Letzte Änderung: Uhr

Auftragsverarbeiter Vertrag (AVV)

Vertrag erstellen gem. Art 28 DSGVO

Auftragsverarbeiter nach Art 28 DSGVO

Auftragsverarbeiter Vertrag (AVV) - DSGVO & GDPR

Laut Artikel 28 der DSGVO muss man einen Vertrag zur Auftragsverarbeitung (AVV) abschließen, sobald personenbezogene Daten im Auftrag verarbeitet werden.

Wer oder was ist nun ein Auftragsverarbeiter?

Der datenschutzrechtliche Dienstleister ist mit der neuen DSGVO der Auftragsverarbeiter. Er verarbeitet personenbezogene Daten. Darüber hinaus kann der Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder eine andere Stelle sein.

Der Auftragsverarbeiter ist für personenbezogene Daten verantwortlich

Wie üblich in einem Gesetzestext, ist die Auffassung oft mit Wortklauberei verbunden. Um Missverständnisse zu vermeiden, wollen wir uns den Begriff Verarbeitung genauer ansehen.

Laut DSGVO versteht man unter dem Begriff einen mit oder ohne Hilfe von automatisierten Verfahren ausgeführten Vorgang bzw. Vorgangsreihe im Bezug auf personenbezogene Daten. In weiterer Folge schließt die Datenverarbeitung folgende Verfahren ein:

  • Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen 
  • Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten, Bereitstellen
  • Abgleichen, Verknüpfen, Einschränken, bis hin zum Löschen oder Vernichten

In diesem Sinne gilt ebenso der Anbieter Ihres IT-Systems wie des CRM-Programmes oder auch Google Analytics als Auftragsverarbeiter.

Beispiele für Auftragsverarbeiter

Da diese Thematik nicht für jeden klar ist, möchten wir gerne weitere Beispiele nennen, wann ein AV-Vertrag geschlossen werden muss. Unter „Auftragsverarbeiter“ fallen ebenso Gehaltsabrechnungsbüros bzw. Lohnverrechner, Rechenzentren oder Datenträgerentsorger. Ferner Werbe- bzw. Marketingagenturen, Cloud-Computing-Anbieter, Buchhaltungs-Software, Web- bzw. E-Mailhoster. Nicht zuletzt ebenso Homepage-Baukästen (WordPress, Jimdo, Wix) oder freie Mitarbeiter, die Zugriff auf personenbezogene Daten haben.

Joint Control – gemeinsame Verantwortung

Laut Artikel 26 DSGVO gibt es eine gemeinsame, gleichberechtigte Verantwortungsaufgabe von Auftraggeber und Auftragnehmer. Diese wird Joint Control genannt. Was bedeutet dies nun? Bei einer Verletzung des DSGVO kann der Betroffene seine Rechte gegenüber jedem geltend machen, der für die Verarbeitung personenbezogener Daten verantwortlich ist. Dementsprechend gegenüber dem Auftraggeber als auch dem Auftragsverarbeiters.

Daher ist man als auftragserteilendes Unternehmen dazu verpflichtet, vor Vertragsschluss zu prüfen, ob der Auftragsverarbeiter DSGVO-gerecht arbeitet. Aus diesem Grund sowie aus Gründen der Dokumentation (Verzeichnis) sollten Sie herausfinden, auf welchen Servern Ihre erhobenen personenbezogenen Daten gespeichert sind. Wesentlich ist auch die Frage, wo der Server des Anbieters liegt.

Verzeichnisse über die Verarbeitung von Daten

Anstelle der DVR-Nummer sind Sie verpflichtet ein Verzeichnis über die Datenverarbeitung zu führen. Dabei betrifft die Verzeichnis-Pflicht den Verantwortlichen als auch den Auftragsverarbeiter. Lediglich der Umfang der Dokumentationspflicht ist für den Auftragsverarbeiter geringer als für den Verantwortlichen.

Darunter muss man auch Empfänger aus Drittländern und ggf. die Übermittlung von personenbezogenen Daten in ein Drittland dokumentieren. Daher müssen Sie informiert sein, ob der betreffende Server außerhalb der EU liegt.

Wie sieht ein Auftragsverarbeiter-Vertrag aus?

Der AV-Vertrag basiert auf den Grundlagen eines Vertrages und ist schriftlich abzuschließen. Hierbei stellt der Vertragsschluss in elektronischer Form eine Ausnahme dar. Denn dieser ist dem schriftlichen Vertrag gleichzusetzen. Außerdem kann der Vertrag auf den Standardvertragsklauseln der Europäischen Kommission bzw. Aufsichtsbehörde beruhen.

