Auftragsverarbeitungsvertrag: Notwendigkeit, Inhalte, Muster & mehr

18.10.2023

Prüfung eines Vertragswerks
Die Verarbeitung personenbezogener Daten durch Dritte ist häufig als Auftragsverarbeitung einzustufen. Hierbei ist die vertragliche Absicherung durch einen Auftragsverarbeitungsvertrag (englisch: Data Processing Agreement / DPA) von essenzieller Bedeutung. In diesem Blogbeitrag erläutern wir, welche Aspekte im Zusammenhang mit dem Vertragsverhältnis zu berücksichtigen sind und wo häufige Stolpersteine liegen.

Notwendigkeit der vertraglichen Absicherung von Auftragsverarbeitungen

Gemäß DSGVO liegt eine Auftragsverarbeitung vor, sobald eine weisungsgebundene Datenverarbeitung durch Externe erfolgt, die Verantwortung für die ordnungsgemäße Datenverarbeitung jedoch weiterhin beim Auftraggeber verbleibt. Die DSGVO verlangt von Auftraggebern und Auftragsverarbeitern, einen Auftragsverarbeitungsvertrag zu schließen.

Der AV-Vertrag ist das zentrale Instrument, um die Verantwortlichkeiten und Pflichten zwischen beiden Parteien klar zu definieren und somit die datenschutzrechtlichen Anforderungen zu erfüllen. Die vertraglichen Vereinbarungen sind ein effektiver Weg, der die Sicherheit der sensiblen Informationen gewährleistet.

Bei Datenschutzkontrollen durch die zuständigen Aufsichtsbehörden stehen AV-Verträge gerne im Fokus. Deshalb ist es für Unternehmen wichtig, die notwendigen Verträge geschlossen und auf Nachfrage die getroffenen Vereinbarungen zur Auftragsverarbeitung griffbereit zu haben.

Die Übermittlung personenbezogener Daten an externer Partner, ohne darüber einen AV-Vertrag geschlossen zu haben, obwohl eine Auftragsverarbeitung vorliegt, kann ernsthafte Konsequenzen nach sich ziehen. Bei einem solch erheblichen Datenschutzvorfall droht Auftraggeber und Auftragsverarbeiter ein Bußgeld.

Strafe bei fehlendem Auftragsverarbeitungstrag

Nicht alle Unternehmen nehmen bei Auftragsverarbeitungsverhältnissen die notwendige Absicherung durch einen Vertrag vor. Die Ursachen hierfür sind fast immer dieselben.

  • Auftragsverarbeitung bleibt unerkannt
    Manchmal werden Auftragsverarbeitungsverhältnisse aufgrund von Unwissenheit nicht erkannt, weshalb auch kein Abschluss eines Auftragsverarbeitungsvertrags erfolgt.
  • Schwierigkeiten bei Erstellung des Vertragswerks
    Oft halten Auftragsverarbeiter für ihre Kunden einen AVV bereit, der nur angenommen werden muss. Sollten anders lautende Regelungen gewünscht sein, ist ein passender Vertrag auszuarbeiten. Doch gerade hiermit tun sich viele Unternehmen aufgrund des fehlenden Fachwissens schwer.

Eine vertragliche Absicherung ist notwendig. Andernfalls kann ein Verstoß gegen die DSGVO vorliegen, der ein stattliches Bußgeld zur Folge hat. Die wesentlichen Vertragsbestandteile

Bei der Schließung eines Vertrags über die Auftragsverarbeitung ist es erforderlich, sämtliche Details zu berücksichtigen, die gem. Art. 28 DSGVO im AV-Vertrag zu regeln sind. Zusammengefasst handelt es sich dabei um die folgenden Punkte:

  • Gegenstand und Dauer der Verarbeitung.
  • Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten. Art der Daten und Kreis der Betroffenen.
  • Garantie der technischen und organisatorischen Maßnahmen.
  • Berichtigung, Löschung und Sperrung von Daten.
  • Etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen.
  • Kontrollrechte des Auftraggebers und entsprechende Duldungs- und Mitwirkungspflichten des Auftragnehmers.
  • Verpflichtung der Mitarbeiter des Auftragnehmers zur Vertraulichkeit.
  • Mitwirken bei Datenschutz-Folgenabschätzungen und Meldepflichten.
  • Mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen.
  • Zusammenwirken bei Anfragen und Ansprüchen von betroffenen Personen
  • Ausmaß der Weisungsbefugnisse, welche sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält.
  • Rückgabe von Datenträgern sowie Löschung gespeicherter Daten nach Auftragsbeendigung.

Als Anlage umfasst das Vertragswerk eine Übersicht konkreter technischer und organisatorischer Maßnahmen (TOM), die vom Auftragsverarbeiter zum Schutz der Daten zu ergreifen sind.

Vorsicht bei der Verwendung von Vertragsvorlagen

Im Internet werden diverse Musterverträge zur Auftragsverarbeitung als Download bereitgestellt. Teilweise stammen die Muster von renommierten Stellen, wie beispielsweise den Aufsichtsbehörden der einzelnen Länder.

Allerdings wird von den Herausgebern der Vertragsvorlagen keine Haftungsübernahme angeboten, weshalb Unternehmen diese AV-Verträge niemals ohne vorherige Prüfung übernehmen sollten. Es ist sicherzustellen, dass der Vertrag alle notwendigen Inhalte einschließt und für Auftraggeber und Auftragsverarbeter akzeptabel ist.

An die Dokumentation denken

Die Anzahl an Auftragsverarbeitungen, die ein Unternehmen per AV-ertrag abzusichern hat, ist meist viel größer, als zu Beginn vermutet wird. Besonders was die Nutzung digitaler Dienste betrifft, sind oft zahlreiche Verträge zu schließen, beispielsweise mit Anbietern wie Google, Microsoft und Salesforce.

Bei einer solch hohen Vertragsanzahl kann es hilfreich sein, eine Übersichtsliste zu führen. Darin werden die einzelnen Auftragsverarbeiter erfasst, ergänzt um Informationen, wann der jeweilige Vertrag geschlossen wurde und wo er nachgelesen werden kann. Mithilfe solch der Übersichtsliste fällt es leichter, sämtliche Verträge im Blick zu behalten.

Wir unterstützen Sie bei der datenschutzrechtlichen Absicherung von Auftragsverarbeitungen

Im Rahmen unserer Datenschutzberatung leisten wir bei Fragestellungen rund um die Auftragsverarbeitung gerne Unterstützung. Wir helfen Ihnen bei der Erkennung und Dokumentation von Auftragsverarbeitungsverhältnissen sowie der Prüfung oder auch Erarbeitung von Auftragsverarbeitungsverträgen. Für weitere Informationen zu unseren Leistungen nutzen Sie am besten unsere kostenlose Erstberatung. Wir freuen uns auf Ihre Anfrage.