Ein Verantwortlicher entscheidet über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten. Die Verantwortung für eine rechtmäßige Datenverarbeitung liegt daher hauptsächlich bei diesem.
In jedem Fall ist es für den Verantwortlichen verpflichtend, mit allen Auftragsverarbeitern (alle an der Planung und Umsetzung der Veranstaltung beteiligten Unternehmen, die mit Daten der Teilnehmer in Kontakt kommen, Details siehe unten) eine sogenannte Auftragsverarbeitervereinbarung (auch als AVV bekannt) abzuschließen. Die Verantwortung dafür liegt beim Verantwortlichen als Veranstalter.
Tipp
Wenn Sie selbst über keinen Auftragsverarbeitervereinbarung verfügen, fragen Sie bei Ihren Auftragsverarbeitern nach. Diese bieten häufig eine bereits auf ihren spezifischen Anwendungsfall abgestimmte Vereinbarung an, die gegebenenfalls an Ihre Anforderungen angepasst werden kann. Auch Interessenvertretungen wie die Wirtschaftskammer und andere Organisationen bieten kostenlose Muster für die Auftragsverarbeiter-Vereinbarung an.
Eine Auswahl an Musterverträgen – inklusive der Auftragsverarbeitervereinbarung von Invitario – finden Sie hier.
Über die Auswahl qualifizierter Auftragsverarbeiter
Bei der Auswahl von Auftragsverarbeitern sollten Verantwortliche nichts dem Zufall überlassen, es besteht eine hohe Sorgfaltspflicht. Die Auftragsverarbeiter müssen hinreichend Garantien dafür bieten, dass geeignete Technische und Organisatorische Maßnahmen (auch TOM genannt) vorhanden sind und derart durchgeführt werden, dass die Verarbeitung im Einklang mit der DSGVO erfolgt und der Schutz der Rechte der Betroffenen – also der Teilnehmer – jederzeit gewährleistet ist. In jedem Fall ist es für den Verantwortlichen verpflichtend, mit allen Auftragsverarbeitern eine sogenannte Auftragsverarbeitervereinbarung (kurz auch AVV genannt) abzuschließen.
Der Verantwortliche ist nach DSGVO nämlich dazu verpflichtet, sich zu vergewissern, dass der Auftragsverarbeiter glaubwürdig ist und nach den Anforderungen der DSGVO arbeitet, um eine dementsprechende Auftragsverarbeitervereinbarung abschließen zu können. Widrigenfalls kann es sich um ein Auswahlverschulden handeln, für das der Veranstalter haftet. Der Abschluss der Auftragsverarbeitervereinbarung sollte daher immer der erste Schritt im Rahmen der Beauftragung sein, da ohne Vertragsgrundlage – streng rechtlich gesehen – vom Auftragsverarbeiter vorher keine Daten verarbeitet werden dürfen.
Tipp: Sprechen Sie das Thema Datenschutz bereits bei der Geschäftsanbahnung mit dem Dienstleister an und stellen Sie sicher, dass der Auftragsverarbeitervertrag im Rahmen der Beauftragung des Auftragsverarbeiters an Ihre Anforderungen angepasst wird. Für den Verantwortlichen sollte die Auftragsverarbeitervereinbarung genauso relevant wie die eigentliche Beauftragung des Unternehmens sein.
Übermittlung von Daten an Auftragsverarbeiter
Stellen Sie vor jeder Übermittlung sicher, dass nur jene Daten an Ihre Auftragsverarbeiter übermittelt werden, die unbedingt für deren Leistungserbringung erforderlich sind. Verzichten Sie also auf alle zusätzlichen Informationen, die für den Auftragsverarbeiter keinen Nutzen haben. Die DSGVO spricht hier vom Prinzip der „Datensparsamkeit“. Verzichten Sie unbedingt darauf, Informationen zu übermitteln, die mit der Veranstaltung in keinem Zusammenhang stehen. Übermitteln Sie beispielsweise keine Daten von Personen, die nicht zur Veranstaltung eingeladen werden sollen. Prüfen Sie Ihre Dateien vor einer Übermittlung immer darauf, dass keine nicht erforderlichen Tabellenblätter enthalten sind und ungewollte Daten nicht nur ausgeblendet, sondern tatsächlich nicht in der Datei enthalten sind.
Bevor Sie Daten an Auftragsverarbeiter übermitteln, sollten diese unbedingt verschlüsselt werden. Eine ungeschützte Übermittlung per E-Mail kommt einer freien Veröffentlichung der Daten gleich. Im Idealfall bietet sich die Möglichkeit eines sicheren Datenuploads, wie er auch von Invitario angeboten wird: Über eine durch SSL-Zertifikat verschlüsselte Verbindung können Daten sicher in den Invitario-Account importiert werden.
Tipp: Erstellen Sie vor jeder Veranstaltung ein Datenkonzept und legen Sie für jeden Ihrer Auftragsverarbeiter nur jene Informationen fest, die von diesen zur Leistungserbringung unbedingt benötigt werden. Während das Unternehmen, das mit der Umsetzung der Einladung der Teilnehmer beauftragt wird, alle Kontaktdaten samt Adresse einer Person benötigt, sind beispielsweise für die Erstellung von Namenskärtchen lediglich die Namen der Teilnehmer erforderlich. Erstellen Sie daher für jeden Auftragsverarbeiter eine eigene Datei, die nur die jeweils relevanten Daten enthält.