Wozu braucht man den Auftragsverarbeitungsvertrag?

Datenverarbeitung durch externe Dienstleister vertraglich absichern.

✓ TÜV-geprüft und zertifiziert

✓ persönliche Beratung

✓ praxisorientierte DSGVO Umsetzung

Der Vertrag, der zur Auftragsverarbeitung notwendig ist

Sobald andere Unternehmen Zugriff auf die Daten Ihrer Kunden haben, befinden Sie sich (fast) immer im Bereich der Auftragsverarbeitung. Ist das der Fall, müssen Sie mit diesem Unternehmen einen AV-Vertrag abschließen.

Bevor es die DSGVO gab, war die Auftragsdatenverarbeitung in § 11 BDSG gesetzlich geregelt. Mittlerweile findet man die entsprechenden Vorgaben in Art. 28 DSGVO.

Seit den neuen Regelungen, die dank der DSGVO seit Mai 2018 gelten, sind viele Punkte im Bereich Datenschutz und AV neu festgelegt.

Was ist Auftragsverarbeitung?

Charakteristisch für die Auftragsverarbeitung ist, dass ein Unternehmen externe Dienstleister damit beauftragt, weisungsgebunden personenbezogene Daten zu verarbeiten.

Der Hauptverantwortliche für den Datenschutz ist daher immer der Auftraggeber, denn er hat die Verantwortung für die ordnungsgemäße Datenverarbeitung.

Ein externer Dienstleister unterstützt den Auftraggeber ausschließlich bei der Auftragsverarbeitung und ist somit quasi der „verlängerte Arm“.

Eine Auftragsverarbeitung besteht vor allem in den folgenden Fällen:

Ein Call-Center erhebt Daten bei den Kunden des Auftraggebers.

Ein externes Rechtszentrum wird damit beauftragt, die Lohn- und Gehaltsabrechnung durchzuführen.

Eine Marketing-Agentur verarbeitet Kundendaten, um Statistiken oder einen Newsletter zu erstellen.

Keine Auftragsverarbeitung liegt bei einer sogenannten Funktionsübertragung vor.

Jedoch ist die genaue Abgrenzung zwischen Auftragsverarbeitung und Funktionsübertagung bei vielen Dienstleistungen nicht immer eindeutig.

Ein externer Dienstleister ist im Rahmen einer Funktionsübertragung aber nicht weisungsgebunden, sondern kann frei entscheiden, was mit den Daten des Unternehmens geschieht.

Außerdem hat er ein eigenes Interesse an den Daten des Unternehmens.

Eine Funktionsübertragung liegt somit beispielsweise vor, wenn ein Dienstleister für seinen Auftraggeber Dienstfahrzeuge anmietet oder ein Inkassounternehmen die Forderung seines Auftraggebers durchsetzt.

Was sind typische Beispiele für die Auftragsverarbeitung in Unternehmen?

Vermutlich sind Sie selbst bereits vielfach mit der Auftragsverarbeitung in Kontakt gekommen. Sehr typische Beispiele, die für die meisten Unternehmen eine Rolle spielen sind:

Externe Callcenter oder Kundenservices

Betreiber von Eingabemasken (Formularen), die auf Ihrer Webseite eingebunden werden können

Externe Lohnhaltung

Verarbeitung von Werbeadressen in einem Lettershop

Hosting-Services

Cloudbasierte CRM-Tools

Software-as-a-Service-Lösung wie Newsletter- oder Buchhaltungstools

Externe Wartung von Servern und Computern

Akten- und Datenträgervernichtung durch externe Dienstleister

Sicherheitsdienste, die an der Pforte Besucher- und Anlieferdaten erheben

Agenturen für Marketing, Vertrieb oder Beratung, sofern diese Zugriff auf personenbezogene Daten von Mitarbeitern, Kunden, Nutzern oder anderen Kontaktaden des Unternehmens haben

Was ist ein AV-Vertrag?

Ein Auftragsverarbeitungsvertrag, kurz AV-Vertrag oder AVV, ist eine Vereinbarung zwischen zwei Unternehmen. Er wird dann benötigt, wenn personenbezogene Daten im Auftrag an Dritte zum Zweck der Verarbeitung weitergegeben werden.

Dies ist beispielsweise der Fall, wenn ein Unternehmen auf der Internetseite ein externes Newsletter-Tool nutzt. Dadurch ist der Webseitenbetreiber verpflichtet, einen AV-Vertrag abzuschließen.

Ein AVV muss auch dann abgeschlossen werden, wenn ein externer IT-Dienstleister Zugriff auf die EDV per Fernwartung hat.

Das heißt also, immer wenn ein Dritter im Auftrag Zugriff auf personenbezogene Daten bekommt, muss ein AV-Vertrag gemäß Art. 28 DSGVO geschlossen werden.

