leute-im-zimmer-und-mann-betreten

Auftragsverarbeitung (AVV): Worauf Sie bei Dienstleistern achten müssen

VonJanko Williams

Was Sie in diesem Artikel erfahren

Die Auftragsverarbeitung (AVV) ist ein zentrales Thema im Datenschutz, das jedes Unternehmen betrifft, das personenbezogene Daten an externe Dienstleister übermittelt. In diesem Artikel erfahren Sie, welche rechtlichen Grundlagen die AVV hat, warum ein schriftlicher Vertrag unerlässlich ist und welche kritischen Aspekte Sie bei der Auswahl und Überprüfung Ihrer Dienstleister beachten müssen. Wir gehen detailliert auf die Inhalte eines AVV-Vertrags ein und geben Ihnen eine Checkliste an die Hand, mit der Sie sicherstellen können, dass Sie den Anforderungen der DSGVO gerecht werden. Von der technischen und organisatorischen Sicherheit bis zur Subunternehmerkontrolle – wir beleuchten alle wichtigen Punkte, um Sie vor rechtlichen und finanziellen Risiken zu schützen.

Die rechtliche Grundlage: Was ist eine Auftragsverarbeitung?

Die Auftragsverarbeitung, früher als Auftragsdatenverarbeitung (ADV) bekannt, ist in Artikel 28 der Datenschutz-Grundverordnung (DSGVO) geregelt. Sie liegt immer dann vor, wenn ein Unternehmen (der Verantwortliche) personenbezogene Daten im Auftrag und nach Weisung an einen anderen Dienstleister (den Auftragsverarbeiter) zur Verarbeitung übermittelt. Dies geschieht in der Regel, um bestimmte Aufgaben auszulagern, wie beispielsweise die Lohnbuchhaltung, das Hosting von Webseiten, Cloud-Speicher oder den Versand von Newslettern.

Der entscheidende Punkt dabei ist, dass der Dienstleister die Daten nicht für eigene Zwecke verarbeitet, sondern ausschließlich nach den Vorgaben des Auftraggebers handelt. Der Auftraggeber behält die volle Verantwortung für die Rechtmäßigkeit der Datenverarbeitung. Aus diesem Grund schreibt die DSGVO vor, dass eine solche Auftragsverarbeitung zwingend durch einen schriftlichen Vertrag oder ein gleichwertiges Dokument geregelt werden muss.

Warum ein AVV-Vertrag unverzichtbar ist

Ein fehlender oder mangelhafter AVV-Vertrag ist kein Kavaliersdelikt, sondern ein schwerwiegender Verstoß gegen die DSGVO. Dies kann empfindliche Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes nach sich ziehen. Noch schwerwiegender können die Folgen sein, wenn es zu einem Datenschutzvorfall kommt, beispielsweise durch eine Sicherheitslücke beim Dienstleister. Ohne einen wirksamen Vertrag stehen Sie als Auftraggeber in der vollen Haftung und müssen sich den Aufsichtsbehörden stellen.

Der AVV-Vertrag dient nicht nur der Einhaltung der gesetzlichen Vorschriften, sondern schafft auch Klarheit und Transparenz. Er legt die Spielregeln fest und schützt beide Parteien. Für Sie als Verantwortlichen ist er das wichtigste Instrument, um sicherzustellen, dass Ihre Daten bei externen Dienstleistern in sicheren Händen sind und die Vorgaben der DSGVO eingehalten werden.

Checkliste: Worauf Sie bei der Auswahl des Dienstleisters achten müssen

Die Auswahl eines passenden Auftragsverarbeiters ist der erste und wohl wichtigste Schritt. Es reicht nicht aus, nur auf den Preis zu schauen. Sie müssen sich vergewissern, dass der Dienstleister die notwendigen technischen und organisatorischen Maßnahmen (TOM) ergreift, um die Sicherheit der Daten zu gewährleisten.

1. Standort und Datentransfer

Der Standort des Dienstleisters und der Server spielt eine entscheidende Rolle. Befindet sich der Dienstleister in einem EU-Land oder in einem Land mit einem Angemessenheitsbeschluss (z.B. Schweiz, Kanada), ist der Datentransfer in der Regel unproblematisch. Bei Dienstleistern aus Drittländern ohne Angemessenheitsbeschluss (wie den USA) wird es komplizierter. Hier müssen Sie zusätzliche Sicherungsmaßnahmen ergreifen, wie beispielsweise die Standarddatenschutzklauseln (SCC) der EU-Kommission. Nach dem Schrems II-Urteil ist zudem eine Einzelfallprüfung der Gesetzeslage im Drittland erforderlich, um sicherzustellen, dass die Daten dort adäquat geschützt sind.

