Auftragsverarbeitungsvertrag (AVV): Zwingend nötig, wenn externe Dienstleister (Hoster, Cloud) personenbezogene Daten verarbeiten.
Einleitung
In der digitalen Wirtschaft arbeiten Unternehmen regelmäßig mit externen Dienstleistern zusammen – sei es Hosting-Provider, Cloud-Service-Anbieter oder andere Auftragsverarbeiter. Wenn diese Dienstleister im Auftrag des Unternehmens personenbezogene Daten verarbeiten, ist ein Auftragsverarbeitungsvertrag (AVV) nicht nur empfehlenswert, sondern rechtlich zwingend erforderlich. Der AVV bildet die rechtliche Grundlage für eine datenschutzkonforme Zusammenarbeit und schützt sowohl das beauftragende Unternehmen als auch die betroffenen Personen. In diesem Artikel erfahren Sie, warum der Auftragsverarbeitungsvertrag unverzichtbar ist, welche Anforderungen er erfüllen muss und wie Sie ihn richtig implementieren.
Was ist ein Auftragsverarbeitungsvertrag (AVV)?
Definition und rechtliche Grundlage des AVV
Ein Auftragsverarbeitungsvertrag (AVV), auch als Auftragsverarbeitungsvertrag oder Datenverarbeitungsvertrag bezeichnet, ist eine schriftliche rechtliche Vereinbarung zwischen einem Verantwortlichen und einem Auftragsverarbeiter. Dieser Vertrag bildet die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch externe Dienstleister im Auftrag des Verantwortlichen. Der AVV regelt verbindlich die Bedingungen, unter denen personenbezogene Daten weitergegeben und verarbeitet werden dürfen. Er ist ein wesentliches Instrument des Datenschutzes und dient dem Schutz der Rechte und Freiheiten von betroffenen Personen. Der Vertrag muss schriftlich oder in elektronischer Form vorliegen und muss vor der ersten Datenübermittlung geschlossen sein.
Unterschied zwischen Verantwortlichem und Auftragsverarbeiter
Der Verantwortliche ist die juristische oder natürliche Person, die die Ziele und Mittel der Datenverarbeitung bestimmt. Er trägt die hauptsächliche Verantwortung für die Einhaltung aller Datenschutzbestimmungen und kann Weisungen an den Auftragsverarbeiter erteilen. Der Auftragsverarbeiter hingegen ist der externe Dienstleister, der personenbezogene Daten nur nach Weisung des Verantwortlichen verarbeitet. Der Auftragsverarbeiter darf die Daten nicht für eigene Zwecke nutzen und muss sich an alle im AVV festgelegten Vorgaben halten. Diese klare Rollenverteilung ist fundamental für die DSGVO-Konformität.
Rechtliche Verpflichtung nach DSGVO und BDSG
Die Verpflichtung zur Erstellung eines AVV ergibt sich aus Artikel 28 der Datenschutz-Grundverordnung (DSGVO), die seit dem 25. Mai 2018 in der Europäischen Union gilt. Das Bundesdatenschutzgesetz (BDSG) konkretisiert diese Anforderungen für Deutschland zusätzlich. Ein AVV ist keine optionale Vereinbarung, sondern eine rechtliche Pflicht. Unternehmen, die diese Verpflichtung missachten, riskieren erhebliche Bußgelder und büßen die Legitimität ihrer Datenverarbeitung ein. Der AVV muss alle zwingenden Anforderungen des Artikels 28 Absatz 3 DSGVO enthalten und kann nicht durch mündliche Absprachen ersetzt werden.
Wann ist ein Auftragsverarbeitungsvertrag erforderlich?
Verarbeitung personenbezogener Daten durch externe Dienstleister
Ein AVV ist erforderlich, sobald ein externes Unternehmen personenbezogene Daten im Auftrag verarbeitet. Dies umfasst nicht nur unmittelbare Datenbearbeitungsvorgänge, sondern auch Tätigkeiten wie Speicherung, Verwaltung oder Dokumentation von personenbezogenen Daten. Typische Szenarien sind die Beauftragung von Reinigungsdienstleistern, die in das Unternehmen kommen und Zugriff auf Kundendaten haben, oder die Zusammenarbeit mit Agenturen bei der Erstellung von Marketingmaterialien mit Kundenlisten. Auch die Beauftragung von Personalvermittlern oder Personalberatungen, die auf Mitarbeiterdaten zugreifen, macht einen AVV notwendig. Ein weiteres Beispiel ist die Zusammenarbeit mit Handwerkern oder technischen Dienstleistern, die auf Betriebsdaten zugreifen müssen.
