Auftragsverarbeitungsvertrag nach DSGVO – Wann, mit wem, warum?

Allgemein

Ein Auftragsverarbeitungsvertrag (AV-Vertrag) kommt in Frage, wenn personenbezogene Daten im Auftrag an Dritte weitergegeben und von ihnen verarbeitet werden. Allerdings ist nicht in jedem Fall eines externen Dienstleisters ein AV-Vertrag notwendig. Tatsächlich ist die Frage, wann denn nun ein solcher Vertrag abgeschlossen werden muss und wann nicht, ausgesprochen schwierig. Deshalb möchten wir Ihnen mit diesem Beitrag unter die Arme greifen und wertvolle Tipps an die Hand geben. In diesem Artikel geht es um den AV-Vertrag allgemein, in welchen Fällen er vorliegen sollte und welche Elemente er beinhaltet.

Was ist ein AV-Vertrag und mit wem muss eine solcher abgeschlossen werden?

Eigentlich ist es in der Unternehmenswelt wie schon in frühen Menschenszeiten: Man spezialisiert sich, verkauft sein Spezialprodukt, -wissen oder -dienstleistung und greift bei Bedarf auf anderweitig spezialisierte Unternehmen zurück. Damit gelingt es Unternehmen Kosten zu reduzieren und Know-How nur bei Bedarf extern einzukaufen. Doch genau dann, wenn hierbei personenbezogene Daten im Spiel sind, muss zwingend einen Vertrag über die Datenverarbeitung geschlossen wird.

Was ein AV-Vertrag ist, wird in Art. 28 der Datenschutzgrundverordnung (DSGVO) genau definiert. Dort steht: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“. Demnach muss ein solcher Vertrag abgeschlossen werden, wenn eine Verarbeitung im Auftrag eines Verantwortlichen erfolgt. Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO, wer alleine oder gemeinsam über Zweck und Mittel der Verarbeitung personenbezogener Daten entscheidet. Das heißt, dass eine Auftragsverarbeitung in den Fällen vorliegt, in denen ein Verantwortlicher personenbezogene Daten im Auftrag verarbeiten lässt.

Icon Info

Personenbezogene Daten

Wenn Sie unsicher sind, ob ein externer Dienstleister mit personenbezogenen Daten bei Ihnen in Kontakt kommt, können Sie anhand dieser Auflistung kontrollieren, welche Art von Daten das betrifft.

  • Allgemeine persönliche Daten (Name, Geburtsdatum, Wohnort, Telefonnummer, uvm.)
  • Identifikationszahlen (Ausweisnummer, Matrikelnummer, Sozialversicherungsnummer, uvm.)
  • Körperliche Merkmale (Hautfarbe, Geschlecht, Größe, uvm.)
  • Zeugnisse und Bescheinigungen (Schulzeugnis, Praktikumsbescheinigung, uvm).
  • Bankinformationen (Kontonummern, Kreditkartendaten, uvm.)

Es gilt also genau zu überlegen, in welche Ihrer Unternehmensbereiche ein externer Auftragnehmer Zugriff hat und ob dieser Zugriff für die Erfüllung seiner Tätigkeiten zwingend notwendig ist.

Wann passiert die Datenverarbeitung im Auftrag?

Allerdings ist nicht jede Weitergabe von personenbezogenen Daten gleich eine Auftragsverarbeitung. Tatsächlich liegt eine Auftragsverarbeitung nur in solchen Fällen vor, in denen der Schwerpunkt der vertraglichen Leistung des Auftragnehmers in der Verarbeitung personenbezogener Daten liegt. Die Beauftragung mit fachlichen Dienstleistungen anderer Art, also mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht, bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar. So ist z.B. bei einem Personalvermittler, der nach Auftrag von Stellensuchenden oder Arbeitgebern handelt, der Schwerpunkt die Stellenvermittlung. Um diese Vermittlung überhaupt ausführen zu können, fallen natürlich notwendigerweise personenbezogene Daten an. Aber dies ist nicht der Schwerpunkt der Tätigkeit eines Personaldienstleisters. Denn die Daten werden vielmehr für eigene Zwecke der Erfüllung der Vermittlung verarbeitet.

Auch liegt keine Auftragsverarbeitung bei Tätigkeiten der Berufsgeheimnisträger vor. Sollte z.B. ein Steuerberater mit der Buchhaltung eines Unternehmens beauftragt werden, so ist dieser wegen seiner berufsständischen Regelungen per se schon zur Verschwiegenheit verpflichtet, weswegen unter anderem ein AV-Vertrag nicht notwendig ist.

