Auftragsverarbeitungsvertrag: Wann Unternehmen einen AV-Vertrag brauchen

In der heutigen digitalisierten Geschäftswelt lagern Unternehmen zunehmend Prozesse an externe Dienstleister aus. Ob es sich um das Hosting der Firmenwebsite, die Nutzung cloudbasierter Softwarelösungen oder die Beauftragung eines externen Lohnbüros handelt – sobald personenbezogene Daten im Spiel sind, rückt das Datenschutzrecht in den Fokus. Ein zentrales Instrument der Datenschutz-Grundverordnung (DSGVO) in diesem Kontext ist der sogenannte Auftragsverarbeitungsvertrag.

Die rechtlichen Anforderungen an die Auslagerung von Datenverarbeitungen sind streng. Ein fehlender oder unzureichender Auftragsverarbeitungsvertrag kann nicht nur zu empfindlichen Bußgeldern führen, sondern auch das Vertrauen von Kunden und Geschäftspartnern nachhaltig schädigen. Daher ist es für Geschäftsführer, Selbstständige und Datenschutzverantwortliche unerlässlich zu verstehen, wann genau ein solcher Vertrag abgeschlossen werden muss und welche inhaltlichen Anforderungen die DSGVO daran stellt.

Dieser Beitrag bietet eine fundierte Übersicht über die wesentlichen Aspekte der

Auftragsverarbeitung. Er beleuchtet typische Fallstricke im Unternehmensalltag und gibt praktische Hinweise, wie die Zusammenarbeit mit externen Dienstleistern datenschutzkonform gestaltet werden kann.

Was ist ein Auftragsverarbeitungsvertrag? Ein Auftragsverarbeitungsvertrag, häufig auch kurz AV-Vertrag genannt, ist eine rechtliche Vereinbarung zwischen einem Verantwortlichen (dem Auftraggeber) und einem Auftragsverarbeiter (dem Dienstleister). Die DSGVO definiert den Verantwortlichen als die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der Auftragsverarbeiter hingegen verarbeitet diese Daten im Auftrag und nach den Weisungen des Verantwortlichen.

Der Zweck des Vertrages zur Auftragsverarbeitung besteht darin, sicherzustellen, dass der Dienstleister die ihm anvertrauten Daten ausschließlich im Rahmen der festgelegten Weisungen verarbeitet und angemessene technische sowie organisatorische Maßnahmen zum Schutz dieser Daten ergreift. Der Auftragsverarbeitungsvertrag dient somit der rechtlichen Absicherung beider Parteien und dokumentiert die Einhaltung der datenschutzrechtlichen Vorgaben.

Es ist wichtig zu betonen, dass die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung grundsätzlich beim Auftraggeber verbleibt. Dieser darf nur solche Dienstleister beauftragen, die hinreichend Garantien dafür bieten, dass geeignete Schutzmaßnahmen durchgeführt werden und die Verarbeitung im Einklang mit der DSGVO erfolgt.

Wann ist ein AV-Vertrag zwingend erforderlich? Die Notwendigkeit, einen Auftragsverarbeitungsvertrag abzuschließen, ergibt sich aus Artikel 28 der DSGVO. Sobald ein Unternehmen einen externen Dienstleister damit beauftragt, weisungsgebunden personenbezogene Daten zu verarbeiten, liegt in der Regel eine Auftragsverarbeitung vor. Dies betrifft eine Vielzahl von alltäglichen Geschäftsprozessen.

Ein klassisches Beispiel ist das Webhosting. Wenn ein Unternehmen seine Website auf den Servern eines externen Providers betreibt, werden zwangsläufig IP-Adressen und möglicherweise weitere Nutzerdaten der Website-Besucher auf diesen Servern gespeichert und verarbeitet. In diesem Fall fungiert der Hosting-Provider als datenschutzrechtlicher Dienstleister, und ein AV-Vertrag ist zwingend erforderlich.

