Auftragsverarbeitungsvertrag (AVV)
Ein AV-Vertrag ist ein Rechtsdokument, das Unternehmen benötigen, wenn sie Dienstleister mit der Verarbeitung personenbezogener Daten beauftragen – unsere Datenschutzberatung klärt auf, der externe Datenschutzbeauftragte unterstützt Sie dabei.
Bei einem Auftragsverarbeitungsvertrag (AVV) handelt es sich um eine zentrale Anforderung der DSGVO: Werden personenbezogene Daten von einem Dienstleister weisungsgebunden im Auftrag verarbeitet, ist der Abschluss eines AVV erforderlich. Unsere TÜV-zertifitierten Datenschutzbeauftragten erstellen & verwalten Verträge zur Auftragsverarbeitung.
Was ist ein Auftragsverarbeitungsvertrag?
Bei der Weitergabe personenbezogener Daten an einen Auftragsverarbeiter muss die Verarbeitung auf Grundlage eines Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter erfolgen. Der AV-Vertrag regelt die Rechte und Pflichten von Auftraggeber und Auftragnehmer sowie ggfs. erforderlicher Subdienstleister.
Der Auftragsverarbeiter tritt nach außen nicht in Erscheinung und ist in keinem Fall befugt, die von Ihnen gelieferten personenbezogenen Daten für seine eigenen Zwecke oder im eigenen Interesse zu verwenden (Art. 28 DSGVO). Damit ist Ihr Unternehmen weisungsbefugt, bleibt aber auch verantwortlich dafür, wie diese Daten verarbeitet werden – und für ihren Schutz (Art. 29 DSGVO).
Dem Auftraggeber werden im Vertrag umfassende Rechte zur Kontrolle der vereinbarten Vertragsinhalte (respektive: die beim Dienstleister getroffenen Maßnahmen und Vorkehrungen) eingeräumt. Wer als Auftraggeber einen AVV abschließt, bleibt für die personenbezogenen Daten, mit denen der Auftraggeber in Kontakt kommt, weiterhin verantwortlich.
Was beinhaltet ein Vertrag für Auftragsverarbeitung?
Der Auftragsverarbeitungsvertrag muss schriftlich (auch elektronisch) abgeschlossen werden, bevor der erste Datentransfer erfolgt, also deutlich vor der ersten Datenverarbeitung.
Laut § 28 DSGVO sieht der Auftragsverarbeitungsvertrag insbesondere vor, dass der Auftragsverarbeiter
- die personenbezogenen Daten nur in der Art und Weise verarbeitet, wie es die Weisung des verantwortlichen Auftraggebers vorsieht. Sollte hierzu eine Datenübermittlung an ein Drittland oder eine internationale Organisation stattfinden, hat sich der Auftragsverarbeiter zuvor mit dem Auftraggeber dazu abzustimmen, sofern der Mitteilung keinem wichtigen öffentlichen Interesse zuwiderläuft
- Seinen Verpflichtungen, wie im vorherigen Abschnitt aufgezählt wurden, nachkommt
- ein Verzeichnis der Verarbeitungstätigkeiten führt, beständig aktualisiert und auf Verlangen der Weisungsbehörde vorlegt
- den Verantwortlichen informiert, sobald er der Ansicht ist, dass dessen Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt
- alle zur Verarbeitung übermittelten Daten auf Weisung des Auftraggebers nach dem Ende der Verarbeitung rücküberträgt und/oder nach Ende der vorgeschriebenen Speicherungspflicht löscht
- dem Verantwortlichen alle Informationen zur Verfügung stellt, mit denen dieser die Einhaltung seiner Verpflichtungen nachweisen kann. Zudem muss der Verantwortliche oder von ihm beauftrage Personen jederzeit die Möglichkeit zur Überprüfung dieser Pflichteinhaltung erhalten, sei es durch eine persönliche Inspektion, Sachverständige oder durch Berichtsanforderungen
Umgekehrt muss der Verantwortliche in regelmäßigen Abständen kontrollieren, ob der Auftragsverarbeiter alle datenschutzrechtlichen Bestimmungen einhält. Dazu muss er ein Konzept zur Umsetzung seiner Datenschutzanforderungen haben, dessen Einhaltung er kontrolliert. Alle derartigen Überprüfungen müssen vom Auftraggeber dokumentiert werden, da sie von der Aufsichtsbehörde kontrolliert werden können.