Cloud-Services und deren datenschutzrechtliche Anforderungen
Cloud-Services sind einer der häufigsten Anwendungsfälle für Auftragsverarbeitungsverträge. Wenn Daten in einer Cloud gespeichert werden, entscheidet nicht das Unternehmen selbst über die technischen und organisatorischen Mittel der Datenverarbeitung, sondern der Cloud-Anbieter. Dies ist die Definition der Auftragsverarbeitung nach Artikel 28 DSGVO. Cloud-Services können Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) oder Infrastructure-as-a-Service (IaaS) sein. In allen Fällen ist ein AVV zwischen dem Unternehmen und dem Cloud-Anbieter erforderlich. Der Cloud-Anbieter muss garantieren, dass er die Daten nur gemäß den Weisungen des Verantwortlichen verarbeitet und angemessene Sicherheitsmaßnahmen implementiert.
Hosting-Anbieter und Serverinfrastruktur
Hosting-Anbieter stellen die physische oder virtuelle Infrastruktur zur Verfügung, auf der die Daten eines Unternehmens gespeichert und verarbeitet werden. Wenn ein Hosting-Anbieter Zugriff auf personenbezogene Daten hat oder diese verarbeitet, ist ein AVV erforderlich. Dies gilt auch für dedizierte Server, auf denen Kundendatenbanken laufen, sowie für virtuelle Private Server. Ein Hosting-Anbieter, der nur technische Dienstleistungen erbringt und keinerlei Zugriff auf die Inhalte der Daten hat, könnte möglicherweise als Prozesssor eingestuft werden. Jedoch ist die Regel, dass bei Hosting-Dienstleistungen ein AVV abzuschließen ist. Dies schützt das Unternehmen rechtlich ab und stellt sicher, dass der Hosting-Anbieter vertraglich verpflichtet ist, angemessene Sicherheitsmaßnahmen zu ergreifen.
Die rechtliche Grundlage der Auftragsverarbeitung
Artikel 28 der DSGVO und dessen Anforderungen
Artikel 28 der DSGVO ist die zentrale Rechtsgrundlage für Auftragsverarbeitungsverträge. Der Artikel regelt, dass ein Auftragsverarbeiter nur auf Weisung des Verantwortlichen personenbezogene Daten verarbeitet. Die DSGVO verlangt, dass die Verarbeitung durch einen AVV oder ein anderes Rechtsinstrument geregelt wird. Absatz 3 von Artikel 28 listet die zwingenden inhaltlichen Anforderungen an einen AVV auf. Dazu gehören unter anderem die Beschreibung des Gegenstands und der Dauer der Verarbeitung, die Art und der Umfang der Daten sowie spezifische Pflichten des Auftragsverarbeiters hinsichtlich Sicherheitsmaßnahmen. Der Artikel 28 DSGVO ist unmittelbar gültig und gilt in allen Mitgliedstaaten der Europäischen Union.
Nationale Regelungen im BDSG
Das Bundesdatenschutzgesetz (BDSG) konkretisiert und ergänzt die Anforderungen der DSGVO auf nationaler Ebene. In Deutschland müssen Auftragsverarbeitungsverträge nicht nur den Anforderungen der DSGVO entsprechen, sondern auch den spezifischen Vorgaben des BDSG genügen. Das BDSG enthält zusätzliche Regelungen für besondere Kategorien von Daten und setzt nationale Spielräume um. Für Unternehmen bedeutet dies, dass sie zusätzlich zu den europäischen Anforderungen auch deutsche Datenschutzbestimmungen berücksichtigen müssen. Ein AVV in Deutschland muss daher sowohl DSGVO- als auch BDSG-konform sein.
Konsequenzen bei fehlender Auftragsverarbeitung
Die fehlende oder unzureichende Erstellung eines AVV ist eine Verletzung der DSGVO-Anforderungen und stellt eine Ordnungswidrigkeit dar. Die zuständigen Datenschutzbehörden können erhebliche Bußgelder verhängen, die bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes des Unternehmens betragen können. Hinzu kommen mögliche zivilrechtliche Schadensersatzansprüche von Betroffenen. Unternehmen, die ohne AVV personenbezogene Daten an externe Dienstleister weitergeben, riskieren nicht nur finanzielle Strafen, sondern auch Reputationsschäden und Vertrauensverlust bei Kunden und Geschäftspartnern.
