Auftragsverarbeitungsvertrag – alle Informationen & Hinweise

Benötigt wird der Auftragsverarbeitungsvertrag, kurz AVV, wenn ein Auftrag an weisungsabhängige Dritte erteilt wird, die personenbezogene Daten erhalten, weiterverarbeiten oder nutzen. Sobald ein Unternehmen also einen Dienstleister beauftragt, um eine Verarbeitung personenbezogener Daten vorzunehmen, ist der Abschluss eines Auftragsverarbeitungsvertrages zwingend notwendig. Voraussetzung ist dabei, dass der Dienstleister weisungsgebunden ist. Die konkreten rechtlichen Anforderungen an den AVV sind in Art. 28 DSGVO geregelt. Der Zweck durch die in der Datenschutzgrundverordnung festgelegten Regelungen für den AVV besteht darin, die Datensicherheit und den Datenschutz der von der Datenweitergabe Betroffenen zu stärken und damit zu schützen. Sie fungieren als Korrektiv für die Tatsache, dass es Unternehmen generell erlaubt ist, Daten im Rahmen der gesetzlichen Regelungen an Auftragsverarbeiter weiterzugeben.

Inhaltsverzeichnis

Was ist ein Auftragsverarbeitungsvertrag?

Bei dem Auftragsverarbeitungsvertrag handelt es sich um einen Vertrag, der zwischen Auftraggeber und Auftragnehmer geschlossen wird. Dabei ist der Auftraggeber in den meisten Fällen ein verantwortliches Unternehmen im Sinne des Art. 4 Nr. 7 DSGVO und der Auftragnehmer (bzw. Auftragsverarbeiter) ein weisungsgebundener Dienstleister. Bei den Auftragnehmern kann es sich zum Beispiel um Marketingagenturen, externe Buchhaltungen oder externe Call-Center handeln, die personenbezogene Daten erhalten, verarbeiten oder nutzen, um den jeweiligen Auftrag zu erfüllen.

Wichtig zu erwähnen ist an dieser Stelle, dass dem beauftragten Dienstleister, der die personenbezogenen Daten im Rahmen des AVV erhält, eine Verwendung zu eigenen Zwecken untersagt ist, da er im Auftrag des Unternehmens agiert. Das auftraggebende Unternehmen trifft weiterhin die rechtliche Verantwortung für den Umgang mit den personenbezogenen Daten. Demnach ist es notwendig, dass der Auftragnehmer sorgfältig ausgewählt und überprüft wird, auch anhand seiner technischen und organisatorischen Maßnahmen (TOM).

Erforderliche Inhalte des Auftragsverarbeitungsvertrages

Die wesentlichen Rechte und Pflichten der Vertragsparteien sind in Artikel 28 DSGVO geregelt. Demnach gilt es, die Mindestanforderungen an die Bestandteile des Vertrages zu erfüllen und eine individuelle Anpassung an den jeweiligen Dienstleister und seine Tätigkeit vorzunehmen. So müssen in jedem Auftragsverarbeitungsvertrag mindestens die folgende Inhalte behandelt werden:

Vertragsparteien

Gegenstand und Dauer der Verarbeitung

Art der personenbezogenen Daten

Erhebungszweck

Zweck der Weiterverarbeitung

Umfang der Weisungsbefugnisse

Rechte und Pflichten des Auftragnehmers bzw. Auftragsverarbeiters

Rechte und Pflichten des Auftragsgebers

Löschung oder Rückgabe der Daten bei Auftragsende

Option, Informationen zur Datenprüfung zu erhalten

Option, Informationen zur Datenprüfung zu erhalten

Beispiele für auftragsverarbeitende Dienstleister

Zu den Auftragsverarbeitern zählen neben natürlichen und juristischen Personen auch Körperschaften des öffentlichen Rechts sowie Behörden. Zu den typischen Beispielen weisungsgebundener Dritte, die eine Auftragsverarbeitung personenbezogener Daten vornehmen, zählen:

Software-as-a-Service-Lösungen

Externe Buchhaltung oder Lohnbüros

Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z.B. Betreuung von Kontaktformularen oder Nutzeranfragen)

Entsorger von Datenträgern & Akten

Customer-Relationship-Management-Tools (cloudbasiert)

Externe (telefonische) Kundenservices

Druckereien (bei Weitergabe von Adressdaten)

Marketing- und Vertriebsagenturen, wenn diese auf personenbezogene Daten von Mitarbeitern, Kunden, Lieferanten, Usern zugreifen können

Server- und Computerwartung durch externe Dienstleister

Sicherheitsdienste (z. B. bei Besuchererhebung durch Pförtner)

Haben Sie noch Fragen zum Datenschutz?

