Datenschutz Verstehen – Auftragsverarbeitungsvertrag: Definition, Inhalte und Muster.
Kurze Einleitung
In unserer digitalen Welt werden immer mehr personenbezogene Daten ausgetauscht zwischen Unternehmen. Dabei ist der Schutz personenbezogener Daten von entscheidender Bedeutung, um die Privatsphäre der Betroffenen zu wahren. Wenn Unternehmen oder Organisationen personenbezogene Daten im Auftrag verarbeiten lassen, müssen sie sich an die Vorgaben der Datenschutz-Grundverordnung (DSGVO) halten.
Eine dieser Regeln betrifft den Abschluss von sogenannten Auftragsverarbeitungsverträgen (AV-Vertrag). In diesem Artikel erklären wir, was ein Auftragsverarbeitungsvertrag ist, wofür er benötigt wird und welche Bedeutung er für den Datenschutz hat. Wir zeigen auch, was Unternehmen und Organisationen bei der Auswahl eines geeigneten Auftragsverarbeiters und bei der Erstellung von einem AV-Vertrag beachten sollten.
Inhalt:
- Was ist ein Auftragsverarbeitungsvertrag?
- Wann braucht man einen Auftragsverarbeitungsvertrag?
- Wer ist für den AV-Vertrag zuständig?
- Wann ist kein Auftragsverarbeitungsvertrag notwendig?
- Inhalte Auftragsverarbeitungsvertrag
- Maßnahmen im Auftragsverarbeitungsvertrag
- Haftung im Auftragsverarbeitungsvertrag
- Datenübermittlung durch Auftragsverarbeitungsvertrag
- Vergütung im Auftragsverarbeitungsvertrag erlaubt?
- Muster Auftragsverarbeitungsvertrag
Was ist ein Auftragsverarbeitungsvertrag?
Ein Auftragsverarbeitungsvertrag (AV-Vertrag) ist ein Vertrag, der zwischen einem Auftraggeber (Verantwortlicher) und einem Auftragnehmer (Auftragsverarbeiter) geschlossen wird. In diesem Vertrag werden die Bedingungen für die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen durch den Auftragsverarbeiter geregelt.
Gemäß Artikel 28 der DSGVO müssen Verantwortliche und Auftragsverarbeiter einen AV-Vertrag abschließen, wenn personenbezogene Daten im Rahmen einer Auftragsverarbeitung verarbeitet werden.
Der AV-Vertrag stellt sicher, dass der Auftragsverarbeiter die personenbezogenen Daten im Auftrag des Verantwortlichen nur gemäß dessen Weisungen verarbeitet und dabei die geltenden datenschutzrechtlichen Bestimmungen (z.B. DSGVO, Schweizer DSG) einhält. Der Auftragsverarbeiter muss zudem sicherstellen, dass angemessene technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten ergriffen werden.
Ein wirksamer AV-Vertrag ist daher von großer Bedeutung für die Einhaltung der datenschutzrechtlichen Gesetze. Wenn Sie also Unternehmen mit der Verarbeitung von Daten beauftragen möchten, achten Sie unbedingt auf den Abschluss eines AV-Vertrages.
Wann braucht man einen Auftragsverarbeitungsvertrag?
Ein Auftragsverarbeitungsvertrag (AV-Vertrag) wird benötigt, wenn ein Unternehmen die Verarbeitung personenbezogener Daten an ein anderes Unternehmen auslagert. Dabei ist das Unternehmen, welches die Daten verarbeitet, der Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DSGVO. Das Unternehmen, welches die Daten für diesen Zweck übermittelt, ist der Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO.
Ein Auftragsverarbeiter ist ein Unternehmen, das personenbezogene Daten im Auftrag des Verantwortlichen und weisungsgebunden verarbeitet, z.B. ein Cloud-Dienstleister, ein IT-Unternehmen oder ein Buchhaltungsservice. Hier erfahren Sie, wann eine Auftragsverarbeitung vorliegt.
Wer ist für den AV-Vertrag zuständig?
Für den Abschluss eines Auftragsverarbeitungsvertrags (AV-Vertrag) sind sowohl der Verantwortliche als auch der Auftragsverarbeiter verantwortlich. Für beide Unternehmen ist der Abschluss des AV-Vertrages vorteilhaft, weil die Rechte und Pflichten für beide Seiten eindeutig geregelt werden. So werden im Falle einer Datenpanne Unstimmigkeiten vermieden. Beide Parteien sollten sorgfältig prüfen, ob der AV-Vertrag alle notwendigen Bestandteile enthält und den Anforderungen der Datenschutzgrundverordnung (DSGVO) entspricht. Es empfiehlt sich, bei Unsicherheiten einen Datenschutzbeauftragten zu fragen.
Wann ist kein Auftragsverarbeitungsvertrag notwendig?