In Fällen, in denen ein Unternehmen personenbezogene Daten im Rahmen von Cloud-Computing outsourcen lässt oder einen externen IT-Dienstleister mit der Wartung oder Pflege ihres DV-Systems betraut, liegen hingegen typische Auftragsverarbeitungen vor.

Beispiele für Auftragsverarbeitung

  • Icon Pfeil rund
    Externe Lohnabrechnung oder Gehaltsabrechnung (keine Steuerberater)
  • Icon Pfeil rund
    Beauftragung eines Callcenters für Kundenanrufe
  • Icon Pfeil rund
    Marketingaktionen, wie Kundenumfragen oder Newsletter
  • Icon Pfeil rund
    Externe Buchhaltung
  • Icon Pfeil rund
    Wartungsverträge mit Zugriff auf personenbezogene Daten

Keine Auftragsverarbeitung bei Funktionsübertragung

Die Grenzen sind oft fließend, das macht es mitunter schwierig festzulegen, ob denn ein AV-Vertag nun benötigt wird oder nicht. Wann hört die Auftragsverarbeitung auf, wann fängt die Funktionsübertragung an? Bei vielen Dienstleistern ist das nicht ganz klar definiert. Es gibt jedoch ein Unterscheidungsmerkmal, das dabei helfen kann: Weisungsbindung! Kann der beauftragte, externe Dienstleister frei entscheiden und ist damit nicht an die Weisungen des Auftraggebers gebunden ist kein Auftragsverarbeitungsvertrag notwendig.

Wann brauche ich einen AV-Vertrag?

Fragen rund um den Datenschutz

To Dos als Auftraggeber

  • Icon Pfeil rund
    Schriftliche Fixierung der Auftragsverarbeitung, auch ein elektronischer AV-Vertrag wird inzwischen gewährt
  • Icon Pfeil rund
    Kontrolle der fixierten Datenschutz-Maßnahmen in geeigneter Form
  • Icon Pfeil rund
    Verantwortung über die Einhaltung von Datenschutzvorschriften

To Dos als Auftragnehmer

  • Icon Pfeil rund
    Unterstützung des Auftraggebers bei der Umsetzung der datenschutzrechtlichen Vorgaben
  • Icon Pfeil rund
    Erarbeitung eines Datenschutzkonzeptes das AV beinhaltet
  • Icon Pfeil rund
    Vorbereiten zur Verfügungstellen von rechtssicheren AV-Verträgen als Leistungsmerkmal

Inhalte eines Auftragsverarbeitungsvertrages

Wer festgestellt hat, dass ein Auftragsverarbeitungsvertrag benötigt wird, auf den kommen komplizierte Zeiten zu, denn die Erstellung eines solchen ist nicht immer ganz einfach. Viele Unternehmen greifen hierbei auf ihren Anwalt zurück oder lassen sich AV-Verträge gleich ganz bequem von ihrem zuständigen Datenschutzbeauftragten erstellen. Wer sich an der komplexen Aufgabe selbst versuchen möchte, dem geben wir mit den folgenden Punkten eine Orientierung an die Hand, was alles in einem AV-Vertrag beinhaltet sein sollte. Die Punkte dienen als Leitfaden, erheben jedoch keinen Anspruch auf Vollständigkeit. Ein AV-Vertrag sollte IMMER geprüft werden.

  1. Vertragsparteien

In einem AV-Vertrag müssen der Auftraggeber und der Auftragnehmer (also der Auftragsverarbeiter) namentlich erwähnt werden.

  1. Gegenstand des Auftrags

Hier werden der Gegenstand, die Art und der Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen festgelegt. Alternativ können diese Angaben auch gesondert in einer Anlage aufgeführt werden, worauf dann innerhalb dieses Punktes verwiesen werden kann.

  1. Rechte und Pflichten des Auftraggebers

Wichtige Punkte wie die Verantwortlichkeit des Auftraggebers für die Verarbeitung der Daten, die Wahrung der Betroffenenrechte, die Ernennung von weisungsberechtigten Personen oder auch die Information bei Fehlern oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung werden hier aufgeführt.

  1. Allgemeine Pflichten des Auftragnehmers

Dass der Auftragnehmer personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen verarbeitet findet unter diesem Punkt Erwähnung. Außerdem auch die Information, dass im Falle eines Verstoßes gegenüber einer gesetzlichen Regelung der Auftraggeber unverzüglich benachrichtigt wird. Diese Punkte machen regelmäßig einen hohen Anteil eines jeden AV-Vertrages aus.

  1. Datenschutzbeauftragter des Auftragnehmers

Für den Fall, dass der Auftragsverarbeiter über einen Datenschutzbeauftragten verfügt, wird diese Information innerhalb dieser Klausel eingefügt. In der Regel kann von beiden Seiten bei Bedarf zur Rücksprache auf den DSB zurückgegriffen werden.

