Bei dem Auftragsverarbeitungsvertrag handelt es sich um einen Vertrag, der zwischen Auftraggeber und Auftragnehmer geschlossen wird. Dabei ist der Auftraggeber in den meisten Fällen ein verantwortliches Unternehmen im Sinne des Art. 4 Nr. 7 DSGVO und der Auftragnehmer (bzw. Auftragsverarbeiter) ein weisungsgebundener Dienstleister. Bei den Auftragnehmern kann es sich zum Beispiel um Marketingagenturen, externe Buchhaltungen oder externe Call-Center handeln, die personenbezogene Daten erhalten, verarbeiten oder nutzen, um den jeweiligen Auftrag zu erfüllen.
Wichtig zu erwähnen ist an dieser Stelle, dass dem beauftragten Dienstleister, der die personenbezogenen Daten im Rahmen des AVV erhält, eine Verwendung zu eigenen Zwecken untersagt ist, da er im Auftrag des Unternehmens agiert. Das auftraggebende Unternehmen trifft weiterhin die rechtliche Verantwortung für den Umgang mit den personenbezogenen Daten. Demnach ist es notwendig, dass der Auftragnehmer sorgfältig ausgewählt und überprüft wird, auch anhand seiner technischen und organisatorischen Maßnahmen (TOM).
Die wesentlichen Rechte und Pflichten der Vertragsparteien sind in Artikel 28 DSGVO geregelt. Demnach gilt es, die Mindestanforderungen an die Bestandteile des Vertrages zu erfüllen und eine individuelle Anpassung an den jeweiligen Dienstleister und seine Tätigkeit vorzunehmen. So müssen in jedem Auftragsverarbeitungsvertrag mindestens die folgende Inhalte behandelt werden:
Zu den Auftragsverarbeitern zählen neben natürlichen und juristischen Personen auch Körperschaften des öffentlichen Rechts sowie Behörden. Zu den typischen Beispielen weisungsgebundener Dritte, die eine Auftragsverarbeitung personenbezogener Daten vornehmen, zählen:
Melden Sie sich gerne bei mir. Gemeinsam besprechen wir Ihre Fragen und Anforderungen und finden eine Lösung für den Datenschutz in Ihrem Unternehmen.
Wenn Sie als Unternehmen unschlüssig sind, ob der Abschluss eines Auftragsverarbeitungsvertrages notwendig ist oder nicht, ist ein elementarer Punkt zu berücksichtigen: die Weisungsgebundenheit. Die Notwendigkeit für einen AVV entfällt dann, wenn der Dienstleister freie Entscheidungen treffen kann und nicht den Weisungen Ihres Unternehmens unterliegt. In diesem Fall wäre ein Vertrag zur Auftragsverarbeitung allein deshalb schon nicht ratsam, da Sie als auftraggebendes Unternehmen sonst weiterhin für den Umgang mit den personenbezogenen Daten haften. Deshalb ist es sinnvoll, im Einzelfall genau zu prüfen, ob der Abschluss eines AVV sinnvoll und erforderlich ist oder nicht.
Wenn Sie sich unsicher sind, ob der Auftragsverarbeitungsvertrag in Ihrem Fall notwendig ist oder Ihr Unternehmen Hilfe bei der Vertragserstellung benötigt, dann nehmen Sie gerne Kontakt über unser Formular zu uns auf. Unsere Experten beantworten Ihnen darüber hinaus auch alle Fragen rund um das Thema Datenschutz.
Neben Auftragnehmern, die der Weisung eines Unternehmens unterliegen, gibt es auch zahlreiche Dienstleister, die ihre Leistung eigenverantwortlich erbringen. In genau diesen Fällen ist der Abschluss eines AVV daher nicht notwendig. Zu den besagten Dienstleistern zählen zum Beispiel:
Nach Art. 82 Abs. 2 DSGVO gilt für Auftraggeber und Auftragsverarbeiter eine gemeinsame Haftung nach außen, gegenüber den betroffenen Personen. Dies ist zumindest dann der Fall, wenn der Auftragsverarbeiter seine Pflichten verletzt hat. Im Anschluss daran wird im Innenverhältnis geklärt, wer tatsächlich die Verantwortung für den Schaden trägt und für die entstandenen Kosten aufkommen muss. Geregelt wird dies in Art. 82 DSGVO. Abhängig davon, welche Vertragsstrafe in dem AVV selbst festgelegt worden ist, kann daneben auch ein Bußgeld wegen mangelhaftem oder fehlendem AVV durch Aufsichtsbehörden verhangen werden. Dieses kann gemäß Art. 83 Abs. 4 a) DSGVO bis zu 2 % des Jahresumsatzes betragen.
Ein AVV kommt infrage, wenn sensible personenbezogene Daten in einem Auftrag an Dritte weitergegeben und diese verarbeitet werden. Solch ein AVV ist für Kunden nicht sichtbar, da dieser im Hintergrund zwischen einem Unternehmen und Auftragnehmern abgeschlossen wird.
Auftragsverarbeiter können natürliche oder juristische Personen, Behörden oder Mitglieder des öffentlichen Rechts sein. Dazu gehören beispielsweise Lohnbüros, Werbe- und Marketingagenturen, Web-Hoster oder aber auch Google Analytics und ähnliche Tracking-Tools.
Im Rahmen einer Verarbeitung von Daten für Dritte sind die Pflichten für den Auftragsverarbeiter in Artikel 28 bis 36 der Datenschutzgrundverordnung (DSGVO) geregelt. So dürfen Daten ausschließlich aufgrund vertraglicher Weisung verarbeitet werden. Dabei muss u. a. die Vertraulichkeit und die Verschwiegenheitspflichteingehalten werden. Ebenso müssen geeignete Maßnahmen ergriffen werden, um die Datensicherheit zu gewähren. Sollte eine Datenschutzverletzung vorliegen, muss der Auftragsverarbeiter dies der Aufsichtsbehörde und der betroffenen Person unverzüglich melden.
Friedrich-Engels-Allee 200
42285 Wuppertal
Telefon: 0202 9479 4940
E-Mail: kontakt@datenzeit.de
Katernberger Str. 107
45327 Essen
Telefon: 0201 6950 6020
E-Mail: kontakt@datenzeit.de
