Was ist ein AV-Vertrag?
Der AV-Vertrag gemäß Artikel 28 DSGVO löste 2018 den Auftragsdatenverarbeitungsvertrag (ADV-Vertrag) nach § 11 Abs. 2 des deutschen Bundesdatenschutzgesetzes (BDSG) ab. Durch die neuen, strengeren EU-Vorgaben soll in erster Linie die Datensicherheit der Verbraucher gestärkt werden.
Als User begegnen uns Auftragsverarbeitungsverträge im Alltag meist nicht, da sie im Hintergrund von Unternehmen mit deren Auftragnehmern abgeschlossen werden. Sie dienen dazu, gesonderte Einwilligungserklärungen zu ersetzen, die im Internet meist mit einer Checkbox am Ende einer Eingabemaske eingeholt werden. Mit einem Klick erlauben Nutzer so oftmals die Datenweitergabe an Dritte. Da diese Einwilligung stets freiwillig erfolgen muss, ist es für viele Geschäftsmodelle sinnvoller, die Datenweitergabe an einen Dritten zu einem bestimmten Zweck in einem AV-Vertrag zu regeln.
Dabei ist es wichtig, dass der externe Dienstleister die Daten, die er auf Basis des AV-Vertrages erhält, niemals zu eigenen Zwecken verwenden darf, sondern nur als verlängerter Arm des verantwortlichen Unternehmens agiert, mit dem Kunden direkten Kontakt haben. Auftragsverarbeitungsverträge ermöglichen also das Outsourcing von bestimmten IT-Prozessen.
Typisch ist folgende Konstellation:
Unternehmen A (Auftraggeber) beauftragt ein externes Unternehmen B (Auftragnehmer), personengezogene Daten zu verarbeiten. Hauptverantwortlich für den Schutz der erhobenen Daten bleibt der Auftraggeber.
Zu den personenbezogenen Daten zählen alle, die eine direkte Verknüpfung zu einer Person erlauben. Dazu zählen im Internet vor allem:
- Name
- Adresse
- E-Mail-Adresse
- Telefonnummer
- Kontodaten/ Kreditkarteninformationen
- Geburtsdatum
- Nutzername (wenn er mit dem tatsächlichen Namen oder der Mail-Adresse verknüpft ist)
- IP-Adresse
Aber auch alle anderen Daten, die eine Person identifizierbar machen, werden als „personenbeziehbar” und somit „personenbezogen” angesehen.
Sie haben Rechtsfragen zu Ihrer Datenverarbeitung?
Nutzen Sie die #FreeLawyer Beratungs-Flatrate – Sie erhalten zu jedem Ihrer Rechtsprobleme eine Beratung vom Anwalt.
Was beinhaltet ein Auftrag zur Datenverarbeitung?
Ein Auftragverarbeitungsvertrag nach DSGVO regelt die Rechte und Pflichten von Auftraggebern und -nehmern im Rahmen der Datenverarbeitung innerhalb eines bestimmten IT-Prozesses. In den Vertragsklauseln eines AV-Vertrages werden folgende Elemente definiert:
- Vertragsgegenstand
- Art der personenbezogenen Daten
- Zweck der Erhebung und Weiterverarbeitung
- Dauer der Datenspeicherung und -verarbeitung
- Umfang der Weisungsbefugnisse gegenüber Auftragsverarbeiter
- Rechte und Pflichten des Auftragnehmers
- Rechte und Pflichten des Auftragsverarbeiters (mehr dazu weiter unten)
- Löschung der Daten bei Auftragsende
- Möglichkeit, Informationen zu erhalten und Daten zu überprüfen
- Regelung technischer und organisatorischer Maßnahmen (sog. TOM), die der Auftragnehmer bei der
- Datenverarbeitung einhalten muss und durch die Datensicherheit gewährleistet wird
Rechtskonform und eindeutig – so sollten die Klauseln jedes Auftragsverarbeitungsvertrages gestaltet werden. Der AV-Vertrag muss die Verantwortlichkeiten aller Parteien klar definieren, falls es zu Konflikten kommt.
Wer gilt als Auftragsverarbeiter?
