Der Auftragsverarbeitungsvertrag (AVV)

Die DSGVO regelt auch den Umgang von Dienstleistern mit personenbezogenen Daten. Der Auftragsverarbeitungsvertrag beschreibt im Detail, wer wann welche Daten verarbeiten darf. So herrschen Klarheit und Sicherheit für alle betroffenen Parteien.

Werden personenbezogenen Daten von einem Dienstleister weisungsgebunden im Auftrag verarbeitet, ist der Abschluss eines Auftragsverarbeitungsvertrags (AVV) erforderlich. Hierbei muss sich der Auftraggeber bewusst sein, dass er rechtlich weiterhin verantwortlich für die personenbezogenen Daten und den Umgang mit diesen Datensätzen bleibt. Er muss die Auftragnehmer mit der gebotenen Sorgfalt aussuchen und deren Tätigkeit regelmäßig überwachen.

Was ist Auftragsverarbeitung?

Aus datenschutzrechtlicher Sicht liegt eine Auftragsverarbeitung vor, wenn bei der Verarbeitung personenbezogener Daten Dienstleister eingesetzt werden, die weisungsgebunden arbeiten.

Typische Fälle der Auftragsverarbeitung können beispielsweise die Verarbeitung von Werbeadressen in einem Lettershop, externe Lohnbuchhaltung, externe Wartung von Servern und Computern oder die Akten- und Datenträgervernichtung durch externe Dienstleister sowie andere Fälle des Outsourcing, aber auch der Einsatz von Tools wie Google Analytics oder Cloudlösungen sein.

Die Ausführung des Verarbeitungsprozesses erfolgt zwar durch den Auftragsverarbeiter (Auftragnehmer), der jedoch gegenüber dem Verantwortlichen (Auftraggeber) weisungsgebunden ist, der die Zwecke und Mittel der Verarbeitung festlegt.

Der Auftraggeber bleibt hierbei weiterhin für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er muss den Auftragsverarbeiter mit der gebotenen Sorgfalt aussuchen und dessen mit dem Vertrag verbundene Tätigkeit überwachen.

Was ist ein Auftragsverarbeitungsvertrag (AVV)?

Nach dem datenschutzrechtlichen Grundprinzip des Verbots mit Erlaubnisvorbehalt bedarf die Verarbeitung personenbezogener Daten, einschließlich der Weitergabe an Dritte, einer Rechtsgrundlage, die beispielsweise in einer Gesetzesnorm oder einer rechtskonformen Einwilligung des Betroffenen bestehen kann.

Das Vorliegen einer derartigen Rechtsgrundlage wäre erforderlich, wenn die Anbieter von Dienstleistungen der oben genannten Art als Dritte im Sinne der DSGVO eingestuft würden. Dies ist jedoch aufgrund der Privilegierung der Auftragsverarbeitung in der DSGVO gerade nicht der Fall. Die Weitergabe personenbezogener Daten an den Auftragsverarbeiter bedarf in der Regel keiner weiteren Rechtsgrundlage als derjenigen, aufgrund derer die Verarbeitung beim Verantwortlichen selbst erfolgt. Betroffene müssen jedoch auf den Einsatz von Auftragsverarbeitern hingewiesen werden.

Gem. Art. 28 Abs. 3 DSGVO ist es jedoch erforderlich, dass die Verarbeitung auf Grundlage eines Vertrages (oder anderen Rechtsinstruments nach dem Recht der EU) zwischen dem Verantwortlichen und dem Auftragsverarbeiter erfolgt – dem Auftragsverarbeitungsvertrag (AVV).

Die spezifischen Anforderungen, die ein AVV erfüllen muss, sind in Art. 28 DSGVO festgelegt. Hierdurch soll gewährleistet werden, dass die Datenverarbeitung auch beim Einsatz eines Auftragsverarbeiters den Vorgaben der DSGVO genügt.

Der AVV ist schriftlich abzuschließen, was jedoch auch in einem elektronischen Format erfolgen kann.

Im AVV müssen die wesentlichen Inhalte der Verarbeitung festgelegt werden. Dazu zählen u.a. Gegenstand, Art und Zweck der Verarbeitung sowie die jeweiligen Rechte und Pflichten von Auftraggeber und Auftragnehmer. Der Auftraggeber ist weiterhin für die Erfüllung der Pflichten aus der DSGVO (Betroffenenrechte, Meldung von Datenpannen etc.) zuständig. Den Auftragsverarbeiter treffen diesbezüglich Unterstützungspflichten.

Zudem ist der Auftragsverarbeiter verpflichtet, technische und organisatorischen Maßnahmen (TOM) zu ergreifen, um die Sicherheit der Datenverarbeitung zu gewährleisten.

Wann ist kein AVV erforderlich?

Zu unterscheiden von den weisungsgebundenen Dienstleistern sind alle Dienstleister, die als eigenständige Verantwortliche eine fachfremde Leistung erbringen. Hierzu gehören Rechtsanwälte, Banken, Inkassobüros, Betriebsärzte oder Postdienste. Sie erbringen ihre Leistung eigenverantwortlich und sind nicht weisungsgebunden. Daher ist in diesen Fällen auch kein Auftragsverarbeitungsvertrag abzuschließen. In den meisten Bundesländern zählen dazu auch Steuerberater. Nur in Hessen, NRW und Baden-Württemberg müssen auch sie einen AVV abschließen, insbesondere wenn sie als Dienstleister die Lohnbuchhaltung übernehmen.

Haftung und Bußgelder bei der Auftragsverarbeitung

Auftraggeber und Auftragnehmer haften im Außenverhältnis grundsätzlich gesamtschuldnerisch auf Schadensersatz, wobei eine Exkulpation bei Nichtverschulden möglich ist. Der Auftragsverarbeiter haftet nur für Verstöße gegen seine selbstständigen gesetzlichen Pflichten als Auftragsverarbeiters, gegen Weisungen des Verantwortlichen oder gegen den AVV.

Bußgelder durch Aufsichtsbehörden können sowohl dem Verantwortlichen als auch dem Auftragsverarbeiter auferlegt werden

Tags
  • DSGVO
  • Datenschutz
  • Auftragsverarbeiter
  • Auftragsverarbeitung
  • AVV

Unsere Empfehlung

Angebot erhalten
089 442 550 - 62649