Wer ist ein möglicher Auftragsverarbeiter?

In den meisten Bereichen werden Dienstleister zu Datenverarbeitung eingesetzt.

Dabei kann es sich beispielsweise um natürliche Personen, juristische Personen, Behörden, Einrichtungen oder andere Stellen handeln.

Konkrete Beispiele für Auftragsverarbeiter sind:

IT-Dienstleister, Fernwartungssysteme

Software-as-a-Service Dienstleister, Cloud-Computing

Datenträgerentsorger

Web-Hoster

Einsatz von Tracking-Tools wie Google Analytics

Lettershops

Hinweis

Bekommt ein Dritter die Möglichkeit, auf Kundendaten oder sonstige personenbezogene Daten eines Unternehmens zuzugreifen, muss ein AV-Vertrag unterzeichnet werden.
Dabei ist es irrelevant, ob der Dritte tatsächlich auf die personenbezogenen Daten zugreift, um seine Leistung zu erbringen.

Welche Informationen muss ein Auftragsverarbeitungsvertrag enthalten?

In einem AVV müssen die wesentlichen Inhalte der Verarbeitung festgehalten werden.

Dazu zählen beispielsweise u. a. Gegenstand, Art und Zweck der Verarbeitung sowie die jeweiligen Rechte und Pflichten von Auftraggeber und Auftragnehmer.

Für die Erfüllung der Pflichten aus der DSGVO (Betroffenenrechte, Meldung von Datenpannen, etc.) ist nach wie vor der Auftraggeber zuständig.

Den Auftragsverarbeiter treffen diesbezüglich ausschließlich nur die Unterstützungspflichten.

Zum Schließen eines DSGVO-konformen AV-Vertrags, sind unter anderem folgende Aspekte gemäß Art. 28 Abs. 3 rechtlich festzulegen:

Gegenstand und Dauer der Verarbeitung

Art der personenbezogenen Daten

Pflichten und Rechte des Verantwortlichen

Umfang der Weisungsbefugnisse

Verpflichtung zur Verschwiegenheit

Mitwirkungspflichten/ Unterstützung durch den Auftragsnehmer

Rechtmäßige Hinzuziehung von Subunternehmen

Dauer des Auftrags

Schlussbestimmung

Art und Zweck der Verarbeitung

Kategorien betroffener Personen

Ergreifung von geeigneten TOM zum Schutz personenbezogener Daten

Pflichten und Rechte des Auftragsverarbeiters

Meldepflicht des Auftragnehmers

Wahrung der Betroffenenrechte

Kontrollbefugnisse

Bedingung mit Rückgabe oder Löschung der Daten des Auftragsverarbeiters

Konsequenzen bei einem fehlenden AV-Vertrag

Eine Auftragsverarbeitung ist laut der DSGVO zwingend erforderlich, wenn personenbezogene Daten durch Dritte verarbeitet werden.

Man muss sich also um einen AV-Vertrag kümmern, denn die Verpflichtung dafür trifft sowohl Auftragnehmer als auch Auftraggeber.

Werden AV-Verträge nicht ernst genommen und ignoriert, könne rechtliche Folgen drohen. Mögliche Konsequenzen währen hohe Bußgelder, Imageschäden und im schlimmsten Fall sogar damit einhergehende Umsatzverluste.

Bei einem Hamburger Unternehmen wurde das Bußgeld für einen fehlenden AV-Vertrag und damit auch dem Verstoß gegen Art. 28 Abs. 3 DSGVO auf 5.000 Euro durch den zuständigen Landesdatenschutzbeauftragten festgelegt. Doch das sind noch Geldsummen im unteren, niedrigen Bereich. Die Aufsichtsbehörden können nach dem BDSG Bußgelder bis zu 50.000 Euro, seit der DSGVO bis zu 20 Millionen Euro für einen fehlenden oder nicht vollständigen bzw. fehlerhaften AV-Vertrag verhängen.

Download:

Vorlage AV-Vertrag

Vorheriger Beitrag
Kurz erklärt: Recht auf Löschung
Nächster Beitrag
Risiken der Microsoft Cloud für den Datenschutz
Du musst angemeldet sein, um einen Kommentar abzugeben.
Menü
Beratung
Telefon
Beratung Pop-up
Datenschutzerklärung

Hiermit erteile ich meine Einwilligung, ein Angebot per Mail über die Dienstleistung von www.immerce-consulting.de zu erhalten. Dies kann ich jederzeit widerrufen.
Bitte beachten Sie unsere Datenschutzerklärung.

Telefon:

Öffnungszeiten:
Mo. - Fr.: 08:00 - 17:30 Uhr