Data Protection Academy » Data Protection Wiki » Data processing agreement

Two data protection officers draw up a data processing agreement

GDPR compliant data processing agreement

Wenn personenbezogene Daten im Auftrag Ihres Unternehmens von einem externen Dienstleistern verarbeitet werden, müssen Sie als Auftraggeber und der externe Dienstleister als Auftragnehmer einen gesonderten Vertrag schließen. Dieser Vertrag regelt unter welchen Vorgaben die Verarbeitung von personenbezogenen Daten erfolgen darf.

Klassische Beispiele für einen Auftragsverarbeitung sind die Inanspruchnahme der Dienstleistung von externen Rechenzentren, Softwareanbietern oder auch Lettershops für Marketing-Maßnahmen. Doch gibt es eigentlich eine Unterschied zwischen dem  Auftragsdatenverarbeitungsvertrag und dem Auftragsverarbeitungsvertrag? Welche Informationen muss ein solcher Vertrag enthalten um den Anforderungen der DSGVO zu genügen?

Im nachfolgenden Beitrag erklären wir Ihnen, wie Sie Auftragsverarbeitungsverträge (AVV) DSGVO-konform erstellen können.

Most important information on data processing and data processing agreements

  • Bei der Verarbeitung personenbezogener Daten durch externe Unternehmen findet eine Auftragsverarbeitung statt; aber nicht jede Weitergabe der Daten stellt Auftragsverarbeitung dar (bspw. An Steuerberater, Bank,…)
  • In Folge einer Auftragsverarbeitung ist ein Auftragsverarbeitungsvertrag nötig, welcher Rechte und Pflichten des Aufraggebern und -nehmers aufzeigt
  • Ein fehlender oder mangelhaft aufgesetzter Auftragsverarbeitungsvertrag kann mit hohen Bußgeldern geahndet werden, wobei auch der Auftragsverarbeiter haftbar ist
  • Hauptverantwortlicher für die Erfüllung der DSGVO ist der Auftraggeber

Contents on data processing and data processing agreement

When is there talk of data processing?

If your company commissions external service providers to process personal data, findet (fast immer) eine Auftragsverarbeitung statt. Dabei sind Sie als Auftraggeber für eine ordnungsgemäße Datenverarbeitung und den Schutz der Daten verantwortlich. Festgelegt wurde dies bereits in § 62 BDSG (neu) and is newly regulated in Art. 28 GDPR to find.

Beispiele für Auftragsverarbeitung sind:

  • Fully or partially outsourced data centres
  • Marketing campaigns (e.g. customer surveys or newsletters) by external service providers
  • External accounting
  • Use of tracking software

Aber nicht jede Weitergabe personenbezogener Daten stellt eine Auftragsverarbeitung dar. Entscheidend ist die Weisungsbindung. Können externe Dienstleister frei entscheiden, was mit den Daten Ihres Unternehmers geschieht, ohne dass sie an Ihre Weisungen gebunden sind, spricht man von einer Funktionsübertragung. Diese ist nicht als Auftragsverarbeitung zu werten.

How does data processing work according to GDPR?

  1. Before the start of the commissioned processing, a data processing agreement shall set out an approach for the implementation of data protection requirements.
  2. Die Einhaltung der datenschutzrechtlichen Vorgaben durch den Auftragsverarbeiter muss regelmäßig vom Auftraggeber überprüft werden.
    1. Dies kann durch tatsächliche Kontrollen vor Ort, schriftliche Auskünfte, Berichte durch den betriebseigenen Datenschutzbeauftragten oder durch einen Sachverständigenbericht erfolgen.
    2. Art und Abstände zwischen den Kontrollmaßnahmen ist abhängig von der Anzahl sowie dem Umfang der übermittelten Daten, eine genaue Vorgabe durch ein Gesetz existiert zum jetzigen Zeitpunkt nicht.
  3. Alle Überprüfungen des Auftragnehmers müssen dokumentiert werden

What is a data processing agreement?

Der Auftragsverarbeitungsvertrag (kurz AV-Vertrag oder AVV) nach Art. 28 DSGVO, muss abgeschlossen werden, wenn ein Unternehmen personenbezogene Daten von Dritten, beziehungsweise Dienstleistern verarbeiten lässt. Er tritt somit an die Stelle des Auftragsdatenverarbeitungsvertrags (kurz ADV-Vertrag) des BDSG.