Weitere typische Konstellationen, die den Abschluss eines Auftragsverarbeitungsvertrags erfordern, umfassen: • • • •

Die Nutzung von Cloud-Diensten (z. B. für Datenspeicherung, E-Mail-Kommunikation oder Kollaboration). Die Beauftragung von externen IT-Dienstleistern mit der Wartung und Fernwartung von Systemen, sofern diese potenziell Zugriff auf personenbezogene Daten haben. Die Auslagerung der Lohnund Gehaltsabrechnung an ein externes Steuerbüro oder einen speziellen Dienstleister. Der Einsatz von Software-as-a-Service (SaaS)-Lösungen für das Customer-RelationshipManagement (CRM) oder das Personalwesen.

•

Die Nutzung von externen Newsletter-Versanddiensten oder Marketing-Agenturen, die

Kundendaten für Werbekampagnen verarbeiten.

In all diesen Fällen ist der Dienstleister nicht frei in der Entscheidung, was mit den Daten geschieht, sondern handelt streng nach den Vorgaben des beauftragenden Unternehmens.

Abgrenzung: Wann liegt keine Auftragsverarbeitung vor? Nicht jede Zusammenarbeit mit einem externen Dienstleister, bei der personenbezogene Daten eine Rolle spielen, stellt automatisch eine Auftragsverarbeitung dar. Es gibt wichtige Ausnahmen und Abgrenzungskriterien, die in der Praxis häufig zu Unsicherheiten führen.

Eine Auftragsverarbeitung liegt beispielsweise dann nicht vor, wenn der externe Dienstleister eine sogenannte eigene Fachleistung erbringt und dabei nicht streng weisungsgebunden hinsichtlich der Datenverarbeitung agiert. In solchen Fällen entscheidet der Dienstleister selbst über die Zwecke und Mittel der Verarbeitung und wird somit selbst zum datenschutzrechtlich Verantwortlichen.

Typische Beispiele für Konstellationen ohne Auftragsverarbeitungsvertrag sind:

• • •

•

Die Inanspruchnahme von Postund Telekommunikationsdiensten für den reinen Transport von Nachrichten. Die Beauftragung von Banken und Zahlungsdienstleistern zur Abwicklung des Zahlungsverkehrs. Die Inanspruchnahme von Berufsgeheimnisträgern wie Rechtsanwälten, Steuerberatern oder Wirtschaftsprüfern. Diese üben ihre Tätigkeit eigenverantwortlich aus und unterliegen eigenen strengen Verschwiegenheitspflichten. Die Beauftragung von Inkassounternehmen, sofern diese die Forderungen im eigenen Namen und auf eigenes Risiko einziehen.

Die genaue rechtliche Einordnung, ob im konkreten Fall ein Auftragsverarbeitungsvertrag erforderlich ist oder nicht, hängt maßgeblich von der Ausgestaltung der vertraglichen Beziehung und der tatsächlichen Durchführung der Dienstleistung ab. Eine sorgfältige Prüfung der jeweiligen Umstände ist daher unerlässlich.

Zwingende inhaltliche Anforderungen an den AV-Vertrag

Wenn die Voraussetzungen für eine Auftragsverarbeitung erfüllt sind, schreibt Artikel 28 Absatz 3 der DSGVO detailliert vor, welche Inhalte der Auftragsverarbeitungsvertrag zwingend umfassen muss. Ein bloßer Verweis auf allgemeine Geschäftsbedingungen oder eine formlose Vereinbarung reicht keinesfalls aus. Der Vertrag muss schriftlich oder in einem elektronischen Format geschlossen werden.