Ganz konkret muss der Auftragsverarbeitungsvertrag folgende Aspekte enthalten – je nach Branche können jedoch noch weitere Punkte hinzukommen, bitte wenden Sie sich an Ihren IT-Juristen oder den Datenschutzbeauftragten:
- Namentiche Nennung von Verantwortlichem und Auftragsverarbeiter
- Gegenstand und Zweck der Datenverarbeitung
- Art der zugelieferten personenbezogenen Daten und die Kategorien der betroffenen Personen
- Zweck und Dauer der Datenverarbeitung
- Kontrollpflichten des Verantwortlichen und Mitwirkungspflichten des Auftragsverarbeiters
- Zusicherung der Vertraulichkeit und des Datenschutzes im Umgang mit den übermittelten Daten (Artikel 28 Absatz 3b DSGVO)
- Verfahren bei der Ausübung des Informationsrechts betroffener Personen
- Beginn, Ende und Kündigungsmöglichkeiten des Vertrages
- Bei der Verarbeitung besonders sensibler Daten (z. B. Gesundheitsdaten) die Möglichkeit einer Vertragsstrafe bei Datenschutzverstößen
- Umfang der Weisungsrechte des Auftraggebers, sein Recht zu deren schriftlich dokumentierten Änderung sowie Verpflichtung des Auftragnehmers auf die Einhaltung der Weisungen sowie Prozedere zur Meldung von Datenpannen und Datenschutzverletzungen (Artikel 33 Absatz 3 DSGVO),
- Möglichkeiten zu Berichtigung, Sperrung und Löschung von Daten
- Bestellpflicht/Benennung des Datenschutzbeauftragten beim Auftragsverarbeiter
- Etwaige Rechte zur Unterbeauftragung durch den Auftragsverarbeiter – dies ist nur mit schriftlicher Genehmigung des Auftraggebers mit Einspruchsrecht möglich
- Verfahren bei der Ausübung des Informationsrechts betroffener Personen
- die technischen und organisatorischen Maßnahmen (TOM)
- Datenrückübertragungs- und Löschungsvorgaben für den Auftragsverarbeiter nach Auftragsende
Verantwortlichkeit, Rechte und Pflichten des Auftraggebers für
- die Verarbeitung der Daten
- die Wahrung der Betroffenenrechte
- die Ernennung von weisungsberechtigten Personen
- die Information bei Fehlern oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung
- Vorgaben zur Verwahrungssorgfalt beim Auftragnehmer
Was bedeutet „Verarbeitung von personenbezogenen Daten“?
Nach Artikel 4 Absatz 2 der DSGVO versteht man unter „Verarbeiten“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe wie
- das Erheben
- das Erfassen
- die Organisation
- das Ordnen
- die Speicherung
- die Anpassung oder Veränderung
- das Auslesen
- das Abfragen
- die Verwendung
- die Offenlegung durch eine Form der Bereitstellung
- den Abgleich oder die Verknüpfung
- die Einschränkung
- das Löschen oder die Vernichtung
personenbezogener Daten zu einem beliebigen Zeitpunkt.
Wann braucht man einen Auftragsverarbeitungsvertrag?
Die drei Buchstaben AVV hat fast jeder schon einmal gehört. Überraschenderweise weiß kaum ein Verantwortlicher, was AVV praktisch (und im Detail) bedeutet. Ein AV-Vertrag ist in vielen Fällen eine unverzichtbare Grundlage bei der Nutzung von Diensten bzw. Dienstleistungen.
Ein paar Beispiele wären Google Analytics, Newsletter-Versand über einen externen Anbieter, Outsourcing von Diensten (z. B. Rechenzentrum), Beauftragung von Callcentern, externer Support / IT-Dienstleister etc.
