(UPDATE) Diese Antwort sollten Sie nicht auf eine Datenschutzfrage geben

Wie Unternehmen auf Fragen ihrer Kunden zum Datenschutz reagieren, ist sehr unterschiedlich. Von Schweigen bis Unverständnis ist negativ betrachtet fast alles möglich. Eine wunderschöne und zugleich unfassbare Stilblüte ist mir gerade persönlich erst unter die Augen gekommen.

Auf der Suche nach einer guten Buchhaltungssoftware habe ich mir diverse insbesondere auch Online Dienste angesehen (i.d.R. Software as a Service Lösungen). Ich habe nach dem Test einiger Features von einigen deutschen Anbietern, die auch von anderen Webseiten als tolle und vertrauenswürdige Anbieter angepriesen werden, direkt gefragt:

„Bieten Sie auch einen Auftragsdatenverarbeitungsvertrag gemäß § 11 BDSG an?“

Eigentlich sollte es eine Selbstverständlichkeit sein, Kunden Verträge datenschutzkonform anzubieten. Das scheint aber eine Frage des nötigen Taschengeldes zu sein, zumindest für diesen Anbieter. Originalzitat:

„Guten Tag Frau Moser,
vielen Dank für Ihre Anfrage. Gerne fertigen wir für Sie eine ADV gegen eine einmalige Bearbeitungspauschale von 50€ zzg. MwSt. an. Können Sie uns kurz mitteilen, ob Sie damit einverstanden sind? In diesem Fall gebe ich Ihre Anfrage umgehend an die zuständige Abteilung weiter.
Mit freundlichen Grüßen“

Ich soll extra zahlen, damit die Nutzung des Dienstes überhaupt rechtlich ansatzweise zulässig ist? Meine Antwort inklusive Wink mit dem Zaunpfahl:

„Guten Tag Herr C.*,
vielen Dank für Ihre Antwort.
Ich bin nicht gewillt, extra Kosten zu tragen, damit ich einen rechtmäßigen Vertrag mit Ihnen bekomme.
Ich werde mir daher einen anderen Anbieter suchen.
Beste Grüße
Jana Moser“

Seine Antwort mit der wenig überzeugenden und zugleich erschreckenden Erklärung für die Extragebühr:

„Guten Tag Frau Moser,
vielen Dank für Ihre Rückmeldung. Grundsätzlich bieten wir an eine ADV auszustellen, jedoch ist das nicht selbstverständlicher Teil der Leistung, die in den (…)* Tarifen angeboten wird (vgl. Preisseite und AGB). Da es sich hier um einen Verwaltungsaufwand für uns handelt (Erstellen der ADV, Postversand, archivieren und ggf. aktualisieren in der Zukunft) erlauben wir uns hier eine einmalige Gebühr zu erheben, um diese Kosten zu decken. Die Kosten rechtfertigen wir durch den Serviceaufwand.
Mit freundlichen Grüßen“

Ich wiederhole: „nicht selbstverständlicher Teil der Leistung„.
Was soll man dazu noch sagen?

Ich nenne hier den Namen des Unternehmens bewusst nicht. Ich will mir ersparen, dass dieses Unternehmen seinen Anwalt beauftragt, um mich dazu zu bringen, diesen Post zu löschen oder zu korrigieren. Aber jeder, der das liest, sollte sich bewusst darüber sein, dass andere in gleicher Situation den Namen veröffentlichen würden. Immerhin wird hierdurch deutlich, dass ein Unternehmen im Grundsatz zwingend datenschutzrechtliche Anforderungen nicht umsetzt, „Compliance“ keine primäre Rolle zu spielen scheint oder zumindest der Support (sehr) schlecht geschult ist. So aber sind Abmahnungen oder Unterlassungsklagen in Griffweite und die Reputation ist schneller zerstört, als man „ADVV“ tippen kann.

Mit einer richtigen Unternehmensorganisation, die auch Datenschutzrecht umsetzt, kann man sich solche Stilblüten ganz einfach ersparen und Unternehmensrisiken reduzieren.

* Name von mir gekürzt, Unternehmensname von mir gelöscht.


