Der Auftragsverarbeitungs-Vertrag (AVV)
Was ist der AVV und was muss rein?
von Karin Selzer, Consultant Compliance und Datenschutz bei der SAVISCON GmbH
In diesem Blog-Beitrag sehen wir uns in unserem internen Projekt Datenschutz aus der Reihe GRC@SAVISCON (hier geht’s zum initialen Blog-Beitrag) den AV-Vertrag (Auftragsverarbeitungsvertrag) genauer an. Ein AV-Vertrag ist ein Vertrag über die Auftragsverarbeitung, der immer dann abgeschlossen werden muss, wenn personenbezogene Daten durch einen weisungsabhängigen Dienstleister verarbeitet werden. Ganz neu ist das Thema nicht, denn im Bundesdatenschutzgesetz (BDSG) war das Dokument als ADV-Vertrag (Auftragsdatenverarbeitungs-Vertrag) bekannt.
Was hat sich durch die Einführung der EU-Datenschutz-Grundverordnung geändert?
Das Verhältnis zwischen Auftraggeber und Auftragnehmer wird schärfer ausgestaltet. Insbesondere durch die Rechenschaftspflicht wird man als verantwortliche Stelle deutlich stärker in die Pflicht genommen. Nach Art. 26 DS-GVO gibt es nun auch „Gemeinsame Verantwortliche“. Neu ist auch die gemeinsame Haftung von Auftraggeber und Auftragnehmer bei Datenschutzverstößen mit Schadenersatzansprüchen (Art. 82 DS-GVO).
Was passiert mit bereits bestehenden ADV-Verträgen auf Grundlage des BDSG?
Diese sollten neu verhandelt und neu abgeschlossen werden. Zumindest ist dies die datenschutzkonformere und damit sicherere Lösung. Ansonsten besteht auch die Möglichkeit alte ADV-Verträge durch Ergänzungsverträge an die neue gesetzliche Grundlage anzupassen. Das kann allerdings mit hohem manuellen Aufwand verbunden sein, wenn die ADV-Verträge nicht standardisiert, sondern sehr individuell gestaltet wurden.
Inhalt eines AV-Vertrages
Folgende Bestandteile (Mindestanforderungen) muss ein AV-Vertrag lt. DS-GVO haben, um die einzelnen Rechte und Pflichten von Auftraggeber und Auftragnehmer bei der Auftragsverarbeitung zu regeln (Art. 28 DS-GVO):
- Angaben zu Auftraggeber, Auftragnehmer und Vertreter innerhalb der EU
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten
- Kategorien von betroffenen Personen
- Umfang der Weisungsbefugnisse
- Pflichten und Rechte des Verantwortlichen (z. B. Kontrollrecht)
- Pflichten des Auftragsverarbeiters (z. B. Rückgabe bzw. Löschung personenbezogener Daten nach Auftragsende, Beschäftigung von Subunternehmer, Unterstützung bei Betroffenenanfragen und bei der Meldepflicht von Datenschutzverletzungen)
- Sicherstellung von technischen und organisatorischen Maßnahmen (TOM)
Die Auflistung der technischen und organisatorischen Maßnahmen erfolgt üblicherweise in einer separaten Anlage zum AV-Vertrag und ist ebenfalls von beiden Parteien zu unterschreiben.
Woran erkenne ich einen Auftragsverarbeiter?
Ein „Auftragsverarbeiter“ ist eine natürliche oder eine juristische Person (Unternehmen), eine Behörde, eine Einrichtung oder eine andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Ein Auftragsverarbeiter bestimmt weder den Zweck noch die Mittel der Datenverarbeitung, dies obliegt ausschließlich dem Auftraggeber (Verantwortlicher). Allerdings darf der Auftragnehmer durchaus geeignete technische und organisatorische Schutzmaßnahmen selbst auswählen. Folgende Kriterien deutet auf eine Auftragsverarbeitung hin:
Der Auftragnehmer
- hat keine Entscheidungsbefugnis über die Daten
- verfolgt keinen eigenen Geschäftszweck bezüglich der personenbezogenen Daten
- unterliegt einem Nutzungsverbot der zu verarbeitenden Daten
- steht in keiner vertraglichen Beziehung zu den Betroffenen
- ist nach außen hin nicht für die Datenverarbeitung verantwortlich, sondern der Auftraggeber
Klassische Auftragsverarbeiter sind z. B.
- IT-Dienstleister, Hosting-Anbieter (Webseite)
- Anbieter für Daten- und Aktenvernichtung (Datenschutztonne)
- Externer Lettershop (Mailings)
Wann ist kein AV-Vertrag notwendig?
Eine einfach Frage, auf die es aber leider keine einfache pauschale Antwort gibt. Denn hier sind die einzelnen Aufsichtsbehörden und auch die Datenschutzkonferenz (DSK) nicht immer einer Meinung und es gibt immer mal wieder unterschiedliche Auslegungen.
