Ein Auftragsverarbeitungsvertrag (AVV) ist bei der Weitergabe personenbezogener Daten an Dritte abzuschließen, wenn diese die Daten verarbeiten oder nutzen. Dabei sind klare Vorgaben durch die DSGVO zu beachten und festgelegt.
Warum einen AVV abschließen?
Der AVV regelt, dass der externe Vertragspartner die Daten, welche er auf Basis eine Dienstleistungs- oder Nutzungsvertrages erhält, niemals zu eigenen Zwecken verwenden darf. Vertragspartner agieren somit nur als verlängerter Arm des verantwortlichen Unternehmens. Auftragsverarbeitungsverträge ermöglichen also das Outsourcing und die Nutzung betriebsfremder IT-Prozesse.
Wenn also Beispielsweise das Unternehmen A (Auftraggeber) das externe Unternehmen B (Auftragnehmer) beauftragt personenbezogene Daten zu verarbeiten, dann ist dennoch der Auftraggeber Hauptverantwortlich für den Schutz der personenbezogenen Daten. Der Auftraggeber muss dieses daher auch beim Auftragnehmer sicherstellen.
Was regelt ein AVV?
Ein Auftragsverarbeitungsvertrag nach der DSGVO regelt die Rechte und Pflichten von Auftraggebern und ‑nehmern im Rahmen der Datenverarbeitung innerhalb eines bestimmten Prozesses. Wesentliche Element in einem AVV ist dabei:
- Vertragsgegenstand
- Art der personenbezogenen Daten
- Zweck der Erhebung und Weiterverarbeitung
- Dauer der Datenspeicherung und ‑verarbeitung
- Umfang der Weisungsbefugnisse gegenüber Auftragsverarbeiter
- Rechte und Pflichten des Auftragnehmers
- Rechte und Pflichten des Auftragsverarbeiters
- Löschung der Daten bei Auftragsende
- Möglichkeit, Informationen zu erhalten und Daten zu überprüfen
Ein wesentlicher Bestandteil ist die Regelung technischer und organisatorischer Maßnahmen, die sogenannten TOMs. Diese sind vom Auftragnehmer bei der Datenverarbeitung sicherzustellen und zur Datensicherheit einzuhalten. Zudem definiert der AVV die Verantwortlichkeiten der Parteien und sorgt für Klarheit bei einem Konflikt.
Wer ist Auftragsverarbeiter?
AV-Dienstleister können sehr vielfältig sein. Möglich sind natürliche Personen, juristische Personen, Behörden oder Körperschaften des öffentlichen Rechts. Typische Beispiele aus der Praxis sind:
- Web-Hoster
- Datenträgerentsorger
- Aktenvernichtung
- Werbe- oder Marketingagenturen
- Fernwartungsysteme
- E‑Mail- und Newsletter-Hoster
- Software as a Service-Dienstleister (Cloud-Computing)
- Tracking-Tools
- usw.
Haben externe Dienstleister die Möglichkeit auf personenbezogene Daten eines Unternehmens zuzugreifen so ist davon auszugehen, dass ein AVV notwendig ist. Dabei ist nicht entscheidend, ob der Dienstleister tatsächlich auf die relevanten Personendaten zugreift, um die Beauftragte Leistung zu erbringen.
Ausgenommen sind regelmäßig IT-Dienstleister, die sich nur um die Hardware und technische Verfahren des Unternehmens kümmern. Wenn der Zugriff auf personenbezogene Daten allerdings „nicht ausgeschlossen werden kann”, müssen Sie wahrscheinlich einen AVV mit Ihrem Dienstleister abschließen.
Wann ist ein Auftragsverarbeitungsauftrag nötig?
Wenn der Auftragnehmer eine Datenverarbeitung übernimmt, weil der Auftraggeber die Daten nicht selbst in der Form verarbeiten kann oder will. Dabei handelt der Auftragnehmer immer nur weisungsbefugt im Auftrag des Auftraggebers.
Wann ist kein Auftragsverarbeitungsvertrag nötig?
Einige Datenverarbeiter gelten als eigenständig Verantwortliche und sind bereits durch ihre besonderen gewerbespezifischen und berufsständischen Pflichten verpflichtet, personenbezogene Daten besonders zu schützen. Bei Inanspruchnahme dieser Leistungen ist daher kein AVV nötig. Hierzu gehören unter anderem:
- Wirtschaftsprüfer
- Steuerberater
- Banken und andere Kreditinstitute
- Rechtsanwälte und Notare
- Wirtschaftsprüfer
- Inkassobüros
- Postdienstleister
Gemeinsam verantwortlich
Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche nach Art 26 der DSGVO. Dieses unterscheidet sich daher von einem AVV.
Welche Pflichten haben Auftragsverarbeiter?
Die Pflichten der Datenverarbeiter im Rahmen einer Verarbeitung von Daten für Dritte sind in den Artikeln 28 bis 36 der Datenschutz-Grundverordnung geregelt. Danach sind Daten ausschließlich gemäß der vertraglich geregelten Weisung zu verarbeiten. Dabei ist die Vertraulichkeit zu wahren und die Verschwiegenheitspflicht einzuhalten. Zudem sind Verantwortliche bei der Einhaltung ihrer Pflichten und der Bearbeitung von Anträgen betroffener Nutzer zu unterstützen. Hierzu sind geeignete Maßnahmen zu ergreifen, um die Datensicherheit zu gewährleisten. Im Falle einer Datenschutzverletzung ist dieses ggf. der Aufsichtsbehörde und der:n betroffenen Person:en zu melden. Bei einer Datenverarbeitung mit hohem Risiko ist zudem eine Datenschutz-Folgenabschätzung durchführen.
Wenn der Auftragsverarbeitungsvertrag fehlt
Auftraggeber und Auftragnehmer haften für Vertragsbrüche (Art. 82 ff. DSGVO). Dabei sind Strafen von bis zu 10 Millionen Euro oder bis zu 2 Prozent des vergangenen Jahresumsatzes möglich (Art. 83 Abs. 4 DSGVO). Für massivere Verstöße, wie gegen die Grundsätze der Verarbeitung, die Bedingungen für die Einwilligung oder die Rechte der Nutzer, können sogar mit Strafen von bis zu 20 Millionen Euro bzw. 4 Prozent des Jahresumsatzes geahndet werden (Art. 83 Abs. 5 DSGVO).
Zusätzlich könnten Betroffene Schadensersatzansprüche einklagen, wenn ihre Daten nachweislich missbraucht und nicht ausreichend geschützt wurden.
Also lassen Sie sich gut beraten.
1 Kommentar