Datenschutz-Akademie » Datenschutz-Wiki » Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeitung und Auftragsverarbeitungsvertrag

Auftragsverarbeitungsvertrag (AVV) DSGVO-konform erstellen

Wenn personenbezogene Daten im Auftrag Ihres Unternehmens von einem externen Dienstleistern verarbeitet werden, müssen Sie als Auftraggeber und der externe Dienstleister als Auftragnehmer einen gesonderten Vertrag schließen. Dieser Vertrag regelt unter welchen Vorgaben die Verarbeitung von personenbezogenen Daten erfolgen darf.

Klassische Beispiele für einen Auftragsverarbeitung sind die Inanspruchnahme der Dienstleistung von externen Rechenzentren, Softwareanbietern oder auch Lettershops für Marketing-Maßnahmen. Doch gibt es eigentlich eine Unterschied zwischen dem  Auftragsdatenverarbeitungsvertrag und dem Auftragsverarbeitungsvertrag? Welche Informationen muss ein solcher Vertrag enthalten um den Anforderungen der DSGVO zu genügen?

Im nachfolgenden Beitrag erklären wir Ihnen, wie Sie Auftragsverarbeitungsverträge (AVV) DSGVO-konform erstellen können.

Wichtigste Informationen zur Auftragsverarbeitung und Auftragsverarbeitungsvertrag

  • Bei der Verarbeitung personenbezogener Daten durch externe Unternehmen findet eine Auftragsverarbeitung statt; aber nicht jede Weitergabe der Daten stellt Auftragsverarbeitung dar (bspw. An Steuerberater, Bank,…)
  • In Folge einer Auftragsverarbeitung ist ein Auftragsverarbeitungsvertrag nötig, welcher Rechte und Pflichten des Aufraggebern und -nehmers aufzeigt
  • Ein fehlender oder mangelhaft aufgesetzter Auftragsverarbeitungsvertrag kann mit hohen Bußgeldern geahndet werden, wobei auch der Auftragsverarbeiter haftbar ist
  • Hauptverantwortlicher für die Erfüllung der DSGVO ist der Auftraggeber

Inhalte zur Auftragsverarbeitung und Auftragsverarbeitungsvertrag

Wann ist die Rede von Auftragsverarbeitung?

Beauftragt Ihr Unternehmen externe Dienstleister mit der Verarbeitung personenbezogener Daten, findet (fast immer) eine Auftragsverarbeitung statt. Dabei sind Sie als Auftraggeber für eine ordnungsgemäße Datenverarbeitung und den Schutz der Daten verantwortlich. Festgelegt wurde dies bereits in § 62 BDSG (neu) und ist neu geregelt in Art. 28 DSGVO zu finden.

Beispiele für Auftragsverarbeitung sind:

  • Ganz oder teilweise outgesourcte Rechenzentren
  • Marketingaktionen (Bsp. Kundenumfragen oder Newsletter) durch externe Dienstleister
  • Externe Buchhaltung
  • Nutzung von Tracking Software

Aber nicht jede Weitergabe personenbezogener Daten stellt eine Auftragsverarbeitung dar. Entscheidend ist die Weisungsbindung. Können externe Dienstleister frei entscheiden, was mit den Daten Ihres Unternehmers geschieht, ohne dass sie an Ihre Weisungen gebunden sind, spricht man von einer Funktionsübertragung. Diese ist nicht als Auftragsverarbeitung zu werten.

Wie funktioniert die Auftragsverarbeitung nach DSGVO?

  1. Vor Beginn der Auftragsverarbeitung muss ein AV-Vertrag geschlossen werden, darin wird ein Konzept zur Umsetzung der Datenschutzanforderungen festgelegt.
  2. Die Einhaltung der datenschutzrechtlichen Vorgaben durch den Auftragsverarbeiter muss regelmäßig vom Auftraggeber überprüft werden.
    1. Dies kann durch tatsächliche Kontrollen vor Ort, schriftliche Auskünfte, Berichte durch den betriebseigenen Datenschutzbeauftragten oder durch einen Sachverständigenbericht erfolgen.
    2. Art und Abstände zwischen den Kontrollmaßnahmen ist abhängig von der Anzahl sowie dem Umfang der übermittelten Daten, eine genaue Vorgabe durch ein Gesetz existiert zum jetzigen Zeitpunkt nicht.
  3. Alle Überprüfungen des Auftragnehmers müssen dokumentiert werden

Was ist ein Auftragsverarbeitungsvertrag?

Der Auftragsverarbeitungsvertrag (kurz AV-Vertrag oder AVV) nach Art. 28 DSGVO, muss abgeschlossen werden, wenn ein Unternehmen personenbezogene Daten von Dritten, beziehungsweise Dienstleistern verarbeiten lässt. Er tritt somit an die Stelle des Auftragsdatenverarbeitungsvertrags (kurz ADV-Vertrag) des BDSG.

Ein AV-Vertrag soll gewährleisten, dass Dienstleister die Daten nur zu Zwecken verarbeiteten, für die der Auftraggeber diese erhoben hat und untersagt damit eine Verwendung zu eignen Zwecken. Zudem verpflichtet der AVV Dienstleister dazu die ihnen anvertrauten Daten mit entsprechenden Maßnahmen zu schützen. Da der Verantwortliche für den Schutz der Daten nach DSGVO der Auftraggeber bleibt, werden diesem im Vertrag umfassende Kontrollrechte eingeräumt.

Was ist der Unterschied zwischen AVV nach DSGVO und ADV nach BDSG?

Mit dem Inkrafttreten der DSGVO 2018, trat der Auftragsverarbeitungsvertrag an die Stelle des Auftragsdatenverarbeitungsvertrag des BDSG. Damit einher gingen einige Änderungen und Anpassungen angefangen bei der Bezeichnung. So wurde aus dem ADV-Vertrag der AV-Vertrag.

Aber auch inhaltlich erfolgten Anpassungen, welche auch die Pflichten und Verantwortungen der Auftragsverarbeiter betrafen. So sind sie nun unter anderem zur Verschwiegenheit und Unterstützung des Auftraggebers bei Anfragen von Betroffenen und ähnlichem verpflichtet.

Eine weitere Neuerung betraf die Haftung von Auftragsverarbeiter und Auftraggeber. Diese haften nun gemeinsam gegenüber Betroffenen, wobei die Haftung der Auftragsverarbeiter auf Verstöße beschränkt ist, welche aus einer Verletzung der im AV-Vertrag konkret festgelegten Pflichten resultiert.

Hinweis

Mit Inkrafttreten der DSGVO 2018, trat der Auftragsverarbeitungsvertrag (AVV) an die Stelle des Auftragsdatenverarbeitungsvertrag (ADV) des BDSG.

Was beinhaltet ein Auftragsverarbeitungsvertrag?

Zum Schließen eines DSGVO-konformen AV-Vertrags, sind unter anderem folgende Aspekte gemäß Art. 28 Abs. 3  rechtlich festzulegen:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Pflichten und Rechte des Verantwortlichen
  • Ergreifung von geeigneten technisch-organisatorischen Maßnahmen (TOM) zum Schutz personenbezogener Daten
  • Umfang der Weisungsbefugnisse
  • Pflichten und Rechte des Auftragsverarbeiters
  • Verpflichtung zur Verschwiegenheit
  • Meldepflicht des Auftragnehmers
  • Mitwirkungspflicht/ Unterstützung durch den Auftragsnehmer
  • Kontrollbefugnisse
  • Rechtmäßige Hinzuziehung von Subunternehmern
  • Wahrung der Betroffenenrechte
  • Dauer des Auftrags
  • Beendigung mit Rückgabe oder Löschung der Daten des Auftragsverarbeiters
  • Schlussbestimmungen

Um die rechtliche Absicherung auch langfristig gewährleisten zu können ist es nötig die Auftragsverarbeitungs-Verträge regelmäßig zu überprüfen. Hierbei unterstützt Sie die Robin Data Software. Geben Sie dafür einfach einen Verantwortlichen und das Datum der geplanten Überprüfung ein und Robin Data erinnert den Verantwortlichen an diese Tätigkeit. Nebenbei wird zudem ein Tätigkeitsbericht nach DSGVO erstellt.

