Auftragsverarbeitung 

Auftragsverarbeitung gemäß DSGVO

Das wichtigste in Kürze

Unsere Vereinbarung zur Auftragsverarbeitung regelt das Erheben, Verarbeiten oder Nutzen personenbezogener Daten durch uns als Ihr Dienstleister für Telekommunikationsservices. Die Grundlage für diese Zusammenarbeit ist ein schriftlicher Vertrag (kurz: AV-Vertrag). Maßgeblich für diese Auftragsverarbeitung sind derzeit der § 11 BDSG, Artikel 17 der EU-Datenschutzrichtlinie, sowie ab dem 25.5.2018 die etwas detaillierteren Regelungen aus Artikel 28 DSGVO.

Wie bekomme ich meinen AV-Vertrag?

Ihren AV-Vertrag können Sie jetzt direkt online mit uns abschließen. Sie bekommen Ihren AV-Vertrag innerhalb weniger Minuten von einem unserer Mitarbeiter per E-Mail zugestellt. Den AV-Vertrag können Sie vorab hier einsehen.

Wozu brauche ich das?

Die Europäische Union hat mit der „General Data Protection Regulation“ (GDPR, oder auf deutsch DSGVO) die Speicherung und die Verarbeitung von Daten neu geregelt. Daraus ergeben sich wichtige neue Rechte für Konsumenten, wie z.B. das Recht auf Information, Zugang, Fehlerkorrektur, Löschung, Beschränkung der Verwendung und zur Mitnahme („data portability“).

Die GDPR/DSGVO betrifft derzeit nur Firmen und Organisationen und ganz besonders solche mit mehr als 250 Mitarbeitern. Privatpersonen sind explizit ausgenommen. Wenn Sie aber beispielsweise als Freelancer Daten erheben, speichern und weiterverarbeiten, sind Sie betroffen, selbst wenn das „Daten erheben“ nur im Anlegen eines Adressbucheintrages bei einem Online-Service wie bei sipgate besteht.

Seit der Neuregelung sind Unternehmen dazu verpflichtet, alle Ihre Daten-verarbeitenden Dienstleister (wie z.B. sipgate) auf die Einhaltung der GDPR/DSGVO zu überprüfen und entsprechende Verträge mit ihnen zu schließen (wie unsere Auftragsverarbeitung).

Jetzt Vertrag zur Auftragsverarbeitung anlegen

AV-Vertrag jetzt abschließen

Als sipgate Kunde können Sie Ihren AV-Vertrag direkt online kostenlos in nur einer Minute abschließen.

Would you prefer this in English?

Häufig gestellte Fragen

Muss ein AV-Vertrag nicht schriftlich auf Papier geschlossen werden?

Früher war das so, richtig. Der Vertrag für die Auftragsverarbeitung kann nach der neuen DSGVO jetzt allerdings auch elektronisch geschlossen werden (siehe Art. 28 Abs. 9 DSGVO).

Die DSGVO ist erst ab 25.05.2018 anzuwenden, d.h. ein elektronisch geschlossener AV-Vertrag gilt streng genommen auch erst ab diesem Tag. Allerdings hindert Sie niemand daran, den Vertrag auch vor dem 25.5. schon auszudrucken und somit eine schriftliche Version in der Hand zu halten.

Muss ein AV-Vertrag nicht in PDF-Form, fälschungssicher und/oder digital signiert sein?

Die Zusendung des Vertrages per Email hält die Formerfordernisse ein. Das „elektronische Format“, das die DSGVO fordert, wird so ausgelegt, dass es den Anforderungen des § 126b BGB (die sog. Textform) entsprechen muss. Bei der Textform geht es im Kern darum, dass die abgegebene Erklärung zur „dauerhaften Wiedergabe“ geeignet sein muss. Das ist durch eine Email gewährleistet (wie z.B. auch nachzulesen bei Palandt/Ellenberger, § 126b, Rn. 3).

