Wenn Daten im Auftrag und unter Weisung eines Unternehmens von externen Dienstleistern verarbeitet werden, müssen Auftraggeber und Auftragnehmer einen gesonderten Vertrag abschließen, der die Vorgaben bei der Verarbeitung von personenbezogenen Daten umsetzt. Was im Rahmen des alten Bundesdatenschutzgesetzes (BDSG-alt) noch als Auftragsdatenverarbeitungsvertrag oder ADV-Vertrag bekannt war, wird in der Datenschutzgrundverordnung (DSGVO) durch den Auftragsverarbeitungsvertrag – kurz AV-Vertrag – ersetzt. Hierbei handelt es sich um einen Vertrag, den jedes Unternehmen abschließen muss, das personenbezogene Daten von einem anderen Anbieter oder Dienstleister verarbeiten lässt.
Was ist eine Auftragsverarbeitung (AV), ehemals Auftragsdatenverarbeitung?
Die Definition einer Auftragsverarbeitung ist nach Art. 28 Abs. 1 DSGVO das Verarbeiten personenbezogener Daten durch einen Dienstleister, den Auftragsverarbeiter, im Auftrag eines Verantwortlichen. Unter Verarbeiten versteht man dabei gem. Art. 4 Nr. 2 DSGVO unter anderem das Erheben, Erfassen, Ändern oder Speichern von personenbezogenen Daten. Der Auftragsverarbeiter handelt dabei gemäß den Weisungen des Verantwortlichen. Typische Anwendungen sind beispielsweise die Abwicklung der Lohnabrechnung über einen externen Dienstleister sowie ein Callcenter.
Der Auftragsdatenverarbeitungsvertrag nach alter und neuer Rechtslage
§ 28 EU-DSGVO spricht von dem für den Auftrag Verantwortlichen und dem Auftragsverarbeiter. Nach wie vor ist ein Vertrag zwischen beiden Parteien notwendig, dieser kann nicht nur wie nach der alten Rechtslage schriftlich abgeschlossen werden, sondern auch in einem elektronischen Format vorliegen. Weiterhin darf der Auftragsverarbeiter wie bisher nur auf Weisung des für den Auftrag Verantwortlichen tätig werden. Neu eingeführt wird mit der EU-Datenschutzrundverordnung die Möglichkeit, die Datenverarbeitung auch einem Dienstleister außerhalb der EU zu übertragen. Im Unterschied zur alten Rechtslage muss der Auftragsverarbeiter zukünftig selbst ein Verzeichnis über die Auftragsverarbeitungstätigkeiten führen.
Welche Bedeutung hat der AV-Vertrag für mein Unternehmen?
Die inhaltlichen Anforderungen an einen Auftragsverarbeitungsvertrag ergeben sich aus Art. 28 Abs. 3 DSGVO. Durch einen AV-Vertrag wird sowohl auf Auftraggeber, als auch auf Auftragnehmerseite Klarheit geschaffen, indem entsprechende Befugnisse und Weisungen, sowie Gegenstand und Zweck der Verarbeitung, geregelt werden. Rechte und Pflichten der jeweiligen Auftragsverarbeitung werden eindeutig festgelegt.
Außerdem können AV-Verträge Unternehmen eine gewisse Sicherheit geben, da im Falle eines vom Auftragsverarbeiter begangenen Datenschutzverstoßes nachgewiesen werden kann, dass die Verantwortung in seinem Aufgabenbereich lag. Allerdings ist hier Vorsicht geboten: Auch bei einer Auftragsverarbeitung bleibt der Auftraggeber der Verantwortliche im Sinne der DSGVO!
Abgrenzung zu anderen Fallgestaltungen
Abzugrenzen ist die Auftragsverarbeitung von der gemeinsamen Verantwortlichkeit („Joint Controllership“) nach Art. 26 DSGVO und der bloßen Übermittlung personenbezogener Daten an einen Verantwortlichen.
Erfolgt eine bloße Übermittlung von personenbezogenen Daten von einem Verantwortlichen zum anderen, ist hierfür keine gesonderte Vereinbarung erforderlich. Es bedarf aber eines Erlaubnistatbestandes für die Übermittlung sowie für die Verarbeitung der Daten beim anderen Verantwortlichen.
Legen hingegen zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten fest, so sind sie gemeinsame Verantwortliche und müssen untereinander vereinbaren, wer welcher Pflicht aus der Datenschutz-Grundverordnung nachkommt. Bei Vorliegen einer gemeinsamen Verantwortlichkeit ist eine entsprechende „Vereinbarung zur gemeinsamen Verantwortlichkeit“ nach Art. 26 DSGVO zu schließen.
