Auftragsverarbeitungsvertrag

Was müssen Sie wissen und was ist zu beachten?

Der Austausch von Daten und die Datenmengen in Unternehmen nehmen nahezu täglich zu. Gleichzeitig vertrauen Kunden und Verbraucher darauf, dass ihre Daten geschützt sind und nicht dem Missbrauch an Dritte ausgesetzt sind.

Damit Unternehmen und Dienstleister bei der Verarbeitung personenbezogener Daten in diesen Fällen wissen, was erlaubt ist und welche Pflichten sie zu erfüllen haben, gilt seit Mai 2018 die DSGVO. So wurde aus der Auftragsdatenverarbeitung (§ 11 des BDSG) die Auftragsverarbeitung (Art. 28 der DSGVO). Die bestehenden Regelungen des § 11 BDSG (festgehalten in einem ADV-Vertrag), wurden durch die DSGVO ergänzt und insbesondere für Dienstleister eines Online-Unternehmens kamen einige Neuerungen hinzu. Wir sind Experten auf dem Gebiet des Datenschutzes. In diesem Artikel-Text informieren wir Sie, was seit Mai 2018 für Unternehmen, Auftraggeber und Auftragsverarbeiter bei der Datenverarbeitung gilt, welche Verträge geschlossen werden müssen, welche Vorgaben einzuhalten sind und wo man professionelle Unterstützung erhält. Dazu stehen wir unseren Kunden mit wertvollen Tipps zur Seite und beantworten gern jede Frage rund um das Thema Datenschutz.

Was regelt der Auftragsverarbeitungsvertrag (AV-Vertrag)?

Ein AV-Vertrag ist erforderlich, wenn personenbezogene Daten von einem Dienstleister im Auftrag verarbeitet werden. Nahezu jedes Unternehmen nutzt in gewisser Form die Verarbeitung von Daten für die Umsetzung ihrer Leistungen. Und wenn andere Unternehmen oder Dienstleister Zugriff auf die Kundendaten des Unternehmens haben, welches sie beauftragt hat, findet eine Auftragsverarbeitung statt. Über diese gilt es dann einen entsprechenden AV-Vertrag abzuschließen.

Der AV-Vertrag erfolgt weisungsgebunden und legt die Rechte und Pflichten des Auftragsgebers und Auftragnehmers bezüglich der Verarbeitung der personenbezogenen Daten des Auftraggebers fest. Der AV-Vertrag ist eine wesentliche Anforderung der Datenschutzgrundverordnung und wird in Art. 28 der DSGVO genau definiert.
Businessmann mit verschränkten Armen

Was ist ein ADV-Vertrag?

Auftragsdatenverarbeitung bezeichnete nach nationalem Recht das Erheben, Verarbeiten oder Nutzen personenbezogener Daten durch einen Dienstleister im Auftrag des Verantwortlichen. Der Auftragnehmer oder Auftragsverarbeiter ist an die Weisung des Auftraggebers gebunden. Die Basis der Zusammenarbeit ist ein schriftlicher ADV-Vertrag.

Gesetzlich geregelt war die Auftragsdatenverarbeitung vor der DSGVO in § 11 des BDSG (Bundesdatenschutzgesetz). Diese wurden nun wesentlich detaillierter durch neue Regelungen in Art. 28 DSGVO ergänzt und zur Auftragsverarbeitung umbenannt. Es ist also wichtig zu prüfen, ob es sich bei den Verträgen zwischen des Auftraggebers und Auftragnehmers noch um einen Vertrag zur Auftragsdatenverarbeitung (ADV) handelt oder sie bereits auf der rechtlich sicheren Seite stehen, und einen nach dem 25. Mai 2018 notwendigen Vertrag zur Auftragsverarbeitung (AV) abgeschlossen haben.

Wann handelt es sich um eine Auftragsverarbeitung?

Nicht jede Übertragung von personenbezogenen Daten ist immer gleich bedeutend mit einer Auftragsverarbeitung. Hiervon spricht man nur, wenn es sich bei der Verarbeitung personenbezogener Daten um die zentrale Leistung des Auftragnehmers handelt und dieser vom Auftraggeber mit der weisungsgebundenen Verarbeitung dieser Daten beauftragt wurde.