Pflichtinhalte eines Auftragsverarbeitungsvertrags
Gegenstand und Dauer der Verarbeitung
Ein wesentlicher Pflichtinhalt eines AVV ist die genaue Beschreibung des Gegenstands der Verarbeitung. Dies bedeutet, dass konkret beschrieben werden muss, welche Datenverarbeitungsprozesse der Auftragsverarbeiter durchführen wird. Die Dauer der Verarbeitung muss ebenfalls festgelegt sein. Dies kann eine befristete Dauer sein, beispielsweise für ein Projekt, oder eine unbestimmte Dauer mit Kündigungsmöglichkeiten. Eine zu vage Beschreibung wie „Datenverarbeitung nach Bedarf“ ist nicht ausreichend und führt zu DSGVO-Mängeln. Die Spezifizierung sollte ausreichend detailliert sein, damit alle beteiligten Parteien genau verstehen, welche Tätigkeiten der Auftragsverarbeiter durchführen darf und welche nicht.
Art und Umfang der personenbezogenen Daten
Der AVV muss exakt festlegen, welche Arten von personenbezogenen Daten verarbeitet werden dürfen. Dies umfasst die Kategorien der Daten wie Namen, Adressen, E-Mail-Adressen, Telefonnummern, Gesundheitsdaten oder biometrische Daten. Auch der Umfang muss beschrieben werden – beispielsweise wie viele Datensätze oder wie viele Personen betroffen sind. Eine Auflistung aller einzelnen Datensätze ist nicht erforderlich, aber eine klare Kategorisierung und Mengenangabe ist notwendig. Der Auftragsverarbeiter darf nur die Daten verarbeiten, die explizit im AVV aufgeführt sind. Jede Ausweitung der Datenverarbeitung erfordert eine Anpassung des Vertrags.
Rechte und Pflichten des Auftragsverarbeiters
Der AVV muss die Rechte und Pflichten des Auftragsverarbeiters klar definieren. Zu den Hauptpflichten gehört, dass der Auftragsverarbeiter nur auf Weisung des Verantwortlichen handelt, dass er angemessene Sicherheitsmaßnahmen ergreift, dass er Datenschutzverletzungen meldet und dass er bei Anfragen von betroffenen Personen unterstützend tätig wird. Der Auftragsverarbeiter hat das Recht, den Verantwortlichen um Klarstellung zu bitten, wenn Weisungen unklar sind, und das Recht, eine angemessene Vergütung für seine Leistungen zu erhalten. Der Vertrag sollte auch regeln, wie lange der Auftragsverarbeiter Daten aufbewahrt, ob und wann er Daten löscht und wie er mit Unterauftragnehmern umgeht.
Sicherheitsmaßnahmen und technische Anforderungen im AVV
Implementierung angemessener Sicherheitsstandards
Artikel 32 der DSGVO fordert, dass technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten implementiert werden. Der AVV muss konkrete Sicherheitsmaßnahmen festlegen, die der Auftragsverarbeiter ergreift. Dies umfasst die Pseudonymisierung und Verschlüsselung von Daten, die Sicherung gegen unbefugten Zugriff, die regelmäßigen Tests und Überprüfungen der Sicherheitssysteme sowie die Implementierung eines Informationssicherheitsmanagementsystems. Die Maßnahmen müssen dem Stand der Technik entsprechen und regelmäßig überprüft und angepasst werden. Ein reiner Verweis auf allgemeine Sicherheitsstandards ohne konkrete Implementierungsdetails ist nicht ausreichend.
Anforderungen an die Datensicherheit und Verschlüsselung
Die Verschlüsselung personenbezogener Daten ist eine wichtige Sicherheitsmaßnahme, die in vielen Fällen im AVV festgelegt sein sollte. Daten in Transit, also während der Übertragung zwischen dem Verantwortlichen und dem Auftragsverarbeiter, sollten mit modernen Verschlüsselungsstandards wie TLS 1.2 oder höher verschlüsselt sein. Daten im Ruhezustand, die vom Auftragsverarbeiter gespeichert werden, sollten ebenfalls mit angemessenen Verschlüsselungsmethoden geschützt sein. Der AVV sollte festlegen, welche Verschlüsselungsverfahren verwendet werden und wer Zugriff auf die Verschlüsselungsschlüssel hat. Dies ist besonders wichtig für Cloud-Services, wo der Cloud-Anbieter möglicherweise Zugriff auf die Verschlüsselungsschlüssel hat oder nicht.