Als Hilfe bei der Abgrenzung zur Auftragsverarbeitung kann man sich beispielsweise folgende Frage stellen: Lässt sich der angestrebte Zweck der Datenverarbeitung auch ohne den Dritten verfolgen? Wenn Sie die Frage mit einem Ja beantworten und somit der Dritte problemlos austauschbar ist, ist das ein Indiz für eine Auftragsverarbeitung. Beantworten Sie die Frage mit einem Nein, spricht dies für eine gemeinsame Verantwortlichkeit. Auch hier bedarf es eines Erlaubnistatbestandes für die Verarbeitung der Daten beim anderen Verantwortlichen.
In der Praxis: Wer braucht einen Auftragsverarbeitungsvertrag?
Leider ist hier eine allgemeingültige Antwort schwierig. Der Auftragnehmer im Rahmen einer Auftragsverarbeitung gilt im Sinne der DSGVO nicht als Dritter, sondern sozusagen als verlängerter Arm des Auftraggebers. Darum ist keine weitere Rechtsgrundlage für die Verarbeitung des Auftragsverarbeiter notwendig außer, diejenige, auf die Sie Ihre Verarbeitung der personenbezogenen Daten stützen. Anders verhält es sich, wenn Sie Daten an Dritte im Sinne der DSGVO weitergeben wollen.
Bei der Beantwortung der Frage, ob es sich um eine Auftragsverarbeitung handelt und somit ein AV-Vertrag geschlossen werden muss, spielt v.a. die Weisungsgebundenheit eine Rolle. Je weisungsgebundener ein Dienstleister ist, desto größer ist die Wahrscheinlichkeit, dass Sie Verantwortlicher im Sinne der DSGVO bleiben und einen Auftragsverarbeitungsvertrag schließen müssen. Auch für die Verwendung von Programmen wie Google Analytics ist ein AV-Vertrag notwendig, da auch hier eine Weitergabe von Daten stattfindet.
Die Dienste von Steuerberatern, Rechtsanwälten, externen Betriebsärzten, Wirtschaftsprüfern, Inkassobüros mit Forderungsübertragung, Bankinstituten und Postdiensten gelten übrigens nicht als Auftragsverarbeitung, sondern als fremde Fachleistung. Somit liegt die Verantwortung für den Schutz der von Ihnen weitergeleiteten personenbezogenen Daten in diesen Fällen beim Dienstleister.
Was sind wichtige Bestandteile eines AV-Vertrages?
Um Auftragsverarbeitungsverträge DSGVO-konform abzuschließen, sind folgende Aspekte gemäß Art. 28 Abs. 3 DSGVO vertraglich zu regeln:
Gegenstand und Dauer der Verarbeitung
Art und Zweck der Verarbeitung
Art der personenbezogenen Daten
Kategorien betroffener Personen
Rechte und Pflichten des Verantwortlichen
Umfang der Weisungsbefugnisse
Verpflichtung zur Vertraulichkeit der zur Verarbeitung befugten Person
Sicherstellung von technischen und organisatorischen Maßnahmen durch den Auftragsverarbeiter
Anforderungen an die Hinzuziehung von Subunternehmern
Unterstützung des Verantwortlichen bei Anfragen und Ansprüchen Betroffener
Unterstützung des Verantwortlichen bei der Sicherheit der Verarbeitung
Unterstützung des Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen und der Datenschutz-Folgenabschätzung
Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
Pflicht des Auftragsverarbeiters, den Verantwortlichen unverzüglich zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt
Regelung wie der Nachweis der Einhaltung der genannten Pflichten erfolgt
Verantwortlichkeit und Haftung beim Auftragsverarbeitungsvertrag
Im Unterschied zum alten Auftragsdatenverarbeitungsvertrag haften nach der neuen Rechtslage der Auftragsverarbeiter und der Verantwortliche für den Auftrag gemeinsam bei Verstößen gegen datenschutzrechtliche Vorschriften. Dabei beschränkt sich allerdings die Haftung des Auftragsverarbeiters auf mögliche Verstöße gegen Weisungen des für den Auftrag Verantwortlichen. Nach wie vor können sich beide Parteien exkulpieren. Der für den Auftrag Verantwortliche bleibt der erste Ansprechpartner, wenn Betroffene Datenschutz Verstöße rügen und angreifen.
