Was ist ein Auftragsverarbeitungsvertrag (AVV)?
Ein Auftragsverarbeitungsvertrag (AVV) ist ein rechtsverbindliches Dokument, das zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter in schriftlicher oder elektronischer Form geschlossen wird. Sie regelt den Umfang und den Zweck der Verarbeitung sowie die Beziehung zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter. Der Vertrag ist wichtig, damit beide Parteien ihre Verantwortung und Haftung verstehen.
Warum brauchen Unternehmen einen Auftragsverarbeitungsvertrag?
Es ist praktisch nicht möglich, ein Unternehmen zu führen, ohne personenbezogene Daten zu verarbeiten und mit anderen Unternehmen auszutauschen. Dabei kann es sich um Website-Analysesoftware, Cloud-Speicher, CRM- oder Marketingplattformen handeln. Unabhängig davon, ob Sie der für die Verarbeitung Verantwortliche, der Auftragsverarbeiter, der Unterauftragsverarbeiter oder gemeinsam für die Verarbeitung Verantwortlicher sind, müssen Sie mit der Partei, mit der Sie personenbezogene Daten austauschen, einen rechtmäßigen Auftragsverarbeitungsvertrag abschließen.
Die DSGVO enthält keine rechtlichen Beschränkungen für die Form der Datenverarbeitungsvereinbarung. Wenn der Auftragsverarbeiter jedoch außerhalb der EU ansässig ist und ein internationaler Datentransfer stattfindet, gibt es einige spezifische Anforderungen an das Format der Dokumentation, z. B. Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften usw.
In Anbetracht der Komplexität der Aufgabe ist es ratsam, einen Auftragsverarbeitungsvertrag als separates Dokument zu erstellen.
Benötige ich einen Auftragsverarbeitungsvertrag?
Wenn Sie personenbezogene Daten mit anderen Parteien austauschen, sollten Sie über einen Auftragsverarbeitungsvertrag verfügen. Die Artikel 28 bis 36 der DSGVO regeln die Anforderungen an die Datenverarbeitung und Auftragsverarbeitungsverträge. Schauen wir uns die Aufgaben der verschiedenen Rollen etwas genauer an.
Für die Verarbeitung Verantwortlicher
Unternehmen A erhebt Kundendaten und speichert sie in einem Online-SaaS-CRM-System, das von Unternehmen B bereitgestellt wird. In einem solchen Fall ist Unternehmen A der für die Verarbeitung Verantwortliche und Unternehmen B ein Auftragsverarbeiter.
Auftragsverarbeiter
Der Auftragsverarbeiter sollte die Daten ausschließlich in der von dem für die Verarbeitung Verantwortlichen geforderten Weise verarbeiten. Der Auftragsverarbeiter muss über eine angemessene Informationssicherheit verfügen, sollte keine Unterauftragsverarbeiter ohne das Wissen und die Einwilligung des für die Verarbeitung Verantwortlichen einsetzen, muss im Falle einer Anfrage mit den Behörden zusammenarbeiten, muss dem für die Verarbeitung Verantwortlichen Verletzungen des Schutzes personenbezogener Daten melden, sobald er davon Kenntnis erlangt, muss dem für die Verarbeitung Verantwortlichen die Möglichkeit geben, Audits durchzuführen, um die Einhaltung der DSGVO zu überprüfen, muss den für die Verarbeitung Verantwortlichen bei der Einhaltung der Rechte der betroffenen Personen unterstützen, muss den für die Verarbeitung Verantwortlichen bei der Bewältigung der Folgen von Verletzungen des Schutzes personenbezogener Daten unterstützen, muss nach Beendigung des Vertrags nach Wahl des für die Verarbeitung Verantwortlichen alle personenbezogenen Daten löschen oder zurückgeben und muss den für die Verarbeitung Verantwortlichen informieren, wenn die Verarbeitungsanweisungen gegen die DSGVO verstoßen.
Unterauftragsverarbeiter
Unternehmen B bietet ein Online-SaaS-CRM-System an, das auf einer Plattform von Unternehmen C gehostet wird. Da Unternehmen B der Auftragsverarbeiter ist, wird Unternehmen C als Unterauftragsverarbeiter betrachtet.
Gemeinsam für die Verarbeitung Verantwortliche
Ein Reisebüro sammelt einen Teil der personenbezogenen Daten eines Kunden (Name und E-Mail), um ein Hotel zu buchen, und das Hotel sammelt dann den Rest der Daten (Adresse, Überprüfung der Identität usw.). Da beide einen Teil desselben Prozesses ausführen, sind sie gemeinsam für die Verarbeitung Verantwortliche.
Was sollte in einem Auftragsverarbeitungsvertrag enthalten sein?