Johannes Schwiegk, Volljurist

Melden Sie sich gerne bei mir. Gemeinsam besprechen wir Ihre Fragen und Anforderungen und finden eine Lösung für den Datenschutz in Ihrem Unternehmen.

Wird ein Auftragsverarbeitungsvertrag benötigt oder nicht?

Wenn Sie als Unternehmen unschlüssig sind, ob der Abschluss eines Auftragsverarbeitungsvertrages notwendig ist oder nicht, ist ein elementarer Punkt zu berücksichtigen: die Weisungsgebundenheit. Die Notwendigkeit für einen AVV entfällt dann, wenn der Dienstleister freie Entscheidungen treffen kann und nicht den Weisungen Ihres Unternehmens unterliegt. In diesem Fall wäre ein Vertrag zur Auftragsverarbeitung allein deshalb schon nicht ratsam, da Sie als auftraggebendes Unternehmen sonst weiterhin für den Umgang mit den personenbezogenen Daten haften. Deshalb ist es sinnvoll, im Einzelfall genau zu prüfen, ob der Abschluss eines AVV sinnvoll und erforderlich ist oder nicht.

Tipp:

Wenn Sie sich unsicher sind, ob der Auftragsverarbeitungsvertrag in Ihrem Fall notwendig ist oder Ihr Unternehmen Hilfe bei der Vertragserstellung benötigt, dann nehmen Sie gerne Kontakt über unser Formular zu uns auf. Unsere Experten beantworten Ihnen darüber hinaus auch alle Fragen rund um das Thema Datenschutz.

Fälle, in denen kein Auftragsverarbeitungsvertrag notwendig ist

Neben Auftragnehmern, die der Weisung eines Unternehmens unterliegen, gibt es auch zahlreiche Dienstleister, die ihre Leistung eigenverantwortlich erbringen. In genau diesen Fällen ist der Abschluss eines AVV daher nicht notwendig. Zu den besagten Dienstleistern zählen zum Beispiel:

Rechtsanwälte

Notare

Banken & weitere Kreditinstitute

Inkassobüros

Betriebsärzte

Postdienste

Steuerberater

Wirtschaftsprüfer

Konsequenzen bei Datenschutzverstößen im Rahmen der Auftragsverarbeitung

Nach Art. 82 Abs. 2 DSGVO gilt für Auftraggeber und Auftragsverarbeiter eine gemeinsame Haftung nach außen, gegenüber den betroffenen Personen. Dies ist zumindest dann der Fall, wenn der Auftragsverarbeiter seine Pflichten verletzt hat. Im Anschluss daran wird im Innenverhältnis geklärt, wer tatsächlich die Verantwortung für den Schaden trägt und für die entstandenen Kosten aufkommen muss. Geregelt wird dies in Art. 82 DSGVO. Abhängig davon, welche Vertragsstrafe in dem AVV selbst festgelegt worden ist, kann daneben auch ein Bußgeld wegen mangelhaftem oder fehlendem AVV durch Aufsichtsbehörden verhangen werden. Dieses kann gemäß Art. 83 Abs. 4 a) DSGVO bis zu 2 % des Jahresumsatzes betragen.

Häufige Fragen zum Auftragsverarbeitungsvertrag

Ein AVV kommt infrage, wenn sensible personenbezogene Daten in einem Auftrag an Dritte weitergegeben und diese verarbeitet werden. Solch ein AVV ist für Kunden nicht sichtbar, da dieser im Hintergrund zwischen einem Unternehmen und Auftragnehmern abgeschlossen wird.

Auftragsverarbeiter können natürliche oder juristische Personen, Behörden oder Mitglieder des öffentlichen Rechts sein. Dazu gehören beispielsweise Lohnbüros, Werbe- und Marketingagenturen, Web-Hoster oder aber auch Google Analytics und ähnliche Tracking-Tools.

Im Rahmen einer Verarbeitung von Daten für Dritte sind die Pflichten für den Auftragsverarbeiter in Artikel 28 bis 36 der Datenschutzgrundverordnung (DSGVO) geregelt. So dürfen Daten ausschließlich aufgrund vertraglicher Weisung verarbeitet werden. Dabei muss u. a. die Vertraulichkeit und die Verschwiegenheitspflichteingehalten werden. Ebenso müssen geeignete Maßnahmen ergriffen werden, um die Datensicherheit zu gewähren. Sollte eine Datenschutzverletzung vorliegen, muss der Auftragsverarbeiter dies der Aufsichtsbehörde und der betroffenen Person unverzüglich melden.

Standort Wuppertal

Friedrich-Engels-Allee 200
42285 Wuppertal
Telefon: 0202 9479 4940
E-Mail: kontakt@datenzeit.de

Standort Essen

Katernberger Str. 107
45327 Essen
Telefon: 0201 6950 6020
E-Mail: kontakt@datenzeit.de