Auftragsverarbeitungsvertrag

Auftragsverarbeitung­svertrag (AVV)

Aufträge zur Auftragsverarbeitung erstellen und verwalten

Auftragsverarbeitungsvertrag Symbol
Kurz und Knapp:

Bei einem Auftragsverarbeitungsvertrag (AVV) handelt es sich um eine zentrale Anforderung der DSGVO: Werden personenbezogene Daten von einem Dienstleister weisungsgebunden im Auftrag verarbeitet, ist der Abschluss eines AVV erforderlich. Unsere TÜV-zertifitierten Datenschutzbeauftragten erstellen & verwalten Verträge zur Auftragsverarbeitung.

Inhalt dieser Seite

Was ist ein Auftragsverarbeitungsvertrag?

Bei der Weitergabe personenbezogener Daten an einen Auftragsverarbeiter muss die Verarbeitung auf Grundlage eines Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter erfolgen. Der AV-Vertrag regelt die Rechte und Pflichten von Auftraggeber und Auftragnehmer sowie ggfs. erforderlicher Subdienstleister.

Der Auftragsverarbeiter tritt nach außen nicht in Erscheinung und ist in keinem Fall befugt, die von Ihnen gelieferten personenbezogenen Daten für seine eigenen Zwecke oder im eigenen Interesse zu verwenden (Art. 28 DSGVO). Damit ist Ihr Unternehmen weisungsbefugt, bleibt aber auch verantwortlich dafür, wie diese Daten verarbeitet werden – und für ihren Schutz (Art. 29 DSGVO).

Dem Auftraggeber werden im Vertrag umfassende Rechte zur Kontrolle der vereinbarten Vertragsinhalte (respektive: die beim Dienstleister getroffenen Maßnahmen und Vorkehrungen) eingeräumt. Wer als Auftraggeber einen AVV abschließt, bleibt für die personenbezogenen Daten, mit denen der Auftraggeber in Kontakt kommt, weiterhin verantwortlich.

Das könnte Sie auch interessieren...

Mithilfe der Datenschutz-Folgenabschätzung Ihr Risiko eines Datenschutz-Verstoßes ermitteln? Wir zeigen Ihnen, worauf es ankommt. 

Unsere TÜV-zertifizierten Datenschutzbeauftragten unterstützen Sie bei der Umsetzung eines praxistauglichen Datenschutzkonzepts.

Die Umsetzung des Datenschutzes – erfahren Sie, worauf Sie dabei achten müssen. 

Video abspielen

Was beinhaltet ein Vertrag für Auftragsverarbeitung?

Der Auftragsverarbeitungsvertrag muss schriftlich (auch elektronisch) abgeschlossen werden, bevor der erste Datentransfer erfolgt, also deutlich vor der ersten Datenverarbeitung.

Laut § 28 DSGVO sieht der Auftragsverarbeitungsvertrag insbesondere vor, dass der Auftragsverarbeiter

Umgekehrt muss der Verantwortliche in regelmäßigen Abständen kontrollieren, ob der Auftragsverarbeiter alle datenschutzrechtlichen Bestimmungen einhält. Dazu muss er ein Konzept zur Umsetzung seiner Datenschutzanforderungen haben, dessen Einhaltung er kontrolliert. Alle derartigen Überprüfungen müssen vom Auftraggeber dokumentiert werden, da sie von der Aufsichtsbehörde kontrolliert werden können.

Ganz konkret muss der Auftragsverarbeitungsvertrag folgende Aspekte enthalten – je nach Branche können jedoch noch weitere Punkte hinzukommen, bitte wenden Sie sich an Ihren IT-Juristen oder den Datenschutzbeauftragten:

VerantwortlichkeitRechte und Pflichten des Auftraggebers für

Was bedeutet „Verarbeitung von personenbezogenen Daten“?

Nach Artikel 4 Absatz 2 der DSGVO versteht man unter „Verarbeiten“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe wie

personenbezogener Daten zu einem beliebigen Zeitpunkt.

Wann braucht man einen Auftragsverarbeitungsvertrag?

Die drei Buchstaben AVV hat fast jeder schon einmal gehört. Überraschenderweise weiß kaum ein Verantwortlicher, was AVV praktisch (und im Detail) bedeutet. Ein AV-Vertrag ist in vielen Fällen eine unverzichtbare Grundlage bei der Nutzung von Diensten bzw. Dienstleistungen.