Der Ihnen von uns per Email zugesendete Vertragstext ist zur dauerhaften Wiedergabe geeignet, es besteht nämlich seitens der sipgate GmbH keinerlei Möglichkeit, diesen nachträglich zu ändern. Die E-Mail können Sie zunächst dauerhaft abspeichern, den Vertragstext können Sie zudem problemlos zur Aufbewahrung in Papierform ausdrucken. Wir gehen daher davon aus, dass die Zusendung des Vertragstextes per Email (natürlich unter Angabe der vollständigen Kontaktdaten beider Vertragsparteien im Vertragstext) die Formvorschrift des Art. 28 Abs. 9 DSGVO in Verbindung mit § 126b BGB wahrt.

Brauche ich überhaupt einen AV-Vertrag?

Viele unserer Kunden bzw. deren Datenschutzbeauftragte gehen davon aus, dass eine Auftragsverarbeitung im Rahmen der Nutzung der Dienste von sipgate vorliegt. Vor diesem Hintergrund stellen wir eine Vorlage zur Verfügung, auch wenn wir selbst die Auffassung vertreten, dass eine Auftragsverarbeitung nicht vorliegt.

Die Rechtslage ist nach wie vor leider etwas unklar. Jedenfalls ist eine derartige Vereinbarung nicht schädlich.

Auf welcher rechtlichen Grundlage basiert der AV-Vertrag?

Maßgeblich für diese Auftragsverarbeitung sind derzeit der § 11 BDSG, Artikel 17 der EU-Datenschutzrichtlinie, sowie ab dem 25.5.2018 die etwas detaillierteren Regelungen aus Artikel 28 DSGVO.

Ich habe meinen AV-Vertrag verlegt. Können Sie mir diesen nochmal zuschicken?

Gerne. Bitte füllen Sie einfach das oben genannte Formular kurz erneut aus. Sie bekommen dann den Vertrag von einem unserer Mitarbeiter erneut per E-Mail zugeschickt.

Mein Datenschutzbeauftragter oder Rechtsanwalt hat Änderungswünsche am Vertrag. Können Sie die einfließen lassen?

Das Abschließen von AV/ADV-Verträgen ist für uns ein Massengeschäft. Wir bitten um Verständnis dafür, dass wir keine individuellen Änderungen oder Anpassungen an dem Vertrag umsetzen können.

Bekomme ich eine unterschriebene Kopie für meine Unterlagen?

Nein. Angesichts der hohen Anzahl an Kunden und der entsprechend hohen Anzahl an Verträgen, die wir schließen müssen, bitten wir um Verständnis dafür, dass ein Vertragsschluss ausschließlich elektronisch erfolgen kann.

Wieso nutzen Sie einen Google-Dienst zur Erstellung der AV-Vereinbarung? Ist eine DSGVO-konforme Datenverarbeitung gewährleistet?

Wir haben sowohl eine AVV als auch die Standardklauseln mit Google abgeschlossen und gehen daher davon aus, dass eine zulässige und DSGVO-konforme Datenverarbeitung vorliegt. In Kürze wird diese Datenverarbeitung auch in die Datenschutzerklärung der sipgate GmbH aufgenommen.

Gibt es den AVV auch auf Englisch?

Derzeit noch nicht, aber wir arbeiten an einer Übersetzung. Erste Informationen auf Englisch finden Sie unter sipgate.co.uk/gdpr.

Gibt es eine Zertifizierung nach ISO 27001?

Nein, eine Zertifizierung nach ISO 27001 besteht für die sipgate GmbH nicht. Die agile Arbeitsweise der sipgate GmbH macht eine Zertifizierung so gut wie unmöglich, da die Entwicklungszyklen für Software bei uns extrem kurz sind das nicht zu einer Zertifizierung passt.

Die sipgate GmbH arbeitet jedoch ausschließlich mit nach ISO 27001 zertifizierten Rechenzentren zusammen und wird regelmäßig von der zuständigen Aufsichtsbehörde, der Bundesnetzagentur, im Hinblick auf die Einhaltung der Vorgaben des Telekommunikationsgesetzes hin überprüft. Im Rahmen der Verpflichtungen nach dem Telekommunikationsgesetz hat die sipgate GmbH der Aufsichtsbehörde ein umfangreiches Sicherheitskonzept vorzulegen, das unter anderem Vorgaben zur Datensicherheit enthält. Weiterhin verarbeitet die sipgate GmbH auch Kreditkartenzahlungsdaten und hält die entsprechenden Vorgaben ein (PCI-Compliance).