Verantwortlichkeit und Haftung beim Auftragsverarbeitungsvertrag
Im Unterschied zum alten Auftragsdatenverarbeitungsvertrag haften nach der neuen Rechtslage der Auftragsverarbeiter und der Verantwortliche für den Auftrag gemeinsam bei Verstößen gegen datenschutzrechtliche Vorschriften. Dabei beschränkt sich allerdings die Haftung des Auftragsverarbeiters auf mögliche Verstöße gegen Weisungen des für den Auftrag Verantwortlichen. Nach wie vor können sich beide Parteien exkulpieren. Der für den Auftrag Verantwortliche bleibt der erste Ansprechpartner, wenn Betroffene Datenschutz Verstöße rügen und angreifen.
Unsere Leistungspakete für den externen Datenschutzbeauftragten und die Datenschutzsoftware Proliance 360
Wählen Sie das für Sie passende Leistungspaket - von der kostenbewussten Basisabsicherung bis hin zur individuellen Premiumberatung unserer zertifizierten Datenschutzexperten. Die Basis unseres Angebots ist dabei stets die innovative Datenschutzplattform Proliance 360.
Wie unterstützt datenschutzexperte.de im Hinblick auf Auftragsverarbeitungsverträge?
Die DSGVO sieht bei Fremdverarbeitungen personenbezogener Daten vor, dass der Datenschutz, der vom Auftraggeber vorgegeben wird, von der Drittpartei eingehalten werden muss. Dazu bedarf es in den meisten Fällen eines Auftragsverarbeitungsvertrages. Mit unserer Datenschutzsoftware Proliance 360 wird das Datenschutzmanagement und die Erstellung sowie Verwaltung von AV-Verträgen einfach und verständlich: Sie finden hier Hilfestellungen und einen Leitfaden zum Thema sowie eine Muster-Vorlage eines AV-Vertrages. Fertige AV-Verträge können anschließend in der Software übersichtlich und jederzeit griffbereit abgelegt werden.
Die Software führt Anwender durch die angegebenen Fremdverarbeitungen, welche Sie von Dritten für Sie erledigen lassen. Um dies herauszufinden, werden Sie durch die verschiedenen Unternehmensbereiche geführt, bei denen Sie mit Drittparteien arbeiten. Für jeden Dritten, den Sie im Unternehmensalltag hinzuziehen (vom E-Mail-Verarbeiter bis zur Werbeagentur), wird ein Assessment durchgeführt, um festzustellen, wie diese Drittpartei datenschutzkonform in den Unternehmensalltag eingebunden werden soll. Die Software stellt Ihnen dabei neben den automatisierten Prozessen folgende Hilfestellungen zur Verfügung:
Schaubild AV-Vertrag
Leitfaden AV-Vertrag
AV-Vertrag Muster
Zudem besteht die Möglichkeit, dass Sie sich auch von einem unserer Datenschutzexperten beraten lassen. Damit Auftragsverarbeitungen nach geltendem Datenschutzrecht vertraglich korrekt dokumentiert werden, unterstützt datenschutzexperte.de Ihr Unternehmen bei der Schließung von Verträgen mit Dienstleistern. Unsere Datenschutz-Beratung erfolgt grundsätzlich im Rahmen einzelner, telefonischer Beratungsgespräche. Gerne überprüfen wir Ihre individuellen Verträge, bevor Sie diese mit Ihren Auftragnehmern abschließen. Somit sind Sie datenschutzrechtlich immer auf der sicheren Seite.
Je nach gebuchten Leistungspaket ist eine unterschiedliche Anzahl von Beratungsstunden pro Jahr bereits inklusive (beispielsweise 5 Beratungsstunden im Medium-Paket). Sollten Sie darüber hinaus zusätzliche Beratungsstunden benötigen, können diese zu einem Stundensatz von 160 Euro (Abrechnung per 15 Minuten) beauftragt oder durch hinzubuchbare Stundenpakete abgerufen werden. Unabhängig von Ihrem gebuchten Leistungspaket können Sie eines der folgenden Stundenpakete buchen:
5 Beratungsstunden: 700 Euro (140 Euro pro Stunde statt 160 Euro pro Stunde)
10 Beratungsstunden: 1300 Euro (130 Euro pro Stunde statt 160 Euro pro Stunde)
Unsere Leistungen im Überblick
Mit unserer Datenschutzsoftware Proliance 360 helfen wir Ihnen, Ihren Unternehmens-Datenschutz systematisch Schritt für Schritt umzusetzen. So stellen Sie Ihr Unternehmen sicher für den Datenschutz auf!
Die Schritte der Software Proliance 360 auf dem Weg zur Datenschutzkonformität umfassen dabei: