Das passende Leistungspaket für Ihre Bedürfnisse

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über 2.000 zufriedene Kunden

Jedox  Logo Contact Demodesk Logo Contact Elevate Logo Contact Canon  Logo Contact CBTL Logo Contact Alasco  Logo Contact RightNow Logo Contact Veganz Logo Contact Escada Logo Contact First Group Logo Contact

Erhalten Sie Infos zu unseren Preisen & Services

Oder rufen Sie uns an: (089) 8967 551 000

Certified by Proven Experts

Auftragsverarbeitungsvertrag nach DSGVO: Der AVV auf einen Blick

Unter dem Begriff der Auftragsverarbeitung versteht man die Verarbeitung personenbezogenen Daten durch einen Dritten im Auftrag eines Verantwortlichen. Zum Beispiel agiert der Anbieter eines browserbasierten CRM-Systems als Auftragsverarbeiter (AV). Dessen Kunden speichern Daten wie Namen, E-Mail-Adressen und Telefonnummern ihrer Kontakte im CRM. Dafür muss der CRM-Anbieter die Daten auf seinen Servern entsprechend verarbeiten und speichern.

Wichtig dabei: Der CRM-Betreiber hat keinen direkten Zugriff auf die Daten. Und die Datenverarbeitung geschieht nicht irgendwie, sondern entsprechend den Weisungen des Verantwortlichen. Vertraglich muss das Ganze im Auftragsverarbeitungsvertrag (AVV) geregelt werden.

Wir erklären, wie sich ein Auftragsverarbeitungsverhältnis von anderen Beziehungen wie der gemeinsamen Verantwortlichkeit unterscheidet, wie Sie einen professionellen AVV erstellen und worauf Sie bei der Auswahl von AVs unbedingt achten sollten.

Das Wichtigste in Kürze:

  • Eine Auftragsverarbeitung liegt vor, wenn Daten weisungsgebunden im Auftrag von einem Auftragnehmer verarbeitet werden.
  • Beispiele für eine Auftragsverarbeitung sind Dienstleister wie Lohnbüros und Aktenvernichter sowie Outsourcing-Lösungen wie SaaS und Hosting-Anbieter.
  • Liegt ein Auftragsverarbeitungsverhältnis vor, muss gem. Art. 28 Abs. 3 DSGVO ein Auftragsverarbeitungsvertrag abgeschlossen werden.
  • Der AVV definiert u. a. Gegenstand, Art und Zweck der Verarbeitung sowie die jeweiligen Rechte und Pflichten von Auftraggeber und Auftragnehmer.
  • Nach der DSGVO gilt die Pflicht einen Auftragsverarbeiter sorgfältig auszuwählen.
  • Werden Daten bei der Auftragsverarbeitung in Drittländer übermittelt, ist die rechtliche Grundlage für eine solche Übermittlung zu prüfen.
  • Der Datenschutzbeauftragte unterstützt sowohl bei der Erstellung als auch bei der Prüfung von AVVs.

Definition Auftragsverarbeitung

Werden personenbezogenen Daten von einem Dienstleister weisungsgebunden im Auftrag verarbeitet, gilt das als Auftragsverarbeitung. Dann ist der Abschluss eines Auftragsverarbeitungsvertrags (AVV) erforderlich.

Der Auftraggeber ist rechtlich weiterhin für die personenbezogenen Daten und den Umgang mit diesen verantwortlich. Er muss die Auftragnehmer mit der gebotenen Sorgfalt aussuchen und deren Tätigkeit regelmäßig überprüfen.

Beispiele für die Auftragsverarbeitung in Unternehmen

Die weisungsgebundene Verarbeitung von Daten durch Dritte im Auftrag – das klingt vielleicht noch etwas abstrakt. Wahrscheinlich sind Sie selbst aber schon vielfach mit der Auftragsverarbeitung in Kontakt gekommen. Ganz typische Beispiele, die für die meisten Unternehmen eine Rolle spielen, sind:

  • Software-as-a-Service-Lösungen wie Newsletter- oder Buchhaltungstools
  • Betreiber von Eingabemasken (Formularen), die auf Ihrer Website eingebunden werden können (z. B. Unbounce oder Mailchimp)
  • Cloudbasierte CRM-Tools
  • Externe Callcenter oder Kundenservices
  • Verarbeitung von Werbeadressen in einem Lettershop
  • Externe Lohnbuchhaltung
  • Externe Wartung von Servern und Computern
  • Akten- und Datenträgervernichtung durch externe Dienstleister
  • Hosting-Services
  • Agenturen für Marketing, Vertrieb oder Beratung, sofern diese Zugriff auf personenbezogene Daten von Mitarbeitern, Kunden, Nutzern oder anderen Kontakten des Unternehmens haben
  • Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten erheben

Unterscheidung von Auftragsverarbeitung und gemeinsamer Verantwortlichkeit

Manchmal ist es gar nicht so einfach zu entscheiden, ob die Auftragsverarbeitung wirklich ausschließlich nach den Weisungen des Verantwortlichen, also des Auftraggebers, geschieht. Tut sie das nicht und hat der Auftragsverarbeiter selbst Zugriff auf die Daten und nutzt sie für eigene Zwecke, so handelt es sich wahrscheinlich um einen Fall der gemeinsamen Verantwortlichkeit. Hier ein paar typische Abgrenzungsmerkmale, welche für eine Auftragsverarbeitung sprechen:

  • Der Verantwortliche legt fest, welche Daten erhoben, wie lange diese verarbeitet und wann diese gelöscht werden.
  • Ebenso bestimmt der Verantwortliche den Zweck der Datenerhebung.
  • Der Verantwortliche entscheidet darüber, ob Daten gelöscht werden dürfen.

Der Auftraggeber bleibt hierbei weiterhin für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er muss den Auftragsverarbeiter mit der gebotenen Sorgfalt aussuchen und dessen mit dem Vertrag verbundene Tätigkeit überwachen.

Mehr Informationen zur gemeinsamen Verantwortlichkeit finden Sie hier.

Auftragsverarbeiter mit gebotener Sorgfalt aussuchen: So geht’s!

Die Auswahl eines vertrauenswürdigen Auftragsverarbeiters ist auch für die Vermeidung von Bußgeldern wichtig. Denn im Schadensfall haften Auftraggeber und Auftragnehmer grundsätzlich gesamtschuldnerisch, wobei eine Exkulpation bei Nichtverschulden möglich ist.

Bei der Auswahl eines Auftragsverarbeiters sollten Unternehmen laut DSGVO (Erwägungsgrund 81) darauf achten solche Vertragspartner zu wählen,

„[…] die – insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen – hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen – auch für die Sicherheit der Verarbeitung – getroffen werden, die den Anforderungen dieser Verordnung genügen“

Hier ein paar Fragen, die bei Evaluierung eines Auftragsverarbeiters weiterhelfen können:

  • Wie vertrauenswürdig ist der Anbieter? Steht er z. B. wegen Datenpannen wiederholt in der Kritik?
  • Wo sitzt der Anbieter?
  • Erfolgt eine Datenübermittlung in Drittländer wie die USA und wenn ja, welche geeigneten Garantien bietet der Auftragsverarbeiter?
  • Auf welchen Servern werden Daten verarbeitet?
  • Welche Subunternehmer werden hinzugezogen?
  • Wie professionell und vollständig ist der Auftragsverarbeitungsvertrag? (mehr dazu später)

Übrigens: Wir haben für Sie einen Blick auf die Anbieter von Videokonferenzlösungen und Messenger-Diensten geworfen und diese im Hinblick auf ihren Datenschutz bewertet.

 

Der Auftragsverarbeitungsvertrag (AVV) und seine Rechtsgrundlage

Nach dem datenschutzrechtlichen Grundprinzip des Verbots mit Erlaubnisvorbehalt bedarf die Verarbeitung personenbezogener Daten, einschließlich der Weitergabe an Dritte, einer Rechtsgrundlage, die beispielsweise in einer Gesetzesnorm oder einer rechtskonformen Einwilligung des Betroffenen bestehen kann.

Das Vorliegen einer derartigen Rechtsgrundlage wäre erforderlich, wenn die Anbieter von Dienstleistungen der oben genannten Art als Dritte im Sinne der DSGVO eingestuft würden. Dies ist jedoch aufgrund der Privilegierung der Auftragsverarbeitung in der DSGVO gerade nicht der Fall. Die Weitergabe personenbezogener Daten an den Auftragsverarbeiter bedarf in der Regel keiner weiteren Rechtsgrundlage als derjenigen, aufgrund derer die Verarbeitung beim Verantwortlichen selbst erfolgt. Betroffene müssen jedoch auf den Einsatz von Auftragsverarbeitern hingewiesen werden.

