Auftragsverarbeitungsvertrag nach DSGVO

Datenschutz Verstehen – Auftragsverarbeitungsvertrag: Definition, Inhalte und Muster.

Kurze Einleitung

In unserer digitalen Welt werden immer mehr personenbezogene Daten ausgetauscht zwischen Unternehmen. Dabei ist der Schutz personenbezogener Daten von entscheidender Bedeutung, um die Privatsphäre der Betroffenen zu wahren. Wenn Unternehmen oder Organisationen personenbezogene Daten im Auftrag verarbeiten lassen, müssen sie sich an die Vorgaben der Datenschutz-Grundverordnung (DSGVO) halten.

Eine dieser Regeln betrifft den Abschluss von sogenannten Auftragsverarbeitungsverträgen (AV-Vertrag). In diesem Artikel erklären wir, was ein Auftragsverarbeitungsvertrag ist, wofür er benötigt wird und welche Bedeutung er für den Datenschutz hat. Wir zeigen auch, was Unternehmen und Organisationen bei der Auswahl eines geeigneten Auftragsverarbeiters und bei der Erstellung von einem AV-Vertrag beachten sollten.

Anfrage Datenschutz
Datenschutz von Juristen.

Unser Team besteht aus zertifizierten Juristen mit Branchenexpertise. Buchen Sie sich eine kostenfreie Erstberatung.

 

Was ist ein Auftragsverarbeitungsvertrag?

Ein Auftragsverarbeitungsvertrag (AV-Vertrag) ist ein Vertrag, der zwischen einem Auftraggeber (Verantwortlicher) und einem Auftragnehmer (Auftragsverarbeiter) geschlossen wird. In diesem Vertrag werden die Bedingungen für die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen durch den Auftragsverarbeiter geregelt.

Gemäß Artikel 28 der DSGVO müssen Verantwortliche und Auftragsverarbeiter einen AV-Vertrag abschließen, wenn personenbezogene Daten im Rahmen einer Auftragsverarbeitung verarbeitet werden.

Der AV-Vertrag stellt sicher, dass der Auftragsverarbeiter die personenbezogenen Daten im Auftrag des Verantwortlichen nur gemäß dessen Weisungen verarbeitet und dabei die geltenden datenschutzrechtlichen Bestimmungen (z.B. DSGVO, Schweizer DSG) einhält. Der Auftragsverarbeiter muss zudem sicherstellen, dass angemessene technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten ergriffen werden.

Ein wirksamer AV-Vertrag ist daher von großer Bedeutung für die Einhaltung der datenschutzrechtlichen Gesetze. Wenn Sie also Unternehmen mit der Verarbeitung von Daten beauftragen möchten, achten Sie unbedingt auf den Abschluss eines AV-Vertrages.

 

Wann braucht man einen Auftragsverarbeitungsvertrag?

Ein Auftragsverarbeitungsvertrag (AV-Vertrag) wird benötigt, wenn ein Unternehmen die Verarbeitung personenbezogener Daten an ein anderes Unternehmen auslagert. Dabei ist das Unternehmen, welches die Daten verarbeitet, der Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DSGVO. Das Unternehmen, welches die Daten für diesen Zweck übermittelt, ist der Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO.

Ein Auftragsverarbeiter ist ein Unternehmen, das personenbezogene Daten im Auftrag des Verantwortlichen und weisungsgebunden verarbeitet, z.B. ein Cloud-Dienstleister, ein IT-Unternehmen oder ein Buchhaltungsservice. Hier erfahren Sie, wann eine Auftragsverarbeitung vorliegt.

Auftragsverarbeitungsvertrag
 

Wer ist für den AV-Vertrag zuständig?

Für den Abschluss eines Auftragsverarbeitungsvertrags (AV-Vertrag) sind sowohl der Verantwortliche als auch der Auftragsverarbeiter verantwortlich. Für beide Unternehmen ist der Abschluss des AV-Vertrages vorteilhaft, weil die Rechte und Pflichten für beide Seiten eindeutig geregelt werden. So werden im Falle einer Datenpanne Unstimmigkeiten vermieden. Beide Parteien sollten sorgfältig prüfen, ob der AV-Vertrag alle notwendigen Bestandteile enthält und den Anforderungen der Datenschutzgrundverordnung (DSGVO) entspricht. Es empfiehlt sich, bei Unsicherheiten einen Datenschutzbeauftragten zu fragen.

 

Wann ist kein Auftragsverarbeitungsvertrag notwendig?

