Auftragsverarbeitungsvertrag

Wann brauche ich einen Auftragsverarbeitungsvertrag

Du brauchst einen Auftragsverarbeitungsvertrag, wenn du personenbezogene Daten verarbeitest und dabei Dienstleister einsetzt, die diese Daten im Auftrag von dir verarbeiten. Beispiele für solche Dienstleister können Cloud-Service-Anbieter, Datenanalyse-Unternehmen oder Marketingfirmen sein. Der Auftragsverarbeitungsvertrag ist wichtig, um die rechtlichen Anforderungen an die Datenverarbeitung zu erfüllen und um sicherzustellen, dass deine Daten sicher und gemäß den geltenden Datenschutzgesetzen verarbeitet werden.

Wenn du personenbezogene Daten für einen Anderen in dessen Auftrag verarbeitest, bist du Auftragsverarbeiter (Auftragnehmer). Das ist der Fall, wenn du z. B. Webseiten für andere betreust oder das Newslettermarketing übernimmst und dabei die Empfängerlisten pflegst. Wenn du andere zur Verarbeitung von personenbezogenen Daten einsetzt, bist du Verantwortlicher (Auftraggeber). Die Abgrenzung ist nicht immer ganz einfach. „Verantwortlicher“ ist nach Art. 2 DS-GVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Entscheidend ist also, wer die Entscheidungsgewalt über die Daten hat.

Du kannst in deinem Unternehmen auch beide Rollen einnehmen, je nach Konstellation. Wenn du z. B. Webseiten für deine Kunden erstellst, bist du Auftragsverarbeiter. Für deine eigene Webseite, die du bei einem Hostinganbieter hostest, bist du Verantwortlicher.

Hinweis

In bestimmten Konstellation können auch mehrere Unternehmen gemeinsam verantwortlich im Sinne der DS-GVO sein. Das ist der Fall, wenn alle Unternehmern eigene Zwecke zur Verarbeitung haben. Solche Konstellationen nennt man „gemeinsame Verantwortung“ oder Joint Controllership. Beim Betrieb einer Facebook Fanpage gehen die Datenschutzbehörden davon aus, dass eine gemeinsame Verantwortung zwischen Meta und dem Betreiber der Fanpage vorliegt. In diesem Fall benötigt ihr ein Joint Controllership Agreement. Ein Muster dazu gibt es z. B. beim Landesbeauftragten für den Datenschutz BW: Joint Controller Agreement. Die meisten Big Player stellen hier aber ihre eigenen Muster schon zur Verfügung.

Wie schließe ich den Auftragsverarbeitungsvertrag

Der Vertrag zur Auftragsverarbeitung muss schriftlich oder in einem elektronischen Format abgeschlossen werden. Die bloße Übersendung reicht also nicht aus. Es reicht aber völlig aus, dass der Auftragsverarbeitungsvertrag zum Beispiel durch Anklicken eines Bestätigungshakens z. B. bei einem digitalen Verfahren abgeschlossen wird.

Tipp für unsere Kunden:

In unserer WebApp können unsere Kunden alle Verträge hinterlegen. Es kann dann ein digitaler Prozess gestartet werden, bei dem der potenzielle Vertragspartner den Auftragsverarbeitungsvertrag digital unterzeichnen kann. Der Vertag wird dann als unterzeichnet im System hinterlegt.

Was ist mit Subunternehmern

Der Einsatz von Subunternehmern ist grundsätzlich kein Problem. Aber du bist als Verantwortlicher dafür verantwortlich, nicht nur deinen Auftragnehmer, sondern auch dessen Subunternehmer und deren weitere Subunternehmer zu überprüfen. Als Auftragsverarbeiter gilt das natürlich umso mehr. Das ist in der Praxis nicht immer leicht; eine Tiefenprüfung macht faktisch niemand. Egal in welcher Rolle ihr seid, müsst ihr darauf achten, dass ein Auftragsverarbeitungsvertrag mit dem Sub vorliegt. Darüber hinaus sollte man die technischen und organisatorischen Maßnahmen (TOM) prüfen.

Sofern der Sub die personenbezogenen Daten in einem Drittland verarbeitet, musst du auf weitere Garantien für eine rechtmäßige Verarbeitung achten. Solche Garantien sind etwa ein Angemessenheitsbeschluss der EU für das jeweilige Land, datenschutzrechtliche Abkommen (z. B. früher das Privacy Shield Abkommen zwischen den USA und der EU) oder sogenannte Standardvertragsklauseln, die direkt mit dem Subunternehmer abgeschlossen werden.
Beim Einsatz von Subs haben wir zwei Möglichkeiten. Entweder jeder Sub muss immer genehmigt werden oder der Einsatz ist generell erlaubt und der Verantwortliche hat ein Recht zum Widerspruch.

