Der Schutz personenbezogener Daten ist gerade in der digitalen Geschäftswelt von großer Bedeutung. Der Auftragsverarbeitungsvertrag (AVV) spielt dabei eine wichtige Rolle. Er regelt die Verarbeitung personenbezogener Daten durch Dritte und stellt sicher, dass die Anforderungen der Datenschutz-Grundverordnung (DSGVO) eingehalten werden.
Dieser Vertrag ist nicht nur eine rechtliche Notwendigkeit, sondern auch ein wichtiges Instrument zum Schutz der Privatsphäre des Einzelnen und zur Wahrung des Vertrauens zwischen Unternehmen und ihren Kunden.
Was ist ein Auftragsverarbeitungsvertrag (AVV)?
Ein AVV ist gemäß Artikel 28 DSGVO ein rechtsverbindlicher schriftlicher Vertrag zwischen zwei Unternehmen. Der Auftraggeber ist die Stelle, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt, während der Auftragnehmer die Daten im Auftrag des Auftraggebers verarbeitet.
Zweck des AVV ist es, die Einhaltung der DSGVO bei der Verarbeitung personenbezogener Daten durch Dritte sicherzustellen. Der Vertrag regelt dabei die Rechte und Pflichten beider Parteien, wie die Daten verarbeitet werden dürfen. Durch den Abschluss eines AVV ist es rechtlich so, als würden die Daten den Auftraggeber nicht verlassen. Es ist also eine Privilegierung für den Auftraggeber, der sonst eine Rechtsgrundlage, möglicherweise eine Einwilligung, von jedem Betroffenen bräuchte, um die Daten übertragen zu lassen.
Wann ist ein AV Vertrag notwendig?
Ein AVV ist immer dann erforderlich, wenn ein Unternehmen personenbezogene Daten durch einen externen Dienstleister verarbeiten lässt.
Typische Szenarien herifür sind zum Beispiel:
Nutzung von Cloud Diensten zur Datenspeicherung
Wenn Unternehmen ihre Daten in der Cloud speichern, wird der Cloud-Anbieter zum Auftragsverarbeiter. Dazu gehören Dienste wie GoogleDrive, Dropbox oder Microsoft OneDrive, welche personenbezogene Daten im Auftrag des Unternehmens verarbeiten.
Auslagerung der Gehaltsabrechnung an ein Lohnbüro
Die Auslagerung der Lohnabrechnung an ein externes Lohnbüro gilt als klassisches Beispiel für eine Auftragsverarbeitung. Das Lohnbüro verarbeitet dabei die Daten nach den Vorgaben des Arbeitgebers, ohne eigene Verantwortung zu tragen.
Beauftragung von marketing-Agenturen für E-Mail-Kampagnen
Beauftragt ein Unternehmen eine Marketing-Agentur beispielsweise mit der Durchführung einer E-Mail-Kampagne, so verarbeitet diese personenbezogene Daten (u.a. E-Mail-Adressen) im Auftrag des Unternehmens.
Nutzung von Webhosting-Diensten
Webhosting-Anbieter verarbeiten personenbezogene Daten, die auf den von ihnen gehosteten Websites gespeichert sind. Sie handeln als Auftragsverarbeiter für ihre Kunden und müssen dabei die Vorgaben der Datenschutzgrundverordnung beachten.
Das LDI Bayern hat dieses Jahr eine neue Abgrenzungshilfe für die Auftragsverarbeitung verfasst. Hier wird verdeutlicht, wann eine Auftragsverarbeitung vorliegt und wann nicht. (Abgrenzungshilfe_Auftragsverarbeitung.pdf).
Sollten Sie Hilfe bei der Abgrenzung benötigen unterstützen wir gerne. Nutzen Sie dazu einfach unser Kontaktformular.
Wichtige Bestandteile eines AV Vertrags
Gegenstand und Dauer der Verarbeitung
Hier wird konkret definiert, welche Daten verarbeitet werden und wie lange der Auftrag läuft.
Art und Zweck der Verarbeitung
Es muss festgehalten werden, wie und warum die Daten genutzt werden:
Art: Technische Verarbeitung (z.B. Hosting, E-Mail-Versand, etc.)
Zweck: Erfüllung vertraglicher Pflichten (z.B. Gehaltsabrechnungen, etc.)
Art der personenbezogenen Daten
Die Datenkategorien müssen genau bezeichnet werden.
Rechte und Pflichten der Vertragsparteien
Der Verantwortliche muss klare Anweisungen geben und die Einhaltung der DSGVO überwachen. Der Auftragsverarbeiter muss Daten nur weisungsgemäß verarbeiten und technische Schutzmaßnahmen (TOMs) umsetzen.