Aufgaben des Auftraggebers und Auftragnehmers

  • Auftraggeber
  • Schriftlicher oder elektronischer AV-Vertrag, welcher konkrete Aspekte der Auftragsverarbeitung regelt
  • Kontrolle der im AVV festgelegten Datenschutzmaßnahmen
  • Verantwortlicher für die Einhaltung der Datenschutzvorschriften und dem Schutz der Daten
  • Auftragnehmer
  • Auftraggeber bei der Umsetzung der datenschutzrechtlichen Vorgaben unterstützen
  • Datenschutzkonzept erstellen, welches die Arbeitsverarbeitung beinhaltet
  • Zu Verfügung stellen von rechtssicheren AVV vorbereiten

Wer gilt als Auftragsverarbeiter?

Als Auftragsverarbeiter gilt gemäß Art. 4 Nr. 8 der DSGVO eine Person oder Stelle, welche personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Dies können natürliche oder juristische Personen sein, sowie Behörden, Einrichtungen oder andere Stellen.

Welche Pflichten haben Auftragsverarbeiter?

  • Pflicht Daten ausschließlich gemäß den vertraglich im AVV geregelten Weisungen zu verarbeiten
  • Verschwiegenheitspflicht
  • Pflicht den Auftraggeber bei der Einhaltung der datenschutzrechtlichen Pflichten zu unterstützen, sowie bei Betroffenenanfragen und weiteren Datenschutz-Anforderungen
  • Pflicht geeignete technisch organisatorische Maßnahmen zum Schutz der Daten zu ergreifen
  • Pflicht Datenschutzverletzungen sofort an die Aufsichtsbehörde sowie die Betroffenen zu melden
  • Pflicht Datenschutz-Folgeabschätzungen durchzuführen

Zu finden sind die Pflichten der Auftragsverarbeiter in Artikel 28 bis Artikel 36 der DSGVO.

Welche Bedeutung haben AV-Verträge für Unternehmen?

AV-Verträge verschaffen sowohl Ihnen als auch dem Auftragsverarbeiter Klarheit, indem unter anderem Befugnisse, Weisungen und den Zweck der Verarbeitung geregelt werden. Auch werden Rechte und Pflichten eindeutig festgelegt wodurch eine gewisse Sicherheit geschaffen wird. Im Falle eines Datenschutzverstoßes durch den Auftragsverarbeiter, kann durch den AV-Vertrag ein Nachweis erbracht werden, dass die Verantwortung in seinem Aufgabenbereich lag. Dennoch bleibt die Hauptverantwortlichkeit beim Auftraggeber.

Wann muss ein AV-Vertrag geschlossen werden?

Eine pauschale Aussage darüber, wann ein Auftragsverarbeitungsvertrag geschlossen werden muss, ist nicht möglich. Entscheidend ist die Beziehung des Auftraggebers und des Auftragnehmers. Handelt der Auftragsnehmer weisungsbefugt im Auftrag eines Unternehmens, ist die Schließung eines AV-Vertrags erforderlich. Liegt keine Weisungsbefugnis vor, muss kein AVV geschlossen werden.

Was passiert, wenn kein Vertrag zur Auftragsverarbeitung abgeschlossen wird?

Sollte ein Auftragsverarbeitungsvertrag gänzlich fehlen, obwohl dieser erforderlich ist, sieht die DSGVO in Art. 83, wie vorher schon das BDSG nach § 43 Bußgelder vor. Im Unterschied zum BDSG, wurden diese mit der DSGVO deutlich erhöht und können nun bis zu 20 Mio. € beziehungsweise bis zu 4% des weltweit erwirtschafteten Jahresumsatzes betragen.

Auch bei mangelnder Umsetzung, Unvollständigkeit des AV-Vertrages und nicht befolgten Anweisungen bei der Datenübertragung können Bußgelder drohen. Hinzukommt, dass Verbraucher auf Schadensersatz klagen können, wenn ein Nachweis des Datenmissbrauchs erbracht werden kann.

