Datenschutz Verstehen – Auftragsverarbeitungsvertrag: Definition, Inhalte und Muster.
Kurze Einleitung
In unserer digitalen Welt werden immer mehr personenbezogene Daten verarbeitet und ausgetauscht zwischen Unternehmen. Dabei ist der Schutz dieser Daten von entscheidender Bedeutung, um die Privatsphäre der Betroffenen zu wahren. Wenn Unternehmen oder Organisationen personenbezogene Daten verarbeiten lassen, müssen sie sich an bestimmte Regeln halten. Eine dieser Regeln betrifft den Abschluss von sogenannten Auftragsverarbeitungsverträgen. In diesem Artikel erklären wir, was ein Auftragsverarbeitungsvertrag ist, wofür er benötigt wird und welche Bedeutung er für den Datenschutz hat. Wir zeigen auch, was Unternehmen und Organisationen bei der Auswahl eines geeigneten Auftragsverarbeiters und bei der Erstellung eines Vertrags beachten sollten.
Inhalt:
- Was ist ein Auftragsverarbeitungsvertrag?
- Wann braucht man einen Auftragsverarbeitungsvertrag?
- Wer ist für den AV-Vertrag zuständig?
- Wann ist kein Auftragsverarbeitungsvertrag notwendig?
- Inhalte Auftragsverarbeitungsvertrag
- Maßnahmen im Auftragsverarbeitungsvertrag
- Haftung im Auftragsverarbeitungsvertrag
- Datenübermittlung durch Auftragsverarbeitungsvertrag
- Vergütung im Auftragsverarbeitungsvertrag erlaubt?
- Muster Auftragsverarbeitungsvertrag
Was ist ein Auftragsverarbeitungsvertrag?
Ein Auftragsverarbeitungsvertrag (AV-Vertrag) ist ein Vertrag, der zwischen einem Auftraggeber (Verantwortlicher) und einem Auftragnehmer (Auftragsverarbeiter) geschlossen wird. In diesem Vertrag werden die Bedingungen für die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen durch den Auftragsverarbeiter geregelt.
Gemäß Artikel 28 der Datenschutz-Grundverordnung (DSGVO) müssen Verantwortliche und Auftragsverarbeiter einen AV-Vertrag abschließen, wenn personenbezogene Daten im Rahmen einer Auftragsverarbeitung verarbeitet werden.
Der AV-Vertrag stellt sicher, dass der Auftragsverarbeiter die personenbezogenen Daten im Auftrag des Verantwortlichen nur gemäß dessen Weisungen verarbeitet und dabei die geltenden datenschutzrechtlichen Bestimmungen (z.B. DSGVO, Schweizer DSG) einhält. Der Auftragsverarbeiter muss zudem sicherstellen, dass angemessene technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten ergriffen werden.
Ein wirksamer AV-Vertrag ist daher von großer Bedeutung für die Einhaltung der datenschutzrechtlichen Gesetze. Wenn Sie also Unternehmen mit der Verarbeitung von Daten beauftragen möchten, achten Sie unbedingt auf den Abschluss eines AV-Vertrages.
Wann braucht man einen Auftragsverarbeitungsvertrag?
Ein Auftragsverarbeitungsvertrag (AV-Vertrag) wird benötigt, wenn ein Unternehmen oder eine Organisation die Verarbeitung personenbezogener Daten an einen Auftragsverarbeiter auslagert. Ein Auftragsverarbeiter ist ein Unternehmen, das personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, z.B. ein Cloud-Dienstleister, ein IT-Unternehmen oder ein Buchhaltungsservice. Hier erfahren Sie, wann eine Auftragsverarbeitung vorliegt.

Wer ist für den AV-Vertrag zuständig?
Für den Abschluss eines Auftragsverarbeitungsvertrags (AV-Vertrag) sind sowohl der Verantwortliche als auch der Auftragsverarbeiter verantwortlich.
Der Auftraggeber ist dabei verpflichtet, einen AV-Vertrag abzuschließen, wenn er personenbezogene Daten an den Auftragnehmer übermittelt und dieser die Daten im Auftrag verarbeitet. Der Auftragnehmer ist wiederum verpflichtet, den AV-Vertrag anzunehmen und einzuhalten.