Ein Vertrag über Auftragsverarbeitung (ehemals: Auftragsdatenverarbeitung) ist immer dann zu schließen, wenn personenbezogene Daten durch einen weisungsabhängigen Dienstleister verarbeitet werden.
Was muss in einem AV-Vertrag beachtet werden?
Im AVV müssen die wesentlichen Inhalte der Verarbeitung festgelegt werden:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten, Kategorien der Betroffenen
- Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
- Umfang der Weisungsbefugnisse
- Anlage mit technischen und organisatorischen Maßnahmen
- Pflichten und Rechte des Verantwortlichen
- Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
Pflichten und Rechte des Auftragsverarbeiter:
- Verarbeitung nach dokumentierter Weisung
- Wahrung der Vertraulichkeit und Verschwiegenheitspflicht
- Ergreifung geeigneter Maßnahmen zur Verarbeitung
- Informieren des Verantwortlichen, falls eine Weisung gegen Datenschutzrecht verstößt
- Hinzuziehen von Subunternehmen
- Unterstützung des Verantwortlichen bei der Einhaltung dessen Pflichten
- Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
Wer ist ein Auftragsverarbeiter?
Auftragsverarbeiter sind alle natürlichen oder juristischen Personen oder Institutionen innerhalb der EU oder des EWR, die die Daten Ihres Unternehmens weiterverarbeiten. Das sind nicht nur Kundendaten, sondern beispielsweise auch Lieferanten- oder Personaldaten. Deshalb gehören dazu
- Externe Lohnbuchhaltungen
- Marketing- und Werbeagenturen sowie Callcenter, Lettershops und Druckereien, wenn sie Adress- oder Telefondaten verarbeiten
- Die Hoster Ihrer Webseite und Ihrer betrieblichen E-Mails bzw. das Rechenzentrum
- der Anbieter Ihres Trackingtools
- Cloud-Softwareanbieter (Software as a service), z. B. Microsoft 365
- Akten- und Datenvernichtungsunternehmen
- Scan- und Postversanddienstleister
- Unternehmen oder externe Programmierer, die Ihre Unternehmenssoftware warten oder anpassen
- Dienstleister mit Fernwartungszugriff auf hauseigene Systeme
- Hardware-Services und IT-Technik, die Zugriff auf Daten erlangen könnten
Mit allen diesen Verarbeitern und jedem anderen, der auf Kunden-/Besucher-/Personal-/Abrechnungsdaten Zugriff hat, müssen Sie Auftragsverarbeitungsverträge schließen – auch mit Trackinganbietern wie Google Analytics. Dabei ist es nicht von Bedeutung, ob die auszuführende Dienstleistung den Zugriff auf personenbezogene Daten vorsieht. Sobald ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, muss ein Auftragsverarbeitungsvertrag vorliegen.
Lassen Sie die verschiedenen Dienstleistungsverhältnisse Ihres Hauses sowie die Auftragsverarbeitungsverträge von einem spezialisierten Juristen oder Datenschutzbeauftragten aufsetzen, die im Internet kursierenden Vorlagen können nicht ohne Weiteres übernommen werden. Ist der Auftragsverarbeiter nicht ohne Weiteres austausch- und ersetzbar oder hat Ihr Unternehmen keinen Einfluss auf die weitere Datenverarbeitung (z. B. wenn Sie eine Vermittlungsplattform betreiben) , ist ein Auftragsverarbeitungsvertrag nicht das richtige Dokument für den Verarbeitungsprozess.
In diesem Fall müssen Sie eine ausdrückliche Erlaubnis des Users zur Weitergabe seiner Daten an Dritte zu deren eigenständiger Weiterverarbeitung einholen. Das kann etwa durch ein Cookie Banner geschehen. Auftragsverarbeitungsverträge mit Anbietern außerhalb der EU/EWR (in sogenannten Drittländern gem. Artikel 44 DSGVO) sind derzeit nahezu unmöglich, weil die gesetzlichen Regelungen sehr komplex sind und Sie von jeder einzelnen betroffenen Person eine Datenweitergabeerlaubnis erbitten müssten.