Ein Auftragsverarbeitungsvertrag (AV-Vertrag) ist in der Regel erforderlich, wenn personenbezogene Daten im Auftrag verarbeitet werden. Eine Ausnahme besteht jedoch, wenn der Verantwortliche die personenbezogenen Daten ohne Weisung an den Datenempfänger übermittelt. Wenn die Mittel und Zwecke der Verarbeitung nicht vom Verantwortlichen festgelegt werden, werden beide Parteien als getrennt voneinander verantwortliche Unternehmen betrachtet. Es kann sogar vorkommen, dass Verarbeitungen in den Bereich einer gemeinsamen Verantwortlichkeit fällt i.S.d. Art. 26 DSGVO. Es ist also stets vor Abschluss eines Auftragsverarbeitungsvertrages zu prüfen, welche Konstellation einschlägig ist. Es gibt also 3 verschiedene Möglichkeiten:

  1. Auftragsverarbeitung: Ein Unternehmen verarbeitet für ein anderes Unternehmen weisungsgebunden und im Auftrag personenbezogene Daten.
  2. Getrennte Verantwortlichkeit: Zwei Unternehmen tauschen personenbezogene Daten aus, allerdings schreibt kein Unternehmen dem Anderen vor, welche Mittel und Zwecke für die Verarbeitung eingesetzt werden sollen. Viel mehr sind beide Unternehmen also allein verantwortlich für die Einhaltung der Vorgaben aus der DSGVO.
  3. Gemeinsame Verantwortlichkeit: Beide Unternehmen verarbeiten gemeinsam und jeweils für gewisse Teilbereiche der Verarbeitung weisungsgebunden personenbezogene Daten. Somit sind beide Unternehmen verantwortlich und zugleich weisungsgebunden tätig. Hierbei muss die Aufteilung der Verantwortlichkeit nicht per se gleichwertig sein. Es ist durchaus möglich, dass ein Unternehmen für ungefähr 80 Prozent der Verarbeitung die Mittel und Zwecke bestimmt und das andere Unternehmen nur für 20 Prozent. Für die Gestaltung eines solchen Vertrages sollten Unternehmen immer Datenschutzbeauftragte zur Beratung heranziehen.
Datenschutz Preis berechnen
Mehr Vertrauen, weniger Risiko.

Überzeugen Sie Ihre Kunden mit wasserdichtem Datenschutz, verringern Sie den Prüfungsaufwand und senken Sie Ihre Haftung. Berechnen Sie jetzt maßgeschneidert Ihren Preis.

 

Inhalte Auftragsverarbeitungsvertrag

Ein guter Auftragsverarbeitungsvertrag (AV-Vertrag) sollte sicherstellen, dass die Verarbeitung personenbezogener Daten im Einklang mit den Anforderungen der Datenschutzgrundverordnung (DSGVO) erfolgt. Ein Auftragsverarbeitungsvertrag muss insbesondere folgende Punkte regeln:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien der betroffenen Personen
  • Pflichte und Rechte des Verantwortlichen

Im Detail müssen ebenfalls in einem Auftragsverarbeitungsvertrag geregelt sein:

  • Eine Verarbeitung von personenbezogenen Daten erfolgt nur nach dokumentierter Weisung des Auftraggebers, auch wenn die Daten in ein Drittland oder eine internationale Organisation übermittelt werden.
  • Gewährleistung, dass alle zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessen Verschwiegenheitspflicht unterliegen.
  • Alle gem. Art. 32 DSGVO erforderlichen Maßnahmen müssen durch den Auftragsverarbeiter eingehalten werden.
  • Die in Art. 28 Abs. 2 und Abs. 4 DSGVO genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters müssen geregelt und eingehalten werden.
  • Der Auftragsverarbeiter muss nach Möglichkeit angesichts der Art der Verarbeitung den Verantwortlichen mit geeigneten technisch-organisatorischen Maßnahmen bei der Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III (Betroffenenrechte) der DSGVO geregelten Rechte der betroffenen Personen unterstütze.
  • Der Auftragsverarbeiter unterstützt den Verantwortlichen, unter Berücksichtigung der Art der Verarbeitung und der zur Verfügung stehenden Informationen, bei der Einhaltung der Pflichten aus Art. 32 bis 36 DSGVO.
  • Der Auftragsverarbeiter muss alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen löschen oder zurückgeben (je nach Wahl des Verantwortlichen) und alle Kopien löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
  • Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 niedergelegten Pflichten zur Verfügung.
  • Der Auftragsverarbeiter ermöglicht dem Verantwortlichen Überprüfungen und Inspektionen, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden und leistet hierzu auch einen Beitrag i.S.d. Art. 28 Abs. 3 lit. h) DSGVO.

Weitere Vorgaben für den Inhalt eines Auftragsverarbeitungsvertrages regeln Art. 28 und Art. 29 DSGVO. Auch diese Voraussetzungen müssen berücksichtigt werden. Bei der vertraglichen Konzeption von Auftragsverarbeitungsverträgen unterstützt Sie Ihr Datenschutzbeauftragter.

