Wozu braucht man den Auftragsverarbeitungsvertrag?
Der Vertrag, der zur Auftragsverarbeitung notwendig ist
Sobald andere Unternehmen Zugriff auf die Daten Ihrer Kunden haben, befinden Sie sich (fast) immer im Bereich der Auftragsverarbeitung. Ist das der Fall, müssen Sie mit diesem Unternehmen einen AV-Vertrag abschließen.
Bevor es die DSGVO gab, war die Auftragsdatenverarbeitung in § 11 BDSG gesetzlich geregelt. Mittlerweile findet man die entsprechenden Vorgaben in Art. 28 DSGVO.
Seit den neuen Regelungen, die dank der DSGVO seit Mai 2018 gelten, sind viele Punkte im Bereich Datenschutz und AV neu festgelegt.
Was ist Auftragsverarbeitung?
Charakteristisch für die Auftragsverarbeitung ist, dass ein Unternehmen externe Dienstleister damit beauftragt, weisungsgebunden personenbezogene Daten zu verarbeiten.
Der Hauptverantwortliche für den Datenschutz ist daher immer der Auftraggeber, denn er hat die Verantwortung für die ordnungsgemäße Datenverarbeitung.
Ein externer Dienstleister unterstützt den Auftraggeber ausschließlich bei der Auftragsverarbeitung und ist somit quasi der „verlängerte Arm“.
Eine Auftragsverarbeitung besteht vor allem in den folgenden Fällen:
Ein Call-Center erhebt Daten bei den Kunden des Auftraggebers.
Ein externes Rechtszentrum wird damit beauftragt, die Lohn- und Gehaltsabrechnung durchzuführen.
Eine Marketing-Agentur verarbeitet Kundendaten, um Statistiken oder einen Newsletter zu erstellen.
Keine Auftragsverarbeitung liegt bei einer sogenannten Funktionsübertragung vor.
Jedoch ist die genaue Abgrenzung zwischen Auftragsverarbeitung und Funktionsübertagung bei vielen Dienstleistungen nicht immer eindeutig.
Ein externer Dienstleister ist im Rahmen einer Funktionsübertragung aber nicht weisungsgebunden, sondern kann frei entscheiden, was mit den Daten des Unternehmens geschieht.
Außerdem hat er ein eigenes Interesse an den Daten des Unternehmens.
Eine Funktionsübertragung liegt somit beispielsweise vor, wenn ein Dienstleister für seinen Auftraggeber Dienstfahrzeuge anmietet oder ein Inkassounternehmen die Forderung seines Auftraggebers durchsetzt.
Was sind typische Beispiele für die Auftragsverarbeitung in Unternehmen?
Vermutlich sind Sie selbst bereits vielfach mit der Auftragsverarbeitung in Kontakt gekommen. Sehr typische Beispiele, die für die meisten Unternehmen eine Rolle spielen sind:
- Externe Callcenter oder Kundenservices
- Betreiber von Eingabemasken (Formularen), die auf Ihrer Webseite eingebunden werden können
- Externe Lohnhaltung
- Verarbeitung von Werbeadressen in einem Lettershop
- Hosting-Services
- Cloudbasierte CRM-Tools
- Software-as-a-Service-Lösung wie Newsletter- oder Buchhaltungstools
- Externe Wartung von Servern und Computern
- Akten- und Datenträgervernichtung durch externe Dienstleister
- Sicherheitsdienste, die an der Pforte Besucher- und Anlieferdaten erheben
- Agenturen für Marketing, Vertrieb oder Beratung, sofern diese Zugriff auf personenbezogene Daten von Mitarbeitern, Kunden, Nutzern oder anderen Kontaktaden des Unternehmens haben
Was ist ein AV-Vertrag?
Ein Auftragsverarbeitungsvertrag, kurz AV-Vertrag oder AVV, ist eine Vereinbarung zwischen zwei Unternehmen. Er wird dann benötigt, wenn personenbezogene Daten im Auftrag an Dritte zum Zweck der Verarbeitung weitergegeben werden.
Dies ist beispielsweise der Fall, wenn ein Unternehmen auf der Internetseite ein externes Newsletter-Tool nutzt. Dadurch ist der Webseitenbetreiber verpflichtet, einen AV-Vertrag abzuschließen.