AV-Dienstleister können sehr vielfältig sein. Möglich sind natürliche Personen, juristische Personen, Behörden oder Körperschaften des öffentlichen Rechts. Typische Beispiele aus der Praxis sind:
- Lohnbüros und externe Buchhalter (außer Steuerberater)
- Datenträgerentsorger (Aktenvernichtung)
- Werbe- oder Marketingagenturen (z. B. wenn personalisierte Anschreiben/ Mailings erfolgen, oder Einblick in
- Tracking/ Daten aus Kontaktformularen besteht).
- Web-Hoster
- Fernwartungsysteme (IT-Dienstleistungen im Software-Bereich)
- E-Mail- und Newsletter-Hoster
- Software as a Service-Dienstleister (Cloud-Computing), insb. bei der Einbindung externer Web-Services in eine Website
- Google Analytics und andere Tracking-Tools
- Druckereien und Lettershops, wenn Adressdaten für Mailings übergeben werden
- Externe telefonische Kundenservices/ Call-Center
- …
Sobald ein externer Dienstleister die Möglichkeit erhält, auf Kundendaten / Besucherdaten / sonstige personenbezogene Daten eines Unternehmens zuzugreifen, muss dieses Unternehmen davon ausgehen, dass ein AV-Vertrag notwendig wird. Dabei ist allerdings nicht entscheidend, ob der Fremddienstleister tatsächlich auf die relevanten Personendaten zugreift, um seine Leistung zu erbringen.
Ausgenommen sind regelmäßig IT-Dienstleister, die sich nur um die Hardware und technische Verfahren des Unternehmens kümmern. Wenn der Zugriff auf personenbezogene Daten allerdings „nicht ausgeschlossen werden kann”, müssen Sie wahrscheinlich einen AVV mit Ihrem Dienstleister abschließen.
Wann brauchen Sie einen Auftragsverarbeitungsauftrag?
Diese Frage kann in vielen Fällen nicht pauschal beantwortet werden. Generell ist die Beziehung zwischen Auftraggeber und Auftragnehmer das entscheidende Kriterium. Wenn der Auftragnehmer eine Datenverarbeitung nur übernimmt, weil der Auftraggeber die Daten nicht selbst in der Form verarbeiten kann oder will, wird meist eine Konstellation für einen AV-Vertrag vorliegen. Bei einem AV-Vertrag handelt der Auftragnehmer immer nur weisungsbefugt im Auftrag des Auftraggebers.
Besteht keine Weisungsbefugnis innerhalb des Vertragsverhältnisses, so ist Auftragsverarbeitungsvertrag in der Regel nicht das passende Mittel, um eine Einwilligung des Nutzers zu ersetzen.
Beispiel aus der Praxis: Einwilligungserklärung vs. AV-Vertrag
Stellen Sie sich vor, Sie betreiben eine Online-Plattform für Handwerker, auf der Privatpersonen und Unternehmen Handwerksbetriebe suchen und per Eingabemaske direkt beauftragen können. In diesem Szenario sind Sie verantwortlich für die erhobenen Daten, die Ihre Nutzer in die Maske eingeben.
Einwilligungserklärung erforderlich
Die Datenweitergabe an die Handwerker lassen sich nicht durch einen AV-Vertrag legalisieren. Die Unternehmen, die auf Ihrer Plattform als Handwerksbetriebe registriert sind, nutzen die Daten, die Sie erhalten nämlich nicht weisungsgebunden, sondern zu eigenen Zwecken ihres Handwerksbetriebes, z. B. für die Erfüllung eines Werkvertrages.
Falls das beauftragte Handwerksunternehmen die übermittelten Daten missbräuchlich verwendet, könnten gegen Sie als Plattform-Betreiber Haftungsansprüche geltend gemacht werden, wenn Sie die Daten einfach so weitergeben. Für die Datenweitergabe an die Handwerksunternehmen brauchen Sie deshalb eine Einwilligungserklärung Ihrer Nutzer und kommen um eine entsprechende Checkbox nicht herum. Der Abschluss eines AV-Vertrages hilft hier nicht.