Ein paar Beispiele wären Google Analytics, Newsletter-Versand über einen externen Anbieter, Outsourcing von Diensten (z. B. Rechenzentrum), Beauftragung von Callcentern, externer Support / IT-Dienstleister etc.

Ein Vertrag über Auftragsverarbeitung (ehemals: Auftragsdatenverarbeitung) ist immer dann zu schließen, wenn personenbezogene Daten durch einen weisungsabhängigen Dienstleister verarbeitet werden.

Was muss in einem AV-Vertrag beachtet werden?

Im AVV müssen die wesentlichen Inhalte der Verarbeitung festgelegt werden:

Pflichten und Rechte des Auftragsverarbeiter:

Wer ist ein Auftragsverarbeiter?

Auftragsverarbeiter sind alle natürlichen oder juristischen Personen oder Institutionen innerhalb der EU oder des EWR, die die Daten Ihres Unternehmens weiterverarbeiten. Das sind nicht nur Kundendaten, sondern beispielsweise auch Lieferanten- oder Personaldaten. Deshalb gehören dazu

Mit allen diesen Verarbeitern und jedem anderen, der auf Kunden-/Besucher-/Personal-/Abrechnungsdaten Zugriff hat, müssen Sie Auftragsverarbeitungsverträge schließen – auch mit Trackinganbietern wie Google Analytics. Dabei ist es nicht von Bedeutung, ob die auszuführende Dienstleistung den Zugriff auf personenbezogene Daten vorsieht. Sobald ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, muss ein Auftragsverarbeitungsvertrag vorliegen.

Lassen Sie die verschiedenen Dienstleistungsverhältnisse Ihres Hauses sowie die Auftragsverarbeitungsverträge von einem spezialisierten Juristen oder Datenschutzbeauftragten aufsetzen, die im Internet kursierenden Vorlagen können nicht ohne Weiteres übernommen werden. Ist der Auftragsverarbeiter nicht ohne Weiteres austausch- und ersetzbar oder hat Ihr Unternehmen keinen Einfluss auf die weitere Datenverarbeitung (z. B.  wenn Sie eine Vermittlungsplattform betreiben) , ist ein Auftragsverarbeitungsvertrag nicht das richtige Dokument für den Verarbeitungsprozess.

In diesem Fall müssen Sie eine ausdrückliche Erlaubnis des Users zur Weitergabe seiner Daten an Dritte zu deren eigenständiger Weiterverarbeitung einholen. Das kann etwa durch ein Cookie Banner geschehen. Auftragsverarbeitungsverträge mit Anbietern außerhalb der EU/EWR (in sogenannten Drittländern gem. Artikel 44 DSGVO) sind derzeit nahezu unmöglich, weil die gesetzlichen Regelungen sehr komplex sind und Sie von jeder einzelnen betroffenen Person eine Datenweitergabeerlaubnis erbitten müssten.

Wann ist ein Dienstleister weisungsabhängig und zählt somit als Auftragsverarbeiter?

Keine Datenverarbeitung liegt vor, wenn der Dienstleister die anvertrauten Daten eigenverantwortlich behandelt. Der Auftraggeber verfügt also weder über Weisungs- noch über Kontrollrechte und überlässt dem Dienstleister die Entscheidung über Mittel und Zweck der Datenverarbeitung und der inhaltlichen Gestaltung. In diesem Falle ist der Dienstleister kein Auftragsverarbeiter.

Wenn Sie aber einen Auftragsverarbeiter beauftragen und die Zwecke und Mittel der Datenverarbeitung festlegen, sind Sie verantwortlich für die Daten der Betroffenen. Es liegt vermutlich eine Auftragsverarbeitung vor, wenn der Auftragnehmer:

Sind Sie sich nach wie vor nicht sicher ob Sie einen AVV benötigen, können Sie sich auch an Ihre Aufsichtsbehörde oder Ihren Datenschutzbeauftragten wenden.

Hier finden Sie eine Liste mit AV-Verträgen.

Wozu sind Auftragsverarbeiter verpflichtet?

Die Pflichten des Auftragsverarbeiters sind in den §Artikeln 32 bis 35 der DSGVO aufgeführt. Er muss mit geeigneten technischen und organisatorischen Maßnahmen (TOM) sicherstellen, dass der Datenschutz und die Datensicherheit während der Datenübertragung und der Verarbeitung beständig gewahrt werden. Er muss also dafür sorgen, dass

Wer ist kein Auftragsverarbeiter?