Die Artikel 28 bis 36 der DSGVO legen die Bedingungen für den Datenaustausch und die Bedingungen für den Umgang mit personenbezogenen Daten zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter fest. Hier sind die wichtigsten Themen, die Sie in Ihrem Auftragsverarbeitungsvertrag abdecken müssen.
Details über die Verarbeitung
- Gegenstand und Dauer der Verarbeitung;
- Art und Zweck der Verarbeitung;
- die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen;
- Zweck und Rechtsgrundlage der Verarbeitung der personenbezogenen Daten;
- Rechte und Pflichten des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters.
Nützlicher Tipp, der Ihnen Zeit spart
Mindestbedingungen für Vereinbarungen zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter
Der Auftragsverarbeiter muss gemäß den schriftlichen Anweisungen des für die Verarbeitung Verantwortlichen handeln
Die Vereinbarung zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter muss besagen, dass der Auftragsverarbeiter personenbezogene Daten nur gemäß den dokumentierten Anweisungen des für die Verarbeitung Verantwortlichen verarbeiten darf (auch bei der internationalen Übermittlung personenbezogener Daten), es sei denn, er ist aufgrund von EU- oder mitgliedstaatlichem Recht zu etwas anderem verpflichtet.
Eine Anweisung kann in jeder schriftlichen Form dokumentiert werden, auch per E-Mail. Die Anweisung muss in reproduzierbarer Form erfolgen, so dass ein Nachweis der Belehrung vorliegt.
Diese Vertragsklausel sollte klarstellen, dass der für die Verarbeitung Verantwortliche und nicht der Auftragsverarbeiter die Gesamtkontrolle darüber hat, was mit den personenbezogenen Daten geschieht.
Handelt ein Auftragsverarbeiter außerhalb der Weisungen des für die Verarbeitung Verantwortlichen in der Weise, dass er über den Zweck und die Mittel der Verarbeitung entscheidet, so wird er in Bezug auf diese Verarbeitung als für die Verarbeitung Verantwortlicher betrachtet und unterliegt derselben Haftung wie ein für die Verarbeitung Verantwortlicher.
Vertraulichkeit der verarbeiteten personenbezogenen Daten
In der Vereinbarung zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter muss festgelegt werden, dass der Auftragsverarbeiter von jeder Person, der er die Verarbeitung personenbezogener Daten gestattet, eine Vertraulichkeitsverpflichtung einholen muss, es sei denn, diese Person ist bereits per Gesetz dazu verpflichtet.
Diese Vertragsklausel sollte sich auf die Mitarbeiter des Auftragsverarbeiters sowie auf alle Zeitarbeitskräfte und Drittparteien beziehen, die Zugang zu den personenbezogenen Daten haben.
Verpflichtung zu angemessener Informationssicherheit, technische und organisatorische Maßnahmen müssen eingehalten werden
Der Vertrag zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter verpflichtet den Auftragsverarbeiter, alle erforderlichen Sicherheitsmaßnahmen zu ergreifen, um die Anforderungen an die Sicherheit der Verarbeitung zu erfüllen (siehe Artikel 32).
Sowohl die für die Verarbeitung Verantwortlichen als auch die Auftragsverarbeiter sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der von ihnen verarbeiteten personenbezogenen Daten zu gewährleisten, wozu gegebenenfalls auch Folgendes gehört:
- Verschlüsselung und Pseudonymisierung;
- die Fähigkeit, die kontinuierliche Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme und -dienste zu gewährleisten;
- die Fähigkeit, den Zugang zu personenbezogenen Daten im Falle eines Vorfalls wiederherzustellen; und
- Verfahren zur regelmäßigen Prüfung und Bewertung der Wirksamkeit der Maßnahmen.
Verhaltenskodizes und Zertifizierungen können Auftragsverarbeitern helfen, ausreichende Garantien dafür zu geben, dass ihre Verarbeitung mit der DSGVO übereinstimmt.
Die Anforderung, Unterauftragsverarbeiter nur mit Wissen und Einwilligung des für die Verarbeitung Verantwortlichen einzusetzen
In der Vereinbarung muss stehen, dass:
- der Auftragsverarbeiter keinen Unterauftragsverarbeiter beauftragen darf, ohne dass der für die Verarbeitung Verantwortliche zuvor eine spezielle oder allgemeine schriftliche Genehmigung erteilt hat;
- wenn ein Unterauftragsverarbeiter mit der allgemeinen schriftlichen Genehmigung des für die Verarbeitung Verantwortlichen eingesetzt wird, sollte der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen über alle beabsichtigten Änderungen informieren und ihm die Möglichkeit geben, diese abzulehnen;
- wenn der Auftragsverarbeiter einen Unterauftragsverarbeiter einsetzt, muss er einen Vertrag abschließen, der diesem Unterauftragsverarbeiter dieselben Datenschutzpflichten auferlegt;
- tder Auftragsverarbeiter gegenüber dem für die Verarbeitung Verantwortlichen dafür haftet, dass der Unterauftragsverarbeiter seinen Datenschutzpflichten nachkommt.