Gem. Art. 28 Abs. 3 DSGVO ist es jedoch erforderlich, dass die Verarbeitung auf Grundlage eines Vertrages (oder anderen Rechtsinstruments nach dem Recht der EU) zwischen dem Verantwortlichen und dem Auftragsverarbeiter erfolgt – dem Auftragsverarbeitungsvertrag.

Die spezifischen Anforderungen, die ein AVV erfüllen muss, sind in Art. 28 DSGVO festgelegt. Hierdurch soll gewährleistet werden, dass die Datenverarbeitung auch beim Einsatz eines Auftragsverarbeiters den Vorgaben der DSGVO genügt.

Der AVV ist schriftlich abzuschließen – die elektronische Form ist möglich. Zudem ist der Auftragsverarbeiter verpflichtet, technische und organisatorischen Maßnahmen (TOM) zu ergreifen, um die Sicherheit der Datenverarbeitung zu gewährleisten.

Die Aufgaben des Verantwortlichen und Auftragsverarbeiters im Überblick:

Verantwortlicher (Auftraggeber)

Auftragsverarbeiter (Auftragnehmer)

  • Sicherstellen, dass Datenschutzvorgaben eingehalten werden können
  • AV mit gebotener Sorgfalt auswählen
  • Weisungen zur Auftragsverarbeitung schriftlich in einem AVV festhalten
  • Jeden neuen AV in das Verzeichnis von Verarbeitungstätigkeiten aufnehmen
  • Datenschutzkonzept inkl. TOM zur Sicherheit der Datenverarbeitung erarbeiten
  • Rechtssichere Auftragsverarbeitungsverträge erstellen, die von Kunden übernommen werden können (verkürzt den Vertriebsprozess)
  • Jeden Datenschutzverstoß an den Auftraggeber melden

In diesen Fällen ist kein Auftragsverarbeitungsvertrag erforderlich

Zu unterscheiden von den weisungsgebundenen Dienstleistern sind alle Dienstleister, die als eigenständige Verantwortliche eine fachfremde Leistung erbringen. Hierzu gehören Tätigkeiten von:

  • Rechtsanwälten
  • Banken
  • Inkassobüros
  • Betriebsärzte
  • Postdienste

Sie erbringen ihre Leistung eigenverantwortlich und sind nicht weisungsgebunden. Daher ist in diesen Fällen auch kein Auftragsverarbeitungsvertrag abzuschließen. In den meisten Bundesländern zählen dazu auch Steuerberater. Nur in Hessen, NRW und Baden-Württemberg müssen auch sie einen AVV abschließen, insbesondere, wenn sie als Dienstleister die Lohnbuchhaltung übernehmen.

Auftragsverarbeitungsvertrag Aufbau und Muster

Im AVV müssen die wesentlichen Inhalte der Verarbeitung festgelegt werden. Dazu zählen u. a. Gegenstand, Art und Zweck der Verarbeitung sowie die jeweiligen Rechte und Pflichten von Auftraggeber und Auftragnehmer. Der Auftraggeber ist weiterhin für die Erfüllung der Pflichten aus der DSGVO (Betroffenenrechte, Meldung von Datenpannen, etc.) zuständig. Den Auftragsverarbeiter treffen diesbezüglich Unterstützungspflichten.

Die Bitkom stellt neben anderen Anbietern im Netz einen kostenlosen Mustervertrag zur Verfügung.

Datenübermittlung in Drittländer bei der Auftragsverarbeitung

Viele Auftragsverarbeiter werden eine Übermittlung ihrer personenbezogenen Daten in Drittländer nicht ausschließen können – weil Server auch im EU-Ausland stehen, das Unternehmen einen Sitz außerhalb der EU hat oder Subunternehmer beauftragt werden.

In dem Fall ist zu prüfen, ob und auf welcher Grundlage eine solche Übermittlung zulässig ist. Die Übermittlung von Daten in Drittländer ist immer dann zulässig, wenn durch die Kommission die Angemessenheit des Datenschutzniveaus festgestellt wurde.

