Skip to content Skip to footer

Auf­trags­ver­ar­bei­tungs­ver­trag (AVV)

Lese­dau­er 4 Minu­ten

Ein Auf­trags­ver­ar­bei­tungs­ver­trag (AVV) ist bei der Wei­ter­ga­be per­so­nen­be­zo­ge­ner Daten an Drit­te abzu­schlie­ßen, wenn die­se die Daten ver­ar­bei­ten oder nut­zen. Dabei sind kla­re Vor­ga­ben durch die DSGVO zu beach­ten und festgelegt.

War­um einen AVV abschließen?

Der AVV regelt, dass der exter­ne Ver­trags­part­ner die Daten, wel­che er auf Basis eine Dienst­leis­tungs- oder Nut­zungs­ver­tra­ges erhält, nie­mals zu eige­nen Zwe­cken ver­wen­den darf. Ver­trags­part­ner agie­ren somit nur als ver­län­ger­ter Arm des ver­ant­wort­li­chen Unter­neh­mens. Auf­trags­ver­ar­bei­tungs­ver­trä­ge ermög­li­chen also das Out­sour­cing und die Nut­zung betriebs­frem­der IT-Prozesse.

Wenn also Bei­spiels­wei­se das Unter­neh­men A (Auf­trag­ge­ber) das exter­ne Unter­neh­men B (Auf­trag­neh­mer) beauf­tragt per­so­nen­be­zo­ge­ne Daten zu ver­ar­bei­ten, dann ist den­noch der Auf­trag­ge­ber Haupt­ver­ant­wort­lich für den Schutz der per­so­nen­be­zo­ge­nen Daten. Der Auf­trag­ge­ber muss die­ses daher auch beim Auf­trag­neh­mer sicherstellen.

Was regelt ein AVV?

Ein Auf­trags­ver­ar­bei­tungs­ver­trag nach der DSGVO regelt die Rech­te und Pflich­ten von Auf­trag­ge­bern und ‑neh­mern im Rah­men der Daten­ver­ar­bei­tung inner­halb eines bestimm­ten Pro­zes­ses. Wesent­li­che Ele­ment in einem AVV ist dabei:

  • Ver­trags­ge­gen­stand
  • Art der per­so­nen­be­zo­ge­nen Daten
  • Zweck der Erhe­bung und Weiterverarbeitung
  • Dau­er der Daten­spei­che­rung und ‑ver­ar­bei­tung
  • Umfang der Wei­sungs­be­fug­nis­se gegen­über Auftragsverarbeiter
  • Rech­te und Pflich­ten des Auftragnehmers
  • Rech­te und Pflich­ten des Auftragsverarbeiters
  • Löschung der Daten bei Auftragsende
  • Mög­lich­keit, Infor­ma­tio­nen zu erhal­ten und Daten zu überprüfen

Ein wesent­li­cher Bestand­teil ist die Rege­lung tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men, die soge­nann­ten TOMs. Die­se sind vom Auf­trag­neh­mer bei der Daten­ver­ar­bei­tung sicher­zu­stel­len und zur Daten­si­cher­heit ein­zu­hal­ten. Zudem defi­niert der AVV die Ver­ant­wort­lich­kei­ten der Par­tei­en und sorgt für Klar­heit bei einem Konflikt.

Wer ist Auftragsverarbeiter?

AV-Dienst­leis­ter kön­nen sehr viel­fäl­tig sein. Mög­lich sind natür­li­che Per­so­nen, juris­ti­sche Per­so­nen, Behör­den oder Kör­per­schaf­ten des öffent­li­chen Rechts. Typi­sche Bei­spie­le aus der Pra­xis sind:

  • Web-Hos­ter
  • Daten­trä­ger­ent­sor­ger
  • Akten­ver­nich­tung
  • Wer­be- oder Marketingagenturen
  • Fern­war­tung­s­ys­te­me
  • E‑Mail- und Newsletter-Hoster
  • Soft­ware as a Ser­vice-Dienst­leis­ter (Cloud-Com­pu­ting)
  • Track­ing-Tools
  • usw.

Haben exter­ne Dienst­leis­ter die Mög­lich­keit auf per­so­nen­be­zo­ge­ne Daten eines Unter­neh­mens zuzu­grei­fen so ist davon aus­zu­ge­hen, dass ein AVV not­wen­dig ist. Dabei ist nicht ent­schei­dend, ob der Dienst­leis­ter tat­säch­lich auf die rele­van­ten Per­so­nen­da­ten zugreift, um die Beauf­trag­te Leis­tung zu erbringen.