Laut LDA Bayern stellt die Beauftragung mit fachlichen Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht, bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar. D. h. wenn ein Dienstleister z. B. die Wartung an der Stromzufuhr oder an der Kühlung übernimmt, spricht man nicht von einem Auftragsverarbeiter (keine Verarbeitung personenbezogener Daten) und es ist kein AV-Vertrag notwendig.
Wird aber ein IT-Dienstleister, der sich z. B. per Fernwartung (IT-Support) auf den Rechner aufschalten kann und dabei Zugriff auf personenbezogene Daten haben könnte, als Auftragsverarbeiter gesehen. Sie sehen, es ist eine genaue Betrachtung des Dienstleisters und der Art der Verarbeitung notwendig.
Hier einige Beispiele aus der FAQ-Liste des LDA Bayern wann keine Auftragsverarbeitung vorliegt:
a) Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen z. B.
- Berufsgeheimnisträger (Ärzte, Steuerberater, Rechtsanwälte, Wirtschaftsprüfer)
- Inkassobüros mit Forderungsübertragung
- Bankinstitute für den Geldtransfer
- Postdienste für den Brief- oder Pakettransport
- Matching-Dienste (z. B. Personalvermittler)
b) im Kern keine beauftragte Verarbeitung personenbezogener Daten, sondern der Auftrag zielt auf eine andere Tätigkeit z. B.
- vom Vermieter beauftragte Handwerker, die dazu die nötigen Mieterdaten erhalten
- Sachverständige zur Begutachtung eines Kfz-Schadens
- Personenbeförderung, Krankentransportleistungen
- Bewachungsdienstleistungen
- Reinigungsdienstleistungen und Handwerkereinsätze in Unternehmen
Muster AV-Verträge
Um einen datenschutzkonformen AV-Vertrag zu erstellen, müssen Sie das Rad aber nicht neu erfinden. Hier gibt es sehr gute Vorlagen, die auf jeden Fall eine gute Basis darstellen und an Ihr Unternehmen und Ihre Auftragsverarbeiter angepasst werden können:
- Vorlage des LDA Bayern
- Vorlage der GDD (in deutscher und englischer Sprache verfügbar)
Aktuell aus unserer Praxis
Wir arbeiten mehrmals im Jahr mit einer Telemarketing-Agentur zusammen, die für uns im Anschluss an Mailings Adressen abtelefoniert, um Beratungstermine zu vereinbaren oder Informationsmaterial zu versenden. Hier werden ganz klar personenbezogene Daten nach Weisung von uns als Auftraggeber verarbeitet. Zusätzlich zu den jeweiligen Einzelaufträgen (Hauptverträge) gibt es einen AV-Vertrag zwischen beiden Parteien, der so lange gültig sein wird, wie die Geschäftsbeziehung aktiv ist.
Den Abschluss haben wir natürlich auch in unserem GRC-COCKPIT dokumentiert, in dem wir eine Maßnahme dazu angelegt und mit dem erfassten Partner (Telemarketing-Agentur) verknüpft haben. So können wir auf Knopfdruck überprüfen, ob es sich bei dem Partner um einen Auftragsverarbeiter (Dienstleister) handelt und ob hier ein gültiger AV-Vertrag vorliegt. Denn dieser wird ebenfalls verknüpft bzw. fest als Anhang hinterlegt.
Sollte es neue Vorgaben der Datenschutzbehörden geben, können wir aus dem GRC-COCKPIT heraus eine Liste an Auftragsverarbeitern erstellen und so weitere Maßnahmen (z. B. AV-Vertrag aktualisieren) erzeugen und bis zum Abschluss überwachen. Natürlich handelt es sich bei diesem Prozess um einen Verarbeitungsprozess nach Art. 30 DS-GVO. Wie man ein solches Verzeichnis von Verarbeitungstätigkeiten aufsetzt, haben wir bereits in einem vorherigen Blog-Beitrag erklärt: Zum Beitrag Verzeichnis von Verarbeitungstätigkeiten aufbauen
…to be continued:
Hier die Zusammenfassung der bisher wichtigsten Erkenntnisse zum Thema „AV-Vertrag“:
- Alte ADV-Verträge am besten neu verhandeln und abschließen
- Prüfen, bei welchen Partnern es sich um Auftragsverarbeiter handelt
- Wenn möglich Muster AV-Verträge verwenden
- Übersichtliche Dokumentation der Partner / Auftragsverarbeiter inkl. AV-Verträge
Im nächsten Blog-Beitrag am 16. September, schauen wir wieder gemeinsam in das Projekt Compliance-Management.
Über die Autorin:
Karin Selzer ist Consultant für Compliance & Datenschutz und interne Datenschutzbeauftragte bei der SAVISCON GmbH. Seit Januar 2021 kümmert sie sich um maßgebliche Richtlinien und die Umsetzung aller relevanten Themen rund um Compliance und Datenschutz. Zusätzlich steht sie unseren GRC-COCKPIT Kunden und Interessenten mit Rat und Tat zur Seite. Kontakt: 040 80 90 81 446 oder karin.selzer@saviscon.de