Dokumentation von Sicherheitsmaßnahmen
Der Auftragsverarbeiter muss die implementierten Sicherheitsmaßnahmen dokumentieren und diese Dokumentation dem Verantwortlichen zur Verfügung stellen. Dies umfasst eine genaue Beschreibung aller technischen Maßnahmen, der Organisationsstruktur, der Mitarbeiterschulungen und der Notfallpläne. Der Verantwortliche hat das Recht, diese Dokumentation zu überprüfen und Audits durchzuführen. Ein Sicherheitsaudit des Auftragsverarbeiters sollte regelmäßig durchgeführt werden, mindestens einmal jährlich, um zu überprüfen, ob die Sicherheitsmaßnahmen noch angemessen und aktuell sind.
Unterauftragsverarbeitung und deren Regelung
Bedingungen für die Weitergabe an Subunternehmer
Ein Auftragsverarbeiter darf nicht einfach andere Unternehmen als Unterauftragsverarbeiter einsetzen, ohne dies vorher mit dem Verantwortlichen zu regeln. Der AVV muss festlegen, unter welchen Bedingungen der Auftragsverarbeiter berechtigt ist, Unterauftragsverarbeiter einzusetzen. In vielen Fällen ist eine vorherige schriftliche Genehmigung des Verantwortlichen erforderlich. Der AVV kann auch vorsehen, dass bestimmte Unterauftragsverarbeiter vorab genehmigt sind, oder dass der Auftragsverarbeiter das Recht hat, neue Unterauftragsverarbeiter einzusetzen, solange er dies dem Verantwortlichen mindestens zehn Tage vorher mitteilt. Diese Regelung gibt dem Verantwortlichen die Kontrolle über die weitere Verarbeitung seiner Daten.
Informations- und Zustimmungspflichten
Der Verantwortliche muss über jeden Unterauftragsverarbeiter informiert werden. Dies kann durch einen initialen Anhang zum AVV erfolgen, in dem alle aktuellen Unterauftragsverarbeiter aufgelistet werden, oder durch eine regelmäßige Mitteilung bei Änderungen. Die genaue Informationspflicht muss im AVV geregelt sein. In vielen Fällen hat der Verantwortliche das Recht, der Hinzunahme eines neuen Unterauftragsverarbeiters zu widersprechen, wenn dieser nicht mit den geltenden Rechtsvorschriften konform ist oder wenn der Verantwortliche Bedenken bezüglich der Datensicherheit hat. Dieser Widerspruchsmechanismus ist eine wichtige Schutzvorrichtung für den Verantwortlichen.
Haftung bei Unterauftragsverarbeitung
Die Haftung für die Tätigkeiten von Unterauftragsverarbeitern liegt grundsätzlich beim ursprünglichen Auftragsverarbeiter. Der Auftragsverarbeiter bleibt dem Verantwortlichen gegenüber für die Erfüllung der Datenschutzverpflichtungen verantwortlich. Der Auftragsverarbeiter muss sicherstellen, dass auch die Unterauftragsverarbeiter einen Auftragsverarbeitungsvertrag mit denselben Schutzbestimmungen abschließen. Der AVV sollte festlegen, dass der Auftragsverarbeiter haftet, wenn ein Unterauftragsverarbeiter seine Verpflichtungen verletzt. Dies schafft eine Haftungskette, die den Verantwortlichen schützt.
Rechte und Pflichten des Verantwortlichen
Kontrollrechte und Überprüfungen
Der AVV muss dem Verantwortlichen umfangreiche Kontrollrechte einräumen. Der Verantwortliche hat das Recht, jederzeit zu überprüfen, wie der Auftragsverarbeiter die Daten verarbeitet. Dies kann durch Inspektionen vor Ort, durch die Überprüfung von Dokumentationen oder durch regelmäßige Audits erfolgen. Der Auftragsverarbeiter muss dem Verantwortlichen Zugang zu allen notwendigen Informationen gewähren, um diese Kontrollen durchzuführen. Der AVV sollte auch festlegen, wie oft Audits durchgeführt werden dürfen und wie der Verantwortliche über die Ergebnisse informiert wird. Diese Kontrollrechte sind essentiell für die Erfüllung der Verantwortung des Verantwortlichen.