In diesem Falle haften gemäß DSGVO Auftraggeber und Auftragnehmer gemeinsam, wobei beide Parteien die Möglichkeit haben ihre Unschuld nachzuweisen. Ohne AVV ist dies aber schwer bis kaum möglich, wodurch weitere Kosten entstehen können.

Wann wird generell kein Auftragsverarbeitungsvertrag benötigt?

Ein Auftragsverarbeitungsvertrag wird dann hinfällig, wenn Datenverarbeiter aufgrund gewerbespezifischer oder auch berufsständischer Anordnungen bereits zum Schutz von personenbezogenen Daten verpflichtet sind. So stellen Inanspruchnahmen von bspw. Steuerberatern, Banken oder Wirtschaftsprüfern Fachleistungen dar, welche keinen AV-Vertag benötigen.

Was muss bei der Auftragsverarbeitung im Ausland beachtet werden?

Bereits im Bundesdatenschutzgesetz wurde eine Verarbeitung von personenbezogenen Daten im Ausland geregelt. Diese Regelung hat sich unter der DSGVO kaum geändert und sieht vor, dass im Inland erhobene Daten nicht ohne Zustimmung der Betroffenen oder eine gesetzliche Erlaubnis ins Ausland abgeführt werden dürfen.

Ausgenommen von dieser Regelung sind Mitgliedstaaten der EU bzw. des Europäischen Wirtschaftsraums, sowie Länder mit einem angemessenen Datenschutzniveau. Eine Liste mit Ländern, welche über ein angemessenes Sicherheitsniveau verfügen, sowie weitere Informationen zum Thema Datenübertragung ins Ausland finden Sie hier.  Die Auftragsverarbeitung in Drittsaaten oder Drittländer ist unter Berücksichtigung und Umsetzung bestimmter Maßnahmen möglich.

Was muss die Datenschutzerklärung hinsichtlich der Auftragsverarbeitung enthalten?

Die Datenschutzerklärung einer Website sollte aufzeigen, durch wen Nutzerdaten verarbeitet werden. Auch Tracking-Dienste wie Google Analytics sollten als externe Dienstleister aufgeführt werden, um Strafen und Bußgelder zu vermeiden.

Können Muster-Verträge zur Erstellung eines AV-Vertrags genutzt werden?

Mustervorlagen können zur Erstellung eines Auftragsverarbeitungsvertrages genutzt werden. Sie können für Klarheit auf beiden Seiten sorgen, da bereits DSGVO-konforme Vorgaben vorhanden sind. Dennoch müssen Mustervorlagen an Einzelfälle angepasst und korrekt ausgefüllt werden. Dabei sollte ein Experte oder ein Datenschutzbeauftragter zu Rate gezogen werden.

Verwaltung der Auftragsverarbeitungstverträge mit der Robin Data Software

Die Robin Data Software bietet Datenschutz-Verantwortlichen die Möglichkeit alle Auftragsverarbeitungsverträge mit externen Dienstleistern und Kontakten an einer Stelle zu verwalten. Dazu können Sie die Verträge nicht nur digital erstellen und verwalten, sondern auch direkt DSGVO konform in Ihre Verarbeitungstätigkeiten aufnehmen. Dadurch erstellen Sie Schritt-für-Schritt eine digitale und datenschutzkonforme Datenschutz-Dokumentation.

Mehr Informationen finden Sie in unserem Hilfe-Center.

Caroline Schwabe
Neueste Anzeigen von Caroline Schwabe (Alle anzeigen)

Das könnte Sie auch interessieren:

Datenschutzbeauftragter
Alle Informationen zu den Technisch Organisatorischen Maßnahmen nach DSGVO. Was müssen Verantwortliche bei der Umsetzung und Dokumentation beachten?
Dokumentationspflichten
Alle Informationen zum Auftragsverarbeitungsvertrag nach DSGVO. Was müssen Verantwortliche bei der Erstellung und Verwaltung beachten?
Microsoft Office 365 Datenschutz
Kann Microsoft Office 365 DSGVO-konform eingesetzt werden? Wir zeigen wie die Konfiguration dem Datenschutz entspricht.