Ein Auftragsverarbeitungsvertrag (AV-Vertrag) ist in der Regel erforderlich, wenn personenbezogene Daten im Auftrag verarbeitet werden. Eine Ausnahme besteht jedoch, wenn der Verantwortliche die personenbezogenen Daten ohne Weisung an den Datenempfänger übermittelt. Wenn die Mittel und Zwecke der Verarbeitung nicht vom Verantwortlichen festgelegt werden, werden beide Parteien als getrennt voneinander verantwortliche Unternehmen betrachtet. Es kann sogar vorkommen, dass Verarbeitungen in den Bereich einer gemeinsamen Verantwortlichkeit fällt i.S.d. Art. 26 DSGVO. Es ist also stets vor Abschluss eines Auftragsverarbeitungsvertrages zu prüfen, welche Konstellation einschlägig ist. Es gibt also 3 verschiedene Möglichkeiten:
- Auftragsverarbeitung: Ein Unternehmen verarbeitet für ein anderes Unternehmen weisungsgebunden und im Auftrag personenbezogene Daten.
- Getrennte Verantwortlichkeit: Zwei Unternehmen tauschen personenbezogene Daten aus, allerdings schreibt kein Unternehmen dem Anderen vor, welche Mittel und Zwecke für die Verarbeitung eingesetzt werden sollen. Viel mehr sind beide Unternehmen also allein verantwortlich für die Einhaltung der Vorgaben aus der DSGVO.
- Gemeinsame Verantwortlichkeit: Beide Unternehmen verarbeiten gemeinsam und jeweils für gewisse Teilbereiche der Verarbeitung weisungsgebunden personenbezogene Daten. Somit sind beide Unternehmen verantwortlich und zugleich weisungsgebunden tätig. Hierbei muss die Aufteilung der Verantwortlichkeit nicht per se gleichwertig sein. Es ist durchaus möglich, dass ein Unternehmen für ungefähr 80 Prozent der Verarbeitung die Mittel und Zwecke bestimmt und das andere Unternehmen nur für 20 Prozent. Für die Gestaltung eines solchen Vertrages sollten Unternehmen immer Datenschutzbeauftragte zur Beratung heranziehen.
Inhalte Auftragsverarbeitungsvertrag
Ein guter Auftragsverarbeitungsvertrag (AV-Vertrag) sollte sicherstellen, dass die Verarbeitung personenbezogener Daten im Einklang mit den Anforderungen der Datenschutzgrundverordnung (DSGVO) erfolgt. Ein Auftragsverarbeitungsvertrag muss insbesondere folgende Punkte regeln:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten
- Kategorien der betroffenen Personen
- Pflichte und Rechte des Verantwortlichen
Im Detail müssen ebenfalls in einem Auftragsverarbeitungsvertrag geregelt sein:
- Eine Verarbeitung von personenbezogenen Daten erfolgt nur nach dokumentierter Weisung des Auftraggebers, auch wenn die Daten in ein Drittland oder eine internationale Organisation übermittelt werden.
- Gewährleistung, dass alle zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessen Verschwiegenheitspflicht unterliegen.
- Alle gem. Art. 32 DSGVO erforderlichen Maßnahmen müssen durch den Auftragsverarbeiter eingehalten werden.
- Die in Art. 28 Abs. 2 und Abs. 4 DSGVO genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters müssen geregelt und eingehalten werden.
- Der Auftragsverarbeiter muss nach Möglichkeit angesichts der Art der Verarbeitung den Verantwortlichen mit geeigneten technisch-organisatorischen Maßnahmen bei der Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III (Betroffenenrechte) der DSGVO geregelten Rechte der betroffenen Personen unterstütze.
- Der Auftragsverarbeiter unterstützt den Verantwortlichen, unter Berücksichtigung der Art der Verarbeitung und der zur Verfügung stehenden Informationen, bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO.
- Der Auftragsverarbeiter muss alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen löschen oder zurückgeben (je nach Wahl des Verantwortlichen) und alle Kopien löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
- Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 niedergelegten Pflichten zur Verfügung.
- Der Auftragsverarbeiter ermöglicht dem Verantwortlichen Überprüfungen und Inspektionen, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden und leistet hierzu auch einen Beitrag i.S.d. Art. 28 Abs. 3 lit. h) DSGVO.
Weitere Vorgaben für den Inhalt eines Auftragsverarbeitungsvertrages regeln Art. 28 und Art. 29 DSGVO. Auch diese Voraussetzungen müssen berücksichtigt werden. Bei der vertraglichen Konzeption von Auftragsverarbeitungsverträgen unterstützt Sie Ihr Datenschutzbeauftragter.
Maßnahmen im Auftragsverarbeitungsvertrag
Unternehmen müssen immer für ein angemessenes Schutzniveau bei der Verarbeitung von personenbezogenen Daten sorgen. So muss auch der Verantwortliche dafür Sorge tragen, wenn eine Verarbeitung ausgelagert wird im Rahmen eines AV-Vertrags. Hierfür muss das verantwortliche Unternehmen die Angaben zu den technischen und organisatorischen Maßnahmen (TOMs) des Auftragsverarbeiters sorgfältig prüfen.
