Auftragsverarbeitungsvertrag – alle Informationen & Hinweise

Auftragsverarbeitungsvertrag
Allgemein

Benötigt wird der Auftragsverarbeitungsvertrag, kurz AVV, wenn ein Auftrag an weisungsabhängige Dritte erteilt wird, die personenbezogene Daten erhalten, weiterverarbeiten oder nutzen. Sobald ein Unternehmen also einen Dienstleister beauftragt, um eine Verarbeitung personenbezogener Daten vorzunehmen, ist der Abschluss eines Auftragsverarbeitungsvertrages zwingend notwendig. Voraussetzung ist dabei, dass der Dienstleister weisungsgebunden ist. Die konkreten rechtlichen Anforderungen an den AVV sind in Art. 28 DSGVO geregelt. Der Zweck durch die in der Datenschutzgrundverordnung festgelegten Regelungen für den AVV besteht darin, die Datensicherheit und den Datenschutz der von der Datenweitergabe Betroffenen zu stärken und damit zu schützen. Sie fungieren als Korrektiv für die Tatsache, dass es Unternehmen generell erlaubt ist, Daten im Rahmen der gesetzlichen Regelungen an Auftragsverarbeiter weiterzugeben.

Was ist ein Auftragsverarbeitungsvertrag?

Bei dem Auftragsverarbeitungsvertrag handelt es sich um einen Vertrag, der zwischen Auftraggeber und Auftragnehmer geschlossen wird. Dabei ist der Auftraggeber in den meisten Fällen ein verantwortliches Unternehmen im Sinne des Art. 4 Nr. 7 DSGVO und der Auftragnehmer (bzw. Auftragsverarbeiter) ein weisungsgebundener Dienstleister. Bei den Auftragnehmern kann es sich zum Beispiel um Marketingagenturen, externe Buchhaltungen oder externe Call-Center handeln, die personenbezogene Daten erhalten, verarbeiten oder nutzen, um den jeweiligen Auftrag zu erfüllen.

Wichtig zu erwähnen ist an dieser Stelle, dass dem beauftragten Dienstleister, der die personenbezogenen Daten im Rahmen des AVV erhält, eine Verwendung zu eigenen Zwecken untersagt ist, da er im Auftrag des Unternehmens agiert. Das auftraggebende Unternehmen trifft weiterhin die rechtliche Verantwortung für den Umgang mit den personenbezogenen Daten. Demnach ist es notwendig, dass der Auftragnehmer sorgfältig ausgewählt und überprüft wird, auch anhand seiner technischen und organisatorischen Maßnahmen (TOM).

Erforderliche Inhalte des Auftragsverarbeitungsvertrages

Die wesentlichen Rechte und Pflichten der Vertragsparteien sind in Artikel 28 DSGVO geregelt. Demnach gilt es, die Mindestanforderungen an die Bestandteile des Vertrages zu erfüllen und eine individuelle Anpassung an den jeweiligen Dienstleister und seine Tätigkeit vorzunehmen.

So müssen in jedem Auftragsverarbeitungsvertrag mindestens die folgende Inhalte behandelt werden:

  • Vertragsparteien
  • Gegenstand und Dauer der Verarbeitung
  • Art der personenbezogenen Daten
  • Erhebungszweck
  • Zweck der Weiterverarbeitung
  • Umfang der Weisungsbefugnisse
  • Rechte und Pflichten des Auftragnehmers bzw. Auftragsverarbeiters
  • Rechte und Pflichten des Auftragsgebers
  • Löschung oder Rückgabe der Daten bei Auftragsende
  • Option, Informationen zur Datenprüfung zu erhalten
  • Regelung technischer und organisatorischer Maßnahmen (TOM), die vom Auftragsverarbeiter bei der Datenverarbeitung eingehalten werden müssen

Beispiele für auftragsverarbeitende Dienstleister

Zu den Auftragsverarbeitern zählen neben natürlichen und juristischen Personen auch Körperschaften des öffentlichen Rechts sowie Behörden. Zu den typischen Beispielen weisungsgebundener Dritte, die eine Auftragsverarbeitung personenbezogener Daten vornehmen, zählen:

  • Software-as-a-Service-Lösungen
  • Externe Buchhaltung oder Lohnbüros
  • Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z.B. Betreuung von Kontaktformularen oder Nutzeranfragen)
  • Entsorger von Datenträgern & Akten
  • Customer-Relationship-Management-Tools (cloudbasiert)
  • Externe (telefonische) Kundenservices
  • Druckereien (bei Weitergabe von Adressdaten)
  • Marketing- und Vertriebsagenturen, wenn diese auf personenbezogene Daten von Mitarbeitern, Kunden, Lieferanten, Usern zugreifen können
  • Server- und Computerwartung durch externe Dienstleister
  • Sicherheitsdienste (z. B. bei Besuchererhebung durch Pförtner)
Johannes Schwiegk
Johannes Schwiegk

Haben Sie noch Fragen zum Datenschutz?