Ein AVV muss auch dann abgeschlossen werden, wenn ein externer IT-Dienstleister Zugriff auf die EDV per Fernwartung hat.
Das heißt also, immer wenn ein Dritter im Auftrag Zugriff auf personenbezogene Daten bekommt, muss ein AV-Vertrag gemäß Art. 28 DSGVO geschlossen werden.
Wer ist ein möglicher Auftragsverarbeiter?
In den meisten Bereichen werden Dienstleister zu Datenverarbeitung eingesetzt.
Dabei kann es sich beispielsweise um natürliche Personen, juristische Personen, Behörden, Einrichtungen oder andere Stellen handeln.
Konkrete Beispiele für Auftragsverarbeiter sind:
- IT-Dienstleister, Fernwartungssysteme
- Software-as-a-Service Dienstleister, Cloud-Computing
- Datenträgerentsorger
- Web-Hoster
- Einsatz von Tracking-Tools wie Google Analytics
- Lettershops
Hinweis
Bekommt ein Dritter die Möglichkeit, auf Kundendaten oder sonstige personenbezogene Daten eines Unternehmens zuzugreifen, muss ein AV-Vertrag unterzeichnet werden.
Dabei ist es irrelevant, ob der Dritte tatsächlich auf die personenbezogenen Daten zugreift, um seine Leistung zu erbringen.
Welche Informationen muss ein Auftragsverarbeitungsvertrag enthalten?
In einem AVV müssen die wesentlichen Inhalte der Verarbeitung festgehalten werden.
Dazu zählen beispielsweise u. a. Gegenstand, Art und Zweck der Verarbeitung sowie die jeweiligen Rechte und Pflichten von Auftraggeber und Auftragnehmer.
Für die Erfüllung der Pflichten aus der DSGVO (Betroffenenrechte, Meldung von Datenpannen, etc.) ist nach wie vor der Auftraggeber zuständig.
Den Auftragsverarbeiter treffen diesbezüglich ausschließlich nur die Unterstützungspflichten.
Zum Schließen eines DSGVO-konformen AV-Vertrags, sind unter anderem folgende Aspekte gemäß Art. 28 Abs. 3 rechtlich festzulegen:
- Gegenstand und Dauer der Verarbeitung
- Art der personenbezogenen Daten
- Pflichten und Rechte des Verantwortlichen
- Umfang der Weisungsbefugnisse
- Verpflichtung zur Verschwiegenheit
- Mitwirkungspflichten/ Unterstützung durch den Auftragsnehmer
- Rechtmäßige Hinzuziehung von Subunternehmen
- Dauer des Auftrags
- Schlussbestimmung
- Art und Zweck der Verarbeitung
- Kategorien betroffener Personen
- Ergreifung von geeigneten TOM zum Schutz personenbezogener Daten
- Pflichten und Rechte des Auftragsverarbeiters
- Meldepflicht des Auftragnehmers
- Wahrung der Betroffenenrechte
- Kontrollbefugnisse
- Bedingung mit Rückgabe oder Löschung der Daten des Auftragsverarbeiters
Konsequenzen bei einem fehlenden AV-Vertrag
Eine Auftragsverarbeitung ist laut der DSGVO zwingend erforderlich, wenn personenbezogene Daten durch Dritte verarbeitet werden.
Man muss sich also um einen AV-Vertrag kümmern, denn die Verpflichtung dafür trifft sowohl Auftragnehmer als auch Auftraggeber.
Werden AV-Verträge nicht ernst genommen und ignoriert, könne rechtliche Folgen drohen. Mögliche Konsequenzen währen hohe Bußgelder, Imageschäden und im schlimmsten Fall sogar damit einhergehende Umsatzverluste.
Bei einem Hamburger Unternehmen wurde das Bußgeld für einen fehlenden AV-Vertrag und damit auch dem Verstoß gegen Art. 28 Abs. 3 DSGVO auf 5.000 Euro durch den zuständigen Landesdatenschutzbeauftragten festgelegt. Doch das sind noch Geldsummen im unteren, niedrigen Bereich. Die Aufsichtsbehörden können nach dem BDSG Bußgelder bis zu 50.000 Euro, seit der DSGVO bis zu 20 Millionen Euro für einen fehlenden oder nicht vollständigen bzw. fehlerhaften AV-Vertrag verhängen.