<img height="1" width="1" style="display:none;" alt="" src="https://px.ads.linkedin.com/collect/?pid=219905&amp;fmt=gif">
close

Kontaktieren Sie uns jetzt
für Ihr individuelles Angebot

Oder buchen Sie hier direkt einen Termin

(089) 8967 410 600
userlane
Mateco
Demodesk
My Poster
Fressnapf-1
Kusmi Tea

Heute ein Unternehmen zu führen, ohne Daten im Auftrag verarbeiten zu lassen, ist fast unmöglich – gilt doch ein ganz normales CRM-System oder eine Lohnbuchhaltungssoftware bereits als Auftragsverarbeiter.  

Wird eine neue Software-as-a-Service-Lösung eingekauft oder ein Subunternehmer beauftragt, der weisungsgebunden agiert und dessen Schwerpunkt der Tätigkeit die Verarbeitung von personenbezogenen Daten betrifft, bedeutet das für den Verantwortlichen den Abschluss eines Auftragsverarbeitungsvertrages (AVV). Der Nichtabschluss eines erforderlichen AVV kann ein Bußgeld durch die Datenschutzaufsichtsbehörde nach sich ziehen.   

Wirklich entscheidend ist die Professionalität und Vollständigkeit des Auftragsverarbeitungsvertrags für die Unternehmen, die als Auftragsverarbeiter agieren. Sie müssen mit einem wasserdichten AVV überzeugen und insbesondere geeignete technische und organisatorische Maßnahmen vorweisenbevor ein Kunde den Vertrag guten Gewissens abschließen kann. 

Das Wichtigste in Kürze:  

  • Eine Auftragsverarbeitung liegt vor, wenn Daten weisungsgebunden im Auftrag von einem Auftragnehmer verarbeitet werden.  
  • Beispiele für eine Auftragsverarbeitung sind Dienstleister wie Lohnbüros und Aktenvernichter sowie Outsourcing-Lösungen wie SaaS und Hosting-Anbieter. 
  • Liegt ein Auftragsverarbeitungsverhältnis vor, muss gem. Art. 28 Abs. 3 DSGVO ein Auftragsverarbeitungsvertrag abgeschlossen werden.  
  • Der AVV definiert u. a. Gegenstand, Art und Zweck der Verarbeitung sowie die jeweiligen Rechte und Pflichten von Auftraggeber und Auftragnehmer. 
  • Nach der DS-GVO gilt die Pflicht einen Auftragsverarbeiter sorgfältig auszuwählen. 
  • Werden Daten bei der Auftragsverarbeitung in Drittländer übermittelt, ist die rechtliche Grundlage für eine solche Übermittlung zu prüfen.  
  • Der Datenschutzbeauftragte unterstützt sowohl bei der Erstellung als auch bei der Prüfung von AVVs. 

In diesem Beitrag:  

Was ist Auftragsverarbeitung und wann brauche ich einen Auftragsverarbeitungsvertrag 

Werden personenbezogenen Daten von einem Dienstleister weisungsgebunden im Auftrag verarbeitetgilt das als Auftragsverarbeitung. Dann ist der Abschluss eines Auftragsverarbeitungsvertrags (AVV) erforderlich. Hierbei muss sich der Auftraggeber bewusst sein, dass er rechtlich weiterhin verantwortlich für die personenbezogenen Daten und den Umgang mit diesen Datensätzen bleibt. Er muss die Auftragnehmer mit der gebotenen Sorgfalt aussuchen und deren Tätigkeit regelmäßig überwachen. 

Was sind typische Beispiele für die Auftragsverarbeitung in Unternehmen?  