Bevor also eine Beauftragung einer Auftragsverarbeitung mit fachlichen Dienstleistern stattfinden kann, muss derSchwerpunkt der Dienstleistung sowie die Datenkategorien betrachtet werden. Sobald die Datenverarbeitung keine konkrete Leistung oder wenigstens im Vordergrund des Kerngeschäftes des Dienstleisters steht, stellt es in diesen Fällen auch keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar.
Zwei Businesspersonen an einem Tisch mit Stift und Block ohne Gesichter

Wann spricht man von einem Auftragsverarbeiter?

Bei Auftragsverarbeitern spricht man nach Art. 4 Nr. 8 DSGVO von jeder natürlichen und juristischen Person, Behörde oder Verein, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet:

  • Externe Buchhaltung, Lohn- und Gehaltsabrechnung
  • Beauftragung eines Callcenters für externe Kundentelefonate und Kundensupport
  • Agenturen für personalisierte Werbung- und Marketingaktionen, Newsletterversand, Kundenumfragen
  • Hosting von Webseiten und Online-Shops
  • IT-Dienstleister/Fernwartungssysteme
  • Aktenvernichtung/Entsorger von Datenträgern
  • Lettershops/Druckereien

Wann liegt keine Auftragsverarbeitung vor?

Eine AV liegt nicht vor, wenn es zu einer sogenannten Funktionsübertragung kommt. Hier jedoch eine genaue Grenze zwischen Auftragsverarbeitung und Funktionsübertragung festzulegen, ist für viele Dienstleistungen nicht immer eindeutig zu definieren.

Einen klaren Hinweis auf Funktionsübertragung an den externen Auftragnehmer ist jedoch durch die Weisungsbindung gegeben. Bei einer Funktionsübertragung ist der externe Auftragnehmer nicht weisungsgebunden, sondern erhält an dieser Stelle eine gewisse Eigenverantwortlichkeit und die Befugnis frei über die Daten zu entscheiden. In diesem Fall ist kein Auftragsverarbeitungsvertrag notwendig.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen und Einzelangaben über persönliche und sachliche Verhältnisse, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen:

  • Name und Anschrift
  • Login-Name (personenbezogen, wenn er mit dem echten Namen oder der E-Mail-Adresse verknüpft ist)
  • E-Mail-Adresse
  • IP-Adresse (wenn eine Identifizierung der dort hinter stehenden Person rechtmäßig ist)
  • Geburtsdatum
  • Telefonnummer
  • Kontodaten

Die Auftragsverarbeitung nach der DSGVO

Die seit Mai 2018 geltenden Regelungen der EU-Datenschutz-Grundverordnung (Art. 28) sind für alle Unternehmen, die personenbezogene Daten im Auftrag verarbeiten lassen, von großer Bedeutung und dessen Datenschutzanforderungen sind unmissverständlich zu beachten.

Bis Mai 2018 war nach § 11 des Bundesdatenschutzgesetzes, die Auftragsdatenverarbeitung (ADV) noch dafür verantwortlich personenbezogene Daten durch einen Dienstleister zu erheben, zu verarbeiten und zu nutzen. Hierüber waren entsprechende ADV-Verträge für die Datenverarbeitung abzuschließen.
Businessmann an einem Aktenschrank

Was ändert sich durch die DSGVO bei der Auftragsverarbeitung?

Die bisherigen nationalen Regelungen haben durch die DSGVO (Artikel 28) einige wichtige Änderungen für verantwortliche Personen erhalten. Durch die DSGVO erlangt der Datenschutz der Endverbraucher und Kunden eine enorme Wichtigkeit. Unternehmen haben bei der Verarbeitung von personenbezogenen Daten, der Datenweitergabe und bei dem Zugriff auf personenbezogene Daten deutlich mehr Pflichten zu erfüllen und werden dabei auch mehr in die Verantwortung genommen.

Zudem wurden durch die EU-Datenschutz-Grundverordnung die Anforderungen und Vorschriften für Auftraggeber und Auftragnehmer vereinheitlicht.