Aus­ge­nom­men sind regel­mä­ßig IT-Dienst­leis­ter, die sich nur um die Hard­ware und tech­ni­sche Ver­fah­ren des Unter­neh­mens küm­mern. Wenn der Zugriff auf per­so­nen­be­zo­ge­ne Daten aller­dings „nicht aus­ge­schlos­sen wer­den kann”, müs­sen Sie wahr­schein­lich einen AVV mit Ihrem Dienst­leis­ter abschließen.

Wann ist ein Auf­trags­ver­ar­bei­tungs­auf­trag nötig?

Wenn der Auf­trag­neh­mer eine Daten­ver­ar­bei­tung über­nimmt, weil der Auf­trag­ge­ber die Daten nicht selbst in der Form ver­ar­bei­ten kann oder will. Dabei han­delt der Auf­trag­neh­mer immer nur wei­sungs­be­fugt im Auf­trag des Auftraggebers.

Wann ist kein Auf­trags­ver­ar­bei­tungs­ver­trag nötig?

Eini­ge Daten­ver­ar­bei­ter gel­ten als eigen­stän­dig Ver­ant­wort­li­che und sind bereits durch ihre beson­de­ren gewer­be­spe­zi­fi­schen und berufs­stän­di­schen Pflich­ten ver­pflich­tet, per­so­nen­be­zo­ge­ne Daten beson­ders zu schüt­zen. Bei Inan­spruch­nah­me die­ser Leis­tun­gen ist daher kein AVV nötig. Hier­zu gehö­ren unter anderem:

  • Wirt­schafts­prü­fer
  • Steu­er­be­ra­ter
  • Ban­ken und ande­re Kreditinstitute
  • Rechts­an­wäl­te und Notare
  • Wirt­schafts­prü­fer
  • Inkas­so­bü­ros
  • Post­dienst­leis­ter

Gemein­sam verantwortlich

Legen zwei oder mehr Ver­ant­wort­li­che gemein­sam die Zwe­cke der und die Mit­tel zur Ver­ar­bei­tung fest, so sind sie gemein­sam Ver­ant­wort­li­che nach Art 26 der DSGVO. Die­ses unter­schei­det sich daher von einem AVV.

Wel­che Pflich­ten haben Auftragsverarbeiter?

Die Pflich­ten der Daten­ver­ar­bei­ter im Rah­men einer Ver­ar­bei­tung von Daten für Drit­te sind in den Arti­keln 28 bis 36 der Daten­schutz-Grund­ver­ord­nung gere­gelt. Danach sind Daten aus­schließ­lich gemäß der ver­trag­lich gere­gel­ten Wei­sung zu ver­ar­bei­ten. Dabei ist die Ver­trau­lich­keit zu wah­ren und die Ver­schwie­gen­heits­pflicht ein­zu­hal­ten. Zudem sind Ver­ant­wort­li­che bei der Ein­hal­tung ihrer Pflich­ten und der Bear­bei­tung von Anträ­gen betrof­fe­ner Nut­zer zu unter­stüt­zen. Hier­zu sind geeig­ne­te Maß­nah­men zu ergrei­fen, um die Daten­si­cher­heit zu gewähr­leis­ten. Im Fal­le einer Daten­schutz­ver­let­zung ist die­ses ggf. der Auf­sichts­be­hör­de und der:n betrof­fe­nen Person:en zu mel­den. Bei einer Daten­ver­ar­bei­tung mit hohem Risi­ko ist zudem eine Daten­schutz-Fol­gen­ab­schät­zung durchführen.

Wenn der Auf­trags­ver­ar­bei­tungs­ver­trag fehlt

Auf­trag­ge­ber und Auf­trag­neh­mer haf­ten für Ver­trags­brü­che (Art. 82 ff. DSGVO). Dabei sind Stra­fen von bis zu 10 Mil­lio­nen Euro oder bis zu 2 Pro­zent des ver­gan­ge­nen Jah­res­um­sat­zes mög­lich (Art. 83 Abs. 4 DSGVO). Für mas­si­ve­re Ver­stö­ße, wie gegen die Grund­sät­ze der Ver­ar­bei­tung, die Bedin­gun­gen für die Ein­wil­li­gung oder die Rech­te der Nut­zer, kön­nen sogar mit Stra­fen von bis zu 20 Mil­lio­nen Euro bzw. 4 Pro­zent des Jah­res­um­sat­zes geahn­det wer­den (Art. 83 Abs. 5 DSGVO).

Zusätz­lich könn­ten Betrof­fe­ne Scha­dens­er­satz­an­sprü­che ein­kla­gen, wenn ihre Daten nach­weis­lich miss­braucht und nicht aus­rei­chend geschützt wurden.

Also las­sen Sie sich gut beraten.

Kommentar

Nach oben