Ein AV-Vertrag soll gewährleisten, dass Dienstleister die Daten nur zu Zwecken verarbeiteten, für die der Auftraggeber diese erhoben hat und untersagt damit eine Verwendung zu eignen Zwecken. Zudem verpflichtet der AVV Dienstleister dazu die ihnen anvertrauten Daten mit entsprechenden Maßnahmen zu schützen. Da der controller für den Schutz der Daten nach DSGVO der Auftraggeber bleibt, werden diesem im Vertrag umfassende Kontrollrechte eingeräumt.

Is there a difference between the data processing agreement from the German Federal Data Protection Act (BDSG) and the GDPR?

Mit dem Inkrafttreten der DSGVO 2018, trat der Auftragsverarbeitungsvertrag an die Stelle des Auftragsdatenverarbeitungsvertrag des BDSG. Damit einher gingen einige Änderungen und Anpassungen angefangen bei der Bezeichnung. So wurde aus dem ADV-Vertrag der AV-Vertrag.

Aber auch inhaltlich erfolgten Anpassungen, welche auch die Pflichten und Verantwortungen der Auftragsverarbeiter betrafen. So sind sie nun unter anderem zur Verschwiegenheit und Unterstützung des Auftraggebers bei Anfragen von Betroffenen und ähnlichem verpflichtet.

Eine weitere Neuerung betraf die Haftung von Auftragsverarbeiter und Auftraggeber. Diese haften nun gemeinsam gegenüber Betroffenen, wobei die Haftung der Auftragsverarbeiter auf Verstöße beschränkt ist, welche aus einer Verletzung der im AV-Vertrag konkret festgelegten Pflichten resultiert.

Note

The data processing agreement came into force with the GDPR in 2018

What is included in a data processing agreement?

Zum Schließen eines DSGVO-konformen AV-Vertrags, sind unter anderem folgende Aspekte gemäß Art. 28 para. 3  to be legally established:

  • Subject and duration of processing
  • Nature and purpose of the processing
  • Type of personal data.
  • Categories of persons concerned
  • Duties and rights of the controllers
  • Ergreifung von geeigneten technisch-organisatorischen Maßnahmen (TOM) zum Schutz personenbezogener Daten
  • Scope of the authority to issue directives
  • Obligations and rights of the processor
  • Confidentiality agreement
  • Reporting obligation of the contractor
  • Mitwirkungspflicht/ Unterstützung durch den Auftragsnehmer
  • Control powers
  • Rechtmäßige Hinzuziehung von Subunternehmern
  • Preservation of the Rights of data subjects
  • Duration of the order
  • Beendigung mit Rückgabe oder Löschung der Daten des Auftragsverarbeiters
  • Final provisions

Um die rechtliche Absicherung auch langfristig gewährleisten zu können ist es nötig die Auftragsverarbeitungs-Verträge regelmäßig zu überprüfen. Hierbei unterstützt Sie die Robin Data Software. Geben Sie dafür einfach einen Verantwortlichen und das Datum der geplanten Überprüfung ein und Robin Data erinnert den Verantwortlichen an diese Tätigkeit. Nebenbei wird zudem ein Tätigkeitsbericht nach DSGVO erstellt.

Tasks of the client and contractor

  • Client
  • Written or electronic data processing agreements regulating specific aspects of data processing
  • Kontrolle der im AVV festgelegten Datenschutzmaßnahmen
  • Verantwortlicher für die Einhaltung der Datenschutzvorschriften und dem Schutz der Daten
  • Contractor
  • Auftraggeber bei der Umsetzung der datenschutzrechtlichen Vorgaben unterstützen
  • Create data protection concept, which includes the work processing
  • Zu Verfügung stellen von rechtssicheren AVV vorbereiten

Who is considered a processor?

Als Auftragsverarbeiter gilt gemäß Art. 4 No. 8 der DSGVO eine Person oder Stelle, welche personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Dies können natürliche oder juristische Personen sein, sowie Behörden, Einrichtungen oder andere Stellen.

What are the obligations of processors?