Was ist neu durch die DSGVO bei der Auftragsverarbeitung?​

Umbenennung

Aus der bis Mai 2018 war nach § 11 BDSG geltenden Auftragsdatenverarbeitung wird die Auftragsverarbeitung, woraus sich ebenfalls eine Umformulierung für den Vertrag ergibt. Aus dem Auftragsdatenverarbeitungs-Vertrag (ADV-Vertrag) wird der Auftragsverarbeitungs-Vertrag (AV-Vertrag). Die bestehenden Regelungen und des § 11 BDSG werden durch die DSGVO (Art. 28) ergänzt.

Form zum Abschluss von AV-Verträgen​

Die Datenschutz-Grundverordnung erlaubt einen elektronischen Abschluss eines AV-Vertrages. Ein AV-Vertrag muss demnach nicht mehr schriftlich abgeschlossen werden.

Verpflichtung zur Verschwiegenheit

Der Auftragnehmer ist verpflichtet, die personenbezogenen Daten des Auftraggebers vertraulich zu behandeln und muss gewährleisten, dass die zur Verarbeitung ermächtigten Personen ebenfalls die Pflichten der Vertraulichkeit und Verschwiegenheit einzuhalten haben.

Einsatz von Subunternehmern 

Wenn für den Auftragnehmer die Notwendigkeit besteht, einen Subunternehmer oder externe Dienstleister oder sonstige Dritte hinzuziehen, ist dies nur über eine schriftliche Erlaubnis durch den Auftraggeber möglich. Dem Auftraggeber muss das Recht auf Widerspruch des externen Auftrags eingeräumt werden.

Verhalten mit Betroffenen 

Wenn betroffene Personen ihre Rechte nach der DSGVO (Art. 28) gegenüber dem Auftragnehmer und nicht dem verantwortlichen Auftraggeber geltend machen, hat dieser darüber unverzüglich Meldung zu machen. Zudem verpflichtet er sich zur Unterstützung des Auftraggebers geeignete Vorkehrungen zur Einhaltung der Datensicherheit gemeinsam umzusetzen.

Neue Bußgeldregelungen

Bei Verstößen oder Nichtbeachtung der DSGVO (Artikel 28) und der innerhalb der AV-Verträge geschlossenen Regelungen und Vereinbarungen, werden verantwortliche Unternehmen zu bedeutend höheren Bußgeldern belangt, als es noch zu Zeiten des ADV der Fall war.

Vektorgrafik Office Frau mit Laptop sitzend auf großem Monitor Mann mit Lupe auf Monitor

Was ist bei einem Auftragsverarbeitungs-Vertrag genau zu beachten?

Die Erstellung eines AV-Vertrages kann aufgrund seiner hohen Anforderungen durchaus zur Herausforderung werden. Viele Unternehmen greifen hier auf die Unterstützung ihrer Anwälte oder Datenschutzbeauftragten zurück. Jedoch können hierfür auch marktübliche Vertrags-Vorlagen oder -Muster verwendet werden, in der die wesentlichen Inhalte der Verarbeitung dargestellt sind.

Muster Darstellung AV-Verträge

Eine korrekte und vollständige Darstellung folgender Angaben und Regelungen müssen in jedem Fall in einem AV-Vertrag enthalten und definiert sein:

  1. Vertragspartner (Auftraggeber und Auftragnehmer müssen namentlich benannt sein)
  2. Gegenstand und Dauer der Datenverarbeitung und Datenspeicherung
  3. Art und Zweck der Erhebung und Verarbeitung
  4. Art der personenbezogenen Daten und der Kreis der Betroffenen
  5. Umfang der Weisungsbefugnisse gegenüber Auftragsverarbeiter
  6. Eventuelle Berechtigung von Unterauftragsverhältnissen mit Subunternehmern
  7. Löschung der Daten nach Beendigung des Auftrags
  8. Möglichkeit, Informationen zur Verfügung zu stellen und eine Datenüberprüfung vorzunehmen
  9. Rechte und Pflichten Auftraggeber
  10. Pflichten Auftragnehmer/Auftragsverarbeiter
  • Daten nur nach geregelter und dokumentierter Weisung verarbeiten
  • Wahrung der Vertraulichkeit
  • Einhaltung der Verschwiegenheitspflicht
  • Geeignete Maßnahmen ergreifen zur Erhaltung der Datensicherheit
  • Bei Verletzung von Datenschutz unverzügliche Meldung an Aufsichtsbehörde und betroffenen Person/den betroffenen Personen
  • Bei Verarbeitung mit hohem Risiko: Beratung mit der Aufsichtsbehörde
  • Durchführung einer Datenschutz-Folgenabschätzung
AV-Verträge müssen zudem eine Anlage zu den technischen und organisatorischen Maßnahmen enthalten, mit denen der Auftragnehmer den Datenschutz, die Datensicherheit sowie die sichere Datenweitergabe des Auftraggebers gewährleistet.

