Muster: AV-Vertrag

Diese Frage stellen sich Unternehmer immer wieder. Die Antwort ist abhängig davon, wie die Beziehung zwischen Auftraggeber und Auftragnehmer aus datenschutzrechtlicher Sicht zu bewerten ist. 

Nach Art. 4 Nr. 8 DSGVO ist Auftragsverarbeiter diejenige Person oder Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Werden somit personenbezogene Daten im Auftrag eines Unternehmens (Auftraggeber) von einem weisungsabhängigen externen Dienstleister (Auftragnehmer) verarbeitet, muss der Auftraggeber als datenschutzrechtlich Verantwortlicher sicherstellen, dass er mit Dienstleistern zusammenarbeitet, die ein entsprechendes Datenschutzniveau aufweisen. Die datenschutzrechtliche Verantwortung für die Datenverarbeitung verbleibt nämlich beim Auftraggeber. Der externe Dienstleister ist nur unterstützend tätig und somit der „verlängerte Arm“ seines Auftraggebers.

Zu diesem Zweck ist zwischen Auftraggeber und Auftragnehmer ein Auftragsverarbeitungsvertrag (AVV) zu schließen.

Sie können unser Muster zum Auftragsverarbeitungsvertrags beispielsweise in folgenden Fällen verwenden:

• Extern beauftragtes Call-Center
• Marketing-Agentur die Kundendaten verarbeitet
• Newsletter-Dienstleister
• Marketing-Analyse-Anbieter
• Cloud-Computing-Anbieter
• Web- und E-Mail-Hoster
• Wartungen von IT-Systemen durch technische Dienstleister
• Werbeadressenverarbeitung in einem Lettershop

Keine Auftragsverarbeitung hingegen liegt vor bei:

• Rechtsanwälte
• Steuerberater
• Wirtschaftsprüfer

Diesen erbringen aufgrund ihres Berufsrechts eigenverantwortlich und somit weisungsunabhängig ihre Fachleistung.

In jedem Fall lohnt sich ein Blick in den ursprünglichen Hauptvertrag, den Sie mit Ihrem Dienstleister geschlossen haben. Dieser kann Aufschluss darüber geben, ob ein AV-Vertrag abgeschlossen werden muss oder nicht. Wenn Sie sich diesbezüglich unsicher sind, kann Ihnen Ihr Datenschutzbeauftragter weiterhelfen.

Die Antworten auf folgende Fragen, die selbstverständlich auch in unserem Mustervertrag berücksichtigt sind, müssen laut Art. 28 DSGVO in den AV-Vertrag aufgenommen werden:

• Wer ist der Verantwortliche für die Datenverarbeitung?

• Was ist der Gegenstand und die Dauer der Verarbeitung?

• Nach welcher Art erfolgt die Verarbeitung und zu welchem Zweck findet sie statt?

• Welcher Art sind die personenbezogenen Daten und Kategorien betroffener Personen?

• Welchen Umfang haben die Weisungsbefugnisse?

• Inwieweit hat der Auftragsverarbeiter eine Informationspflicht, falls eine Weisung gegen Datenschutzrecht verstößt?

• Welche Pflichten und Rechte hat der Verantwortliche?

Außerdem müssen folgende Informationen enthalten sein:

• ein Nachweis über die Durchführung technischer und organisatorischer Maßnahmen (TOM) durch den Auftragsverarbeiter

• eine Regelung bezüglich ausdrücklicher Zustimmung, allgemeiner Genehmigung oder Verbot zu dem Hinzuziehen von Subunternehmern

• ein Hinweis, dass Subunternehmern dieselben vertraglichen Pflichten auferlegt werden

• eine Regelung zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Beantwortung von Betroffenenanträgen nach Art. 12-22 DSGVO sowie dessen Pflichten aus Art. 32-36 DSGVO

• Löschung oder Herausgabe der Daten nach Wahl des Verantwortlichen nach Beendigung des Auftrags

• Informationen zum Nachweis der Einhaltung des Art. 28 DSGVO durch den Auftragsverarbeiter sowie Unterstützungspflicht bei Überprüfungen oder Vor-Ort-Kontrollen durch den Verantwortlichen

• Eine Regelung zur Verpflichtung der zur Verarbeitung befugten Personen auf die Vertraulichkeit

Unser AV-Vertrag-Muster unterstützt Sie bei der Erstellung eines Auftragsverarbeitungsvertrags auf Basis der DSGVO. Selbstverständlich müssen Sie dabei die Vorlage an den Einzelfall anpassen und korrekt ausfüllen. Es empfiehlt sich, hier einen Experten – wie beispielsweise Ihren (externen) Datenschutzbeauftragten – zu Rate zu ziehen, denn für einen juristisch korrekten AV-Vertrag ist es essentiell, diesen sorgfältig aufzusetzen.