Neuigkeiten & Fachwissen
25.04.2022 | DATENSCHUTZ & IT-SICHERHEIT

In der europäischen Datenschutz-Grundverordnung (EU DSGVO, folgend nur DSGVO genannt) wird im Artikel 4 Nr. 7 und 8 zwischen Auftragsdatenverarbeitung und Funktionsübertragung unterschieden. Wenn darauf basierend ein Auftragsdatenverarbeitungsvertrag (AVV) geschlossen wird, sollten der Umfang und die genauen Zuständigkeiten umfassend geklärt werden. Was genau ist ein Auftragsdatenverarbeitungsvertrag, was beinhaltet er und wann wird er benötigt? 

Auftragsdatenverarbeitungsvertrag

(Bild: © greenbutterfly – stock.adobe.com)

Inhaltsverzeichnis

  1. Was ist ein Auftragsdatenverarbeitungsvertrag?
  2. Wann muss ein AVV geschlossen werden?
  3. Wer muss den Auftragsdatenverarbeitungsvertrag erstellen?
  4. Fazit

Was ist ein Auftragsdatenverarbeitungsvertrag?

Datenschutzrechtlich besteht hinsichtlich des Schutzes personenbezogener Daten ein Verbotsprinzip mit Erlaubnisvorbehalt. D. h. die Erhebung, Verarbeitung oder Speicherung von personenbezogenen Daten ist grundsätzlich verboten. Wird aber eine Erlaubnis des Verantwortlichen erteilt, können diese Daten auch durch Dritte verarbeitet werden – stellvertretend für die Betroffenen kann durch Gesetze und Normen eine generelle Erlaubnis erteilt werden.

Wie bereits angesprochen muss hinsichtlich eines Auftragsdatenverarbeitungsvertrags (AVV oder ADV-Vertrag) zwischen Auftragsdatenverarbeitung und Funktionsübertragung unterschieden werden. Dazu gilt gemäß DSGVO:

  • eine Auftragsverarbeitung (Art. 28 DSGVO)
  • eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO)
  • eine „normale“ Übermittlung an einen anderen Verantwortlichen

Ein AV-Vertrag wird dann benötigt, wenn eine Auftragsdatenverarbeitung durch einen Dritten vollzogen wird. Dabei müssen stets alle datenschutzrechtlichen Aspekte berücksichtigt werden. Der Auftragsdatenverarbeitungsvertrag ist bereits fester Bestandteil vieler Dienstleistungsverträge.

Der AVV sollte dabei stets folgende Punkte berücksichtigen:

  • Gegenstand und Dauer der Verarbeitung
  • Leistungskatalog
  • Art und Zweck der Verarbeitung
  • Art und Zweck der personenbezogenen Daten
  • Rechte und Pflichten des Auftraggebers
  • Vertraulichkeitsverpflichtung
  • Benennung der technischen und organisatorischen Maßnahmen (TOMs)
  • Arbeitnehmerverpflichtung (u. A. Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung)
  • Prüfungsvereinbarung

Wann muss ein AVV geschlossen werden – wer ist für was verantwortlich?

Der Zweck eines AV-Vertrag ist meistens die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch einen Subunternehmer oder Drittdienstleister. Dabei bleibt der Auftraggeber der Verantwortliche oder die verantwortliche Stelle, der Auftragnehmer hingegen ist „nur“ weisungsgebunden. Dementsprechend ist selbst nach Abschluss des ADV-Vertrages weiterhin der Auftraggeber für die personenbezogenen Daten verantwortlich, bzw. haftungsrechtlich belangbar. 

Verantwortlicher nach Art. 4 Nr. 7 DSGVO kann sowohl eine juristische Person, Behörde oder Einrichtung sein – gleiches gilt für den Auftragsverarbeiter (AV). Dieser steht, wie bereits erwähnt, in einer weisungsgebundenen Abhängigkeit zum Verantwortlichen. D. h. er kann keine eigenen Entscheidungen hinsichtlich der Datenbearbeitung treffen.