Zu den wesentlichen Pflichtbestandteilen eines rechtskonformen AV-Vertrags gehören unter anderem: • • •

•

• •

•

•

•

•

Gegenstand und Dauer der Verarbeitung: Es muss klar definiert werden, welche Art von

Datenverarbeitung der Dienstleister durchführt und wie lange der Vertrag läuft. Art und Zweck der Verarbeitung: Die konkreten Zwecke, für die die Daten verarbeitet werden dürfen, müssen abschließend festgelegt sein. Art der personenbezogenen Daten und Kategorien betroffener Personen: Der Vertrag muss spezifizieren, welche Daten (z. B. Kontaktdaten, Gesundheitsdaten) von welchen Personen (z. B. Kunden, Mitarbeiter) verarbeitet werden. Pflichten und Rechte des Verantwortlichen: Die Weisungsbefugnis des Auftraggebers muss ausdrücklich verankert sein. Vertraulichkeit: Der Auftragsverarbeiter muss gewährleisten, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben. Technische und organisatorische Maßnahmen (TOM): Der Vertrag muss detailliert aufführen, welche Sicherheitsmaßnahmen der Dienstleister ergreift, um ein angemessenes Schutzniveau für die Daten zu gewährleisten. Einsatz von Unterauftragsverarbeitern: Es muss geregelt sein, ob und unter welchen Bedingungen der Dienstleister weitere Subunternehmer beauftragen darf. In der Regel bedarf dies der vorherigen schriftlichen Zustimmung des Auftraggebers. Unterstützungspflichten: Der Auftragsverarbeiter muss den Verantwortlichen bei der Erfüllung von Betroffenenrechten (z. B. Auskunft, Löschung) sowie bei der Meldung von Datenschutzverletzungen unterstützen. Rückgabe oder Löschung der Daten: Es muss vereinbart werden, was nach Beendigung des Vertrages mit den verarbeiteten Daten geschieht. Kontrollrechte: Der Auftraggeber muss das Recht haben, die Einhaltung der vertraglichen und gesetzlichen Pflichten durch den Dienstleister zu überprüfen, beispielsweise durch Audits oder Inspektionen.

Ein fehlender oder unvollständiger Auftragsverarbeitungsvertrag stellt einen Verstoß gegen die DSGVO dar und kann von den Datenschutzaufsichtsbehörden mit erheblichen Geldbußen geahndet werden.

Typische Fehler und Risiken in der Praxis

Im unternehmerischen Alltag kommt es im Zusammenhang mit Auftragsverarbeitungsverträgen immer wieder zu typischen Fehlern, die rechtliche und wirtschaftliche Risiken bergen.

Ein häufiger Fehler ist das blinde Vertrauen auf Musterverträge, die von den Dienstleistern vorgelegt werden. Viele Software-Anbieter und Cloud-Dienste stellen standardisierte AVVerträge zur Verfügung. Diese sind jedoch oft sehr einseitig zugunsten des Dienstleisters formuliert und erfüllen nicht immer alle Anforderungen der DSGVO. Unternehmen sollten solche Verträge nicht ungeprüft akzeptieren, sondern kritisch hinterfragen, ob die darin beschriebenen technischen und organisatorischen Maßnahmen tatsächlich angemessen sind und ob die Regelungen zum Einsatz von Subunternehmern den eigenen Anforderungen entsprechen.

Ein weiteres Risiko besteht darin, dass Verträge zwar abgeschlossen, aber in der Praxis nicht gelebt werden. Ein Auftragsverarbeitungsvertrag ist kein Dokument, das nach der Unterzeichnung in der Schublade verschwinden darf. Der Verantwortliche hat eine fortlaufende Kontrollpflicht. Er muss sich regelmäßig davon überzeugen, dass der Dienstleister die vereinbarten Schutzmaßnahmen tatsächlich umsetzt und die datenschutzrechtlichen Vorgaben einhält.

Zudem wird häufig übersehen, dass auch die Beauftragung von Dienstleistern außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) besonderen Anforderungen unterliegt. Wenn personenbezogene Daten in ein sogenanntes Drittland übermittelt werden, müssen zusätzliche Garantien für ein angemessenes Datenschutzniveau geschaffen werden, beispielsweise durch den Abschluss von Standardvertragsklauseln der EUKommission. Ein einfacher Auftragsverarbeitungsvertrag reicht in diesen Fällen nicht aus.