Weisungsrecht gegenüber dem Auftragsverarbeiter
Der Verantwortliche hat das Recht, Weisungen an den Auftragsverarbeiter zu erteilen, wie die Daten verarbeitet werden. Dies ist ein fundamentales Merkmal der Auftragsverarbeitung. Die Weisungen müssen dokumentiert sein und können schriftlich oder mündlich erteilt werden, sollten aber dokumentiert werden. Der Auftragsverarbeiter ist verpflichtet, diese Weisungen zu befolgen, solange sie nicht gegen geltende Gesetze verstoßen. Der AVV sollte festlegen, wie Weisungen erteilt werden, wie schnell der Auftragsverarbeiter diese umsetzen muss und welche Verfahren gelten, wenn der Auftragsverarbeiter eine Weisung nicht befolgen kann.
Dokumentation und Nachweispflichten
Der Verantwortliche muss dokumentieren, dass ein AVV abgeschlossen wurde und dass dieser die Anforderungen des Artikels 28 DSGVO erfüllt. Diese Dokumentation ist Teil des Datenschutzregisters des Unternehmens. Der Verantwortliche muss auch dokumentieren, welche Kontrollmaßnahmen durchgeführt wurden und welche Ergebnisse diese hatten. Im Fall einer Datenschutzverletzung oder einer Überprüfung durch die Datenschutzbehörde muss der Verantwortliche nachweisen können, dass ein ordnungsgemäßer AVV vorhanden ist. Dies dient dem Nachweis der Erfüllung der Datenschutzverpflichtungen.
Rechte und Pflichten des Auftragsverarbeiters
Datenschutzkonforme Datenverarbeitung
Der Auftragsverarbeiter ist verpflichtet, personenbezogene Daten nur nach Weisung des Verantwortlichen zu verarbeiten. Dies ist eine absolute Pflicht, die nicht verletzt werden darf. Der Auftragsverarbeiter darf Daten nicht für eigene Zwecke nutzen und darf diese nicht an unbefugte Dritte weitergeben. Der Auftragsverarbeiter muss die Daten nur so lange speichern, wie dies für die Erfüllung des Auftrags erforderlich ist, und muss die Daten danach löschen oder an den Verantwortlichen zurückgeben. Der Auftragsverarbeiter muss auch sicherstellen, dass alle Mitarbeiter, die Zugriff auf die Daten haben, zum Datenschutz verpflichtet und geschult sind.
Meldung von Datenschutzverletzungen
Der Auftragsverarbeiter ist verpflichtet, Datenschutzverletzungen unverzüglich dem Verantwortlichen zu melden. Dies muss ohne unzumutbare Verzögerung und idealerweise innerhalb von 24 Stunden geschehen. Die Meldung muss alle relevanten Informationen enthalten, wie Art der Verletzung, Umfang der betroffenen Daten, Kategorie der betroffenen Personen und wahrscheinliche Folgen der Verletzung. Der AVV muss festlegen, wie die Meldung erfolgt und an wen sie adressiert wird. Der Auftragsverarbeiter muss dem Verantwortlichen auch bei der Erfüllung von Meldepflichten gegenüber der Datenschutzbehörde unterstützen.
Unterstützungspflichten bei Anfragen von Betroffenen
Der Auftragsverarbeiter muss den Verantwortlichen bei der Erfüllung von Anfragen betroffener Personen unterstützen. Dies umfasst Anfragen zur Auskunftserteilung, zum Recht auf Löschung, zum Widerspruchsrecht und zum Recht auf Datenportabilität. Der Auftragsverarbeiter muss die notwendigen Daten zur Verfügung stellen, damit der Verantwortliche die Anfragen beantworten kann. Der AVV sollte konkrete Prozesse festlegen, wie diese Unterstützung erfolgt und in welchem Zeitrahmen der Auftragsverarbeiter reagieren muss. Diese Unterstützungspflichten sind essentiell für die Erfüllung der Rechte betroffener Personen.
Internationale Datenübertragungen im AVV
Transfermechanismen für Datenflüsse in Drittländer
Wenn Daten in Länder außerhalb der Europäischen Union übertragen werden, müssen spezielle Transfermechanismen verwendet werden. Der AVV muss festlegen, welcher Transfermechanismus verwendet wird. Die gängigsten Mechanismen sind Standardvertragsklauseln (SVC), Adequacy-Entscheidungen der Europäischen Kommission und verbindliche interne Datenschutzvorschriften. Ein AVV kann nicht einfach vorsehen, dass Daten in ein Drittland übertragen werden, ohne eines dieser Mechanismen zu verwenden. Der Verantwortliche muss zudem eine Transferimpactanalyse durchführen, um zu prüfen, ob die rechtliche Situation im Drittland einen ausreichenden Schutz bietet.