Wichtig: Der AVV kann nur schriftlich abgeschlossenen werden – eine mündliche Vereinbarung oder elektronischer Abschluss ist nicht rechtskräftig.

Wann ist ein Auftragsdatenverarbeitungsvertrag notwendig?

Arbeitsbereiche oder Programme, bei denen ein AVV zwingend notwendig ist, sind z. B.:

  • IT-Prüfung oder Wartung durch einen Dienstleister
  • Software-as-a-Service-Lösungen (SaaS)
  • Externe Buchhaltung
  • Cloud-Speicher
  • Arbeit mit Agenturen
  • Online-Programme zur Datenerhebung, -bearbeitung oder -nutzung

Wichtig: Bei Dienstleistungen durch Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, Ärzte oder Wirtschaftsprüfer) wird grundsätzlich kein ADV-Vertrag benötigt.

SaaS und Datenschutz

Bei Software-as-a-Service Lösungen handelt es sich um Service-Software, die in den meisten Fällen ausschließlich über das Internet betrieben wird. Diese beinhalten generell eine Cloud zur automatischen Datenspeicherung. Vorteile dieser Art von Programmen sind offensichtlich: geringer Pflege- und Wartungsaufwand, automatische Aktualisierungen und potenzielle Skalierbarkeit.

Dennoch besteht ein erhöhtes Datenschutzrisiko, da der Datensatz nicht auf betriebseigenen Server gespeichert wird. Das ist u. a. ein Grund dafür, dass die meisten Anbieter zusätzliche Sicherheitsmaßnahmen zum Schutz personenbezogener Daten etabliert haben.

An dieser Stelle kommt der AVV ins Spiel. Mit diesem können Unternehmen gezielt festlegen, welche Daten in welchem Umfang mit welchen TOMs behandelt werden sollen.

Browserbasierte CRM-Systeme 

Bei Nutzung von Programmen des Kundenbeziehungsmanagements oder der Kundenpflege (CRM), die nicht im firmeneigenen Intranet lokalisiert sind, sollten Unternehmen stets auf einen AVV zurückgreifen. Bei browserbasierten CRM-Systemen darf der Auftragsverarbeiter keinen direkten Zugriff auf die Datenstruktur im Unternehmen bekommen, sondern ausschließlich innerhalb der Eckpunkte des Auftragsdatenverarbeitungsvertrags agieren.

Auftragsverarbeitung in Drittländern

Seit dem Schrems II Urteil (2020) steht der Datentransfer in Drittländer (Nicht-EU-Länder) im Fokus des Gesetzgebers. Mit dem Urteil ging einher, dass alle in der EU ansässigen Unternehmen bei einer internationalen Datenübermittlung selbstständig prüfen müssen, inwiefern die DSGVO eingehalten wird. 

Das beinhaltet die Überprüfung der verwendeten Programme und kooperierenden Unternehmen. Ein Schlüsselbegriff ist hierbei: privacy by design. Im datenschutzrechtlichen Kontext sind damit die Funktionalität und einzelne Arbeitsschritte gemeint, die jederzeit den Ansprüchen des Datenschutzes nachkommen sollten – auch an dieser Stelle ist ein ADV-Vertrag unabdingbar.

Grundsätzlich gilt: eine Datenübermittlung in ein Drittland ist nur zulässig, wenn im Zielland ein hohes Datenschutzniveau herrscht oder individuelle Datenschutzabkommen getroffen wurden – z. B. erkennt die EU den Datenschutz in den USA nicht als gleichwertig an (es fehlen einheitliche Datenschutzregelungen).

Daher existieren die EU-Standartvertragsklauseln, die eine Datenübermittlung aus Europa in die USA möglich machen. Neben dem dafür notwendigen AVV unterstützen die Binding Corporate Rules in manchen Fällen (beide Firmen gehören zu derselben Firmengruppe) die Datenspeicherung in Drittländern.

