Datenschutz-Nachrichten

Was ist ein „Auftragsverarbeitungsvertrag“?

Was ist ein „Auftragsverarbeitungsvertrag“?

Von Timo Schutt 15. Februar 2022

Was ein Auftragsverarbeiter ist, habe ich in meinem Glossar schon erklärt.

Aber was ist ein Auftragsverarbeitungsvertrag?

Einfach gesagt, ist der Auftragsverarbeitungsvertrag ein Vertrag, der die Datenverarbeitung im Auftrag regelt. Aber darauf wären Sie sicherlich auch alleine gekommen. Daher muss ich hier etwas weiter ausholen.

Zunächst: Eine Auftragsverarbeitung liegt in der Regel immer dann vor, wenn Sie Daten, die Sie erhoben haben (bspw. Kundendaten oder auch Beschäftigtendaten, Daten der Teilnehmer Ihrer Veranstaltung, Daten, die Sie in Ihrem CRM gespeichert haben, Daten, die Ihre Website (bzw. der Tracker darauf) erfasst hat oder, die in Ihrer App auflaufen usw.), von einem anderen verarbeiten lassen. Dabei ist es egal, zu welchem Zweck Sie das tun. Der Andere ist dann Ihr Auftragsverarbeiter. Sie sind Auftraggeber dieser Auftragsverarbeitung.

Typische Auftragsverarbeiter sind:

  • Der IT-Dienstleister, den Sie auf Ihren Server bzw. Ihre Systeme lassen,
  • der Cloud-Anbieter, der personenbezogene Daten von Ihnen bekommt (bspw., weil Sie diese dort speichern),
  • die Hosting-Firma für Ihre Webseite,
  • die Firma, die für Ihre Veranstaltung das Teilnehmermanagement übernimmt,
  • der Dienstleister, mit dem Sie Ihren Newsletter verschicken,
  • usw.

Grundsatz: Keine Auftragsverarbeitung ohne Vertrag

Wichtig ist erst einmal zu wissen, dass der Auftragsverarbeitungsvertrag (kurz auch „AVV“ genannt) keine freiwillige vertragliche Vereinbarung ist. Man kann sich also nicht für oder gegen den Abschluss entscheiden. Denn in Artikel 28 Absatz 3 DSGVO ist geregelt, dass im Falle einer Auftragsverarbeitung zwingend ein Vertrag geschlossen werden muss. Das ist dann eben der Auftragsverarbeitungsvertrag. Den Begriff „Auftragsverarbeitungsvertrag“ selbst gibt es in der DSGVO übrigens gar nicht.

Schauen wir uns den ersten Satz des Artikel 28 Absatz 3 DSGVO einmal an. Dort steht:

Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind.

Zwar steht hier nicht: Es muss ein Vertrag geschlossen werden. Aber genau das ist gemeint. Es wurden beriets Bußgelder durch die Datenschutzbehörden verhängt nur, weil kein solcher Vertrag geschlossen wurde.

Der Vertrag ist für beide Parteien wichtig!

Da ich immer mal wieder von meinen Mandanten und Kunden höre: Dafür ist doch der Auftragsverarbeiter zuständig. Wenn er sich nicht darum kümmert ist das sein Problem.

Aber: weit gefehlt. Denn der Auftragsverarbeitungsvertrag ist für beide Parteien wichtig. Denn beide verhalten sich DSGVO-widrig, wenn Daten ohne Vertrag im Auftrag verarbeitet werden. Daher lautet die Devise: Egal, auf welcher Seite Sie stehen, welche Rolle Sie also einnehmen (Auftraggeber oder Auftragnehmer): Sorgen Sei im eigenen Interesse dafür, dass der Ertrag geschlossen wird!

Achten Sie auf den richtigen Zeitpunkt!

Weiterer wichtiger Punkt: Der Vertrag muss schon geschlossen sein, bevor die ersten Daten fließen. Immer wieder erlebe ich, dass nachträglich noch am Vertrag herumverhandelt wird, obwohl die Datenverarbeitung, die er regeln soll, schon munter im Gange ist. Das ist natürlich unzulässig (siehe oben, was ich zum Bußgeld gesagt habe). Der erste Schritt muss also immer sein, den Vertrag zu schließen und erst im nächsten Schritt ist  mit der Datenverarbeitung, die er regelt, zu beginnen.

Der Inhalt ist wichtig

Besagter Artikel 28 Absatz 3 DSGVO regelt nicht nur, dass Sie einen Vertrag brauchen, sondern er regelt auch, was darin stehen muss. Schauen wir dazu mal auf Artikel 28 Absatz 3 Satz 2 DSGVO. Da steht:

Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter

  1. die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet;
  2. gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  3. alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;
  4. die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält;
  5. angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen;
  6. unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt;
  7. nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht;
  8. dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

Fehlt auch nur einer der genannten Punkte, dann ist Ihr AVV unvollständig. Und – Sie ahnen es sicher bereits – Sie verstoßen gegen die DSGVO. Das kann eben wiederum ein Bußgeld bedeuten.

Fazit

Sie haben öfter eine Auftragsverarbeitung, als Sie vielleicht meinen. Sie müssen alles diese Auftragsverarbeitungen durch einen Vertrag absichern. Der Vertrag muss vor Beginn der Datenverarbeitung geschlossen sein und er muss mindestens die Inhalte aufweisen, die Artikel 28 Absatz 3 Satz 2 DSGVO aufzählt.

Eigentlich unnötig darauf hinzuweisen, dass der Vertrag im Übrigen das beinhalten soll, dass für Sie sinnvoll und hilfreich ist. Und er muss individuell genau die Datenverarbeitung regeln und definieren, um die es geht.

Das heißt: Finger weg von der Copy-and-Paste-Falle. Es gibt viele Muster im Netz und fast ebenso viele sind nicht für Ihre Zwecke geeignet. Mit einem lückenhaften oder nicht zu „Ihrer“ Datenverarbeitung passenden Vertrag richten Sie unter Umständen mehr Schaden an, als es Ihnen nützt.

Ich kann Ihnen meine Auftragsverarbeitungsverträge wärmstens ans Herz legen. Ich habe ein e Fassung, die in Ihrer Rolle als Auftraggeber gut ist und eine Fassung, die in Ihrer Rolle als Auftragnehmer (also Auftragsverarbeiter) gut ist. Beide zusammen biete ich Ihnen zum Paketpreis an.

Holen Sie hier online ein Angebot für einen AVV ein!

Herzlichst Ihr

Timo Schutt
Fachanwalt für IT-Recht
Datenschutzbeauftragter