Wenn ein Dritter personenbezogene Daten im Auftrag verarbeitet, wird dies als Auftragsverarbeitung betrachtet. In diesem Fall ist es erforderlich, einen Auftragsverarbeitungsvertrag (AVV) abzuschließen.
Wir erläutern die Unterschiede zwischen einem Auftragsverarbeitungsverhältnis und anderen Beziehungen wie der gemeinsamen Verantwortlichkeit. Außerdem zeigen wir Ihnen, wie Sie einen professionellen AVV erstellen und welche Klauseln Sie in einem Ihnen angebotenen AVV unbedingt berücksichtigen sollten.
In diesem Beitrag:
Das Wichtigste in Kürze:
In der Welt der Datenverarbeitung spielt die Auftragsverarbeitung eine entscheidende Rolle. Hierbei werden Daten im Auftrag eines Dienstleisters verarbeitet – ein wichtiger Aspekt für viele Unternehmen. Solche Dienstleister können von Lohnbüros bis hin zu Hosting-Anbietern reichen und sogar innovative Outsourcing-Lösungen wie SaaS umfassen.
Gemäß den Bestimmungen der Datenschutz-Grundverordnung (DSGVO) ist es wichtig zu wissen: Liegt eine Auftragsverarbeitung vor, so muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden. In diesem Vertrag werden nicht nur der Zweck und die Art der Verarbeitung festgelegt, sondern auch die jeweiligen Rechte und Pflichten von Auftraggeber und Auftragnehmer klargestellt.
Definition des Auftragsverarbeitungsvertrags
Werden personenbezogenen Daten von einem Dienstleister weisungsgebunden im Auftrag verarbeitet, gilt das als Auftragsverarbeitung. Dann ist der Abschluss eines Auftragsverarbeitungsvertrags (AVV) erforderlich. Festgehalten wird diese Pflicht in Art. 28 DSGVO.
Der Auftraggeber ist rechtlich weiterhin für die personenbezogenen Daten und den Umgang mit diesen verantwortlich. Er muss die Auftragnehmer mit der gebotenen Sorgfalt aussuchen und deren Tätigkeit regelmäßig überprüfen.
Praxisbeispiele
Die weisungsgebundene Verarbeitung von Daten durch Dritte im Auftrag – das klingt vielleicht noch etwas abstrakt. Wahrscheinlich sind Sie selbst aber schon vielfach mit der Auftragsverarbeitung in Kontakt gekommen. Ganz typische Beispiele, die für die meisten Unternehmen eine Rolle spielen, sind:
- Software-as-a-Service-Lösungen wie Newsletter- oder Buchhaltungstools
- Betreiber von Eingabemasken (Formularen), die auf Ihrer Website eingebunden werden können (z. B. Unbounce oder Mailchimp)
- Cloudbasierte CRM-Tools
- Externe Callcenter oder Kundenservices
- Verarbeitung von Werbeadressen in einem Lettershop
- Externe Lohnbuchhaltung
- Externe Wartung von Servern und Computern (Fernwartung)
- Akten- und Datenträgervernichtung durch externe Dienstleister
- Hosting-Services
- Agenturen für Marketing, Vertrieb oder Beratung, sofern diese Zugriff auf personenbezogene Daten von Mitarbeitern, Kunden, Nutzern oder anderen Kontakten des Unternehmens haben
- Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten erheben
Inklusive AVV: Eine Übersicht aller Datenschutzdokumente aus der DSGVO
Erfahren Sie hier, welche Unternehmen welche Dokumentation anfertigen müssen und eine Erklärungen zur Art der Dokumentation und Besonderheiten bei der Anfertigung.
Jetzt kostenlos herunterladenAuftragsverarbeitung vs. gemeinsame Verantwortlichkeit
Manchmal ist es gar nicht so einfach zu entscheiden, ob die Auftragsverarbeitung wirklich ausschließlich nach den Weisungen des Verantwortlichen, also des Auftraggebers, geschieht. Tut sie das nicht und hat der Auftragsverarbeiter selbst Zugriff auf die Daten und nutzt sie für eigene Zwecke, so handelt es sich wahrscheinlich um einen Fall der gemeinsamen Verantwortlichkeit.
Hier ein paar typische Abgrenzungsmerkmale, welche für eine Auftragsverarbeitung sprechen:
- Der Verantwortliche legt fest, welche Daten erhoben, wie lange diese verarbeitet und wann diese gelöscht werden.
- Ebenso bestimmt der Verantwortliche den Zweck der Datenerhebung.
- Der Verantwortliche entscheidet darüber, ob Daten gelöscht werden dürfen.
Der Auftraggeber bleibt hierbei weiterhin für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er muss den Auftragsverarbeiter mit der gebotenen Sorgfalt aussuchen und dessen mit dem Vertrag verbundene Tätigkeit überwachen.
Unsere Experten helfen Ihnen gerne weiter, wenn Sie Fragen zur Auftragsverarbeitung oder gemeinsamen Verantwortung haben. Sprechen Sie uns an!