Beide Parteien sollten sorgfältig prüfen, ob der AV-Vertrag alle notwendigen Bestandteile enthält und den Anforderungen der Datenschutzgrundverordnung (DSGVO) entspricht. Es empfiehlt sich, bei Unsicherheiten einen Datenschutzbeauftragten zu fragen.
Wann ist kein Auftragsverarbeitungsvertrag notwendig?
Ein Auftragsverarbeitungsvertrag (AV-Vertrag) ist in der Regel erforderlich, wenn personenbezogene Daten im Auftrag verarbeitet werden. Eine Ausnahme besteht jedoch, wenn der Verantwortliche die personenbezogenen Daten ohne Weisung an den Datenempfänger übermittelt. Wenn die Mittel und Zwecke der Verarbeitung nicht vom Verantwortlichen festgelegt werden, werden beide Parteien als getrennt voneinander verantwortliche Unternehmen betrachtet. Es kann sogar vorkommen, dass diese Verarbeitung in den Bereich einer gemeinsamen Verantwortlichkeit fällt i.S.d. Art. 26 DSGVO.
Inhalte Auftragsverarbeitungsvertrag
Ein guter Auftragsverarbeitungsvertrag (AV-Vertrag) sollte sicherstellen, dass die Verarbeitung personenbezogener Daten im Einklang mit den Anforderungen der Datenschutzgrundverordnung (DSGVO) erfolgt. Ein Auftragsverarbeitungsvertrag muss insbesondere folgende Punkte regeln:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten
- Kategorien der betroffenen Personen
- Pflichte und Rechte des Verantwortlichen
Im Detail müssen ebenfalls in einem Auftragsverarbeitungsvertrag geregelt sein:
- Eine Verarbeitung von personenbezogenen Daten erfolgt nur nach dokumentierter Weisung des Auftraggebers, auch wenn die Daten in ein Drittland oder eine internationale Organisation übermittelt werden.
- Gewährleistung, dass alle zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessen Verschwiegenheitspflicht unterliegen.
- Alle gem. Art. 32 DSGVO erforderlichen Maßnahmen müssen durch den Auftragsverarbeiter eingehalten werden.
- Die in Art. 28 Abs. 2 und Abs. 4 DSGVO genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters müssen geregelt und eingehalten werden.
- Der Auftragsverarbeiter muss nach Möglichkeit angesichts der Art der Verarbeitung den Verantwortlichen mit geeigneten technisch-organisatorischen Maßnahmen bei der Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III (Betroffenenrechte) der DSGVO geregelten Rechte der betroffenen Personen unterstütze.
- Der Auftragsverarbeiter unterstützt den Verantwortlichen, unter Berücksichtigung der Art der Verarbeitung und der zur Verfügung stehenden Informationen, bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO.
- Der Auftragsverarbeiter muss alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen löschen oder zurückgeben (je nach Wahl des Verantwortlichen) und alle Kopien löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
- Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 niedergelegten Pflichten zur Verfügung.
- Der Auftragsverarbeiter ermöglicht dem Verantwortlichen Überprüfungen und Inspektionen, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden und leistet hierzu auch einen Beitrag i.S.d. Art. 28 Abs. 3 lit. h) DSGVO.
Weitere Vorgaben für den Inhalt eines Auftragsverarbeitungsvertrages regeln Art. 28 und Art. 29 DSGVO. Auch diese Voraussetzungen müssen berücksichtigt werden. Bei der vertraglichen Konzeption von Auftragsverarbeitungsverträgen unterstützt Sie Ihr Datenschutzbeauftragter.
Maßnahmen im Auftragsverarbeitungsvertrag
Der Verantwortliche muss die Angaben zu den technischen und organisatorischen Maßnahmen (TOMs) des Auftragsverarbeiters sorgfältig prüfen. In der Regel werden diese Maßnahmen in der Anlage zum Auftragsverarbeitungsvertrag definiert. Im Ergebnis müssen die Maßnahmen zugeschnitten auf die geplante Verarbeitung überzeugen, sodass ein angemessenes Schutzniveau sichergestellt wird. Es ist wichtig, dass die TOMs regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass sie den aktuellen Datenschutzstandards entsprechen.