  • Pflicht Daten ausschließlich gemäß den vertraglich im AVV geregelten Weisungen zu verarbeiten
  • Confidentiality
  • Pflicht den Auftraggeber bei der Einhaltung der datenschutzrechtlichen Pflichten zu unterstützen, sowie bei Betroffenenanfragen und weiteren Datenschutz-Anforderungen
  • Pflicht geeignete technisch organisatorische Maßnahmen zum Schutz der Daten zu ergreifen
  • Pflicht Datenschutzverletzungen sofort an die Aufsichtsbehörde sowie die Betroffenen zu melden
  • Mandatory Datenschutz-Folgeabschätzungen durchzuführen

The obligations of the processors can be found in Article 28 to Article 36 of the GDPR.

Welche Bedeutung haben AV-Verträge für Unternehmen?

AV-Verträge verschaffen sowohl Ihnen als auch dem Auftragsverarbeiter Klarheit, indem unter anderem Befugnisse, Weisungen und den Zweck der Verarbeitung geregelt werden. Auch werden Rechte und Pflichten eindeutig festgelegt wodurch eine gewisse Sicherheit geschaffen wird. Im Falle eines Datenschutzverstoßes durch den Auftragsverarbeiter, kann durch den AV-Vertrag ein Nachweis erbracht werden, dass die Verantwortung in seinem Aufgabenbereich lag. Dennoch bleibt die Hauptverantwortlichkeit beim Auftraggeber.

When must a data processing agreement be concluded?

Eine pauschale Aussage darüber, wann ein Auftragsverarbeitungsvertrag geschlossen werden muss, ist nicht möglich. Entscheidend ist die Beziehung des Auftraggebers und des Auftragnehmers. Handelt der Auftragsnehmer weisungsbefugt im Auftrag eines Unternehmens, ist die Schließung eines AV-Vertrags erforderlich. Liegt keine Weisungsbefugnis vor, muss kein AVV geschlossen werden.

What happens if no data processing contract is concluded?

Sollte ein Auftragsverarbeitungsvertrag gänzlich fehlen, obwohl dieser erforderlich ist, sieht die DSGVO in Art. 83, as previously the BDSG after § 43 Bußgelder vor. Im Unterschied zum BDSG, wurden diese mit der DSGVO deutlich erhöht und können nun bis zu 20 Mio. € beziehungsweise bis zu 4% des weltweit erwirtschafteten Jahresumsatzes betragen.

Auch bei mangelnder Umsetzung, Unvollständigkeit des AV-Vertrages und nicht befolgten Anweisungen bei der Datenübertragung können Bußgelder drohen. Hinzukommt, dass Verbraucher auf Schadensersatz klagen können, wenn ein Nachweis des Datenmissbrauchs erbracht werden kann.

In diesem Falle haften gemäß DSGVO Auftraggeber und Auftragnehmer gemeinsam, wobei beide Parteien die Möglichkeit haben ihre Unschuld nachzuweisen. Ohne AVV ist dies aber schwer bis kaum möglich, wodurch weitere Kosten entstehen können.

Wann wird generell kein Auftragsverarbeitungsvertrag benötigt?

Ein Auftragsverarbeitungsvertrag wird dann hinfällig, wenn Datenverarbeiter aufgrund gewerbespezifischer oder auch berufsständischer Anordnungen bereits zum Schutz von personenbezogenen Daten verpflichtet sind. So stellen Inanspruchnahmen von bspw. Steuerberatern, Banken oder Wirtschaftsprüfern Fachleistungen dar, welche keinen AV-Vertag benötigen.

What has to be considered when processing data abroad?

Bereits im Bundesdatenschutzgesetz wurde eine Verarbeitung von personenbezogenen Daten im Ausland geregelt. Diese Regelung hat sich unter der DSGVO kaum geändert und sieht vor, dass im Inland erhobene Daten nicht ohne Zustimmung der Betroffenen oder eine gesetzliche Erlaubnis ins Ausland abgeführt werden dürfen.

Ausgenommen von dieser Regelung sind Mitgliedstaaten der EU bzw. des Europäischen Wirtschaftsraums, sowie Länder mit einem angemessenen Datenschutzniveau. Eine Liste mit Ländern, welche über ein angemessenes Sicherheitsniveau verfügen, sowie weitere Informationen zum Thema Datenübertragung ins Ausland finden Sie here.  Die Auftragsverarbeitung in Drittsaaten oder Drittländer ist unter Berücksichtigung und Umsetzung bestimmter Maßnahmen möglich.

Was muss die Datenschutzerklärung hinsichtlich der Auftragsverarbeitung enthalten?