Zusammenarbeit des Auftragsverarbeiters bei der Bearbeitung von Anträgen auf Zugang zu personenbezogenen Daten
Die Vereinbarung muss vorsehen, dass der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergreift, um den für die Verarbeitung Verantwortlichen dabei zu unterstützen, auf Anfragen von Personen zur Ausübung ihrer Rechte zu reagieren.
Zusammenarbeit des Auftragsverarbeiters zum Schutz der Rechte und der Privatsphäre der betroffenen Personen
In der Vereinbarung zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter muss festgelegt werden, dass der Auftragsverarbeiter unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Verpflichtungen unterstützen muss:
- personenbezogene Daten sicher aufbewahren;
- Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde;
- Meldung von Verletzungen des Schutzes personenbezogener Daten an die betroffenen Personen;
- bei Bedarf Datenschutz-Folgenabschätzungen (DSFAs) durchzuführen; und
- die Aufsichtsbehörde zu konsultieren, wenn eine DSFA auf ein hohes Risiko hinweist, das nicht gemindert werden kann.
In der Vereinbarung zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter sollte so klar wie möglich festgelegt werden, wie der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Verpflichtungen helfen wird.
Dauer der Verarbeitung und Rückgabe und/oder Löschung der personenbezogenen Daten
Die Vereinbarung muss besagen, dass der Auftragsverarbeiter bei Vertragsende verpflichtet ist:
- nach Wahl des für die Verarbeitung Verantwortlichen alle personenbezogenen Daten, die er für ihn verarbeitet hat, zu löschen oder an den für die Verarbeitung Verantwortlichen zurückzugeben; und
- • die vorhandenen Kopien der personenbezogenen Daten zu löschen, es sei denn, das Recht der EU oder eines Mitgliedstaates schreibt die Aufbewahrung der Daten vor.
Es ist zu beachten, dass die Löschung personenbezogener Daten auf sichere Weise und in Übereinstimmung mit den Sicherheitsanforderungen von Artikel 32 erfolgen sollte.
Der Vertrag muss diese Bedingungen enthalten, um den Schutz der personenbezogenen Daten auch nach Vertragsende zu gewährleisten. Dies spiegelt die Tatsache wider, dass es letztlich dem für die Verarbeitung Verantwortlichen obliegt zu entscheiden, was mit den verarbeiteten personenbezogenen Daten geschehen soll, sobald die Verarbeitung abgeschlossen ist.
Der Auftragsverarbeiter sollte dem für die Verarbeitung Verantwortlichen die Durchführung von Audits zur Überprüfung der Einhaltung der Vorschriften gestatten
Gemäß Artikel 28 Absatz 3 Buchstabe h) muss die Vereinbarung Folgendes vorsehen:
- den Auftragsverarbeiter, dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung zu stellen, die erforderlich sind, um nachzuweisen, dass die Verpflichtungen gemäß Artikel 28 erfüllt wurden; und
- den Auftragsverarbeiter, Audits und Inspektionen durch den für die Verarbeitung Verantwortlichen oder einen von ihm beauftragten Prüfer zuzulassen und daran mitzuwirken.
Diese Bestimmung verpflichtet den Auftragsverarbeiter, dem für die Verarbeitung Verantwortlichen die Einhaltung aller Bestimmungen von Artikel 28 nachzuweisen. Der Auftragsverarbeiter könnte dies zum Beispiel tun, indem er dem für die Verarbeitung Verantwortlichen die erforderlichen Informationen zur Verfügung stellt oder ihn einer Prüfung oder Inspektion unterzieht.
Das Führen von Verzeichnisse von Verarbeitungstätigkeiten wäre für den Auftragsverarbeiter nützlich, um die Einhaltung von Artikel 28 nachzuweisen. Die Anforderungen an die Auftragsverarbeiter, Verzeichnisse von Verarbeitungstätigkeiten zu führen, sind in Artikel 30(2) festgelegt.
Andere Anforderungen
Wenn es die DSGVO fordert, muss der Auftragsverarbeiter einen Datenschutzbeauftragten ernennen und beide Parteien müssen sich auf eine regelmäßige Überprüfung der Vertragsbedingungen einigen.
Organisieren Sie Ihre Auftragsverarbeitungsverträge.
Fordern Sie eine Demo an und testen Sie es 14 Tage lang kostenlos.