Auftragsverarbeitungsvertrag ausreichend
Wenn Sie nun ein externes Unternehmen für Ihr E-Mail-Marketing einschalten, dann können Sie die Datenweitergabe an die E-Mail-Marketing-Agentur datenschutzrechtlich legalisieren, indem Sie mit der Agentur einen Auftragsverarbeitungsvertag abschließen. Eine Einwilligungserklärung Ihrer User brauchen Sie dazu nicht. Wichtig ist hierbei, dass die Agentur die Daten nur um vertraglich festgelegten Umfang nutzt und nicht zu eigenen Zwecken verarbeitet. Die Agentur darf auch nicht nach außen hin in Erscheinung treten. Die Formulierung einer datenschutzrechtlichen Einwilligungserklärung sollten Sie übrigens einem Profi überlassen, da die Anforderungen sind komplex sind.
Sie haben Rechtsfragen zu Ihrer Datenverarbeitung?
Nutzen Sie die #FreeLawyer Beratungs-Flatrate – Sie erhalten zu jedem Ihrer Rechtsprobleme eine Beratung vom Anwalt.
Wann benötige ich generell keinen Auftragsverarbeitungsvertrag?
Einige Datenverarbeiter gelten als eigenständig Verantwortliche und sind bereits durch ihre besonderen gewerbespezifischen und berufsständischen Pflichten verpflichtet, personenbezogene Daten besonders zu schützen. Bei Inanspruchnahme dieser fremden Fachleistungen ist daher laut Datenschutzkonferenz kein AVV nötig. Zu dieser Gruppe gehören unter anderem:
- Wirtschaftsprüfer
- Steuerberater
- Banken und andere Kreditinstitute (Geldtransfer)
- Rechtsanwälte und Notare
- Wirtschaftsprüfer
- Inkassobüros (Forderungsübertragung)
- Postdienstleister (Brieftransport)
- Externe Betriebsärzte
Wenn mehrere Verarbeiter die Daten zu jeweils eigenen Zwecken verarbeiten, könnte eine gemeinsame Verantwortung für die personenbezogenen Daten vorliegen, so dass ggf. Art. 26 DSGVO greift. Diese Konstellation ist von der Auftragsverarbeitung zu unterscheiden.
Als Beispiele nennt die Datenschutzkonferenz klinische Arzneimittelstudien und die gemeinsame Verwaltung von Stammdaten für die Geschäftszwecke mehrerer Unternehmen eines Konzerns (S. 4, Anhang C). Bevor Sie entscheiden, einen Auftragsverarbeitungsvertrag auszusparen, sollten Sie sich aber mit einem Fachanwalt für IT-Recht oder der für Sie zuständigen Datenschutzaufsichtsbehörde beraten. Stellen Sie sicher, dass Sie noch Datenweitergabe stattgefunden hat, bevor Sie Rat bei einer Datenschutzaufsichtsbehörde suchen. Ansonsten besteht das Risiko, dass die Aufsichtsbehörde Bußgelder gegen Ihr Unternehmen verhängt. Wie erste Meldungen über verhängte Bußgelder zeigten, ist die Schonfrist für Auftraggeber spätestens seit Ende 2018 vorbei.
Welche Pflichten haben Auftragsverarbeiter?
Die Pflichten der Datenverarbeiter im Rahmen einer Verarbeitung von Daten für Dritte sind in den Artikeln 28 bis 36 der Datenschutz-Grundverordnung festgehalten. Dies ist ein Auszug der gesetzlichen Pflichten:
- Daten ausschließlich gemäß der vertraglich geregelten Weisung verarbeiten
- Vertraulichkeit wahren und Verschwiegenheitspflicht einhalten
- Verantwortliche unterstützen
- bei der Einhaltung ihrer Pflichten
- bei der Bearbeitung von Anträgen betroffener Nutzer
- Geeignete Maßnahmen ergreifen, um die Datensicherheit zu erhalten
- Im Falle einer Datenschutzverletzung
- Vorfall der Aufsichtsbehörde melden
- Vorfall unverzüglich der/n betroffenen Person/en melden
- Im Falle einer Datenverarbeitung mit hohem Risiko: Beratung mit Aufsichtsbehörde
- Datenschutz-Folgenabschätzung durchführen
Welche Strafen drohen bei fehlendem Auftragsverarbeitungsvertrag?
