Auftragsdatenverarbeitung außerhalb der EU

Cloudanwendungen bedeuten Auftragsdatenverarbeitung mit DSGVO-Fallstricken

Maßnahmen gegen die Standortfalle bei Software in der Cloud

Manchmal schreibt das Leben viel schrägere Geschichten, als ein Schriftsteller sie sich je ausdenken könnte. Und manches Mal gewinnen wir dadurch wichtige Erkenntnisse oder es zeigt sich ein neuer gedanklicher Ansatz, wie man mit dem Thema umgehen könnte. So liefert uns ein Ereignis aus dem Geschäftsalltag das Futter zu diesem Beitrag über Auftragsdatenverarbeitung. Dabei geht es um den arglosen Umgang mit Software von Anbietern und Betreibern, die zwar einen Geschäftssitz in der EU führen, aber die Server stehen definitiv nicht dort. Damit begibt sich jedes Unternehmen, welches diese Softwares verwendet, in einen Rechtsverstoß gegen die DSGVO bzw. EU-DSGVO. Und das wiederum kann ganz schön heftig ins Auge gehen.

Warum berichten wir darüber?

Eine Berliner Firma, die regelmässig mit uns an gemeinsamen Projekten arbeitet, verwendet zur Organisation ein Ticketsystem. Hierbei kam es regelmässig zur vertraglich vereinbarten Verarbeitung unter anderem auch von personenbezogenen Daten unserer Kunden. Deshalb unterzogen wir die Serverstandorte und die Datenströme des Ticketsystems einer genaueren Überprüfung und entdeckten Erstaunliches.

Unser größtes Erstauen löste die Arglosigkeit aus, mit der selbst renomierte Unternehmen Softwaredienste einkaufen (oder weiterverkaufen), ohne die Rechtmäßigkeit des Betriebs gemäß DSGVO zu überprüfen. Und dass, obwohl dieses Regelwerk nun schon fast sechs Jahre verbindlich für alle in Deutschland aktiven Unternehmen gilt. Dabei beschlich uns der Verdacht, dass auch Ihnen, also unseren Kunden, dieser Fehler unterlaufen könnte. Also beschlossen wir, über diesen Praxisfall zu berichten und zu zeigen, was man in einem solchen Fall tun kann und sollte.

Der konkrete Fall: Auftragsdatenverarbeitung via Ticketsystem

Dieses Ticketsystem hostete unser Parnter bisher selbst auf einem eigenen, gemieteten Server in Bayern. Obwohl dieser Standort im Spaß gerne mal in Frage gestellt wird, befand sich der Server dennoch juristisch eindeutig im EU-Gebiet. Der Eigentümer des Rechenzentrums war und ist ebenfalls eindeutig eine deutsche Firma. Damit war bis dato klar: Wir brauchten lediglich eine AV-Vereinbarung unseres Partners. Der Hoster tauchte als Subunternehmer oder „Erfüllungsgehilfe“ darin auf. Also, alles bestens.