Anforderungen an einen Auftragsverarbeitungsvertrag nach DSGVO
Die spezifischen Anforderungen, die ein AVV erfüllen muss, sind in Art. 28 DSGVO festgelegt. Hierdurch soll gewährleistet werden, dass die Datenverarbeitung auch beim Einsatz eines Auftragsverarbeiters den Vorgaben der DSGVO genügt.
Der AVV ist schriftlich abzuschließen – die elektronische Form ist möglich. Zudem ist der Auftragsverarbeiter verpflichtet, technische und organisatorischen Maßnahmen (TOM) zu ergreifen, um die Sicherheit der Datenverarbeitung zu gewährleisten.
Die Aufgaben des Verantwortlichen und Auftragsverarbeiters im Überblick:
Verantwortlicher (Auftraggeber) |
Auftragsverarbeiter (Auftragnehmer) |
|
|
Aufbau und Muster
Im AVV müssen die wesentlichen Inhalte der Verarbeitung festgelegt werden. Dazu zählen u. a. Gegenstand, Art und Zweck der Verarbeitung sowie die jeweiligen Rechte und Pflichten von Auftraggeber und Auftragnehmer. Der Auftraggeber ist weiterhin für die Erfüllung der Pflichten aus der DSGVO (Betroffenenrechte, Meldung von Datenpannen, etc.) zuständig. Den Auftragsverarbeiter treffen diesbezüglich Unterstützungspflichten.
In unserer Datenschutz-Plattform stellen wir unseren Kunden neben anderen Vorlagen, auch eine AVV-Vorlage kostenlos zur Verfügung.
In diesen Fällen ist kein AVV erforderlich
Zu unterscheiden von den weisungsgebundenen Dienstleistern sind alle Dienstleister, die als eigenständige Verantwortliche eine fachfremde Leistung erbringen. Hierzu gehören Tätigkeiten von:
- Rechtsanwälten
- Banken
- Inkassobüros
- Betriebsärzte
- Postdienste
Sie erbringen ihre Leistung eigenverantwortlich und sind nicht weisungsgebunden. Daher ist in diesen Fällen auch kein Auftragsverarbeitungsvertrag abzuschließen. In den meisten Bundesländern zählen dazu auch Steuerberater. Nur in Hessen, NRW und Baden-Württemberg müssen auch sie einen AVV abschließen, insbesondere, wenn sie als Dienstleister die Lohnbuchhaltung übernehmen.
Warum und wie sollten Sie Auftragsverarbeitungsverträge prüfen?
Die Auswahl eines vertrauenswürdigen Auftragsverarbeiters ist auch für die Vermeidung von Bußgeldern wichtig. Denn im Schadensfall haften Auftraggeber und Auftragnehmer grundsätzlich gesamtschuldnerisch, wobei eine Exkulpation bei Nichtverschulden möglich ist.
Bei der Auswahl eines Auftragsverarbeiters müssen Unternehmen laut DSGVO (Erwägungsgrund 81) darauf achten solche Vertragspartner zu wählen,
„[…] die – insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen – hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen – auch für die Sicherheit der Verarbeitung – getroffen werden, die den Anforderungen dieser Verordnung genügen."
Sichern Sie Ihren Erfolg.
Abonnieren Sie praxisnahe Experten-Tipps!
Schließen Sie sich 3.000+ Führungskräften an, die mit unserem monatlichen Newsletter zu dem Thema Informationssicherheit auf dem Laufenden bleiben.
Die AVV-Prüfung in 3 Schritten
Mit einer Überprüfung des AVV schützen Sie nicht nur die personenbezogenen Daten, sondern auch Ihr Unternehmen. Als Auftraggeber bleiben Sie schließlich weiter verantwortlich und müssen dafür sorgen, dass personenbezogene Daten auch in den Händen eines Dritten gut geschützt bleiben.
Schritt 1: Garantien zur Sicherstellung der Datensicherheit und DSGVO-Konformität
Durch geeignete Garantien zeigt Ihr AVV, dass er den Datenschutz in seinem Unternehmen wirklich ernst nimmt und adäquat umsetzt. Geeignete Garantien sind die TOM und unabhängige Zertifizierungen oder Testate.
Technische und organisatorische Maßnahmen
Erfahrungsgemäß scheitern überraschen viele Auftragsverarbeiter an dieser eigentlich selbstverständlichen Hürde und hängen ihre TOM gar nicht an den AVV an. Stattdessen finden sich Sätze wie: „Wir garantieren den Datenschutz durch unsere technischen und organisatorischen Maßnahmen.“
Viele Unternehmen nutzen Muster aus dem Netz, ohne allgemeine Formulierungen anzupassen. Doch die TOM eines Rechenzentrums sollten anders aussehen als die eines Lohnbüros. Es reicht also nicht aus, einen Muster-AVV auszudrucken und abzuheften.
Oft vergessen Auftragsverarbeiten in ihrem TOM zudem die Basics. Bestimmt gibt es in jedem Unternehmen eine Firewall und ein abschließbares Büro. Werden diese in den TOM jedoch gar nicht erwähnt, sollten Sie nochmal nachfragen.
