Darüber alleine könnte ich schon Seitenlang schreiben. Aber ich fange einfach mal klein für Euch an.
Im Datenschutz spricht man gerne  von „Rollen“…Diese Rollen vereinfacht betrachtet, beschreiben wer man im Datenschutz ist und für was man dann zuständig ist.

Betroffene Person

ist eine Person, von der Du personenbezogene Daten hast. ja unsere Kunden sind Betroffene. Es ist eine natürliche Person. Das heisst eine am Leben seiende Person aus Fleisch und Blut.

Gesellschaften oder Behörden sind keine „Betroffenen“. Behörden, Vereine oder Gesellschaften sind ja keine Personen, und daher sind deren Daten auch keine personenbezogenen Daten.

Im Gesetzestext wirst du das Wort „Betroffene“ nicht finden. Dort wird einheitlich von einer „natürlichen Person“ oder einer „betroffenen Person“ gesprochen. Rede üblich hat sich, das Wort „Betroffener“ in der Verwendung mit der DSGVO einfach durchgesetzt.
Für euch vereinfacht erklärt die Begriffe „Betroffener“, „natürliche Person“, „Datensubjekt“ und „betroffene Person“ beschreiben alle die Person die den Schaden hat – also betroffen ist.

Verantwortliche

Wenn Du Unternehmerin bist, dann bist Du die Verantwortliche. Du entscheidest wie die dir anvertrauten personenbezogenen Daten verarbeitet (verwendet) werden. Jede Verarbeitung ist nichts anderes als die Art wie du die personenbezogenen Daten verwendest.
Folgende Arten der Verwendung gibt es:

  • Erheben & Erfassen
  • Organisieren & Ordnen der personenbezogenen Daten
  • Speichern
  • Bereitstellen
  • Lagern
  • Auslesen
  • Abfragen
  • Verändern
  • Übermittlen
  • Abgleichen
  • Verknüpfungen
  • Löschen und Vernichten

Du als Verantwortliche musst geeignete und wirksame Maßnahmen treffen. Nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die von dir getroffenen Maßnahmen auch wirksam sind. Berücksichtigen. solltest du die Art, den Umfang, die Umstände und den Zwecke deiner Verarbeitung.
Damit das Risiko der Rechte und Freiheiten des Betroffenen (natürlicher Personen) so gering wie möglich halten.

Bedenke, das auch personenbezogenen Daten in Papierform sein kann (auf unterschiedlichen zetteln). Nicht nur digital!

Aufragsverarbeiter

Ist meistens ein Dienstleister.  Dieser ist Auftragnehmer der Verantwortlichen, also von Dir. Er verarbeitet die Daten in deinem Auftrag.  Dein Steuerberater oder dein Hoster sind solche Auftragsverarbeiter. Der Auftragsverarbeiter ist dir als Verantwortliche zuzurechnen (Outsourcing). Auftragsverarbeiter bezeichnet man nicht als „Dritte“.

Beispiele Dienstleister (Auftragsverarbeiter):

  • Homepage-Baukästen
  • externe Druckdienstleister
  • Hosting-Dienste
  • Archivierungs- und Aktenvernichtungsdienstleister
  • Cloud-Speicher (Dropbox, Google drive, Cloud usw.)
  • Newsletter-Dienste (Mailchimp, newsletter2go, cleverreach usw.)

Blogmojo hat verschiedenste dienstleister aufgelistet mit denen man einen AV(Auftragsverarbeitungsvertrag) abschliessen kann. Hier gehts zu Liste!

Hier ein Praxisbeispiel:
Du möchtest bei mir (sternloscreartive) eine Visitenkarte erstellen und drucken lassen. Ich bekomme von dir die dafür nötigen personenbezogenen Daten (name, Adresse, email, Telefonnummer usw.). nach der druckfreigabe über gebe ich das druckfertige PDF (darin enthalten ja deine personenbezogenen Daten)  der Druckerei. Damit ich sicherstelle das die nicht verwerfliches damit anstellen, habe ich mit all meinen Druckereien einen Auftragsverarbeitungsvertrag geschlossen. Den ich bin auch für meine Auftragsverarbeiter in weitere Folge verantwortlich.
Was sollte so alles drin stehen in einem Auftragsverarbeitungsvertrag:

  • Angaben zum Auftraggeber und Auftragnehmer
  • Kategorien der verarbeiteten Daten (z.B. E-Mailadressen, Kontaktdaten)
  • Kategorien der Verarbeitung betroffenen Personen (z.B. Kunden)
  • Zweck der Verarbeitung (z.B.Druck und Versand )
  • Vertragliche Verpflichtungen auf Befolgung von Weisungen, Genehmigung von Kontrollen, Beauftragung von Subunternehmern nur mit Zustimmung, Mitwirkung- und Information
  • Vertragsdauer
  • Technisch-organisatorische Schutzmaßnahmen (TOM´s)
  • Liste der Subunternehmer (wenn notwendig-  in meinem Praxisbeispiel Paketzusteller der Druckerei)

Den wenn du Auftragsverarbeiter auswählst die nicht nach den Maßstäben der DSGVO handeln und es kommt zu einer Datenpanne, zerstörst Du das Vertrauen Deiner Kunden in Dich.
Die schadet deiner Reputation nachhaltig. Und du musst dafür leider mithaften. Lass also Sorgfalt walken bei der Auswahl deiner Dienstleister.

Dritte

Wenn die Weitergabe von Daten zur Vertragserfüllung dient ist sie zulässig.

Gesetzlich erlaubt ist eine Weitergabe wenn zur Vertragserfüllung erforderlichen den  Interessen der Betroffenen entsprechend (Art. 6 Abs. 1 lit. b DSGVO).
Beispielsweise, du hast einen Onlineshop und gibst die Daten deiner Kunden an eine Bank oder  Zahlungsbereitsteller (z.B. Paypal) und einen Paketzusteller (z.B. DPD) zwecks Bezahlung und Zustellung weiter.

Wenn ihr genauer recherchieren möchtet, empfehle ich euch folgende Websiten:

Die österreichische Website zu unserem Datenschutzgesetz

und eine deutsche Website  https://dsgvo-gesetz.de – ich finde hier die Übersicht einfach besser.

Sehr hilfreich in der digitalen Welt auch die Seite von Blogmojo

Ich hoffe es ist mir gelungen ein klein wenig Licht in die vier Begriffe zu bringen.
Solltet ihr noch Fragen oder Anregungen zum Thema Datenschutz für Klein- und Einzelunternehmerinnen haben, stehe ich euch sehr gern zur Verfügung. Schreibt mir!

Monika Stern