Technische und organisatorische Maßnahmen (TOMs)
Hier wird festgelegt, wie die Datensicherheit gewährleistet wird (z.B. Verschlüsselung, Zugangskontrollen, regelmäßige Backups, Schulungen für Mitarbeiter des Auftragsverarbeiters, etc.)
Regelungen für Subunternehmer
Der Einsatz weiterer Dienstleister ist nur mit Zustimmung des Verantwortlichen gestattet. Darüber hinaus sind weitere Kriterien für den Einsatz von Subunternehmern zu berücksichtigen.
Einerseits ist es erforderlich, dass Subunternehmer vertraglich an die DSGVO gebunden werden. Das bedeutet, dass der Dienstleister ebenfalls einen AVV mit dem Subunternehmer schließen muss, um die Anforderungen laut DSGVO zu erfüllen.
Zudem ist der Auftraggeber über jegliche Änderungen zu informieren.
Unterstützung bei Datenschutzverletzungen und Datenschutz-Folgenabschätzung
Dies umfasst die umgehende Meldung von Verstößen durch den Auftragsverarbeiter sowie die Unterstützung des Verantwortlichen bei der Meldung an die entsprechenden Aufsichtsbehörden. Darüber hinaus ist die Mitwirkung und Unterstützung bei Datenschutz-Folgenabschätzungen durch den Datenschutzbeauftragten erforderlich.
Rückgabe oder Löschung der Daten nach Auftragsende
Im AVV muss vereinbart werden, wie mit den Daten am Ende des Vertragsverhältnis verfahren werden soll, um den Datenschutz zu gewährleisten.
Dabei bestehen zwei Optionen:
- Physikalische Löschung beispielsweise durch Vernichtung von Dokumenten
- Rückgabe der Daten an den Verantwortlichen beispielsweise durch verschlüsselte Übertragung.
Ein AVV schafft somit Rechtssicherheit und regelt, dass beide Parteien ihre Pflichten aus der DSGVO erfüllen. Die genaue Ausgestaltung eines AVV hängt jedoch immer vom jeweiligen Einzelfall ab und muss die gesetzlichen Mindestanforderungen gemäß Artikel 28 DSGVO abdecken.
Rechtliche Konsequenzen ohne AV Vertrag
Das Resultat eines fehlenden AVV können erhebliche rechtliche Konsequenzen sein. Unternehmen, die es versäumen, einen AVV abzuschließen, setzen sich verschiedenen Risiken aus:
Bußgelder
Die DSGVO sieht bei Verstößen empfindliche finanzielle Strafen vor. Im Falle eines fehlenden AVV können Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes verhängt werden – je nachdem, welcher Betrag höher ist. Es ist wichtig zu betonen, dass die tatsächliche Höhe des Bußgeldes von der Schwere des Verstoßes abhängt. Ein Beispiel aus der Praxis zeigt, dass ein Hamburger Unternehmen für einen fehlenden AVV ein Bußgeld von 5.000 Euro auferlegt wurde.
Schadensersatz
Neben behördlichen Sanktionen können auch die von der Datenverarbeitung betroffenen Personen Schadensersatzansprüche geltend machen. Nachweislich begründete Schadensersatzansprüche gegen den Auftraggeber und den Auftragsverarbeiter sind möglich. Ohne einen gültigen AVV wird es für beide Parteien schwierig, ihre Unschuld zu beweisen und einer Haftung zu entgehen.
Abmahnungen und Gerichtsverfahren
Unternehmen, die die DSGVO nicht ernst nehmen, müssen zudem mit Abmahnungen von Wettbewerbern oder Verbraucherschutzorganisationen rechnen. Diese können zu kostspieligen Gerichtsverfahren führen, die nicht nur finanzielle Ressourcen binden, sondern auch den Ruf des Unternehmens schaden können.
Über die direkten rechtlichen Folgen hinaus können fehlende AVV auch zu Reputationsschäden und damit einhergehend Umsatzverlusten führen. Das Vertrauen der Kunden in den verantwortungsvollen Umgang mit ihren Daten ist ein wichtiger Faktor für den Geschäftserfolg.
Unternehmen sollten die Verpflichtung zum Abschluss einer AVV daher unbedingt ernst nehmen. Sowohl Auftraggeber als auch Auftragnehmer tragen hier Verantwortung und sollten proaktiv sicherstellen, dass alle erforderlichen Verträge ordnungsgemäß abgeschlossen und umgesetzt werden.