Was sind die technischen und organisatorischen Maßnahmen?

Die technischen und organisatorischen Maßnahmen (TOM) sind die durch die Datenschutzgrundverordnung (Art. 25 DSGVO) vorgeschriebenen Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten. 

Jeder Verantwortliche ist zur Umsetzung der TOM verpflichtet, um den Schutz der betroffenen Personen auf Basis ihrer Rechte und Pflichten zu wahren und den Datenschutz zu gewährleisten. Technische und organisatorische Maßnahmen sind von den Verantwortlichen professionell in seinem Verzeichnis von Verarbeitungstechniken zu dokumentieren.

Welche Zwecke erfüllen die TOM?

Die Sicherstellung des Schutzes personenbezogener Daten ist laut den EU-Vorgaben der DSGVO für jedes Unternehmen verpflichtend.

Auf Basis der TOM sind unterschiedliche Vorkehrungen zum Schutz der Rechte der betroffenen Person umzusetzen, die hierüber Garantien bieten, dass die Verarbeitung im Einklang mit den Anforderungen der Verordnung gewährleistet wird. Durch die Vorgaben der TOM können die Verantwortlichen die Sicherheit der erhobenen und verarbeitenden Daten sicherstellen.
Vektorgrafik von Icons zur Datensicherheit Schloss Rädchen Einstellungen und einem Mann
Zwei Businessmänner lachen in die Kamera mit rotem Notizbuch

Durchführung der TOM

Zur Durchführung der TOM sind verschiedene Mittel zu ergreifen. Hierbei spielt die Nutzung der Technik eine große Rolle. Es muss sichergestellt werden, dass die Daten auch hinsichtlich bestehender Risiken der Technik ausreichend geschützt sind.

  • Personenbezogene Daten müssen verschlüsselt werden
  • Eine dauerhafte Verfügbarkeit personenbezogener Daten muss gewährleistet sein
  • Eine dauerhafte Verfügbarkeit von IT-Systemen und Diensten zur Verarbeitung muss gewährleistet sein
  • Nach einem technischen Zwischenfall ist der Zugang zu den personenbezogenen Daten wieder herzustellen, ein Backup ist einzurichten
  • Regelmäßige Überprüfungen und Bewertungen zur Wirksamkeit der TOM sind zu gewährleisten

Kein AV-Vertrag abgeschlossen - welche Strafen drohen Unternehmen?

Ein Unternehmen ist verpflichtet, mit seinen externen Dienstleistern und Auftragnehmern einen AV-Vertrag abzuschließen. Sollte zwischen den Parteien keinen den Anforderungen entsprechenden Vertrag geschlossen worden sein, sieht die DSGVO eine gemeinsame Haftung zwischen Auftraggeber und Auftragnehmer vor.

Nach Inkrafttreten der DSGVO und im Vergleich zu einem ADV-Vertrag nach alter Rechtssprechung können die Aufsichtsbehörden die Bußgelder mit einer beachtlichen Summe versehen. Statt eines fünfstelligen Betrags sind nun Strafen von bis zu 10 Millionen Euro oder bis zu 2 Prozent des vergangenen Jahresumsatzes möglich (Art. 83 Abs. 4 DSGVO). Es ist sogar noch eine Steigerung der Höhe der Bußgelder möglich. Bei Verstößen, die massiv gegen die Verarbeitungsvorgaben verstoßen oder gar in die Rechte der Nutzer eingreifen, sind Bußgeldstrafen von bis zu 20 Millionen Euro bzw. 4 Prozent des Jahresumsatzes umsetzbar (Art. 83 Abs. 5 DSGVO). Zugleich können auch Personen, Kunden und Verbraucher Schadensersatzansprüche verlangen vom verantwortlichen Auftraggeber und Auftragnehmer, wenn es sich um einen nachweislichen Missbrauch ihrer persönlichen Daten handelt.