Standardvertragsklauseln und Adequacy-Entscheidungen
Standardvertragsklauseln sind von der Europäischen Kommission genehmigte Vertragsbestimmungen, die einen angemessenen Schutz für Daten bei Übertragungen in Drittländer bieten. Diese Klauseln müssen in den AVV integriert werden, wenn eine Datenübertragung geplant ist. Adequacy-Entscheidungen bedeuten, dass die Europäische Kommission ein Drittland als Land mit angemessenem Datenschutzniveau eingestuft hat. In diesem Fall sind keine zusätzlichen Schutzmechanismen erforderlich. Allerdings gibt es nur wenige Länder mit Adequacy-Entscheidungen. Der AVV muss diese rechtlichen Vorgaben berücksichtigen und kann nicht einfach vorsehen, dass Daten ohne Mechanismus übertragen werden.
Besonderheiten bei Cloud-Services im Ausland
Cloud-Services von internationalen Anbietern bringen besondere Anforderungen mit sich. Viele große Cloud-Anbieter haben Server in verschiedenen Ländern, und die Daten können in mehreren Ländern gespeichert oder verarbeitet werden. Der AVV muss festlegen, in welchen Ländern die Daten gespeichert werden und welche Transfermechanismen für die Übertragung zwischen verschiedenen Ländern verwendet werden. Dies ist besonders wichtig für Anbieter mit Sitz in den USA, da die Datenschutzsituation dort komplexer ist. Der Verantwortliche muss überprüfen, welche Datenschutzgesetze des Drittlands auf die Datenverarbeitung anwendbar sind, und ob diese mit der DSGVO kompatibel sind.
Praktische Implementierung des AVV in Unternehmen
Identifikation von Auftragsverarbeitern im Betrieb
Der erste Schritt zur Implementierung eines AVV ist die Identifikation aller Auftragsverarbeiter im Unternehmen. Dies erfordert ein Audit aller Geschäftsprozesse und Verträge. Ein Unternehmen muss überprüfen, welche externen Dienstleister personenbezogene Daten verarbeiten. Dies sind oft nicht offensichtlich, beispielsweise der Anbieter des E-Mail-Services, der Telefonanbieter, der Lohnrechner oder der Reinigungsdienst. Nach einer vollständigen Identifikation muss das Unternehmen überprüfen, ob bereits AVVs mit diesen Dienstleistern vorhanden sind und ob diese den DSGVO-Anforderungen entsprechen.
Verhandlung und Abschluss von Verträgen
Nachdem alle Auftragsverarbeiter identifiziert wurden, müssen mit diesen Verhandlungen über AVVs geführt werden. Dies kann schwierig sein, wenn der Dienstleister kein standardisiertes AVV-Muster anbietet. In diesem Fall kann das Unternehmen ein Mustervertrag verwenden und diesen an die Dienstleister weitergeben. Viele große Cloud-Anbieter und SaaS-Unternehmen stellen mittlerweile standardisierte AVVs zur Verfügung, die bereits DSGVO-konform sind. Der Abschluss sollte schriftlich erfolgen und vor der Datenübermittlung abgeschlossen sein. Es ist wichtig, dass alle relevanten Parteien im Unternehmen den Vertrag verstehen und den Bedingungen zustimmen.
Integration in die Datenschutz-Dokumentation
Die AVVs müssen Teil der Datenschutz-Dokumentation des Unternehmens sein. Dies umfasst das Datenschutzregister, in dem alle Verarbeitungstätigkeiten dokumentiert sind. Das Unternehmen sollte eine Liste aller AVVs führen, die Informationen über den Auftragsverarbeiter, den Gegenstand der Verarbeitung und das Datum des Vertragsabschlusses enthalten. Diese Liste sollte regelmäßig aktualisiert werden und allen relevanten Mitarbeitern, insbesondere dem Datenschutzbeauftragten, zugänglich sein. Eine ordnungsgemäße Dokumentation hilft dem Unternehmen, seine Datenschutzkonformität nachzuweisen.
Hoster und Cloud-Provider: Spezifische AVV-Anforderungen
Anforderungen an Hosting-Verträge mit Datenschutzbezug
Hosting-Verträge müssen datenschutzrechtliche Aspekte berücksichtigen. Ein reiner technischer Hosting-Vertrag ohne Datenschutzbestimmungen ist nicht ausreichend. Der Hosting-Vertrag muss ein Datenschutz-Anhang oder ein separater AVV enthalten, der regelt, wie der Hosting-Anbieter mit personenbezogenen Daten umgeht. Dies umfasst Fragen wie Verschlüsselung, Sicherheit, Standort der Server, Zugriffskontrolle und Notfall-Recovery. Der Hosting-Anbieter muss Garantien geben, dass die Daten sicher verwahrt sind und dass er bei Sicherheitsverletzungen informiert wird.