Die weisungsgebundene Verarbeitung von Daten durch Dritte im Auftrag – das klingt vielleicht noch etwas abstrakt. Wahrscheinlich sind Sie selbst aber schon vielfach mit der Auftragsverarbeitung in Kontakt gekommen. Ganz typische Beispiele, die für die meisten Unternehmen eine Rolle spielen, sind:  

  • Software-as-a-Service-Lösungen wie Newsletter- oder Buchhaltungstools  
  • Betreiber von Eingabemasken (Formularen), die auf Ihrer Website eingebunden werden können (z. B. Unbounce oder Mailchimp) 
  • Cloudbasierte CRM-Tools 
  • Externe Callcenter oder Kundenservices 
  • Verarbeitung von Werbeadressen in einem Lettershop 
  • Externe Lohnbuchhaltung 
  • Externe Wartung von Servern und Computern  
  • Akten- und Datenträgervernichtung durch externe Dienstleister 
  • Hosting-Services 
  • Agenturen für Marketing, Vertrieb oder Beratung, sofern diese Zugriff auf personenbezogene Daten von Mitarbeitern, Kunden, Nutzern oder anderen Kontakten des Unternehmens haben 
  • Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten erheben 

Wie grenze ich Auftragsverarbeitung von gemeinsamer Verantwortlichkeit ab?  

Manchmal ist es gar nicht so einfach zu entscheiden, ob die Auftragsverarbeitung wirklich ausschließlich nach den Weisungen des Verantwortlichen, also des Auftraggebers, geschieht. Tut sie das nicht und hat der Auftragsverarbeiter selbst Zugriff auf die Daten und nutzt sie für eigene Zwecke, so handelt es sich wahrscheinlich um einen Fall der gemeinsamen Verantwortlichkeit. Hier ein paar typische Abgrenzungsmerkmalewelche für eine Auftragsverarbeitung sprechen:  

  • Der Verantwortliche legt fest, welche Daten erhobenwie lange diese verarbeitet und wann diese gelöscht werden. 
  • Ebenso bestimmt der Verantwortliche den Zweck der Datenerhebung.  
  • Der Verantwortliche entscheidet darüber, ob Daten gelöscht werden dürfen.  

Der Auftraggeber bleibt hierbei weiterhin für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er muss den Auftragsverarbeiter mit der gebotenen Sorgfalt aussuchen und dessen mit dem Vertrag verbundene Tätigkeit überwachen. 

Mehr Informationen zur gemeinsamen Verantwortlichkeit finden Sie hier.  

Wie suche ich einen Auftragsverarbeiter mit gebotener Sorgfalt aus? 

Die Auswahl eines vertrauenswürdigen Auftragsverarbeiters ist auch für die Vermeidung von Bußgeldern wichtig. Denn im Schadensfall haften Auftraggeber und Auftragnehmer grundsätzlich gesamtschuldnerisch, wobei eine Exkulpation bei Nichtverschulden möglich ist.  

Bei der Auswahl eines Auftragsverarbeiters sollten Unternehmen laut DS-GVO (Erwägungsgrund 81) darauf achten solche Vertragspartner zu wählen,  

[…] die – insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen – hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen – auch für die Sicherheit der Verarbeitung – getroffen werden, die den Anforderungen dieser Verordnung genügen“ 

Hier ein paar Fragen, die bei Evaluierung eines Auftragsverarbeiters weiterhelfen können:  

  • Wie vertrauenswürdig ist der Anbieter? Steht er z. B. wegen Datenpannen wiederholt in der Kritik? 
  • Wo sitzt der Anbieter?  
  • Erfolgt eine Datenübermittlung in Drittländer wie die USA und wenn ja, welche geeigneten Garantien bietet der Auftragsverarbeiter?  
  • Auf welchen Servern werden Daten verarbeitet? 
  • Welche Subunternehmer werden hinzugezogen?  
  • Wie professionell und vollständig ist der Auftragsverarbeitungsvertrag? (mehr dazu später) 

Übrigens: Wir haben für Sie einen Blick auf die Anbieter von Videokonferenzlösungen und Messenger-Diensten geworfen und diese im Hinblick auf ihren Datenschutz bewertet.  

Was genau ist ein Auftragsverarbeitungsvertrag (AVV), in welcher Rechtsgrundlage findet er Erwähnung? 

Nach dem datenschutzrechtlichen Grundprinzip des Verbots mit Erlaubnisvorbehalt bedarf die Verarbeitung personenbezogener Daten, einschließlich der Weitergabe an Dritte, einer Rechtsgrundlage, die beispielsweise in einer Gesetzesnorm oder einer rechtskonformen Einwilligung des Betroffenen bestehen kann. 

