Liegt eine Auftragsverarbeitung vor, ist darüber ein Auftragsverarbeitungsvertrag (AV-Vertrag) zu schließen. Sollte die vertragliche Absicherung fehlen, drohen beiden Seiten unangenehme Konsequenzen. Doch viele Unternehmen und Freiberufler tun sich schwer damit, die Vertragsinhalte abzustecken. In manchen Fällen können Muster und Vertragsvorlagen weiterhelfen. In diesem Beitrag geben wir darüber Auskunft.
Notwendigkeit des Vertrags gemäß DSGVO
Zu schließen ist ein AV-Vertrag (englisch: Data Processing Agreement / DPA), sobald die Verarbeitung personenbezogener Daten durch einen externen Dienstleister erfolgt und dieser weisungsabhängig agiert. Das Spektrum solcher Anbieter ist groß und schließt z.B. Freelancer, Lohnbüros, Callcenter und Webhosting-Anbieter ein. Ausführliche Informationen sowie weitere Beispiele zur Auftragsverarbeitung finden Sie hier: Datenschutz in der Auftragsverarbeitung.
Die Notwendigkeit des Vertragsschlusses geht aus der Art. 28 Abs. 3 DSGVO hervor. Über den Vertrag wird die datenverarbeitende Beziehung rechtlich abgesichert. Im Vertragswerk sind die Rechte und Pflichten beider Parteien (Auftraggeber und Auftragnehmer) geregelt. Zentraler Bestandteil ist die Verpflichtung des Auftragnehmers, ein ausreichendes Niveau beim Schutz der personenbezogenen Daten zu gewährleisten. Bevor die DSGVO in Kraft trat, wurde der Vertrag auch als Auftragsdatenverarbeitungs-Vertrag oder ADV-Vertrag bezeichnet.
Strafen bei fehlendem Auftragsverarbeitungsvertrag
Bei Datenschutzkontrollen durch die zuständigen Aufsichtsbehörden stehen AV-Verträge gerne im Fokus. Folglich ist es für Unternehmen wichtig, die notwendigen Verträge geschlossen und auf Nachfrage die getroffenen Vereinbarungen zur Auftragsverarbeitung griffbereit zu haben.
Die Übermittlung personenbezogener Daten an externer Partner, ohne darüber einen AV-Vertrag geschlossen zu haben, obwohl eine Auftragsverarbeitung vorliegt, kann ernsthafte Konsequenzen nach sich ziehen. Bei einem solch erheblichen Datenschutzvorfall droht Auftraggeber und Auftragsverarbeiter ein Bußgeld.
Inhalte eines AV-Vertrags
- Gegenstand und Dauer der Verarbeitung.
- Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten. Art der Daten und Kreis der Betroffenen.
- Garantie der technischen und organisatorischen Maßnahmen.
- Berichtigung, Löschung und Sperrung von Daten.
- Etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen.
- Kontrollrechte des Auftraggebers und entsprechende Duldungs- und Mitwirkungspflichten des Auftragnehmers.
- Verpflichtung der Mitarbeiter des Auftragnehmers zur Vertraulichkeit.
- Mitwirken bei Datenschutz-Folgenabschätzungen und Meldepflichten.
- Mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen.
- Zusammenwirken bei Anfragen und Ansprüchen von betroffenen Personen
- Ausmaß der Weisungsbefugnisse, welche sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält.
- Rückgabe von Datenträgern sowie Löschung gespeicherter Daten nach Auftragsbeendigung.
Als Anlage umfasst das Vertragswerk eine Übersicht konkreter technischer und organisatorischer Maßnahmen (TOM), die vom Auftragsverarbeiter zum Schutz der Daten zu ergreifen sind.
Muster und Vorlagen für AV-Verträge
Zahlreiche Kleinunternehmen, Freiberufler und selbst Unternehmen aus dem Mittelstand tun sich mit der Vertragsgestaltung schwer. Sowohl das Abstecken der Inhalte als auch deren Formulierung erfordern umfassendes Know-how. Entsprechend groß ist das Interesse an Mustern und Vertragsvorlagen.
Solche Vertragsmuster sind leicht zu finden, da sie von diversen Verbänden und sogar einigen Aufsichtsbehörden online zum Download angeboten werden:
- Formulierungshilfe AV-Vertrag des Bayerischen Landesamt für Datenschutzaufsicht
- Mustervertragsanlage des Bitkom
Doch aufgepasst, selbst wenn die Dokumentenvorlage von einer Behörde stammt, handelt es sich letztlich nur um eine unverbindliche Empfehlung. Es findet weder eine Individualisierung statt, noch gibt es eine Haftungsübernahme.
Tipp: Mit einer Liste den Überblick behalten
Die Anzahl an Auftragsverarbeitungsverträgen, die ein Unternehmen zu schließen hat, ist meist viel größer, als zu Beginn vermutet wird. Allein in den Feldern Online- und Datensicherheit sind oft zahlreiche Verträge zu schließen, beispielsweise mit Anbietern wie Google, Microsoft und Salesforce.
Bei einer solch hohen Vertragsanzahl kann es hilfreich sein, eine Übersichtsliste zu führen. Darin werden die einzelnen Dienstleister erfasst, ergänzt um Informationen, wann der jeweilige Vertrag geschlossen wurde und wo er nachgelesen werden kann. Mithilfe solch einer Liste fällt es leichter, sämtliche Verträge im Blick zu behalten.
Individuell gestaltete AV-Verträge vom Datenschutzexperten
Höchste Sicherheit bei der vertraglichen Absicherung von Auftragsverarbeitungen versprechen maßgeschneiderte Lösungen. Wenn auch Sie Ihren Datenschutz in guten Händen wissen möchten, sind wir Ihr Partner. Bundesweit beraten wir Unternehmen beim betrieblichen Datenschutz und stehen gerne auch Ihnen zur Seite. Nutzen Sie unsere kostenlose Erstberatung.