Informationen & Hinweise rund um den Auftragsverarbeitungsvertrag

Benötigt wird der Auftragsverarbeitungsvertrag, kurz AVV, wenn ein Auftrag an weisungsabhängige Dritte erteilt wird, die personenbezogene Daten erhalten, weiterverarbeiten oder nutzen. Sobald ein Unternehmen also einen Dienstleister beauftragt, um eine Verarbeitung personenbezogener Daten vorzunehmen, ist der Abschluss eines Auftragsverarbeitungsvertrages zwingend notwendig. Voraussetzung ist dabei, dass der Dienstleister weisungsgebunden ist.

Die konkreten rechtlichen Anforderungen an den AVV sind in Art. 28 DSGVO geregelt. Der Zweck durch die in der Datenschutzgrundverordnung festgelegten Regelungen für den AVV besteht darin, die Datensicherheit und den Datenschutz der von der Datenweitergabe Betroffenen zu stärken und damit zu schützen. Sie fungieren als Korrektiv für die Tatsache, dass es Unternehmen generell erlaubt ist, Daten im Rahmen der gesetzlichen Regelungen an Auftragsverarbeiter weiterzugeben.

Was ist ein Auftragsverarbeitungsvertrag?

Bei dem Auftragsverarbeitungsvertrag handelt es sich um einen Vertrag, der zwischen Auftraggeber und Auftragnehmer geschlossen wird. Dabei ist der Auftraggeber in den meisten Fällen ein verantwortliches Unternehmen im Sinne des Art. 4 Nr. 7 DSGO und der Auftragnehmer (bzw. Auftragsverarbeiter) ein weisungsgebundener Dienstleister. Bei den Auftragnehmern kann es sich zum Beispiel um Marketingagenturen, externe Buchhaltungen oder externe Call-Center handeln, die personenbezogene Daten erhalten, verarbeiten oder nutzen, um den jeweiligen Auftrag zu erfüllen.

Wichtig zu erwähnen ist an dieser Stelle, dass dem beauftragten Dienstleister, der die personenbezogenen Daten im Rahmen des AVV erhält, eine Verwendung zu eigenen Zwecken untersagt ist, da er im Auftrag des Unternehmens agiert. Das auftraggebende Unternehmen trifft weiterhin die rechtliche Verantwortung für den Umgang mit den personenbezogenen Daten. Demnach ist es notwendig, dass der Auftragnehmer sorgfältig ausgewählt und überprüft wird, auch anhand seiner technischen und organisatorischen Maßnahmen (TOM).

Erforderliche Inhalte des Auftragsverarbeitungsvertrages

Die wesentlichen Rechte und Pflichten der Vertragsparteien sind in Artikel 28 DSGVO geregelt. Demnach gilt es, die Mindestanforderungen an die Bestandteile des Vertrages zu erfüllen und eine individuelle Anpassung an den jeweiligen Dienstleister und seine Tätigkeit vorzunehmen.

Demnach müssen in jedem Auftragsverarbeitungsvertrag mindestens die folgende Inhalte behandelt werden:

  • Vertragsparteien
  • Gegenstand und Dauer der Verarbeitung
  • Art der personenbezogenen Daten
  • Erhebungszweck
  • Zweck der Weiterverarbeitung
  • Umfang der Weisungsbefugnisse
  • Rechte und Pflichten des Auftragnehmers bzw. Auftragsverarbeiters
  • Rechte und Pflichten des Auftragsgebers
  • Löschung oder Rückgabe der Daten bei Auftragsende
  • Option, Informationen zur Datenprüfung zu erhalten
  • Regelung technischer & organisatorischer Maßnahmen (TOM), die vom Auftragsverarbeiter bei der Datenverarbeitung eingehalten werden müssen