Cloud-Computing und die Besonderheiten der Auftragsverarbeitung
Cloud-Computing ist ein Modell, bei dem Rechenressourcen und Speicher über das Internet zur Verfügung gestellt werden. Die Auftragsverarbeitung im Cloud-Computing ist komplex, da mehrere Parteien beteiligt sein können, beispielsweise der Cloud-Anbieter, der Infrastruktur-Anbieter und möglicherweise auch Dritte, die auf die Cloud-Services zugreifen. Der AVV mit einem Cloud-Provider muss alle diese Aspekte berücksichtigen. Der Cloud-Provider muss dem Verantwortlichen volle Kontrolle über die Daten geben und muss Audits durchführen, um die Sicherheit zu überprüfen. Der AVV muss auch festlegen, wie die Daten bei Beendigung des Vertrags zurückgegeben oder gelöscht werden.
SaaS, PaaS und IaaS – unterschiedliche Anforderungen
Software-as-a-Service (SaaS) ist ein Modell, bei dem Softwareanwendungen über das Internet zur Verfügung gestellt werden. Der Anbieter hat weniger direkte Kontrolle über die personenbezogenen Daten im Vergleich zu Platform-as-a-Service (PaaS) oder Infrastructure-as-a-Service (IaaS). Trotzdem ist ein AVV erforderlich. Bei PaaS stellt der Anbieter eine Plattform zur Verfügung, auf der der Verantwortliche Anwendungen entwickeln und ausführen kann. Bei IaaS stellt der Anbieter nur die Infrastruktur zur Verfügung, wie Server und Speicher. Die Anforderungen an den AVV unterscheiden sich je nach Service-Modell. Bei SaaS ist der AVV oft eine Standard-Vorlage des Anbieters. Bei PaaS und IaaS muss der AVV oft detaillierter sein, da der Verantwortliche mehr Kontrolle hat und die Sicherheit mehr von der Konfiguration des Verantwortlichen abhängt.
Häufige Fehler bei der Erstellung von Auftragsverarbeitungsverträgen
Unvollständige oder unzureichende Vertragsinhalte
Ein häufiger Fehler ist die Erstellung eines AVV, der nicht alle Anforderungen des Artikels 28 Absatz 3 DSGVO erfüllt. Beispielsweise vergessen viele Unternehmen, den Gegenstand und die Dauer der Verarbeitung genau zu beschreiben, oder sie legen nicht fest, welche Arten von personenbezogenen Daten verarbeitet werden. Ein weiterer Fehler ist die Verwendung von Standardtexten, die nicht an die spezifische Verarbeitungssituation angepasst werden. Dies führt zu Verträgen, die zwar offiziell vorhanden sind, aber keinen praktischen Nutzen haben und bei einer Datenschutzprüfung nicht bestehen würden.
Fehlende Sicherheitsverpflichtungen
Viele AVVs enthalten keine konkreten Verpflichtungen des Auftragsverarbeiters bezüglich Sicherheitsmaßnahmen. Ein häufiger Fehler ist ein einfacher Satz wie „Der Auftragsverarbeiter ergreift angemessene Sicherheitsmaßnahmen“, ohne konkrete Maßnahmen zu spezifizieren. Dies ist nicht ausreichend. Der AVV sollte konkrete Anforderungen enthalten, wie Verschlüsselung, Zugriffskontrolle, regelmäßige Sicherheitstests und die Implementierung eines Informationssicherheitsmanagementsystems. Ein fehlender oder unzureichender Sicherheitsabschnitt im AVV ist ein großes Risiko für das Unternehmen.
Mangelnde Kontrolle und Überwachungsrechte
Ein weiterer häufiger Fehler ist, dass der AVV dem Verantwortlichen nicht ausreichende Kontrollrechte einräumt. Der Vertrag sollte festlegen, dass der Verantwortliche das Recht hat, Audits durchzuführen, Dokumentationen zu überprüfen und Inspektionen vor Ort durchzuführen. Ein AVV, der diese Rechte nicht vorsieht, ist nicht DSGVO-konform. Ein fehlender Kontrollmechanismus bedeutet, dass der Verantwortliche nicht überprüfen kann, wie die Daten verarbeitet werden, was seine Verantwortung gefährdet.