Praktische Umsetzung und Tipps
Nutzung von Musterverträgen
Es ist empfehlenswert, auf vorhandene Musterverträge zurückzugreifen, diese sollten jedoch unbedingt an die spezifische Situation des Unternehmens angepasst werden. Standardverträge bieten eine solide Grundlage, müssen aber individuell auf die konkreten Verarbeitungstätigkeiten und Anforderungen zugeschnitten werden.
Fokus auf technische und organisatorische Maßnahmen (TOMs)
Dabei ist besonderes Augenmerk auf die detaillierte Beschreibung der TOMs zu legen. Diese Maßnahmen sind von entscheidender Bedeutung für die Gewährleistung der Datensicherheit und müssen dem jeweiligen Risiko angemessen sein. Zu den relevanten Punkten gehören beispielsweise Zutrittskontrollsysteme, Verschlüsselungsmethoden und Prozesse zur Datensicherung, oder sogar eine Zertifizierung nach ISO 27001, wenn es sich um besonders schützenswerte Daten handelt.
Regelmäßige Überprüfung
Nach Abschluss von Auftragsverarbeitungsverträgen ist eine regelmäßige Überprüfung der Einhaltung der Vertragsbedingungen erforderlich. Dies kann durch eine Auditierung, Vor-Ort-Inspektionen oder die Anforderung von Nachweisen erfolgen. Die Ergebnisse dieser Kontrollen sind sorgfältig zu dokumentieren, da sie von den Aufsichtsbehörden überprüft werden können.
Aktualisierung der Verträge
Bitte beachten Sie, dass die Verträge der AV-Kunden nicht statische Dokumente sind und daher regelmäßig aktualisiert werden müssen. Sie sind bei Änderungen in der Datenverarbeitung oder bei gesetzlichen Neuerungen zu aktualisieren. Um stets DSGVO-konform zu bleiben, ist die Etablierung eines Prozesses zur regelmäßigen Überprüfung und Aktualisierung der Verträge empfehlenswert.
Die Beachtung dieser Hinweise gewährleistet nicht nur die rechtliche Korrektheit der AV-Verträge, sondern auch ihre effektive Umsetzung. Dies ist wesentlich für die Einhaltung der datenschutzrechtlichen Vorgaben und hilft, Bußgelder und Reputationsschäden zu vermeiden.
Fazit
Der Auftragsverarbeitungsvertrag ist ein wesentliches Element des Datenschutzmanagements. Seine Bedeutung für Unternehmen, die personenbezogene Daten durch Dritte verarbeiten lassen, kann nicht hoch genug eingeschätzt werden, insbesondere im Sinne der DSGVO.
Ein sorgfältig erstellter AVV bietet nicht nur die notwendige Rechtssicherheit im Umgang mit personenbezogenen Daten, sondern fungiert auch als vertrauensbildende Maßnahme. Er signalisiert Kunden, Geschäftspartnern und Aufsichtsbehörden, dass das Unternehmen die Datenschutzrechte ernst nimmt und proaktiv Maßnahmen zu deren Schutz ergreift.
Unternehmen sollten den AV-Vertrag nicht als lästige Pflicht, sondern als wichtigen Baustein ihrer gesamten Datenschutzstrategie betrachten. Er hilft dabei, Verantwortlichkeiten klar zu definieren, Prozesse zu strukturieren und potenzielle Risiken frühzeitig zu erkennen und zu minimieren.
Die Erstellung eines AVV ist kein einmaliger Vorgang. Vielmehr bedarf sie einer regelmäßige Überprüfung und gegebenenfalls Anpassung, um sicherzustellen, dass sie stets den aktuellen gesetzlichen Anforderungen und den sich ändernden Geschäftsprozessen entspricht.
Durch die detaillierte Festlegung von Pflichten und Verantwortlichkeiten trägt der AVV wesentlich zur Risikominimierung bei. Er schafft Klarheit in der Zusammenarbeit zwischen Auftraggeber und Auftragnehmer und reduziert das Potenzial für Datenschutzverletzungen und die damit verbundenen rechtlichen und finanziellen Konsequenzen.
Zusammenfassend lässt sich sagen, dass der Auftragsverarbeitungsvertrag ein unverzichtbares Instrument des Datenschutzmanagement darstellt. Seine sorgfältige Erstellung und kontinuierliche Pflege sind entscheidend, um den Anforderungen der DSGVO gerecht zu werden und eine vertrauensvolle Basis für die Verarbeitung personenbezogener Daten zu schaffen.
Antonio Morales