Beispiele für auftragsverarbeitende Dienstleister

Zu den Auftragsverarbeitern zählen neben natürlichen und juristischen Personen auch Körperschaften des öffentlichen Rechts sowie Behörden. Zu den typischen Beispielen weisungsgebundener Dritte, die eine Auftragsverarbeitung personenbezogener Daten vornehmen, zählen:

  • Software-as-a-Service-Lösungen
  • Externe Buchhaltung oder Lohnbüros
  • Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z.B. Betreuung von Kontaktformularen oder Nutzeranfragen)
  • Entsorger von Datenträgern & Akten
  • Customer-Relationship-Management-Tools (cloudbasiert)
  • Externe (telefonische) Kundenservices
  • Druckereien (bei Weitergabe von Adressdaten)
  • Marketing- und Vertriebsagenturen, wenn diese auf personenbezogene Daten von Mitarbeitern, Kunden, Lieferanten, Usern zugreifen können
  • Server- und Computerwartung durch externe Dienstleister
  • Sicherheitsdienste (z. B. bei Besuchererhebung durch Pförtner)

Wird ein Auftragsverarbeitungsvertrag benötigt oder nicht?

Wenn Sie als Unternehmen unschlüssig sind, ob der Abschluss eines Auftragsverarbeitungsvertrages notwendig ist oder nicht, ist ein elementarer Punkt zu berücksichtigen: die Weisungsgebundenheit. Die Notwendigkeit für einen AVV entfällt dann, wenn der Dienstleister freie Entscheidungen treffen kann und nicht den Weisungen Ihres Unternehmens unterliegt. In diesem Fall wäre ein Vertrag zur Auftragsverarbeitung allein deshalb schon nicht ratsam, da Sie als auftraggebendes Unternehmen sonst weiterhin für den Umgang mit den personenbezogenen Daten haften. Deshalb ist es sinnvoll, im Einzelfall genau zu prüfen, ob der Abschluss eines AVV sinnvoll und erforderlich ist oder nicht.

Wenn Sie sich unsicher sind, ob der Auftragsverarbeitungsvertrag in Ihrem Fall notwendig ist oder Ihr Unternehmen Hilfe bei der Vertragserstellung benötigt, dann nehmen Sie gerne Kontakt über unser Formular zu uns auf. Unsere Experten beantworten Ihnen darüber hinaus auch alle Fragen rund um das Thema Datenschutz.

Fälle, in denen kein Auftragsverarbeitungsvertrag notwendig ist

Neben Auftragnehmern, die der Weisung eines Unternehmens unterliegen, gibt es auch zahlreiche Dienstleister, die ihre Leistung eigenverantwortlich erbringen. In genau diesen Fällen ist der Abschluss eines AVV daher nicht notwendig. Zu den besagten Dienstleistern zählen zum Beispiel:

  • Rechtsanwälte
  • Notare
  • Banken & weitere Kreditinstitute
  • Inkassobüros
  • Betriebsärzte
  • Postdienste
  • Steuerberater
  • Wirtschaftsprüfer

Konsequenzen bei Datenschutzverstößen im Rahmen der Auftragsverarbeitung

Nach Art. 82 Abs. 2 DSGVO gilt für Auftraggeber und Auftragsverarbeiter eine gemeinsame Haftung nach außen, gegenüber den betroffenen Personen. Dies ist zumindest dann der Fall, wenn der Auftragsverarbeiter seine Pflichten verletzt hat. Im Anschluss daran wird im Innenverhältnis geklärt, wer tatsächlich die Verantwortung für den Schaden trägt und für die entstandenen Kosten aufkommen muss. Geregelt wird dies in Art. 82 DSGVO. Abhängig davon, welche Vertragsstrafe in dem AVV selbst festgelegt worden ist, kann daneben auch ein Bußgeld wegen mangelhaftem oder fehlendem AVV durch Aufsichtsbehörden verhangen werden. Dieses kann gemäß Art. 83 Abs. 4 a) DSGVObis zu 2 % des Jahresumsatzes betragen.