Was ist ein Auftragsverarbeitungsvertrag (AV-Vertrag) und wann benötige ich ihn?

1. Was ist ein AV-Vertrag

Ein Auftragsverarbeitungsvertrag (AV-Vertrag) ist eine Vereinbarung zwischen zwei Unternehmen. Er wird dann benötigt, wenn personenbezogene Daten im Auftrag an Dritte zum Zweck der Verarbeitung weitergegeben werden. Das ist zum Beispiel der Fall, wenn ein Unternehmen auf der Internetseite ein externes Newsletter-Tool nutzt. Der Webseitenbetreiber ist dann verpflichtet, einen AV-Vertrag abzuschließen. Auch wenn ein externer IT-Dienstleister Zugriff auf die EDV per Fernwartung hat, muss ein AV-Vertrag vereinbart werden. Also immer, wenn ein Dritter im Auftrag Zugriff auf personenbezogenen Daten bekommt, muss ein AV-Vertrag gemäß Art. 28 DSGVO geschlossen werden.  Unter der alten Begrifflichkeit des Bundesdatenschutzgesetzes (BDSG) war das Dokument als Auftragsdatenverarbeitungs-Vertrag oder ADV-Vertrag bekannt.

2. Wer ist von der Auftragsverarbeitung betroffen?

In fast allen Bereichen werden Dienstleister zur Datenverarbeitung eingesetzt. Die Auftragnehmer können zum Beispiel natürliche Personen, juristische Personen, Behörden, Einrichtungen oder andere Stellen sein. Konkrete Beispiele für eine Auftragsverarbeitung sind:

• Web-Hoster
• IT-Dienstleister (Fernwartungssysteme)
• Software-as-a-Service Dienstleister (Cloud-Computing) 
• Einsatz von Tracking-Tools wie Google Analytics, etc.
• Externe Callcenter 
• Datenträgerentsorger 
• Lettershops

Sobald ein Dritter die Möglichkeit bekommt, auf Kundendaten oder sonstige personenbezogenen Daten eines Unternehmens zuzugreifen, muss ein AV-Vertrag unterzeichnet werden, unabhängig davon, ob der Dritte tatsächlich auf die personenbezogenen Daten zugreift, um seine Leistungen zu erbringen. 

3. Was beinhaltet ein Auftragsverarbeitungsvertrag (AVV)

Die DSGVO beschreibt konkret die notwendigen Inhalte, die in einem Auftragsverarbeitungsvertrag stehen muss. Es gibt verschiedene Muster und Vorlagen, an denen man sich orientieren kann. Folgende Punkte sollten enthalten sein:

• Vertragsgegenstand und Dauer des Auftrags
• Die Art der Daten und der Kreis der Betroffenen Personen
• Die Pflichten des Auftragnehmers
• Die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten. Hier sollte man darauf achten, eine für sein eigenes Unternehmen günstige Formulierung zu wählen
• Der Umfang, die Art und der Zweck der Erhebung, Verarbeitung und Nutzung von Daten
• Die entsprechenden technische und organisatorischen Maßnahmen gemäß Art. 32 DSGVO (Sicherheit der Verarbeitung)
• Die Berichtigung, Löschung und Sperrung von Daten
• Der Umfang mit Weisungsbefugnissen, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält
• Die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags
• Mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen
• Die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen. Hier muss genau darauf geachtet werden, welche Subunternehmer eingesetzt werden

4. Wie funktioniert die Autragsverarbeitung nach DSGVO?

Nach Unterzeichnung des AV-Vertrags und während der gesamten Verarbeitungsdauer muss der Auftraggeber in regelmäßigen Abständen überprüfen, ob die vereinbarten Reglungen eingehalten werden bzw. ob die Auftragsverarbeitung datenschutzrechtlich erfolgt. Die Kontrollen können in Form von schriftlichen Auskünften, Kontrolle vor Ort, über den eigenen Datenschutzbeauftragten oder durch einen Sachverständigenbericht erfolgen. Die Häufigkeit und die tatsächlichen Kontrollmaßnahmen hängen von der Anzahl und dem Umfang der übermittelten Daten ab. Dazu gibt es keine rechtlichen Vorschriften. Die Kontrollen müssen selbstverständlichen dokumentiert werden. Es ist extrem wichtig, dass der AV-Vertrag geschlossen wird, bevor die eigentliche Datenübermittlung stattgefunden hat.