2. Technische und Organisatorische Maßnahmen (TOM)

Die TOM sind das Herzstück der Datensicherheit. Ein guter Auftragsverarbeiter kann Ihnen detailliert Auskunft darüber geben, welche Maßnahmen er ergreift, um die Daten zu schützen. Fragen Sie nach:

  • Zugangskontrollen: Wer hat physischen Zugang zu den Serverräumen?
  • Zutrittskontrollen: Welche Maßnahmen verhindern unbefugten Zutritt zu den Datenverarbeitungsanlagen?
  • Zugriffskontrollen: Wie wird der Zugriff auf die Daten selbst geregelt (Passwörter, Berechtigungskonzepte, Zwei-Faktor-Authentifizierung)?
  • Übertragungskontrollen: Werden Daten bei der Übertragung verschlüsselt (z.B. SSL/TLS)?
  • Speicherkontrollen: Wie werden die Daten gespeichert und gesichert (Verschlüsselung, Backups)?
  • Verfügbarkeitskontrollen: Wie wird sichergestellt, dass die Daten im Ernstfall wiederhergestellt werden können?
  • Dokumentation und Protokollierung: Werden alle Zugriffe und Verarbeitungen protokolliert?

Lassen Sie sich die TOM schriftlich bestätigen und idealerweise in einem gesonderten Anhang zum AVV-Vertrag festhalten.

3. Subunternehmer und ihre Kontrolle

Viele Dienstleister arbeiten ihrerseits mit Subunternehmern zusammen. Ein Hosting-Anbieter mag seine Server in der EU haben, nutzt aber vielleicht eine Cloud-Infrastruktur aus den USA. Ihr AVV-Vertrag muss regeln, ob und unter welchen Bedingungen Subunternehmer eingesetzt werden dürfen. Als Verantwortlicher müssen Sie die Zustimmung zum Einsatz der Subunternehmer erteilen und sicherstellen, dass diese ebenfalls die Vorgaben der DSGVO einhalten. Der Hauptauftragsverarbeiter muss die gleichen Pflichten, die er Ihnen gegenüber hat, auch an seine Subunternehmer weitergeben.

Die Inhalte eines AVV-Vertrags im Detail

Der AVV-Vertrag muss laut DSGVO bestimmte Mindestinhalte aufweisen. Wenn diese fehlen, ist der Vertrag unwirksam. Hier sind die wichtigsten Punkte:

1. Gegenstand, Dauer und Zweck der Verarbeitung

  • Gegenstand der Verarbeitung: Was genau soll verarbeitet werden? (z.B. Hosting einer Webseite, Lohnbuchhaltung, Versand von E-Mails)
  • Dauer der Verarbeitung: Für wie lange ist die Auftragsverarbeitung geplant? (z.B. Dauer des Hauptvertrags)
  • Zweck der Verarbeitung: Wofür werden die Daten benötigt? (z.B. zur Abwicklung von Bestellungen, zur Bereitstellung eines Cloud-Speichers)

2. Art der personenbezogenen Daten und Kategorien betroffener Personen

  • Art der Daten: Welche Daten werden verarbeitet? (z.B. Namen, Adressen, E-Mail-Adressen, Bankdaten)
  • Kategorien betroffener Personen: Wessen Daten sind betroffen? (z.B. Kunden, Mitarbeiter, Website-Besucher)

3. Rechte und Pflichten der Parteien

Der Vertrag muss die Pflichten des Auftragsverarbeiters und die Rechte des Auftraggebers klar regeln. Dazu gehören:

  • Weisungsrecht des Auftraggebers: Der Auftragsverarbeiter muss sich an Ihre Weisungen halten.
  • Pflicht zur Unterstützung: Der Auftragsverarbeiter muss Sie bei der Erfüllung Ihrer Pflichten unterstützen, z.B. bei Auskunftsersuchen von betroffenen Personen oder bei Datenschutz-Folgenabschätzungen.
  • Geheimhaltung: Alle Mitarbeiter des Auftragsverarbeiters müssen zur Vertraulichkeit verpflichtet sein.
  • Meldepflicht bei Datenschutzverletzungen: Der Auftragsverarbeiter muss Sie unverzüglich informieren, wenn es zu einer Datenpanne kommt.
  • Rückgabe oder Löschung der Daten: Am Ende der Auftragsverarbeitung müssen die Daten entweder gelöscht oder an Sie zurückgegeben werden.

4. Konkrete Maßnahmen zur Datensicherheit

Die technischen und organisatorischen Maßnahmen (TOM) sollten detailliert beschrieben und idealerweise in einem separaten Anhang festgehalten werden. Ein einfacher Verweis auf “marktübliche Standards” ist nicht ausreichend.

Fazit: Vorsicht ist besser als Nachsicht

Die Auftragsverarbeitung ist ein wesentlicher Bestandteil der heutigen Geschäftswelt, birgt aber auch erhebliche datenschutzrechtliche Risiken. Ein sorgfältig ausgearbeiteter und rechtlich einwandfreier AVV-Vertrag ist Ihr wichtigstes Instrument, um diese Risiken zu minimieren. Achten Sie bei der Auswahl Ihrer Dienstleister nicht nur auf deren Leistungsfähigkeit, sondern insbesondere auf deren Datenschutzkonformität. Überprüfen Sie die technischen und organisatorischen Maßnahmen, klären Sie die Subunternehmer-Kette und stellen Sie sicher, dass alle gesetzlich vorgeschriebenen Punkte im Vertrag enthalten sind. Nur so können Sie als Verantwortlicher Ihrer Pflicht nachkommen und sich vor teuren Bußgeldern und Reputationsschäden schützen. Die Investition in eine sorgfältige Prüfung und einen robusten AVV-Vertrag zahlt sich langfristig aus.

Ähnliche Beiträge