Haftung im Auftragsverarbeitungsvertrag
Im Falle eines Datenschutzverstoßes haften sowohl der Auftragsverarbeiter als auch der Auftraggeber, unabhängig davon, ob ein Auftragsverarbeitungsvertrag abgeschlossen wurde oder nicht. Beide Parteien sind für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich, insbesondere für die Sicherheit und Integrität der personenbezogenen Daten, die im Rahmen der Auftragsverarbeitung verarbeitet werden.
Allerdings ist die Haftung zwischen den beiden Parteien im Auftragsverarbeitungsvertrag geregelt. Der Auftragsverarbeiter haftet für Schäden, die durch eine Verletzung seiner vertraglichen Pflichten entstehen, während der Auftraggeber für Schäden haftet, die auf einer Verletzung seiner Weisungen oder Pflichten gegenüber dem Auftragsverarbeiter beruhen.
Zudem kann der betroffene Datenschutzbeauftragte oder die Datenschutzaufsichtsbehörde sowohl den Auftraggeber als auch den Auftragsverarbeiter für einen Datenschutzverstoß in Anspruch nehmen. In der Regel wird jedoch derjenige, der den Verstoß begangen hat oder für den Verstoß verantwortlich ist, für die Folgen des Datenschutzverstoßes haftbar gemacht.
Es ist daher wichtig, dass sowohl der Auftragsverarbeiter als auch der Auftraggeber ihre datenschutzrechtlichen Pflichten ernst nehmen und angemessene technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten.
Datenübermittlung durch Auftragsverarbeitungsvertrag
Grundsätzlich ist eine Datenübermittlung dann erlaubt, wenn die Rechtmäßigkeit i.S.d. Art. 6 DSGVO für den entsprechenden Zweck hergestellt worden ist. Der Auftragsverarbeiter darf personenbezogene Daten nur dann an Unterauftragnehmer übermitteln, wenn dies im Auftrag und nach den Weisungen des Auftraggebers erfolgt und wenn es eine vertragliche Erlaubnis hierzu gibt (im AV-Vertrag). Sollten Daten in ein unsicheres Drittland übermittelt werden, so müssen zusätzlich die Bedingungen der Art. 44 ff. DSGVO beachtet werden.
Vergütung im Auftragsverarbeitungsvertrag erlaubt?
Die Datenschutz-Grundverordnung regelt Vergütungen für Auftragsverarbeiter nicht. Natürlich muss der Auftragsverarbeiter nicht kostenfrei arbeiten, weshalb eine Vergütung grundsätzlich zulässig sein sollte. Dennoch ist aktuell nicht abschließend geklärt, ob Vergütungsklauseln in AV-Verträgen enthalten sein dürfen, weil diese die Inanspruchnahme von Unterstützungsleistungen eines Auftragsverarbeiter mittelbar einschränken würde. Die bayerische Datenschutzaufsicht (BayLfD) hält eine Vergütung für unzulässig. Daher ist eher von Vergütungsklauseln für den Auftragsverarbeiter innerhalb des Auftragsverarbeitungsvertrages abzusehen. Es besteht weiterhin die Möglichkeit, Vergütungen abschließend in Hauptverträgen, Leistungsvereinbarungen festzuhalten.
Muster Auftragsverarbeitungsvertrag
In unserem Muster-Auftragsverarbeitungsvertrag sind die grundlegenden Punkte, die in einem AV-Vertrag beinhaltet sein müssen, geregelt. Eine Individualisierung muss aber dennoch für jedes einzelne Auftragsverarbeitungsverhältnis erfolgen: Insbesondere Punkte wie Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien der betroffenen Personen, sowie Pflichte und Rechte des Verantwortlichen sind individuell zu regeln. Auch weitere essenzielle Punkte des AV-Vertrages bedürfen einer individuellen Anpassung. Das hier zur Verfügung gestalte Muster ist lediglich eine Vorlage, die noch individuell auf das jeweilige Auftragsverhältnis angepasst werden muss. Ihr Datenschutzbeauftragter berät und unterstützt Sie bei der individuellen Erstellung von datenschutzkonformen Auftragsverarbeitungsverträgen.

Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.