Die Datenschutzerklärung einer Website sollte aufzeigen, durch wen Nutzerdaten verarbeitet werden. Auch Tracking-Dienste wie Google Analytics sollten als externe Dienstleister aufgeführt werden, um Strafen und Bußgelder zu vermeiden.

Können Muster-Verträge zur Erstellung eines AV-Vertrags genutzt werden?

Mustervorlagen können zur Erstellung eines Auftragsverarbeitungsvertrages genutzt werden. Sie können für Klarheit auf beiden Seiten sorgen, da bereits DSGVO-konforme Vorgaben vorhanden sind. Dennoch müssen Mustervorlagen an Einzelfälle angepasst und korrekt ausgefüllt werden. Dabei sollte ein expert or a data protection officer should be consulted.

Verwaltung der Auftragsverarbeitungstverträge mit der Robin Data Software

Die Robin Data Software bietet Datenschutz-Verantwortlichen die Möglichkeit alle Auftragsverarbeitungsverträge mit externen Dienstleistern und Kontakten an to manage one place. Dazu können Sie die Verträge nicht nur digital erstellen und verwalten, sondern auch direkt DSGVO konform in Ihre Verarbeitungstätigkeiten aufnehmen. Dadurch erstellen Sie Schritt-für-Schritt eine digitale und datenschutzkonforme Datenschutz-Dokumentation.

Mehr Informationen zur Verwaltung der Auftragsverarbeitungsverträge finden Sie in unserem Hilfe-Center.

Whitepaper including sample data processing agreement

Abbildung mit Details zum Whitepaper AVV. Details werden im folgenden Abschnitt erläutert

In the whitepaper DSGVO-compliant contract management incl. sample template order processing contract you will find:

  • Get information on the Order processing and the processor
  • Lernen Sie mehr über die Erstellung von Auftragsverarbeitungsverträgen
  • Inklusive ausführlicher Sample template order processing agreement as Word file and PDF

Unfortunately this content is currently only available in German. Please feel free to contact us for more information.

FAQ

Robin Data orientiert sich inhaltlich an den Empfehlungen der Aufsichtsbehörden das folgende FAQ verwendet Inhalte des bayrischen Landesamtes für Datenschutzaufsicht. Hier finden Sie das FAQ of the LDA Bavaria.

The data processing agreement regelt, welche Rechte und Pflichten der „Auftraggeber“ und der „Auftragnehmer“ haben. Dabei geht es ganz spezifisch um die Verarbeitung personenbezogener Daten.

Eine Auftragsverarbeitung liegt dann vor, wenn ein Auftraggeber einer Auftragnehmer Verarbeitung personenbezogener Daten beauftragt wird. Dieser Auftrag zu Verarbeitung umfasst z. B. fachlichen Dienstleistungen. Ein Auftragsverarbeitungsvertrag liegt im datenschutzrechtlichen Sinn nur dann vor, wenn es sich um eine Datenverarbeitung handelt die personenbezogene Daten betrifft.

The content requirements are based on Art. 28 (3) DSGVO.

The GDPR stipulates in Art. 28 (9) GDPR vor, dass der Vertrag zur Auftragsverarbeitung schriftlich zu verfassen ist. Schriftlich im Sinne der DSGVO beinhaltet auch die elektronische bzw. digitale Bereitstellung des Vertrages elektronisch vorliegt. Im Sinne der Nachweispflichten der Datenschutz-Dokumentation müssen der Verantwortliche und Auftragnehmer den Auftragsverarbeitungstag dokumentieren, insbesondere um im Falle einer Kontrolle durch die Aufsichtsbehörden aussagekräftig zu sein.

Caroline Schwabe
Latest posts by Caroline Schwabe (see all)

Das könnte Sie auch interessieren:

DSMS according to GDPR: Structure & practical implementation

Erfahren Sie alles über Vorlagen, Aufbau und Umsetzung eines DSGVO-konformen Datenschutz-Management-System (DSMS).
Read more
künstliche intelligenz

AI and data protection in practice

Erfahren Sie, wie Künstliche Intelligenz DSGVO-konform eingesetzt werden kann. Ein praxisnaher Leitfaden.
Read more

Tätigkeitsbericht nach DSGVO

Vorlagen, Whitepaper und Umsetzung des Tätigkeitsbericht nach DSGVO. In wenigen Schritten automatisiert den Tätigkeitsbericht erstellen.
Read more