Verpflichtender Vertragsinhalt

  • Verantwortlichen für die Datenverarbeitung
  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art und Weise der personenbezogenen Daten
  • die Kategorien betroffener Personen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung zur Vertraulichkeit den Inhalt der personenbezogenen Daten entsprechend
  • Gewährleistung der größtmöglichen Sicherheit der Verarbeitung der Daten entsprechend
  • Sicherstellung von technischen & organisatorischen Maßnahmen (Artikel 28 Abs. 1 DSGVO)
  • Meldung von Datenschutzverletzungen (vgl. Art. 32 bis 36 DSGVO)
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Vertragsdauer
  • Kontrollrechte des Verantwortlichen für die Verarbeitung der pb. Daten
  • Duldungspflichten des Auftragsverarbeiters
  • die Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, wenn eine Weisung gegen die Bestimmungen des DSGVO verstößt
  • eine vorherige schriftliche Genehmigung des Verantwortlichen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters (Sub-Auftragsverarbeiter)

Ferne gilt zu erwähnen, dass der Auftragsverarbeiter personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten darf. Eine Ausnahme bildet die Übermittlung der Daten an eine Stelle, die durch das Recht der Union oder der Mitgliedstaaten die notwendige Befugnis hat. In diesem speziellen Fall muss der Auftragsverarbeiter dies vor der Verarbeitung dem Verantwortlichen mitteilen, sofern das betreffende Recht eine Mitteilung nicht verbietet.

Auftragsdatenverarbeiter und Subunternehmen

Unter Subunternehmen versteht man weitere Auftragsdatenverarbeiter, mit denen ein Unternehmen den ADV-Vertrag geschlossen hat. Hierbei kann es sich um Programme oder Dienstleister handeln, die ebenfalls auf Ihre generierten personenbezogenen Daten Zugriff haben. Des Weiteren ist gesetzlich  vorgeschrieben, dass man Sie über sämtliche Subunternehmen in Kenntnis setzt. In diesem Fall muss nämlich Ihre Genehmigung in schriftlicher Form erfolgen.

Auftragsdatenverarbeiter mit Niederlassung außerhalb der EU

Wenn ein Auftragsdatenverarbeiter seinen Firmensitz außerhalb der EU hat, muss dieser schriftlich einen Vertreter benennen. Letzterer muss seine Niederlassung in einem der EU Mitgliedsstaaten haben. Da muss ebenso die Verarbeitung personenbezogener Daten erfolgen. Zudem ist der Vertreter des Auftragsdatenverarbeiters die Anlaufstelle für Aufsichtsbehörden oder betroffene Personen.

Allerdings gibt es auch Ausnahmen, die keine Benennung eines Vertreters erfordern:

  • wenn die Verarbeitung gelegentlich und in keinem großen Umfang erfolgt
  • wenn es sich bei den Datensätzen nicht um sensible Daten handelt
  • oder um Datensätze, die sich einer strafrechtliche Verurteilung oder Straftaten einer Person zuordnen lassen
  • wenn die Daten aufgrund der Art, Umstände, des Umfangs und des Zwecks der Verarbeitung voraussichtlich zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen, Behörden oder öffentlichen Stellen führen

Hilfreiche Links

Liste von Online Dienstleistern, die einen Auftragsverarbeiter Vertrag erfordern

Bei Blogmojo finden Sie die am meisten verwendeten Webdienste aufgelistet, die einen AV-Vertrag erfordern.  Unter folgenden Kategorien sind die Anbieter zu finden:

  • Hosting Anbieter
  • Newsletter Dienste
  • Google Dienste
  • Homepage Baukasten und Blog Plattformen
  • Analytics
  • Affiliate Programme und -Netzwerke
  • Soziale Netzwerke
  • Sonstige Dienstleister und Apps

Zur Liste von Blogmojo

Muster & Vorlagen des AV-Vertrag

Online findet man zahlreiche Anbieter, die ein Muster bzw. eine Vorlage eines Auftragsdatenverarbeitungs-Vertrag als Download zur Verfügung stellen. Einige dieser Anbieter haben wir gesammelt:

Sie haben Fragen zur Auftragsdatenverarbeitung? Zögern Sie nicht, wir arbeiten mit renommierten Partnern zusammen!