 

Maßnahmen im Auftragsverarbeitungsvertrag

Unternehmen müssen immer für ein angemessenes Schutzniveau bei der Verarbeitung von personenbezogenen Daten sorgen. So muss auch der Verantwortliche dafür Sorge tragen, wenn eine Verarbeitung ausgelagert wird im Rahmen eines AV-Vertrags. Hierfür muss das verantwortliche Unternehmen die Angaben zu den technischen und organisatorischen Maßnahmen (TOMs) des Auftragsverarbeiters sorgfältig prüfen.

In der Regel wird das angemessene Schutzniveau gem. Art. 32 DSGVO vertraglich in dem AV-Vertrag definiert. Das reicht allerdings noch nicht aus. Der Verantwortliche muss sich von den tatsächlichen Maßnahmen des Auftragsverarbeiters überzeugen und diese Maßnahmen als angemessen bewerten. Im Ergebnis müssen die Maßnahmen zugeschnitten auf die geplante Verarbeitung überzeugen, sodass ein angemessenes Schutzniveau sichergestellt wird. Hierzu wird oftmals eine Anlage zum Auftragsverarbeitungsvertrag für die Maßnahmen erstellt. Es ist wichtig, dass die TOMs regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass sie den aktuellen Datenschutzstandards entsprechen. Hierzu sollte der Verantwortliche eine regelmäßige Prüfung einplanen und der Auftragsverarbeiter bei Änderungen informieren.

 

Haftung im Auftragsverarbeitungsvertrag

Im Falle eines Datenschutzverstoßes haften sowohl der Auftragsverarbeiter als auch der Verantwortliche, unabhängig davon, ob ein Auftragsverarbeitungsvertrag abgeschlossen wurde oder nicht, gem. den gesetzlichen Bestimmungen aus Art. 82 DSGVO. Beide Parteien sind für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich, insbesondere für die Sicherheit und Integrität der personenbezogenen Daten, die im Rahmen der Auftragsverarbeitung verarbeitet werden.

Schadensersatzansprüche und Bußgelder werden i.d.R. an den Verantwortlichen gerichtet. Der Verantwortliche kann dann im Innenverhältnis, z.B. durch Verschulden des Auftragsverarbeiters, Regressansprüche gegenüber dem Auftragsverarbeiter geltend machen.

Es ist daher wichtig, dass sowohl der Auftragsverarbeiter als auch der Verantwortliche ihre datenschutzrechtlichen Pflichten ernst nehmen und angemessene technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten.

 

Datenübermittlung durch Auftragsverarbeitungsvertrag

Grundsätzlich ist eine Datenübermittlung dann erlaubt, wenn die Rechtmäßigkeit i.S.d. Art. 6 DSGVO für den entsprechenden Zweck hergestellt worden ist. Der Auftragsverarbeiter darf personenbezogene Daten nur dann an Unterauftragnehmer übermitteln, wenn dies im Auftrag und nach den Weisungen des Auftraggebers erfolgt und wenn es eine vertragliche Erlaubnis hierzu gibt (im AV-Vertrag). Sollten Daten in ein unsicheres Drittland übermittelt werden, so müssen zusätzlich die Bedingungen der Art. 44 ff. DSGVO beachtet werden.

 

Vergütung im Auftragsverarbeitungsvertrag erlaubt?

Die Datenschutz-Grundverordnung regelt Vergütungen für Auftragsverarbeiter nicht. Natürlich muss der Auftragsverarbeiter nicht kostenfrei arbeiten, weshalb eine Vergütung grundsätzlich zulässig sein sollte. Dennoch ist aktuell nicht abschließend geklärt, ob Vergütungsklauseln in AV-Verträgen enthalten sein dürfen, weil diese die Inanspruchnahme von Unterstützungsleistungen eines Auftragsverarbeiters mittelbar einschränken würde. Die bayerische Datenschutzaufsicht (BayLfD) hält eine Vergütung für unzulässig. Daher ist eher von Vergütungsklauseln für den Auftragsverarbeiter innerhalb des Auftragsverarbeitungsvertrages abzusehen. Es besteht weiterhin die Möglichkeit, Vergütungen abschließend in Hauptverträgen, Leistungsvereinbarungen festzuhalten.

 

Muster Auftragsverarbeitungsvertrag

In unserem Muster-Auftragsverarbeitungsvertrag sind die grundlegenden Punkte, die in einem AV-Vertrag beinhaltet sein müssen, geregelt. Eine Individualisierung muss aber dennoch für jedes einzelne Auftragsverarbeitungsverhältnis erfolgen: Insbesondere Punkte wie Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien der betroffenen Personen, sowie Pflichte und Rechte des Verantwortlichen sind individuell zu regeln. Auch weitere essenzielle Punkte des AV-Vertrages bedürfen einer individuellen Anpassung. Das hier zur Verfügung gestalte Muster ist lediglich eine Vorlage, die noch individuell auf das jeweilige Auftragsverhältnis angepasst werden muss. Ihr Datenschutzbeauftragter berät und unterstützt Sie bei der individuellen Erstellung von datenschutzkonformen Auftragsverarbeitungsverträgen.

Menü