Sind Online Druckereien Auftragsverarbeiter?
Viele Unternehmen und Agenturen stehen bei der Aufbereitung Ihres Datenschutzes vor einigen zentralen Problemen. Vor allem die Aufarbeitung sämtlicher Dienstleister und Auftragsverarbeiter mit den entsprechenden Verfahren und den entsprechenden Zusätzen zu Verträgen (Vertrag zur Auftragsverarbeitung gem. Art. 28 Abs. 3 DSGVO).
Voraussetzungen für eine Auftragsverarbeitung bei Druckereien
Um die Voraussetzung zu überprüfen, gibt es einige Punkte, die berücksichtigt werden sollten:
„Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet — Art. 4 Abs. 8 DSGVO
Heißt konkret: Wenn ich als Verantwortlicher einen Dienst oder eine Dienstleistung (Mailing, Online-Kontaktverwaltung/Adressbuch) nutze, in der Personenbezogene Daten (z. B. Name, Anschrift, etc.) verarbeitet werden, liegt typischerweise eine Auftragsverarbeitung vor.
Ergebnis (vorab): In den meisten Fällen ja!
Rechtliche Rahmenbedingungen
Wenn man zu dem Ergebnis, dass es sich um eine Auftragsverarbeitung bzw. eine Verarbeitung im Auftrag handelt, kommt der Artikel 28 DSGVO zum Tragen. Demnach müssen einige Dinge beachtet werden, die konkret im Gesetz definiert werden. So muss z. B
- Ein Dienstleister ausgewählt werden, der hinreichende Garantien im Bereich der technisch-Organisatorischen Maßnahmen bietet und “insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen” ausreichende Sicherheit ermöglich(Erwägungsgrund 81). Insbesondere fadenscheinige Anbieter sollten einer gewissen Prüfung unterzogen werden. Als Garantien können sowohl anerkannte Verhaltensregeln wie insbesondere auch Zertifizierungen angesehen werden. Da es noch keine konkreten Datenschutzzertifizierungen gibt, könne man eine externe unabhängige Kontrolle für Garantie der Verhaltensregeln und den Bereich der ISO 27000 Reihe als Zertifikatsgarantie ansehen.
- Es muss eine Vertragliche Grundlage geschaffen werden. Diese Grundlage regelt und ermöglicht vor allem die Rechte der Betroffenen
beim Thema Auskunft, Transparenz, Löschung, Berichtigung etc. Der
Auftragnehmer (Auftragsverarbeiter) muss entsprechende Maßnahmen
ergreifen, um seiner “Mitwirkungspflicht” nachzukommen.
Ausserdem gibt es eine Weisungsbefugnis im Bereich der Verarbeitung von Personenbezogenen Daten. Nicht zuletzt regelt der Vertrag natürlich auch die Sicherheitsrichtlinien und Maßnahmen, die ergriffen werden (müssen). Diese sind entsprechen zu prüfen und auf das Niveau der Daten anzupassen (Unterschied, ob nur ein Name, eine Firma oder Gesundheitsdaten o. ä. verarbeitet werden). - OPTIONAL — Sollte ein Auftragnehmer im Ausland sitzen, wäre das eine Übermittlung von Daten ins außereuropäische Ausland. Hierfür gelten besondere Rahmenbedingugen, die im Detail nicht alle in diesem Artikel erläutert werden können. HINWEIS: Vistaprint ist keine Deutsche Firma. Es gibt zentrale Anlagen in den USA und eine Verwaltungseinheit in den Niederlanden.
Verarbeitung (Online) Druckereien Personenbezogene Daten?
Im ersten Moment würde man nicht auf die Idee kommen, dass Online-Druckereien Personenbezogene Daten verarbeiten. Und vor allem nicht im Auftrag (das Druckereien Rechnungen stellen ist ja klar).
Aber: Schaut man genauer hin, findet man bei Druckereien eine Verarbeitung von Personenbezogenen Daten im Auftrag. Beispiele:
- Online-Adressverwaltung
- Lieferanschriften-Verwaltung von Kunden
- Visitenkarten mit Namen auf den entsprechenden Karten
- Mailings für Kunden (Adressierte Postsendungen)
Insbesondere beim letzten Punkt sind sowohl offline, wie auch online Druckereien mit einer Masse von Personenbezogenen Daten konfrontiert. Hier müssen in jedem Fall Regelungen getroffen werden. Grundsätzlich liegt aber bei allen der o. g. Punkten eine Auftragsverarbeitung vor.