Wer muss den Auftragsdatenverarbeitungsvertrag erstellen?

Wie bereits erwähnt, muss jedes Unternehmen, das Daten zur Verarbeitung an andere Unternehmen weitergibt, einen ADV-Vertrag abschließen. Bei der konkreten Ausformulierung des Vertrags arbeiten meist Rechtsabteilung und der Datenschutzbeauftragte (DSB) eng zusammen. Aber besonders Letzterem obliegt die Gewährleistung der Datensicherheit. Dementsprechend sollte der DSB nicht denselben Vertrag zur Datenverarbeitung für unterschiedliche Anbieter benutzen. Es gilt, individuelle Verträge für individuelle Unternehmen zu schließen.

Veranstaltungsempfehlungen

Ab einer Unternehmensgröße von 20 oder mehr Mitarbeitern, die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist das Unternehmen nach DSGVO verpflichtet, einen Datenschutzbeauftragten zu benennen und dafür zu sorgen, dass dieser über Fachwissen und Datenschutzpraxis verfügt. Beides wird in dem Zertifikats-Lehrgang „Betriebliche/r Datenschutzbeauftragte/r″ vermittelt und vertieft.

Neben der unternehmerischen Perspektive müssen auch öffentliche Stellen stets auf einen DSB und in gegebenem Falle auf einen AVV zurückgreifen. Anders als bei Privatunternehmen existiert keine Mindestanzahl an Mitarbeitern, die zur Benennung eines DSB verpflichtet – ein behördlicher Datenschutzbeauftragter muss in jedem Fall benannt werden. An dieser Stelle gilt es geeignete Mitarbeiter speziell zu schulen – hierfür bietet sich der Zertifikats-Lehrgang „Behördliche/r Datenschutzbeauftragte/r an, der das entscheidende Fachwissen und viele Praxisbeispiele vermittelt.

Verarbeitungsverzeichnis

Im Rahmen der Dokumentations- und Rechenschaftspflicht ist der Datenschutzbeauftragte stellvertretend für das Unternehmen oder die Behörde dafür verantwortlich, ein Verzeichnis über die Verarbeitungstätigkeiten (VVT) zu führen. Darin sollten auch alle Auftragsverarbeitungen zu finden sein. Ein derartiges Verzeichnis signalisiert gleichzeitig auch Transparenz und Gewissenhaftigkeit im Umgang mit personenbezogenen Daten.

Fazit

Der AVV stellt eine der Grundsäulen der Auftragsverarbeitung personenbezogener Daten dar. Ohne ihn wäre dies rechtlich nicht möglich. Dabei gilt die Regel: individueller Vertrag für individuelle Unternehmen.

Ob die Datenübermittlung innerhalb oder außerhalb der EU stattfindet, der Datenschutzbeauftragte muss stets die aktuelle Rechtslage und die praktischen Feinheiten des Datenschutzes und der Datensicherheit berücksichtigen. Das kann besonders bei einer Kooperation mit ausländischen Firmen zu Komplikationen führen. Falls ein derartiger Fall auftritt, sollten ausgewiesene Experten zurate gezogen werden.

Neben alldem bezeugt der Auftragsdatenverarbeitungsvertrag aber vor allem eines: Das jeweilige Unternehmen vermittelt Datenschutzernsthaftigkeit und signalisiert Sicherheitsbewusstsein und Wertschätzung personenbezogener Daten.

In drei Tagen zum qualifizierten und kompetenten Datenschutzbeauftragten

Zertifikats-Lehrgang, Dauer 3 Tage
5 Termine ab 04.06.2024
Präsenz oder online

 

Quellen: Redaktion Datenschutz & IT-Sicherheit, Buch „Datenschutz 2022“, tagesschau, BfDI

Augsburg, 25.04.2022
Online-Redaktion AKADEMIE HERKERT

Newsletter
aktuelle Neuigkeiten
wertvolles Fachwissen
verschiedene Themengebiete