Genehmigte Zertifizierungsverfahren
Auch genehmigte Zertifizierungsverfahren können nach Art 42 DSGVO eine geeignete Garantie zur Sicherstellung der Datensicherheit sein. Darunter fallen…
- Testate
- unabhängige Berichte eines Datenschutzbeauftragten
- externen Audits (wie ISO 27001 und SOC2)
Ihre Anführung ist freiwillig und kann bei vielen AVV-Mustern mit angekreuzt werden.
Schritt 2: Subunternehmen des Auftragsverarbeiters
Wichtig ist hier, dass Ihr Auftragsverarbeiter – der Hauptauftragnehmer – die im AVV vereinbarten Regelungen an seine Subauftragnehmer weitergibt, sofern diese unmittelbar in die Erbringung der Hauptleistung mit einbezogen werden.
Prüfen Sie daher, ob es entsprechende Garantien dafür im Vertrag gibt. Zudem lohnt sich ein Blick darauf, ob Subauftragnehmer in Drittländern sitzen – und wenn ja, welche zusätzlichen Schutzmaßnahmen bestehen.
Schritt 3: Standardvertragsklauseln und zusätzliche Sicherheitsmaßnahmen
Viele Auftragsverarbeiter werden eine Übermittlung ihrer personenbezogenen Daten in Drittländer nicht ausschließen können – weil Server auch im EU-Ausland stehen, das Unternehmen einen Sitz außerhalb der EU hat oder Subunternehmer beauftragt werden.
In dem Fall ist zu prüfen, ob und auf welcher Grundlage eine solche Übermittlung zulässig ist. Die Übermittlung von Daten in Drittländer ist immer dann zulässig, wenn durch die Kommission die Angemessenheit des Datenschutzniveaus festgestellt wurde.
Falls dies nicht der Fall ist, bedarf die Datenübermittlung in ein Drittland eine andere Legitimation, z. B. durch:
- Corporate Binding Rules
- Standardvertragsklauseln (SCC)
Je nach Sensibilität der Daten sind unterschiedlich strenge Vorkehrungen zu treffen. Ergänzt werden müssen die SCC allerdings durch zusätzliche Sicherheitsmaßnahmen, die ebenfalls im Rahmen des AVV festgehalten werden müssen – ebenfalls ein Schritt, der im Geschäftsalltag oft vergessen wird.
Lesen Sie in diesem Artikel mehr zum Thema Datenübermittlung in Drittländer und was Unternehmen dabei beachten müssen.
3 Tipps speziell für SaaS-Anbieter
Als SaaS-Anbieter haben sie wahrscheinlich schon längst einen Standard-AVV erstellt, den Sie Neukunden vorlegen. Aber wie gut kommt dieser bei den Datenschutzbeauftragten Ihrer Kunden an? Gibt es häufig Rückfragen oder Schwierigkeiten? Dann könnte das daran liegen, dass Ihr AVV nicht alle erforderlichen Aspekte abdeckt. Stellen Sie sicher, dass wirklich alle Punkte aus Art. 28 der DSGVO mit abgedeckt werden.
Viele SaaS-Anbieter können auf Basis unserer Erfahrungswerte an folgenden drei Punkten feilen:
- Eine wirklich gut definierte Leistungsbeschreibung, aus der genau hervorgeht, welche Teilleistung Sie als Auftragsverarbeiter erbringen
- Datenkategorien, die nicht nur oberflächlich, sondern detailliert erklärt sind
- Eine Auflistung Ihrer Subauftragsverarbeiter und Nachweise über die geeignete technischen und organisatorischen Maßnahmen
Ein lückenloser AVV begeistert zwar keine Kunden, sorgt aber für einen reibungslosen Vertriebsprozess. Fehlen grundlegende Informationen nach Art. 28 DS-GVO, kann wertvolle Zeit verloren gehen. Wer seinen Kunden einen umfassenden AVV inkl. der Nachweise über die Prüfung seiner Subunternehmer vorlegen kann, beweist Gründlichkeit und Gewissenhaftigkeit und schafft so Vertrauen.
Fazit: ohne Auftragsverarbeitungsverträge kein Business
Jeder Auftragnehmer, der als Dritter personenbezogene Daten verarbeitet, stellt ein gewisses Risiko dar – für Datenpannen, Datenschutzverstöße oder die Missachtung der ihm auferlegten Pflichten. Daher will jeder Auftragsverarbeiter gut ausgewählt sein – und der AVV ist ein fantastisches Indiz für die Qualität der Zusammenarbeit und die Professionalität und Verlässlichkeit des Auftragsverarbeiters.
Als Auftragsverarbeiter zeigen Unternehmen durch Dokumente wie die technischen und organisatorischen Maßnahmen und den AVV, dass sie den Datenschutz ernst nehmen.
Optimieren Sie Ihre Datenschutz-Dokumentation mühelos mit unserer Datenschutz-Plattform. Entdecken Sie kostenlose Vorlagen, einschließlich einer AVV-Vorlage, und erleben Sie, wie einfach es ist, Ihre Datenschutzanforderungen zu erfüllen.