Was muss ich tun? Wer bietet einen Vertrag?
Fragen Sie bei Ihrer Druckerei oder Online-Druckerei nach. Wir haben bereits einige Anfragen bei den größten Druckereien gemacht und folgende Erfahrungen gemacht:
Flyeralarm
Flyeralarm war in unserem Anfragentest eine der ersten Druckereien, die ohne weitere Diskussion unsere Auffassung der Datenverarbeitung geteilt hat.
Fragen Sie am besten Direkt nach einem Vertrag zur Auftragsverarbeitung bei Flyeralarm an. Leider hat die verschlüsselte Kommunikation in unserem Fall leider nicht geklappt bzw. wurde unverschlüsselt von einer anderen Adresse beantwortet. Zuständig ist bei Flyealarm die Rechtsabteilung (Legal Department)
Vistaprint nicht DSGVO konform
Vistaprint hat nach mehreren Anfragen weder verstanden, was wir genau wollten, noch haben Sie eine entsprechende Antwort mitgeteilt. Zentraler Antwortbegriff ist “Sollten Sie spezielle Anfragen zu unserem Unternehmen haben, dann möchte ich Sie bitten, dass Sie diese per Post an die Adresse aus unserem Impressum senden.”
Achtung: Ohne Vertrag darf Vistaprint nicht für die Verarbeitung von Kundendaten oder Mitarbeiterdaten genutzt werden! Das gilt insbesondere für Visitenkarten, Online-Adressverwaltung, Lieferadressen von Kunden sowie Post-Mailings.
Auch die Aufnahme des Telefonats erfolgt ohne Opt-In. was nach aktuellem Rechtsstand rechtswidrig sein dürfte.
Anmerkung: Wir fragen nun die Datenschutzaufsicht in den Niederlanden an.
UPDATE: Der Telefonsupport konnte leider nicht helfen. Die sind schlecht informiert und verweisen auf einen Postversand an die Zentrale in den Niederlanden.
Printplanet
Printplanet ist gerade in Arbeit. Unsere Anfrage wurde leider noch nicht beantwortet. Allerdings waren hier bereits alle im Thema. Updates folgen.
Beim Blick auf die Webseite sind hier jedoch viele Baustellen, sodass eine Zuverlässigkeit nach Artikel 28 Abs. 1 DSGVO (Garantien, Zuverlässigkeit, etc.) schon fast schwer zu argumentieren sind, sodass eine Beauftragung als Datenverarbeiter grundsätzlich in Frage zu stellen ist.
Wir-machen-Druck — noch nicht fertig
Hier wurde unsere Anfrage nach 10 Tagen leider nicht beantwortet. Der Telefonsupport hatte dann auch noch einmal persönlich nachgefragt.
Stand heute: Keine Auftragsverarbeitung im Auftrag möglich. Das wäre streng genommen schon nach altem Recht (BDSG a.F.) schon nicht möglich
Was mache ich, wenn eine Druckerei keinen Vertrag zu Auftragsverarbeitung anbietet?
Sollten die Druckereien keinen Vertrag anbieten, ist es natürlich ihr gutes Recht, selbst einen Vertrag anzubieten. Vorlagen finden Sie z. B. bei der Gesellschaft für Datenschutz und Datensicherheit (GDD) oder dem Branchenverband Bitkom.
Nicht vergessen
Sämtliche Verarbeitungsvorgänge müssen in der Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden. Auch eine Lieferadressenverwaltung bei einer Online-Druckerei und das Postmailing sind Verfahren. Hier muss dann insbes. der Auftragsverarbeiter mit aufgenommen werden.
Aufpassen sollten Sie, wenn Sie Postmailings kuvertiert im Bereich des Gesundheitswesens verschicken, da u. U. durch ihr Mailing auf eine Krankheit o. ä. geschlossen werden kann. Diese Verarbeitung unterliegen besonderen Schutzmaßnahmen. Hier sollte eine sorgfältige Auswahl eines Dienstleisters und der Technisch-Organisatorischen Maßnahmen getroffen werden.
Das gilt insbes. auch für die Übermittlung der Adressdaten und die Speicherung über den Versand hinaus. Letzteres dürfte i. d. R. nicht erlaubt sein.