Es gibt nur wenige Ausnahmen, denen Sie Daten ohne AVV zur Verarbeitung übertragen dürfen, weil sie bereits durch besondere gewerbespezifische und berufsständische Regelungen („Berufsgeheimnis“) verpflichtet sind, personenbezogene Daten besonders zu schützen.

Hier gilt die Nutzung der Daten als fremde Fachleistung und die Verantwortung für den Schutz der von Ihnen weitergeleiteten personenbezogenen Daten liegt beim Dienstleister. Üblicherweise von der Auftragsverarbeitungsvertragspflicht befreit sind laut Datenschutzkonferenz

Was passiert, wenn ich keinen oder einen fehlerhaften/unvollständigen Auftragsverarbeitungsvertrag geschlossen habe?

Sollten Sie keinen Auftragsverarbeitungsvertrag mit einem Auftragsverarbeiter geschlossen haben, wird es teuer. Die DSGVO sieht in Artikel 82 bei einem Vertragsbruch oder einem Pflichtverstoß des Auftragsverarbeiters eine gemeinsame Haftung von Verantwortlichem und Auftragsverarbeiter vor, die

bis zu 10 Millionen Euro oder zwei Prozent des Jahresumsatzes des Vorjahres (je nachdem, welcher Betrag höher ist, Artikel 83 Absatz 4 DSGVO) betragen kann.

bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes des Vorjahres (je nachdem, welcher Betrag höher ist, Artikel 83 Absatz 5 DSGVO) betragen kann.

Zudem haben die betroffenen Personen ein Schadensersatzrecht gegen Verantwortlichen und Auftragsverarbeiter, wenn sich ein Datenmissbrauch nachweisen lässt. Dies betrifft beispielsweise

In diesen Fällen müssten die betroffenen Unternehmen ihre Unschuld nachweisen, um der Schadenersatzforderung zu begegnen – etwa durch einen gültigen Auftragsverarbeitungsvertrag.

Manche Gerichte haben bereits entscheiden, dass das datenschutzkonforme Verhalten von Wettbewerbern einklagbar ist. Damit besteht die Gefahr von Abmahnwellen professioneller Kläger.

Verantwortliche sollten eine Auftragsverarbeitung in jedem Fall in ihre Datenschutzerklärung aufnehmen.

Wird ein Einverständnis der Betroffenen benötigt?

Klären wir zunächst einmal was es mit dem Verbot mit Erlaubnisvorbehalt auf sich hat.

Für die Weitergabe von Daten an Dritte und für die Verarbeitung wird eine Rechtsgrundlage benötigt, das besagt das sogenannte Verbot mit Erlaubnisvorbehalt. Das bedeutet konkret, dass eine gesetzliche Erlaubnis oder eine Einwilligung des Betroffenen für den Umgang mit personenbezogenen Daten benötigt wird.

Ein Auftragsverarbeiter wird jedoch nicht als Dritter eingestuft und somit ist auch keine weitere Rechtsgrundlage erforderlich. Betroffene müssen lediglich auf den Einsatz von Auftragsverarbeitern hingewiesen werden.

Weitere Informationen über die AVV

Auftragsverarbeitung findet statt, wenn ein Auftragnehmer der verantwortlichen Stelle auf Grundlage eines schriftlichen Vertrags personenbezogene Daten erhebt, verarbeitet und nutzt. Die DSGVO regelt diese Auftragsverarbeitung detailliert und europaweit.

Der Auftragsverarbeiter muss sorgfältig und unter Berücksichtigung der technischen und organisatorischen Maßnahmen ausgewählt werden. Er darf nur auf Weisung des Verantwortlichen die entsprechenden Daten für den vorgesehenen Zweck verarbeiten.

Die Datenverarbeitung kann auch außerhalb der EU stattfinden. Gemäß der DSGVO müssen aber nun auch Auftragsverarbeiter ein Verzeichnis über die Verarbeitungstätigkeiten führen. Ansprechpartner für Betroffene bleibt aber weiterhin der für die Verarbeitung Verantwortliche.

Inhalt dieser Seite
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Sie wollen das Thema AVV abhaken?

Als externer Datenschutzbeauftragter erstellen und verwalten wir Ihre Verträge zur Auftragsverarbeitung.

AV-Verträge prüfen und erstellen lassen

Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.

Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.

Auftragsverarbeitungsvertrag prüfen lassen
Nach oben scrollen
Sie haben Fragen?
– Wir beraten Sie gerne
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Unsere Lösungen
Cortina Consult Logo