Ein Auftragsverarbeitungsvertrag (AV-Vertrag) kommt in Frage, wenn personenbezogene Daten im Auftrag an Dritte weitergegeben und von ihnen verarbeitet werden. Allerdings ist nicht in jedem Fall eines externen Dienstleisters ein AV-Vertrag notwendig. Tatsächlich ist die Frage, wann denn nun ein solcher Vertrag abgeschlossen werden muss und wann nicht, ausgesprochen schwierig. Deshalb möchten wir Ihnen mit diesem Beitrag unter die Arme greifen und wertvolle Tipps an die Hand geben. In diesem Artikel geht es um den AV-Vertrag allgemein, in welchen Fällen er vorliegen sollte und welche Elemente er beinhaltet.
Was ist ein AV-Vertrag und mit wem muss eine solcher abgeschlossen werden?
Eigentlich ist es in der Unternehmenswelt wie schon in frühen Menschenszeiten: Man spezialisiert sich, verkauft sein Spezialprodukt, -wissen oder -dienstleistung und greift bei Bedarf auf anderweitig spezialisierte Unternehmen zurück. Damit gelingt es Unternehmen Kosten zu reduzieren und Know-How nur bei Bedarf extern einzukaufen. Doch genau dann, wenn hierbei personenbezogene Daten im Spiel sind, muss zwingend einen Vertrag über die Datenverarbeitung geschlossen wird.
Was ein AV-Vertrag ist, wird in Art. 28 der Datenschutzgrundverordnung (DSGVO) genau definiert. Dort steht: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“. Demnach muss ein solcher Vertrag abgeschlossen werden, wenn eine Verarbeitung im Auftrag eines Verantwortlichen erfolgt. Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO, wer alleine oder gemeinsam über Zweck und Mittel der Verarbeitung personenbezogener Daten entscheidet. Das heißt, dass eine Auftragsverarbeitung in den Fällen vorliegt, in denen ein Verantwortlicher personenbezogene Daten im Auftrag verarbeiten lässt.
Wann passiert die Datenverarbeitung im Auftrag?
Allerdings ist nicht jede Weitergabe von personenbezogenen Daten gleich eine Auftragsverarbeitung. Tatsächlich liegt eine Auftragsverarbeitung nur in solchen Fällen vor, in denen der Schwerpunkt der vertraglichen Leistung des Auftragnehmers in der Verarbeitung personenbezogener Daten liegt. Die Beauftragung mit fachlichen Dienstleistungen anderer Art, also mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht, bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar. So ist z.B. bei einem Personalvermittler, der nach Auftrag von Stellensuchenden oder Arbeitgebern handelt, der Schwerpunkt die Stellenvermittlung. Um diese Vermittlung überhaupt ausführen zu können, fallen natürlich notwendigerweise personenbezogene Daten an. Aber dies ist nicht der Schwerpunkt der Tätigkeit eines Personaldienstleisters. Denn die Daten werden vielmehr für eigene Zwecke der Erfüllung der Vermittlung verarbeitet.
Auch liegt keine Auftragsverarbeitung bei Tätigkeiten der Berufsgeheimnisträger vor. Sollte z.B. ein Steuerberater mit der Buchhaltung eines Unternehmens beauftragt werden, so ist dieser wegen seiner berufsständischen Regelungen per se schon zur Verschwiegenheit verpflichtet, weswegen unter anderem ein AV-Vertrag nicht notwendig ist.
In Fällen, in denen ein Unternehmen personenbezogene Daten im Rahmen von Cloud-Computing outsourcen lässt oder einen externen IT-Dienstleister mit der Wartung oder Pflege ihres DV-Systems betraut, liegen hingegen typische Auftragsverarbeitungen vor.
Beispiele für Auftragsverarbeitung
Keine Auftragsverarbeitung bei Funktionsübertragung
Die Grenzen sind oft fließend, das macht es mitunter schwierig festzulegen, ob denn ein AV-Vertag nun benötigt wird oder nicht. Wann hört die Auftragsverarbeitung auf, wann fängt die Funktionsübertragung an? Bei vielen Dienstleistern ist das nicht ganz klar definiert. Es gibt jedoch ein Unterscheidungsmerkmal, das dabei helfen kann: Weisungsbindung! Kann der beauftragte, externe Dienstleister frei entscheiden und ist damit nicht an die Weisungen des Auftraggebers gebunden ist kein Auftragsverarbeitungsvertrag notwendig.
Wann brauche ich einen AV-Vertrag?
To Dos als Auftraggeber
To Dos als Auftragnehmer
Inhalte eines Auftragsverarbeitungsvertrages
Wer festgestellt hat, dass ein Auftragsverarbeitungsvertrag benötigt wird, auf den kommen komplizierte Zeiten zu, denn die Erstellung eines solchen ist nicht immer ganz einfach. Viele Unternehmen greifen hierbei auf ihren Anwalt zurück oder lassen sich AV-Verträge gleich ganz bequem von ihrem zuständigen Datenschutzbeauftragten erstellen. Wer sich an der komplexen Aufgabe selbst versuchen möchte, dem geben wir mit den folgenden Punkten eine Orientierung an die Hand, was alles in einem AV-Vertrag beinhaltet sein sollte. Die Punkte dienen als Leitfaden, erheben jedoch keinen Anspruch auf Vollständigkeit. Ein AV-Vertrag sollte IMMER geprüft werden.
