SACHVERHALT
In vielen Gesprächen der letzten Monate habe ich den Eindruck gewonnen, daß viele Geschäftsführer / Vorstände von IT Unternehmen der Auswirkung einer ganz wichtigen Änderung nicht bewusst sind, die sich aus der DSGVO ergibt:
Sofern ein Tatbestand der Auftragsverarbeitung (nahezu identisch zu dem Tatbestand der Auftragsdatenverarbeitung) vorliegt, sind die IT Unternehmen ab dem 25.5.2018 verpflichtet, den Auftraggeber bei der Erfüllung der Pflichten, die diesem nach den Art 32 bis 36 DSGVO treffen, zu unterstützen. Bsp: Ab dem 25 Mai muß der Auftraggeber auf Verlangen eines Betroffenen Auskünfte darüber erteilen können, welche Daten gespeichert werden, wie diese Daten gespeichert und gelöscht und „verarbeitet“ werden. Diese Auskünfte kann der Auftraggeber meistens nicht erteilen, einfach weil ihm das technische Know How fehlt. Also müssen Dokumentationen erstellt werden, um das Verfahrensverzeichnis erstellen zu können. Weitere Beispiele: Der Auftragnehmer muß bei der Erstellung einer Datenschutzfolgenabschätzung helfen, Audits müssen durchgeführt werden, etc. Zwei Dinge sind hier zu beachten.
Wie werden diese Leistungen eingepreist? Der Kunde hat schon immer einen Anspruch darauf gehabt, daß Leistungen gesetzeskonform erbracht werden und kann sich nach meiner Ansicht berechtigt auf den Standpunkt stellen, daß die Einpreisung der erforderlichen Leistungen durch das IT Unternehmen bereits erfolgt ist. Das ist aus zwei Gründen nicht richtig.
Erstens weiß noch kein Mensch genau, wie hoch die Kosten für die erforderlichen Leistungen wirklich aussehen werden, weil es an klaren Vorgaben seitens des Gesetzegebers schlicht fehlt und die Aufsichtsbehörden bislang auch keine ausreichenden Hilfestellungen bieten. Wie genau sollen die Dokumentationen aussehen, wie viele Audits muß man kostenlos machen, wenn der Kunde einen starken Verbraucherverkehr hat und viele Querulanten viele Fragen haben? Welche Qualität verlangt die Aufsichtsbehörde bei der Erstellung einer Dokumentation?
Zweitens weiß man noch nicht, wer diese Arbeiten genau realisieren soll. Die Bereiche „Dokumentationen“ und „IT Unternehmen“ hatten bislang nur wenige Schnittpunkte. Ich kann nur jedem IT Unternehmen anraten, das Thema Dokumentation ganz anders zu betrachten als dies bislang der Fall war. Das Gesetz – die DSGVO – zwingt die IT Industrie, interne Prozesse zu etablieren, die bislang nur eine untergeordnete Rolle gespielt haben.
HINWEISE
Deshalb drei Dinge für unsere Mandanten:
- Wir geben Ihnen Checklisten anhand derer Sie einen ungefähren Eindruck darüber gewinnen können, ob und in welchem Umfang die Änderungen der DSGVO Ihr Unternehmen betreffen.
- Mein Kollege Herr Tribess führt noch einmal Sonderseminare in Hamburg und Frankfurt zu diesen Themenkomplexen durch, in denen er die berufenen Personen dazu schult, wann und wie eigentlich welche Dokumentationen zu erstellen sind.
- Regeln Sie mit Neukunden, daß die angesprochenen Unterstützungsleistungen nach Aufwand abgerechnet werden müssen.
- Sprechen Sie mit Bestandskunden, daß und wie die Kosten der bestehenden Kosten geändert werden müssen. Dies betrifft die Verträge, in denen eine Auftragsverarbeitung stattfindet.
- Überlegen Sie sich, welches Personal diese Leistung wirklich erbringen kann. Das Thema Dokumentation wird einen völlig anderen Stellenwert in dem IT Unternehmen einnehmen.
- In den Vertragsmustern zur Auftragsverarbeitung, die vom Kunden gestellt werden, werden die Kosten nicht geregelt. Ich brauche nicht zu erwähnen, wer andere Muster hat. Schicken wir Ihnen gerne.