Was gehört alles in den Auftragsverarbeitungsvertrag

Der Mindestinhalt eines Auftragsverarbeitungsvertrages ist gesetzlich in Art. 28 DS-GVO geregelt. Die Mindestinhalte sind:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Umfang der Weisungsbefugnis
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen unverzüglich zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Sicherstellung von technischen & organisatorischen Maßnahmen
  • Regelungen zur Hinzuziehung von Subunternehmern
  • Unterstützung des Verantwortlichen bei der Meldepflicht von Datenschutzvorfällen
  • Unterstützung des Verantwortlichen bei der Datenschutz-Folgeabschätzung
  • Unterstützung des Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Rechte der Betroffenen
  • Rückgabe/Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
  • Verarbeitung im Drittland: Ist angemessenes Schutzniveau geregelt (gem. Art. 44 ff. DSGVO garantiert?
  • Bereitstellung aller erforderlichen Nachweise zur Einhaltung der Verpflichtungen durch den Auftragnehmer
  • Kontrollmöglichkeit des Auftragnehmers durch den Auftraggeber

Mehr als die DS-GVO verlangt, muss eigentlich nicht rein. Die meisten Auftragsverarbeitungsverträge haben daher im Kern den gleichen Inhalt, auch wenn es manchmal unterschiedlich formuliert ist. Viele Unternehmen wollen in ihrem eigenen Auftragsverarbeitungsvertrag aber zusätzliche Regeln unterbringen. Daher müssen wir uns jeden Auftragsverarbeitungsvertrag, den wir nicht selbst geschrieben haben, genau anschauen. Da finden wir z. B. manchmal Haftungsklauseln, die unsere Kunden unangemessen benachteiligen. Die meisten Auftragsverarbeitungsverträge können als Standard immer wieder genutzt werden. Unabhängig davon muss in jedem Auftragsverarbeitungsvertrag individuell der Zweck der Verarbeitung, die Dauer des Vertrages, die Kategorie der verarbeitenden Daten und die Kategorie der betroffenen Personen sowie die technischen und organisatorischen Maßnahmen geregelt werden.

Muster Auftragsverarbeitungsvertrag

Es gibt viele Muster für Auftragsverarbeitungsverträge im Netz. Mitte 2021 hat die EU selbst mit Durchführungsbeschluss (EU) 2021/915 der Kommission vom 4. Juni 2021 Standardvertragsklauseln veröffentlicht die die Voraussetzungen für einen Auftragsverarbeitungsvertrag erfüllen und damit ein einen Mustervertrag vorgelegt. Man kann nur hoffen, dass damit die Flut an unterschiedlichen Verträgen ein Ende hat und dieses Muster der Standard wird. Wir haben unseren Standardvertrag auf Basis dieses Musters erstellt. Die Inhalte sind (zur leichteren Prüfbarkeit) nicht verändert. Nur am Anfang haben wir die Parteien und eine Präambel aufgenommen, in der wir genau das erklären, also dass der Vertrag auf Basis des EU-Musters beruht. Das Muster zum Auftragsverarbeitungsvertrag kann hier mit Anmerkungen heruntergeladen werden: Mustervertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.

Was passiert, wenn ich keinen Auftragsverarbeitungsvertrag abschließe

Der Abschluss eines Auftragsverarbeitungsvertrages ist verpflichtend, wenn Daten im Auftrag verarbeitet werden. Bei einem Verstoß gegen diese Pflicht drohen Bußgelder zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Das sind maximale Bußgelder, die bei wirklich schwerwiegenden Verstößen verhängt werden. In der Praxis fallen diese niedriger aus. Im, mir bisher, einzigen bekannten Fall wurde wegen eines fehlenden Auftragsverarbeitungsvertrages ein Bußgeld von 5.000 EUR verhängt (Link zum Artikel auf heise.de). Hier gab es aber eine Besonderheit. Das betroffene Unternehmen hatte sich auch nach Aufforderung der Datenschutzbehörde weiterhin geweigert, einen entsprechenden Vertrag abzuschließen.

Fragen

Du hast Fragen zum Auftragsverarbeitungsvertrag oder benötigst einen externen Datenschutzbeauftragten oder einen EU-Vertreter? Dann melde dich bei uns.

Löschen von Personaldaten