- Vertragsparteien
In einem AV-Vertrag müssen der Auftraggeber und der Auftragnehmer (also der Auftragsverarbeiter) namentlich erwähnt werden.
- Gegenstand des Auftrags
Hier werden der Gegenstand, die Art und der Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen festgelegt. Alternativ können diese Angaben auch gesondert in einer Anlage aufgeführt werden, worauf dann innerhalb dieses Punktes verwiesen werden kann.
- Rechte und Pflichten des Auftraggebers
Wichtige Punkte wie die Verantwortlichkeit des Auftraggebers für die Verarbeitung der Daten, die Wahrung der Betroffenenrechte, die Ernennung von weisungsberechtigten Personen oder auch die Information bei Fehlern oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung werden hier aufgeführt.
- Allgemeine Pflichten des Auftragnehmers
Dass der Auftragnehmer personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen verarbeitet findet unter diesem Punkt Erwähnung. Außerdem auch die Information, dass im Falle eines Verstoßes gegenüber einer gesetzlichen Regelung der Auftraggeber unverzüglich benachrichtigt wird. Diese Punkte machen regelmäßig einen hohen Anteil eines jeden AV-Vertrages aus.
- Datenschutzbeauftragter des Auftragnehmers
Für den Fall, dass der Auftragsverarbeiter über einen Datenschutzbeauftragten verfügt, wird diese Information innerhalb dieser Klausel eingefügt. In der Regel kann von beiden Seiten bei Bedarf zur Rücksprache auf den DSB zurückgegriffen werden.
- Meldepflichten des Auftragnehmers
Auftragnehmer sind verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen, vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Auftraggebers unverzüglich mitzuteilen.
- Mitwirkungspflichten des Auftragnehmers
Dieser Punkt regelt die Unterstützung von Seiten des Auftragnehmers gegenüber dem Auftraggeber in verschiedenen Bereichen wie etwa der Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten oder auch die Mitwirkung bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten.
- Kontrollbefugnisse
Dass der Auftraggeber das Recht hat, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz jederzeit zu kontrollieren und gegebenenfalls auch Vor-Ort-Kontrollen durchzuführen, wird innerhalb dieses Punktes beschrieben.
- Unterauftragsverhältnisse
Sollte dem Auftragnehmer gestattet sein, Unterauftragnehmer zu beschäftigen, wird dies innerhalb dieser Klausel detailliert festgelegt.
- Vertraulichkeitsverpflichtung
Auch der Auftragnehmer bzw. seine Mitarbeiter sind bei der Verarbeitung von personenbezogenen Daten auf die Vertraulichkeit zu verpflichten. Dabei ist der Auftragnehmer angehalten, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen.
- Wahrung von Betroffenenrechten
Unter diesem Punkt wird die Pflicht des Auftragnehmers festgehalten, dem Auftraggeber bei seiner Pflicht, Anträge von Betroffenen nach Art. 12-23 DSGVO zu bearbeiten, zu unterstützen.
- Technische und organisatorische Maßnahmen
Sämtliche Vorgaben aus Art. 32 DSGVO müssen vom Auftragnehmer beachtet werden. Zu diesem Zweck sind die vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen detailliert darzulegen. Dies kann auch mittels einer gesonderten Anlage geschehen.
- Dauer des Auftrags
Der Beginn, die Beendigung und die Kündigungsmodalitäten des Vertrags werden hier festgehalten.
- Beendigung
Nach Beendigung des Vertrages hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, Daten und sonstige Ergebnisse an den Auftraggeber zurückzugeben oder zu löschen.
- Schlussbestimmungen
Abschließende Punkte wie ein eventuelles Textformerfordernis oder das Vorgehen im Falle eines Insolvenzverfahrens können hier geregelt werden.
Fehlender AV-Vertrag - Das sind die Konsequenzen
Die DSGVO gibt vor, dass ein Auftragsverarbeitungsvertrag zwingend erforderlich ist, wenn personenbezogene Daten durch Dritte verarbeitet werden. Ohne die Sonderfälle noch einmal zu erwähnen, gilt also: Man sollte sich um einen AV-Vertrag kümmern, denn die Verpflichtung dafür trifft sowohl Auftragnehmer als auch Auftraggeber. Nimmt man AV-Verträge nicht ernst genug können Konsequenzen drohen. Das sind neben hohen Bußgeldern auch Imageschäden und im schlimmsten Fall damit einhergehende Umsatzverluste.
Am Beispiel eines Hamburger Unternehmens wurde das Bußgeld für einen fehlenden AV-Vertrag und damit dem Verstoß gegen Art. 28 Abs. 3 DSGVO auf 5.000 Euro durch den zuständigen Landesdatenschutzbeauftragten festgelegt.
Doch es kann schnell noch teurer werden. Die Aufsichtsbehörden können nach dem BDSG Bußgelder bis zu 50.000 Euro, seit der DSGVO bis zu 20 Millionen Euro für einen fehlenden oder fehlerhaften AV-Vertrag verhängen. Diese Zahlen lassen erst einmal schwer schlucken und zeigen, dass die Priorität hierfür hoch gesetzt werden sollte.