In der Regel wird das angemessene Schutzniveau gem. Art. 32 DSGVO vertraglich in dem AV-Vertrag definiert. Das reicht allerdings noch nicht aus. Der Verantwortliche muss sich von den tatsächlichen Maßnahmen des Auftragsverarbeiters überzeugen und diese Maßnahmen als angemessen bewerten. Im Ergebnis müssen die Maßnahmen zugeschnitten auf die geplante Verarbeitung überzeugen, sodass ein angemessenes Schutzniveau sichergestellt wird. Hierzu wird oftmals eine Anlage zum Auftragsverarbeitungsvertrag für die Maßnahmen erstellt. Es ist wichtig, dass die TOMs regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass sie den aktuellen Datenschutzstandards entsprechen. Hierzu sollte der Verantwortliche eine regelmäßige Prüfung einplanen und der Auftragsverarbeiter bei Änderungen informieren.
Haftung im Auftragsverarbeitungsvertrag
Im Falle eines Datenschutzverstoßes haften sowohl der Auftragsverarbeiter als auch der Verantwortliche, unabhängig davon, ob ein Auftragsverarbeitungsvertrag abgeschlossen wurde oder nicht, gem. den gesetzlichen Bestimmungen aus Art. 82 DSGVO. Beide Parteien sind für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich, insbesondere für die Sicherheit und Integrität der personenbezogenen Daten, die im Rahmen der Auftragsverarbeitung verarbeitet werden.
Schadensersatzansprüche und Bußgelder werden i.d.R. an den Verantwortlichen gerichtet. Der Verantwortliche kann dann im Innenverhältnis, z.B. durch Verschulden des Auftragsverarbeiters, Regressansprüche gegenüber dem Auftragsverarbeiter geltend machen.
Es ist daher wichtig, dass sowohl der Auftragsverarbeiter als auch der Verantwortliche ihre datenschutzrechtlichen Pflichten ernst nehmen und angemessene technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten.
Datenübermittlung durch Auftragsverarbeitungsvertrag
Grundsätzlich ist eine Datenübermittlung dann erlaubt, wenn die Rechtmäßigkeit i.S.d. Art. 6 DSGVO für den entsprechenden Zweck hergestellt worden ist. Der Auftragsverarbeiter darf personenbezogene Daten nur dann an Unterauftragnehmer übermitteln, wenn dies im Auftrag und nach den Weisungen des Auftraggebers erfolgt und wenn es eine vertragliche Erlaubnis hierzu gibt (im AV-Vertrag). Sollten Daten in ein unsicheres Drittland übermittelt werden, so müssen zusätzlich die Bedingungen der Art. 44 ff. DSGVO beachtet werden.
Vergütung im Auftragsverarbeitungsvertrag erlaubt?
Die Datenschutz-Grundverordnung regelt Vergütungen für Auftragsverarbeiter nicht. Natürlich muss der Auftragsverarbeiter nicht kostenfrei arbeiten, weshalb eine Vergütung grundsätzlich zulässig sein sollte. Dennoch ist aktuell nicht abschließend geklärt, ob Vergütungsklauseln in AV-Verträgen enthalten sein dürfen, weil diese die Inanspruchnahme von Unterstützungsleistungen eines Auftragsverarbeiters mittelbar einschränken würde. Die bayerische Datenschutzaufsicht (BayLfD) hält eine Vergütung für unzulässig. Daher ist eher von Vergütungsklauseln für den Auftragsverarbeiter innerhalb des Auftragsverarbeitungsvertrages abzusehen. Es besteht weiterhin die Möglichkeit, Vergütungen abschließend in Hauptverträgen, Leistungsvereinbarungen festzuhalten.
Muster Auftragsverarbeitungsvertrag
In unserem Muster-Auftragsverarbeitungsvertrag sind die grundlegenden Punkte, die in einem AV-Vertrag beinhaltet sein müssen, geregelt. Eine Individualisierung muss aber dennoch für jedes einzelne Auftragsverarbeitungsverhältnis erfolgen: Insbesondere Punkte wie Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien der betroffenen Personen, sowie Pflichte und Rechte des Verantwortlichen sind individuell zu regeln. Auch weitere essenzielle Punkte des AV-Vertrages bedürfen einer individuellen Anpassung. Das hier zur Verfügung gestalte Muster ist lediglich eine Vorlage, die noch individuell auf das jeweilige Auftragsverhältnis angepasst werden muss. Ihr Datenschutzbeauftragter berät und unterstützt Sie bei der individuellen Erstellung von datenschutzkonformen Auftragsverarbeitungsverträgen.
Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.