  1. Meldepflichten des Auftragnehmers

Auftragnehmer sind verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen, vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Auftraggebers unverzüglich mitzuteilen.

  1. Mitwirkungspflichten des Auftragnehmers

Dieser Punkt regelt die Unterstützung von Seiten des Auftragnehmers gegenüber dem Auftraggeber in verschiedenen Bereichen wie etwa der Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten oder auch die Mitwirkung bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten.

  1. Kontrollbefugnisse

Dass der Auftraggeber das Recht hat, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz jederzeit zu kontrollieren und gegebenenfalls auch Vor-Ort-Kontrollen durchzuführen, wird innerhalb dieses Punktes beschrieben.

  1. Unterauftragsverhältnisse

Sollte dem Auftragnehmer gestattet sein, Unterauftragnehmer zu beschäftigen, wird dies innerhalb dieser Klausel detailliert festgelegt.

  1. Vertraulichkeitsverpflichtung

Auch der Auftragnehmer bzw. seine Mitarbeiter sind bei der Verarbeitung von personenbezogenen Daten auf die Vertraulichkeit zu verpflichten. Dabei ist der Auftragnehmer angehalten, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen.

  1. Wahrung von Betroffenenrechten

Unter diesem Punkt wird die Pflicht des Auftragnehmers festgehalten, dem Auftraggeber bei seiner Pflicht, Anträge von Betroffenen nach Art. 12-23 DSGVO zu bearbeiten, zu unterstützen.

  1. Technische und organisatorische Maßnahmen

Sämtliche Vorgaben aus Art. 32 DSGVO müssen vom Auftragnehmer beachtet werden. Zu diesem Zweck sind die vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen detailliert darzulegen. Dies kann auch mittels einer gesonderten Anlage geschehen.

  1. Dauer des Auftrags

Der Beginn, die Beendigung und die Kündigungsmodalitäten des Vertrags werden hier festgehalten.

  1. Beendigung

Nach Beendigung des Vertrages hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, Daten und sonstige Ergebnisse an den Auftraggeber zurückzugeben oder zu löschen.

  1. Schlussbestimmungen

Abschließende Punkte wie ein eventuelles Textformerfordernis oder das Vorgehen im Falle eines Insolvenzverfahrens können hier geregelt werden.

Fehlender AV-Vertrag - Das sind die Konsequenzen

Die DSGVO gibt vor, dass ein Auftragsverarbeitungsvertrag zwingend erforderlich ist, wenn personenbezogene Daten durch Dritte verarbeitet werden. Ohne die Sonderfälle noch einmal zu erwähnen, gilt also: Man sollte sich um einen AV-Vertrag kümmern, denn die Verpflichtung dafür trifft sowohl Auftragnehmer als auch Auftraggeber. Nimmt man AV-Verträge nicht ernst genug können Konsequenzen drohen. Das sind neben hohen Bußgeldern auch Imageschäden und im schlimmsten Fall damit einhergehende Umsatzverluste.

Am Beispiel eines Hamburger Unternehmens wurde das Bußgeld für einen fehlenden AV-Vertrag und damit dem Verstoß gegen Art. 28 Abs. 3 DSGVO auf 5.000 Euro durch den zuständigen Landesdatenschutzbeauftragten festgelegt.

Doch es kann schnell noch teurer werden. Die Aufsichtsbehörden können nach dem BDSG Bußgelder bis zu 50.000 Euro, seit der DSGVO bis zu 20 Millionen Euro für einen fehlenden oder fehlerhaften AV-Vertrag verhängen. Diese Zahlen lassen erst einmal schwer schlucken und zeigen, dass die Priorität hierfür hoch gesetzt werden sollte.

Icon Info

Kurz und knapp

Wer externe Unternehmen beauftragt, die für die Ausführung ihrer Tätigkeiten Zugriff auf personenbezogene Daten erhalten, der muss sich um eine rechtssichere Vertragslage kümmern. Ein Auftragsverarbeitungsvertag muss dann zwingend geschlossen werden. Es sollte genau geprüft werden, welche Daten dies betrifft. Die Erstellung aber auch die Zeichnung eines AV-Vertrages sollte genau geprüft werden, da hier viele Variablen eine Rolle spielen können.

Datenschutz-Schulung

Tauschen Sie sich mit uns aus!

Auch interessant

180 Grad Datenschutz Bildmarke
Vorheriger Beitrag
Löschkonzept nach DSGVO – Das Recht auf Vergessenwerden
Nächster Beitrag
Videokonferenzen und der Datenschutz

Ähnliche Beiträge

180 Grad Datenschutz Bildmarke