DSGVO: Datenschutz konsequent mitdenken

So schnell kann’s gehen: Ein Hamburger Unternehmen beauftragte – nichts Böses ahnend – einen spanischen Postdienstleister. Selbstverständlich verarbeitete dieser Daten mit Personenbezug, um die Postsendungen ordnungsgemäß zuzustellen. Es fehlte aber der gesetzlich geforderte Auftragsdatenverarbeitungsvertrag. Der ist immer dann notwendig, wenn Daten zur Verarbeitung weitergegeben werden. Daraufhin belegte die zuständige Datenschutzaufsicht das Hamburger Unternehmen mit einem Bußgeld von 5.000 Euro. So berichtete das IT-Fachmedium Heise Online.

Unwissenheit schützt vor Strafe nicht. Und der Aufwand, einer Strafe vorzubeugen, entschuldigt keine unzureichende Erfüllung des Datenschutzes. Dem Artikel zufolge war dem Hamburger Unternehmen klar, dass es eine Datenschutzvereinbarung benötigte. Die hätten sie gerne vom spanischen Dienstleister erhalten – von dem kam jedoch keine. Trotzdem sahen sich die Hamburger nicht verpflichtet, selbst eine zu entwerfen, mit teurer anwaltlicher Hilfe, gar noch in spanischer Sprache.

Diese Begründung hat aber die vom Unternehmen selbst zu Rate gezogene Aufsichtsbehörde wenig beeindruckt. Sie verhängte ein Bußgeld. Hinzu kommt nun doch der Aufwand für den Vertrag zur Auftragsverarbeitung.

 

„Auftragsverarbeitungsvertrag“ – mehr als nur ein Wortungetüm?

Selbstverständlich sind das Datenschutzrecht und damit einhergehende Verpflichtungen ziemlich sperrig. Das war schon unter dem alten Bundesdatenschutzgesetz so und ist mit der EU-Datenschutzgrundverordnung („DSGVO“)[1], die seit dem 25. Mai 2018 gilt, nicht besser geworden.

Umso mehr ist SAP bestrebt, es ihren Kunden so einfach wie möglich zu machen. Schon seit Jahren verwenden wir standardmäßig Auftragsverarbeitungsverträge als Bestandteil des Kundenvertrages. Die Verantwortung, die das Gesetz dem Kunden als „Verantwortlichem“ zuweist, kann SAP als „Verarbeiter“ nicht ändern. Aber unsere Expertise im Bereich Datenverarbeitung und Regulation kommt Kunden konsequent zugute.

 

SAP Concur schützt aktiv Mitarbeiterdaten

Im Auftrag von mehr als 48.000 Kunden weltweit verarbeitet SAP Concur mit Concur Travel und Concur Expense die Mitarbeiterdaten von über 58 Millionen Nutzern. In integrierten Lösungen für das Geschäftsreisemanagement ist SAP Concur Marktführer – aber auch im Bereich Datenschutz und -sicherheit.

SAP Concur setzt auf das Datenschutz-Vertragsmuster von SAP („SAP Cloud DPA“)[2]. Es ist speziell auf die DSGVO zugeschnitten. So erläutert ein eigener Anhang, welche Regelungen im DPA (Data Processing Addendum) die Anforderungen der DSGVO berücksichtigen. Vor Inkrafttreten der Verordnung am 25. Mai 2018 legte SAP Concur allen Bestandskunden ein bereits vorunterschriebenes DPA zur Gegenzeichnung und Rücksendung vor. So konnten diese sicherstellen zum Stichtag auf dem neusten Stand zu sein.

Das Vorgehen von SAP einschließlich SAP Concur hat sich tausendfach bewährt. Selbstverständlich muss sich jede Form von Datenschutz technisch und organisatorisch beweisen, Tag für Tag. Die Basis ist aber unser Kundenvertrag, der einen Auftragsverarbeitungsvertrag von vornherein standardmäßig mit einbezieht. Das verlangt nicht nur die DSGVO ausdrücklich, SAP nimmt das schon seit vielen Jahren so vor. Ohne Mehrkosten und natürlich in der Sprache des Kundenvertrages.

So werden Fälle wie die des Hamburger Versandhändlers vermieden – und Geschäftsreisen ohne Sorge um den Datenschutz geplant, gebucht und abgerechnet.

Loading next article