Wann ist ein Dienstleister weisungsabhängig und zählt somit als Auftragsverarbeiter?
Keine Datenverarbeitung liegt vor, wenn der Dienstleister die anvertrauten Daten eigenverantwortlich behandelt. Der Auftraggeber verfügt also weder über Weisungs- noch über Kontrollrechte und überlässt dem Dienstleister die Entscheidung über Mittel und Zweck der Datenverarbeitung und der inhaltlichen Gestaltung. In diesem Falle ist der Dienstleister kein Auftragsverarbeiter.
Wenn Sie aber einen Auftragsverarbeiter beauftragen und die Zwecke und Mittel der Datenverarbeitung festlegen, sind Sie verantwortlich für die Daten der Betroffenen. Es liegt vermutlich eine Auftragsverarbeitung vor, wenn der Auftragnehmer:
- keine Entscheidungsbefungnis über die Daten hat
- einem Nutzungsverbot der zu verarbeitenden Daten unterliegt
- keinen eigenen Geschäftszweck mit der Verarbeitung der Daten verfolgt
- in keiner vertraglichen Beziehung zu den Betroffenen steht
- der Auftraggeber verantwortlich für die Datenverarbeitung ist
Sind Sie sich nach wie vor nicht sicher ob Sie einen AVV benötigen, können Sie sich auch an Ihre Aufsichtsbehörde oder Ihren Datenschutzbeauftragten wenden.
Hier finden Sie eine Liste mit AV-Verträgen.
Wozu sind Auftragsverarbeiter verpflichtet?
Die Pflichten des Auftragsverarbeiters sind in den §Artikeln 32 bis 35 der DSGVO aufgeführt. Er muss mit geeigneten technischen und organisatorischen Maßnahmen (TOM) sicherstellen, dass der Datenschutz und die Datensicherheit während der Datenübertragung und der Verarbeitung beständig gewahrt werden. Er muss also dafür sorgen, dass
- Die gelieferten Daten ausschließlich vertrags- und weisungsgemäß verarbeitet werden
- Die Datensicherheit gewährleistet ist und ein Datenschutzkonzept für den Auftrag vorliegt,
- Alle an der Datenverarbeitung beteiligten Personen der Vertraulichkeit und der Verschwiegenheit verpflichtet wurden
- bei einer risikobehafteten Datenverarbeitung vorab eine Beratung mit der Aufsichtsbehörde stattfindet
- der Auftraggeber als für die Datenverarbeitung Verantwortlichen bei der Einhaltung der DSGVO-Pflichten sowie bei der Bearbeitung von Nutzeranfragen unterstützt wird
- bei einer Verletzung des Datenschutzes der Vorfall unverzüglich an die betroffenen Personen sowie die Aufsichtsbehörde gemeldet wird
- eine Datenschutz-Folgenabschätzung durchgeführt wird
Wer ist kein Auftragsverarbeiter?
Es gibt nur wenige Ausnahmen, denen Sie Daten ohne AVV zur Verarbeitung übertragen dürfen, weil sie bereits durch besondere gewerbespezifische und berufsständische Regelungen („Berufsgeheimnis“) verpflichtet sind, personenbezogene Daten besonders zu schützen.
Hier gilt die Nutzung der Daten als fremde Fachleistung und die Verantwortung für den Schutz der von Ihnen weitergeleiteten personenbezogenen Daten liegt beim Dienstleister. Üblicherweise von der Auftragsverarbeitungsvertragspflicht befreit sind laut Datenschutzkonferenz
- Steuerberater und Wirtschaftsprüfer
- Banken und andere Kreditinstitute (Geldtransfer)
- Rechtsanwälte und Notare
- Inkassobüros (Forderungsübertragung)
- Postdienstleister (Brieftransport)
- Externe Betriebsärzte
Was passiert, wenn ich keinen oder einen fehlerhaften/unvollständigen Auftragsverarbeitungsvertrag geschlossen habe?