UPDATE:
Dieses Vorgehen scheint kein Einzelfall zu sein. Im Gegenteil. Es wird noch besser! Und juristisch versucht man sich nun auch etwas:

Ein weiterer Anbieter zeigt sich auch bereit, einen ADVV auszustellen. Seine Gebühr für den ADVV schlägt dann aber gleich jährlich zu Buche:

„Sehr geehrte Frau Dr. Moser,

vielen Dank für Ihre Nachricht. Aktuell erarbeiten wir mit unserer Anwaltskanzlei eine standardisierte ADV. Leider benötigen wir hierfür noch eine Wochen.

An der Stelle möchte ich Sie allerdings darauf aufmerksam machen, dass wir aufgrund des mit einer Auftragsdatenverarbeitung verbundenen Aufwands eine jährliche Gebühr gesondert berechnen müssen. Aus dem Grund kann es Sinn machen, dass Sie prüfen, ob Sie überhaupt eine ADV benötigen (beispielsweise könnten Sie sich von Ihren Kunden in Ihren AGBs genehmigen lassen, dass Sie die Daten an uns weitergeben können; viele unserer Kunden schreiben auch Rechnungen nur an juristische Personen, die vom BDSG in dem Fall auch nicht betroffen wären).

Bei Rückfragen stehe ich Ihnen gerne zur Verfügung.
Mit freundlichen Grüßen
Herr K.“

Und ein weiterer Versuch, die Verweigerung rechtlich zu erklären:

„Guten Tag,
vielen Dank für Ihre Nachricht.
Leider können wir Ihnen Ihren Wunsch nach einem Vertrag über Auftragsdatenverarbeitung beim Produkt (…) (im Gegensatz zu zahlreichen anderen Produkten unseres Hauses) nicht erfüllen.
Wir wären Ihnen in diesem Punkt sehr gern entgegen gekommen, können dies allerdings aus grundsätzlichen Erwägungen nicht tun.
Wir arbeiten bei dem konkreten Produkt generell nicht mit einer Auftragsdatenverarbeitung. Dies hat seine Ursache darin, dass rund um das Produkt Services und Tools angebunden sind, die aus unserer Sicht eine ausdrückliche datenschutzrechtliche Einwilligung erfordern. Diese holen wir von Ihnen im Bestellprozess ein. Darüber hinaus erfolgt die Datenverarbeitung vollständig auf der Rechtsgrundlage des § 28 Abs. 1 Nr. 1 BDSG, was eine Auftragsdatenverarbeitung nach § 11 BDSG für Sie entbehrlich macht.
Darüber hinaus verfolgen wir mit kleineren Tools eigenen Interessen bei der Messung von Produktperformance, Qualität und Usability, was nach unserer Beurteilung einer Auftragsdatenverarbeitung widersprechen würden. Beispielhaft seien hier nur das Trackingtool Google Analytics und E-Mail Tool MailChimp genannt. Die Details finden Sie in unserer Datenschutzerklärung. Wir können daher nur mit einer Einwilligungslösung arbeiten und bitten für diese Entscheidung im Ihr Verständnis.
Vielen Dank.

Mit freundlichen Grüßen

Ihr Team von (…)
Herr V.“

Oder man ist einfach ehrlich, wie dieser Anbieter:
„Hallo Jana,

nein, das machen wir nicht. (…) richtet sich an kleine Unternehmen und wir möchten die Software zu einem günstigen Preis anbieten. Aus diesem Grund müssen wir den Aufwand möglichst klein halten.

Viele Grüße aus (…)
Dein (…)-Team“

Autsch!

2 Replies to “(UPDATE) Diese Antwort sollten Sie nicht auf eine Datenschutzfrage geben”

  1. Empfehlung: Senden Sie in solchen Fällen dem Unternehmen Ihre eigene eigene ADV. Stellen Sie im Zweifel klar, dass dies nicht berechnet werden darf. Dies bewirkt in einigen Fällen, dass dann auf Gebühren verzichtet wird.

    Vielleicht kann man auch die Namen der Unternehmen, welche sich weigern, Rechtskonformität ohne Zusatzgebühren herzustellen, zu listen. Vielleicht als Hashtag #ADVgegenGeld? Damit würden diese Unternehmen bekannt und man kann sich gut überlegen, ob man dort überhaupt Angebote einholt, resp. die Kosten der ADV dem Angebotspreis hinzurechnet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.