Die DSGVO sieht eine gemeinsame Haftung vor: Auftraggeber und Auftragnehmer haften demnach für Vertragsbrüche (Art. 82 ff. DSGVO). Im Vergleich zum ADV-Vertrag nach alter Rechtsprechung sind auch die Bußgelder seit dem Inkrafttreten der DSGVO empfindlicher geworden. Anstatt eines fünfstelligen Betrags sind nun Strafen von bis zu 10 Millionen Euro oder bis zu 2 Prozent des vergangenen Jahresumsatzes möglich (Art. 83 Abs. 4 DSGVO). Für massivere Verstöße, wie zum Beispiel gegen die Grundsätze der Verarbeitung, die Bedingungen für die Einwilligung oder die Rechte der Nutzer, können sogar mit Strafen von bis zu 20 Millionen Euro bzw. 4 Prozent des Jahresumsatzes geahndet werden (Art. 83 Abs. 5 DSGVO). Gleichzeitig könnten Verbraucher Schadensersatzansprüche einklagen, wenn ihre Daten nachweislich missbraucht wurden.
Abgestraft werden Auftraggeber, denen unter anderem folgende Verstöße nachweisbar sind:
- Fehlen eines AV-Vertrages, obwohl er erforderlich ist
- Mangelhafte AV-Verträge, in denen unzulässige Klauseln enthalten sind
- Nichtbefolgung von Anweisungen zur Datenübermittlung durch die Datenschutzbehörde
Einige Gerichte folgen der Meinung, dass Wettbewerber verlangen können, dass Unternehmen sich datenschutzkonform verhalten.
Daher nutzen auch Wettbewerber in einigen Branchen die komplexe Rechtslage, um ihre Konkurrenten durch Abmahnungen zu schwächen. Das heißt, Abmahnungen auf der Basis von Verstößen gegen die Datenschutzgesetze können ein Unternehmen zur Zielscheibe von Abmahnern aus der freien Wirtschaft machen.
Wie funktioniert die Auftragsdatenverarbeitung nach DSGVO?
- Der Vertrag muss vor Beginn der Auftragsverarbeitung geschlossen werden.
- Der Auftraggeber muss in regelmäßigen Abständen überprüfen, ob die datenschutzrechtlichen Vorgaben vom Auftragnehmer eingehalten werden. Dies ist durch eine tatsächliche Kontrolle vor Ort, eine schriftliche Auskunft, den Bericht des betriebseigenen Datenschutzbeauftragten oder einen Sachverständigenbericht möglich. Welche Kontrollmaßnahmen in welchen Abständen stattfinden müssen, hängt von der Anzahl und dem Umfang der übermittelten Daten ab. Genaue Vorgaben hierzu macht das Gesetz nicht.
- Alle Überprüfungen des Auftragnehmers müssen dokumentiert werden.
Die Rechenschaftspflicht erhöht Anforderungen an den Auftraggeber. Das bedeutet, dass nicht nur ein Konzept zur Umsetzung der Datenschutzanforderungen vorliegen muss, sondern auch ein Nachweis über die funktionierende Umsetzung.
Ihre Rechtsberatung auf Abruf
Nutzen Sie unsere #FreeLawyer Beratungs-Flatrate: Sie erhalten zu jedem Ihrer Rechtsprobleme eine Beratung vom Anwalt – egal ob zum Thema Datenverarbeitung, Abmahnungen oder Streitigkeiten mit Partnern.
Datenschutzerklärung: Was muss zur Auftragsdatenverarbeitung drinstehen?
In der Datenschutzerklärung der Website muss deutlich aufgeführt werden, wer Nutzerdaten weiterverarbeitet. Ein Klassiker ist dabei Google Analytics oder andere eingesetzte Tracker. Wer Informationen über Tracking-Dienste in der eigenen Datenschutzerklärung ausspart, riskiert hohe Strafen.
Die Inhalte dieses Artikels wurden geprüft durch DURY LEGAL Rechtsanwälte, die spezialisiert sind auf IT-Recht und Datenschutzrecht.
Quelle: Datentschutzkonferenz (DSK), Kurzpapier Nr. 13 – Auftragsverarbeitung Art. 28 DS-GVO