Sollten Sie keinen Auftragsverarbeitungsvertrag mit einem Auftragsverarbeiter geschlossen haben, wird es teuer. Die DSGVO sieht in Artikel 82 bei einem Vertragsbruch oder einem Pflichtverstoß des Auftragsverarbeiters eine gemeinsame Haftung von Verantwortlichem und Auftragsverarbeiter vor, die
Bei geringen Verstößen
bis zu 10 Millionen Euro oder zwei Prozent des Jahresumsatzes des Vorjahres (je nachdem, welcher Betrag höher ist, Artikel 83 Absatz 4 DSGVO) betragen kann.
Bei schweren Verstößen
bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes des Vorjahres (je nachdem, welcher Betrag höher ist, Artikel 83 Absatz 5 DSGVO) betragen kann.
Zudem haben die betroffenen Personen ein Schadensersatzrecht gegen Verantwortlichen und Auftragsverarbeiter, wenn sich ein Datenmissbrauch nachweisen lässt. Dies betrifft beispielsweise
- einen fehlenden erforderlichen Auftragsverarbeitungsvertrag
- einen fehlerhaften Auftragsverarbeitungsvertrag mit unzulässigen Klauseln
- Ignorieren von Vorgaben des Datenschutzbehörde zur Datenübermittlung
In diesen Fällen müssten die betroffenen Unternehmen ihre Unschuld nachweisen, um der Schadenersatzforderung zu begegnen – etwa durch einen gültigen Auftragsverarbeitungsvertrag.
Manche Gerichte haben bereits entscheiden, dass das datenschutzkonforme Verhalten von Wettbewerbern einklagbar ist. Damit besteht die Gefahr von Abmahnwellen professioneller Kläger.
Verantwortliche sollten eine Auftragsverarbeitung in jedem Fall in ihre Datenschutzerklärung aufnehmen.
Wird ein Einverständnis der Betroffenen benötigt?
Klären wir zunächst einmal was es mit dem Verbot mit Erlaubnisvorbehalt auf sich hat.
Für die Weitergabe von Daten an Dritte und für die Verarbeitung wird eine Rechtsgrundlage benötigt, das besagt das sogenannte Verbot mit Erlaubnisvorbehalt. Das bedeutet konkret, dass eine gesetzliche Erlaubnis oder eine Einwilligung des Betroffenen für den Umgang mit personenbezogenen Daten benötigt wird.
Ein Auftragsverarbeiter wird jedoch nicht als Dritter eingestuft und somit ist auch keine weitere Rechtsgrundlage erforderlich. Betroffene müssen lediglich auf den Einsatz von Auftragsverarbeitern hingewiesen werden.
Weitere Informationen über die AVV
Auftragsverarbeitung findet statt, wenn ein Auftragnehmer der verantwortlichen Stelle auf Grundlage eines schriftlichen Vertrags personenbezogene Daten erhebt, verarbeitet und nutzt. Die DSGVO regelt diese Auftragsverarbeitung detailliert und europaweit.
Der Auftragsverarbeiter muss sorgfältig und unter Berücksichtigung der technischen und organisatorischen Maßnahmen ausgewählt werden. Er darf nur auf Weisung des Verantwortlichen die entsprechenden Daten für den vorgesehenen Zweck verarbeiten.
Die Datenverarbeitung kann auch außerhalb der EU stattfinden. Gemäß der DSGVO müssen aber nun auch Auftragsverarbeiter ein Verzeichnis über die Verarbeitungstätigkeiten führen. Ansprechpartner für Betroffene bleibt aber weiterhin der für die Verarbeitung Verantwortliche.
Als externer Datenschutzbeauftragter erstellen und verwalten wir Ihre Verträge zur Auftragsverarbeitung.
Die externen Datenschutzbeauftragter der Cortina Consult
Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.
- Gebündelte Erfahrung aus 10 Jahren in der Branche und 500 erfolgreichen Datenschutzprojekten
- Beratung, Software & Schulung aus einer Hand
- Prozessoptimierung frei nach dem Motto: so viel wie nötig, so wenig wie möglich