Melden Sie sich gerne bei mir. Gemeinsam besprechen wir Ihre Fragen und Anforderungen und finden eine Lösung für den Datenschutz in Ihrem Unternehmen.

Wird ein Auftragsverarbeitungsvertrag benötigt oder nicht?

Wenn Sie als Unternehmen unschlüssig sind, ob der Abschluss eines Auftragsverarbeitungsvertrages notwendig ist oder nicht, ist ein elementarer Punkt zu berücksichtigen: die Weisungsgebundenheit. Die Notwendigkeit für einen AVV entfällt dann, wenn der Dienstleister freie Entscheidungen treffen kann und nicht den Weisungen Ihres Unternehmens unterliegt. In diesem Fall wäre ein Vertrag zur Auftragsverarbeitung allein deshalb schon nicht ratsam, da Sie als auftraggebendes Unternehmen sonst weiterhin für den Umgang mit den personenbezogenen Daten haften. Deshalb ist es sinnvoll, im Einzelfall genau zu prüfen, ob der Abschluss eines AVV sinnvoll und erforderlich ist oder nicht.

Tipp:
Wenn Sie sich unsicher sind, ob der Auftragsverarbeitungsvertrag in Ihrem Fall notwendig ist oder Ihr Unternehmen Hilfe bei der Vertragserstellung benötigt, dann nehmen Sie gerne Kontakt über unser Formular zu uns auf. Unsere Experten beantworten Ihnen darüber hinaus auch alle Fragen rund um das Thema Datenschutz.

Fälle, in denen kein Auftragsverarbeitungsvertrag notwendig ist

Neben Auftragnehmern, die der Weisung eines Unternehmens unterliegen, gibt es auch zahlreiche Dienstleister, die ihre Leistung eigenverantwortlich erbringen. In genau diesen Fällen ist der Abschluss eines AVV daher nicht notwendig. Zu den besagten Dienstleistern zählen zum Beispiel:

  • Rechtsanwälte
  • Notare
  • Banken & weitere Kreditinstitute
  • Inkassobüros
  • Betriebsärzte
  • Postdienste
  • Steuerberater
  • Wirtschaftsprüfer

Konsequenzen bei Datenschutzverstößen im Rahmen der Auftragsverarbeitung

Nach Art. 82 Abs. 2 DSGVO gilt für Auftraggeber und Auftragsverarbeiter eine gemeinsame Haftung nach außen, gegenüber den betroffenen Personen. Dies ist zumindest dann der Fall, wenn der Auftragsverarbeiter seine Pflichten verletzt hat. Im Anschluss daran wird im Innenverhältnis geklärt, wer tatsächlich die Verantwortung für den Schaden trägt und für die entstandenen Kosten aufkommen muss. Geregelt wird dies in Art. 82 DSGVO. Abhängig davon, welche Vertragsstrafe in dem AVV selbst festgelegt worden ist, kann daneben auch ein Bußgeld wegen mangelhaftem oder fehlendem AVV durch Aufsichtsbehörden verhangen werden. Dieses kann gemäß Art. 83 Abs. 4 a) DSGVO bis zu 2 % des Jahresumsatzes betragen.

Häufige Fragen zum Auftragsverarbeitungsvertrag

Ein AVV kommt infrage, wenn sensible personenbezogene Daten in einem Auftrag an Dritte weitergegeben und diese verarbeitet werden. Solch ein AVV ist für Kunden nicht sichtbar, da dieser im Hintergrund zwischen einem Unternehmen und Auftragnehmern abgeschlossen wird.

Auftragsverarbeiter können natürliche oder juristische Personen, Behörden oder Mitglieder des öffentlichen Rechts sein. Dazu gehören beispielsweise Lohnbüros, Werbe- und Marketingagenturen, Web-Hoster oder aber auch Google Analytics und ähnliche Tracking-Tools.

Im Rahmen einer Verarbeitung von Daten für Dritte sind die Pflichten für den Auftragsverarbeiter in Artikel 28 bis 36 der Datenschutzgrundverordnung (DSGVO) geregelt. So dürfen Daten ausschließlich aufgrund vertraglicher Weisung verarbeitet werden. Dabei muss u. a. die Vertraulichkeit und die Verschwiegenheitspflicht eingehalten werden. Ebenso müssen geeignete Maßnahmen ergriffen werden, um die Datensicherheit zu gewähren. Sollte eine Datenschutzverletzung vorliegen, muss der Auftragsverarbeiter dies der Aufsichtsbehörde und der betroffenen Person unverzüglich melden.

Jetzt Kontakt aufnehmen

Egal ob IT-Sicherheit, Infrastruktur oder Datenschutz: gerne unterhalten wir uns über Ihre Pläne und Vorstellungen. Wir freuen uns, wenn wir Sie dabei unterstützen können, wieder mehr Zeit für das Tagesgeschäft zu haben. Jetzt unverbindlich informieren.