Bußgelder und rechtliche Konsequenzen
Strafen bei Verstoß gegen AVV-Anforderungen
Die Verletzung von Anforderungen an Auftragsverarbeitungsverträge wird von Datenschutzbehörden mit Bußgeldern geahndet. Nach Artikel 83 Absatz 5 DSGVO können Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes des Unternehmens verhängt werden. Dies gilt als die niedrigere Kategorie von Verstößen. Schwerwiegendere Verstöße, wie die Verarbeitung ohne einen gültigen AVV, können mit Bußgeldern bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden. Diese Strafen sind erheblich und können für viele Unternehmen existenzbedrohend sein.
Haftungsrisiken für Unternehmen
Ein Unternehmen, das ohne einen gültigen AVV Daten an einen externen Dienstleister übermittelt, trägt die volle Haftung für Datenschutzverletzungen. Dies bedeutet, dass das Unternehmen nicht nur Bußgelder zahlen muss, sondern auch Schadensersatzansprüche von betroffenen Personen abwehren oder zahlen muss. Ein fehlender AVV wird von Gerichten und Datenschutzbehörden als besonders schwerwiegend betrachtet, da es zeigt, dass das Unternehmen nicht die notwendigen Sorgfaltsmaßnahmen ergriffen hat. Dies kann zu einem erhöhten Haftungsrisiko führen.
Schadensersatzansprüche betroffener Personen
Betroffene Personen haben das Recht, Schadensersatz zu fordern, wenn ihre personenbezogenen Daten unrechtmäßig verarbeitet wurden. Dies kann Vermögensschäden und immateriellen Schäden, wie Schmerzensgeld für emotionalen Stress, umfassen. Wenn Datenschutzverletzungen auftreten und das Unternehmen keinen gültigen AVV mit dem Auftragsverarbeiter abgeschlossen hat, erhöhen sich die Chancen von Betroffenen, erfolgreich Schadensersatz zu fordern. Dies bedeutet zusätzliche finanzielle Risiken für das Unternehmen.
Muster und Vorlagen für Auftragsverarbeitungsverträge
Verfügbare Standard-Vorlagen und deren Verwendung
Es gibt viele Standard-Vorlagen für Auftragsverarbeitungsverträge, die online verfügbar sind. Datenschutzbehörden in verschiedenen Bundesländern bieten Muster und Vorlagen an. Auch Interessenverbände, wie die Branchenverbände oder Handelskammern, stellen Muster zur Verfügung. Große Cloud-Anbieter und SaaS-Unternehmen bieten ebenfalls Standardverträge an, die bereits DSGVO-konform sind. Diese Standard-Vorlagen sind ein guter Ausgangspunkt, sollten aber an die spezifischen Anforderungen des Unternehmens angepasst werden.
Anpassung von Musterverträgen an spezifische Anforderungen
Ein Mustervertrag ist ein generischer Vertrag, der auf viele Situationen anwendbar ist, aber nicht alle spezifischen Anforderungen eines Unternehmens oder eines Auftragsverarbeiters abdeckt. Ein Unternehmen sollte einen Mustervertrag nehmen und diesen anpassen, um die spezifischen Anforderungen zu berücksichtigen. Dies umfasst die Anpassung der Art und des Umf
Fazit
Der Auftragsverarbeitungsvertrag ist ein unverzichtbares Instrument für die datenschutzkonforme Zusammenarbeit mit externen Dienstleistern. Ob Hosting-Anbieter, Cloud-Provider oder andere Auftragsverarbeiter – ohne einen rechtskonformen AVV verstößt das Unternehmen gegen die Anforderungen der DSGVO und des BDSG. Die Implementierung eines umfassenden Auftragsverarbeitungsvertrags mit allen erforderlichen Sicherheitsmaßnahmen, Kontrollrechten und Pflichtinhalten schützt nicht nur die betroffenen Personen, sondern minimiert auch rechtliche Risiken für das beauftragende Unternehmen. Unternehmen sollten daher sicherstellen, dass alle externen Dienstleister, die personenbezogene Daten verarbeiten, durch entsprechende Verträge gebunden sind. Eine regelmäßige Überprüfung und Aktualisierung dieser Verträge trägt dazu bei, die Datenschutzcompliance zu gewährleisten und potenzielle Bußgelder zu vermeiden. Bei Fragen zur korrekten Ausgestaltung eines AVV empfiehlt sich eine rechtliche Beratung durch Datenschutzexperten.