesagt schon wieder, ja, dann jet­zt ver­ab­schieden. Einen schö­nen Woch­enende, und ja, die let­zten Worte gehören dir.

[Michael] Vie­len lieben Dank, euch allen ein schönes Woch­enende, und bis in zwei Wochen. Danke, tschüss.