Das Vorliegen einer derartigen Rechtsgrundlage wäre erforderlich, wenn die Anbieter von Dienstleistungen der oben genannten Art als Dritte im Sinne der DS-GVO eingestuft würden. Dies ist jedoch aufgrund der Privilegierung der Auftragsverarbeitung in der DS-GVO gerade nicht der Fall. Die Weitergabe personenbezogener Daten an den Auftragsverarbeiter bedarf in der Regel keiner weiteren Rechtsgrundlage als derjenigen, aufgrund derer die Verarbeitung beim Verantwortlichen selbst erfolgt. Betroffene müssen jedoch auf den Einsatz von Auftragsverarbeitern hingewiesen werden. 

Gem. Art. 28 Abs. 3 DS-GVO ist es jedoch erforderlich, dass die Verarbeitung auf Grundlage eines Vertrages (oder anderen Rechtsinstruments nach dem Recht der EU) zwischen dem Verantwortlichen und dem Auftragsverarbeiter erfolgt – dem Auftragsverarbeitungsvertrag. 

Die spezifischen Anforderungen, die ein AVV erfüllen muss, sind in Art. 28 DS-GVO festgelegt. Hierdurch soll gewährleistet werden, dass die Datenverarbeitung auch beim Einsatz eines Auftragsverarbeiters den Vorgaben der DS-GVO genügt. 

Der AVV ist schriftlich abzuschließen, was jedoch auch in einem elektronischen Format erfolgen kann. Zudem ist der Auftragsverarbeiter verpflichtet, technische und organisatorischen Maßnahmen (TOM) zu ergreifen, um die Sicherheit der Datenverarbeitung zu gewährleisten. 

Wann ist kein AVV erforderlich? 

Zu unterscheiden von den weisungsgebundenen Dienstleistern sind alle Dienstleister, die als eigenständige Verantwortliche eine fachfremde Leistung erbringen. Hierzu gehören Tätigkeiten von: 

  • Rechtsanwälten 
  • Banken 
  • Inkassobüros 
  • Betriebsärzte 
  • Postdienste 

Sie erbringen ihre Leistung eigenverantwortlich und sind nicht weisungsgebunden. Daher ist in diesen Fällen auch kein Auftragsverarbeitungsvertrag abzuschließen. In den meisten Bundesländern zählen dazu auch Steuerberater. Nur in Hessen, NRW und Baden-Württemberg müssen auch sie einen AVV abschließen, insbesondere, wenn sie als Dienstleister die Lohnbuchhaltung übernehmen. 

Welche Informationen muss ein Auftragsverarbeitungsvertrag enthalten und wo finde ich Muster?  

Im AVV müssen die wesentlichen Inhalte der Verarbeitung festgelegt werden. Dazu zählen u.a. Gegenstand, Art und Zweck der Verarbeitung sowie die jeweiligen Rechte und Pflichten von Auftraggeber und Auftragnehmer. Der Auftraggeber ist weiterhin für die Erfüllung der Pflichten aus der DS-GVO (Betroffenenrechte, Meldung von Datenpannen, etc.) zuständig. Den Auftragsverarbeiter treffen diesbezüglich Unterstützungspflichten. 

Die Bitkom stellt neben anderen Anbietern im Netz einen kostenlosen Mustervertrag zur Verfügung, der hier heruntergeladen werden kann.  

Welche Rolle spielt die Datenübermittlung in Drittländer bei der Auftragsverarbeitung? 

Viele Auftragsverarbeiter werden eine Übermittlung ihrer personenbezogenen Daten in Drittländer nicht ausschließen können – weil Server auch im EU-Ausland stehen, das Unternehmen einen Sitz außerhalb der EU hat oder Subunternehmer beauftragt werden.  

In dem Fall ist zu prüfen, ob und auf welcher Grundlage eine solche Übermittlung zulässig ist. Die Übermittlung von Daten in Drittländer ist immer dann zulässig, wenn durch die Kommission die Angemessenheit des Datenschutzniveaus festgestellt wurde.  

Falls dies nicht der Fall ist, bedarf die Datenübermittlung in ein Drittland eine andere Legitimation, z. B. durch:  

  • Corporate Binding Rules  
  • Standardvertragsklauseln (SCC) 

Je nach Sensibilität der Daten sind unterschiedlich strenge Vorkehrungen zu treffen. 

