Sie brauchen eine Vereinbarung über die Verarbeitung von personenbezogenen Daten im Auftrag, wenn Dienstleister in Ihrem Auftrag personenbezogene Daten erheben oder verarbeiten. Dabei spielt keine Rolle, was Inhalt des Hauptvertrages ist. Ein Vertrag über die Wartung Ihrer Server verlangt dies ebenso wie die Beauftragung eines E-Mail-Marketing-Dienstleisters oder das Outsourcing Ihres Shop-Systems. Immer wenn externe Dienstleister Zugriff auf Arbeitnehmer- oder Kundendaten erhalten, sollte eine entsprechende Vereinbarung geschlossen werden. Einzelheiten zu Auftragsdatenverarbeitungsverhältnissen finden sich in Abschnitten 6.5.2 (für Tracking-Dienstleister) und 10.5.3 (für E-Mail-Marketing-Provider) im Buch.

Die folgende Vereinbarung ist ein Standard für die Beauftragung eines E-Mail-Marketing-Dienstleisters mit Sitz innerhalb der Europäischen Union. Das Muster geht davon aus, dass es einen Hauptvertrag gibt, der auf unbestimmte Zeit läuft und nach Ablauf einer Mindestlaufzeit unter Einhaltung einer Kündigungsfrist ordentlich gekündigt werden kann. Die technischen und organisatorischen Maßnahmen in Anlage 2 des Musters dürfen nicht einfach übernommen werden. Ihr Dienstleister muss hier im Detail beschreiben, welche Maßnahmen er vornimmt. Die einzelnen aufgeführten Punkte sind lediglich Beispiele. Es ist nicht notwendig, dass davon alles erfüllt vorliegt. Andererseits kann es im Einzelfall sein, dass weitere technische oder organisatorische Maßnahmen erforderlich sind.

Die Vereinbarung basiert auf der Rechtslage vor Inkrafttreten der Datenschutzgrundverordnung im Mai 2018. Spätestens danach sind Anpassungen notwendig.

Das Unternehmen ist als Auftraggeber bezeichnet, der Dienstleister ist der Auftragnehmer.

Muster: ADV-Vereinbarung