Wer trägt die Verantwortung für den Datenschutz?

Das verantwortliche Unternehmen beim Thema Datenschutz und Datensicherheit zur Auftragsverarbeitung ist der Auftraggeber.

Um alle Pflichten zu erfüllen und der Verantwortung uneingeschränkt nachzukommen, ist der Abschluss eines AV-Vertrages zwischen Auftraggeber und Auftragnehmer notwendig. Inhaltlich hat dieser sich an das Datenschutzrecht in Art. 28 der Datenschutz-Grundverordnung zu halten. Um eine Einhaltung zu gewährleisten, muss sich auch der Auftragnehmer einer regelmäßigen Kontrolle durch den Auftraggeber unterziehen. Der Auftraggeber kann dazu eine schriftliche Auskunft einholen, ob dieser sich an alle im Vertrag geregelten Vorgaben zum Datenschutz hält. Darüber hinaus kann der Auftraggeber Vor-Ort-Kontrollen durchführen oder auch Bewertungen über den eigenen Datenschutzbeauftragten einholen bis hin zur Beglaubigung eines Sachverständigen. Zudem muss eine professionelle Protokollierung der Kontrollen erfolgen, um dies neben der vorgeschriebenen Gesetzeslage auch im Streitfall gegenüber der zuständigen Aufsichtsbehörde geltend machen zu können. Die Datenschutzerklärung muss ebenfalls auf die Datenverarbeitung hinweisen. Insbesondere auch, wenn eine Datenweitergabe an Dritte möglich ist.

Muster AV-Vertrag

Auf der Suche passender AV-Verträge für ein Unternehmen gibt es eine Reihe von Anbietern, die Ihnen auch im Internet spezielle Vorlagen und Generatoren für Verträge zum Zwecke der Erfüllung eigener Datenschutzanforderung auf ihrer Website anbieten. Oft sind stehen diese Muster sogar in verschiedenen Sprachen kostenlos zur Verfügung.

Hierbei ist jedoch genau zu überprüfen, ob kostenlose Muster der aktuellen Rechtslage genügen.
Businessmann mit Brille lacht in die Kamera

Auftragsverarbeitungsvertrag - FAZIT

Die Datenschutz-Grundverordnung hat die Anforderungen zur Sicherheit der Verarbeitung personenbezogener Daten wesentlich erweitert und detaillierter festgehalten, als es noch die Auftragsdatenverarbeitung bis Mai 2018 im § 11 des BDSG getan hat.

Für Unternehmen und Datenschutzbeauftragter bedeutet das deutlich mehr Verantwortung bei der Datenverarbeitung und beinhaltet auch erweiterte Dokumentations- und Nachweispflichten, um im Schadensfall rechtlich vorgehen zu können. Außerdem ist klar definiert worden, dass jegliche Zusammenarbeit zwischen Unternehmen den Abschluss eines AV-Vertrages unabdingbar machen. Bei Verstößen oder Versäumnissen drohen hohe Strafen – nach der Datenschutz-Grundverordnung kann das empfindliche Bußgelder bis zu 20 Millionen Euro mit sich ziehen. Sie suchen professionelle Unterstützung rund um das Thema Datenschutz, Datenverarbeitung und möchten die Erstellung eines AV-Vertrages gern von einem Experten übernehmen lassen? Dann ist der Hanseatische Datenschutz der richtige Partner an Ihrer Seite. Sprechen Sie uns direkt an und unsere Datenschutzexperten stehen Ihnen mit Rat und Tat zur Verfügung.

Beratung und Service

Wir sind Ihr direkter Ansprechpartner beim Thema Datenschutz. Nehmen Sie gern direkt Kontakt zu uns auf. Dazu stehen Ihnen unsere erfahrene Fachleute für eine persönliche Beratung zur Verfügung (kein Call-Center). Wir beantworten Ihre Frage kompetent und erstellen Ihnen auch gern ein individuelles Angebot.

Viele weitere Informationen finden Sie auf unserer Webseite (siehe Inhaltsverzeichnis).