Mehr zum Thema Datenübermittlung in Drittländer finden Sie in diesem Artikel.  

Bonustipp für SaaS-Anbieter: So nutzen Sie den AVV zu Ihrem Wettbewerbsvorteil  

Als SaaS-Anbieter haben sie wahrscheinlich schon längst einen AVV erstellt. Aber wie gut kommt dieser bei den Datenschutzbeauftragten Ihrer Kunden an? Gibt es Rückfragen oder Schwierigkeiten? Dann könnte das daran liegen, dass Ihr AVV nicht alle erforderlichen Aspekte abdeckt. Stellen Sie sicher, dass wirklich alle Punkte aus Art. 28 der DS-GVO mit abgedeckt werden.  

Viele SaaS-Anbieter können auf Basis unserer Erfahrungswerte an folgenden drei Punkten feilen:  

  • Eine wirklich gut definierte Leistungsbeschreibung, aus der genau hervorgeht, welche Teilleistung Sie als Auftragsverarbeiter erbringen  
  • Datenkategorien, die nicht nur oberflächlich, sondern detailliert erklärt sind  
  • Eine Auflistung Ihrer Subauftragsverarbeiter und Nachweise über die geeignete technischen und organisatorischen Maßnahmen

Notiz zu den Subauftragsverarbeitern: In aller Regel setzen Sie als SaaS-Anbieter selbst Lösungen von Drittanbietern ein, z. B. zu Hosting-Zwecken, zur Fernwartung oder für Teilleistungen von individuellen Anpassungen am entsprechenden Tool. Sobald Sie einen weiteren Subauftragnehmer einschalten, haben Sie Sorge dafür zu tragen, dass wesentliche Grundlagen der DS-GVO zu Auftragsverarbeitungsverhältnissen vom Subauftragnehmer eingehalten werden. Sie als SaaS-Anbieter müssen in jedem Fall einen Auftragsverarbeitungsertrag mit solchen Subauftragnehmern schließen und agieren dabei in der Rolle des Verantwortlichen.  

Eine eingehende Prüfung jedes Subunternehmers ist Teil des Auswahlprozesses, denn jetzt gilt für Sie: Durch die von Ihnen herangezogenen Drittanbieter sollten Ihnen keine zusätzlichen Sicherheitslücken entstehen.  

Ein lückenloser AVV begeistert zwar keine Kunden, sorgt aber für einen reibungslosen Vertriebsprozess. Fehlen grundlegende Informationen nach Art. 28 DS-GVO, kann wertvolle Zeit verloren gehen. Wer seinen Kunden einen umfassenden AVV inkl. der Nachweise über die Prüfung seiner Subunternehmer vorlegen kann, beweist Gründlichkeit und Gewissenhaftigkeit und schafft so Vertrauen

 

SaaS

Kostenloses SaaS-Whitpaper: Datenschutz als Wettbewerbsvorteil

Weitere Tipps für SaaS-Unternehmen finden Sie in unserem kostenlosen Whitepaper. Erfahren Sie hier, wie Sie Datenschutz als Wettbewerbsvorteil nutzen können.

Fazit

Ohne Auftragsverarbeiter kein Business. Doch jeder Auftragnehmer, der als Dritter personenbezogene Daten verarbeitet, stellt ein gewisses Risiko dar – für Datenpannen, Datenschutzverstöße oder die Missachtung der ihm auferlegten Pflichten. Daher will jeder Auftragsverarbeiter gut ausgewählt sein – und der AVV ist ein fantastisches Indiz für die Qualität der Zusammenarbeit und die Professionalität und Verlässlichkeit des Auftragsverarbeiters. 

Als Auftragsverarbeiter zeigen Unternehmen durch Dokumente wie die technischen und organisatorischen Maßnahmen und den AVV, ob Sie den Datenschutz ernst nehmen.  

Ihr Datenschutzbeauftragter kann Sie bei der Erstellung von AVVs unterstützen und die AVVs Ihrer Auftragnehmer prüfen.  

 

Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?  

Bei DataGuard stehen Ihnen zertifizierte Experten mit einem breiten Fachwissen zur Verfügung. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:  

Kostenloses Erstgespräch vereinbaren

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.