Falls dies nicht der Fall ist, bedarf die Datenübermittlung in ein Drittland eine andere Legitimation, z. B. durch:

  • Corporate Binding Rules
  • Standardvertragsklauseln (SCC)

Je nach Sensibilität der Daten sind unterschiedlich strenge Vorkehrungen zu treffen.

Mehr zum Thema Datenübermittlung in Drittländer finden Sie in diesem Artikel.

Der Auftragsverarbeitungsvertrag für SaaS-Anbieter – ein wichtiges Leistungsmerkmal

Als SaaS-Anbieter haben sie wahrscheinlich schon längst einen Standard-AVV erstellt, den Sie Neukunden vorlegen. Aber wie gut kommt dieser bei den Datenschutzbeauftragten Ihrer Kunden an? Gibt es häufig Rückfragen oder Schwierigkeiten? Dann könnte das daran liegen, dass Ihr AVV nicht alle erforderlichen Aspekte abdeckt. Stellen Sie sicher, dass wirklich alle Punkte aus Art. 28 der DSGVO mit abgedeckt werden.

Viele SaaS-Anbieter können auf Basis unserer Erfahrungswerte an folgenden drei Punkten feilen:

  • Eine wirklich gut definierte Leistungsbeschreibung, aus der genau hervorgeht, welche Teilleistung Sie als Auftragsverarbeiter erbringen
  • Datenkategorien, die nicht nur oberflächlich, sondern detailliert erklärt sind
  • Eine Auflistung Ihrer Subauftragsverarbeiter und Nachweise über die geeignete technischen und organisatorischen Maßnahmen

Notiz zu den Subauftragsverarbeitern: In aller Regel setzen Sie als SaaS-Anbieter selbst Lösungen von Drittanbietern ein, z. B. zu Hosting-Zwecken, zur Fernwartung oder für Teilleistungen von individuellen Anpassungen am entsprechenden Tool. Sobald Sie einen weiteren Subauftragnehmer einschalten, haben Sie Sorge dafür zu tragen, dass wesentliche Grundlagen der DSGVO zu Auftragsverarbeitungsverhältnissen vom Subauftragnehmer eingehalten werden. Sie als SaaS-Anbieter müssen in jedem Fall einen Auftragsverarbeitungsertrag mit solchen Subauftragnehmern schließen und agieren dabei in der Rolle des Verantwortlichen.

Eine eingehende Prüfung jedes Subunternehmers ist Teil des Auswahlprozesses, denn jetzt gilt für Sie: Durch die von Ihnen herangezogenen Drittanbieter sollten Ihnen keine zusätzlichen Sicherheitslücken entstehen.

Ein lückenloser AVV begeistert zwar keine Kunden, sorgt aber für einen reibungslosen Vertriebsprozess. Fehlen grundlegende Informationen nach Art. 28 DS-GVO, kann wertvolle Zeit verloren gehen. Wer seinen Kunden einen umfassenden AVV inkl. der Nachweise über die Prüfung seiner Subunternehmer vorlegen kann, beweist Gründlichkeit und Gewissenhaftigkeit und schafft so Vertrauen

Fazit: ohne Auftragsverarbeiter kein Business

Jeder Auftragnehmer, der als Dritter personenbezogene Daten verarbeitet, stellt ein gewisses Risiko dar – für Datenpannen, Datenschutzverstöße oder die Missachtung der ihm auferlegten Pflichten. Daher will jeder Auftragsverarbeiter gut ausgewählt sein – und der AVV ist ein fantastisches Indiz für die Qualität der Zusammenarbeit und die Professionalität und Verlässlichkeit des Auftragsverarbeiters.

Als Auftragsverarbeiter zeigen Unternehmen durch Dokumente wie die technischen und organisatorischen Maßnahmen und den AVV, dass sie den Datenschutz ernst nehmen.

Als externer Datenschutzbeauftragter kann Sie DatasGuard bei der Erstellung von AVVs unterstützen und die AVVs Ihrer Auftragnehmer prüfen. Vereinbaren Sie eine kostenlose Erstberatung um mehr zu erfahren. 

Kostenlose Erstberatung vereinbaren

DSGVO Documentation

Sie haben den Überblick verloren?

Mit dieser Übersicht haben Sie alle notwendigen Dokumentationen, die die DSGVO fordert, auf einen Blick.

 

Über den Autor