Was Webseitenbetreiber zur Auftragsverarbeitung wissen müssen

DSGVO Auftragsverarbeitung: Was ist das und was geht mich das an?

Fachlich geprüft von: Rechtsanwältin Annika Haucke Rechtsanwältin Annika Haucke
(111 Bewertungen, 4.25 von 5)

Das Wichtigste in Kürze

  • Auftragsverarbeitung liegt vor, wenn andere Unternehmen - zum Beispiel externe Dienstleister - personenbezogene Daten Ihrer Kunden nach Ihrer Weisung verarbeiten.
  • Um einen DSGVO-konformen Umgang mit diesen Daten zu garantieren, müssen Webseitenbetreiber einen AV-Vertrag mit diesen Unternehmen abschließen.
  • Wenn Sie keinen AV-Vertrag abschließen, obwohl dies erforderlich ist, kann das Bußgelder von bis zu 20 Mio. Euro nach sich ziehen.

Worum geht's?

Den Begriff „Auftragsverarbeitung“ (vor der DSGVO Auftragsdatenverarbeitung) hat fast jeder schon einmal gehört. Aber kaum ein Webseitenbetreiber weiß, was dieser Begriff praktisch bedeutet. Dabei ist ein AV-Vertrag (alte Bezeichnung ADV-Vertrag) für die meisten Webseitenbetreiber ein Muss: mit Google Analytics, mit Ihrem Newsletter-Anbieter oder mit Ihrem Hoster. Auch Agenturen und Webdesigner müssen mit ihren Kunden häufig einen eigenen AV-Vertrag abschließen. Wir zeigen Ihnen, was Sie wirklich zu AV-Verträgen wissen müssen und was sich durch die DSGVO geändert hat.

1. Auftragsverarbeitung: Was ist das überhaupt?

Kurzfassung: (Fast) immer, wenn andere Unternehmen Zugriff auf die Daten Ihrer Kunden haben, sind Sie im Bereich der Auftragverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) und müssen mit diesem Unternehmen einen AV-Vertrag (alte Bezeichnung ADV-Vertrag) abschließen.

Gesetzlich geregelt war die Auftragsdatenverarbeitung vor der DSGVO in § 11 BDSG (Bundesdatenschutzgesetz). Nun finden sich die entsprechenden Regelungen in Art. 28 DSGVO.

Tipp: Nutzen Sie als Agentur, Hoster und Webdesigner einfach eRecht24 Premium. Dort finden Sie auch ein anwaltlich erstelltes rechtssicheres Muster für einen AV-Vertrag.

Sören Siebert
Sören SiebertRechtsanwalt

 Durch die DSGVO sind seit Mai 2018 viele Punkte im Bereich Datenschutz und AV (alte Bezeichnung ADV) neu geregelt.
Sie müssen einen AV-Vertrag (alte Bezeichnung ADV-Vertrag) abschließen, wenn Sie:

  • Google Analytics oder andere Tracking Software nutzen
  • Externe Dienstleister für Ihre Newsletter und Marketingaktionen nutzen
  • Externe Unternehmen mit der Buchhaltung/ Gehaltsabrechnung beauftragen
  • Ihr Rechenzentrum ganz oder teilweise outsourcen
  • Fernwartungssysteme einsetzen

Was ist Auftragsverarbeitung (AV)?

Charakteristisch für die Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) ist, dass ein Unternehmen (Auftraggeber) externe Dienstleister (Auftragnehmer) damit beauftragt, weisungsgebunden personenbezogene Daten zu verarbeiten. Die Verantwortung für die ordnungsgemäße Datenverarbeitung verbleibt dabei beim Auftraggeber, er ist der Hauptverantwortliche für den Datenschutz. Der externe Dienstleister wird bei der Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) nur unterstützend tätig, er ist praktisch der „verlängerte Arm“ seines Auftraggebers.

Eine Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) besteht unter anderem in folgenden Fällen:

  • Ein externes Rechenzentrum wird damit beauftragt, die Lohn- und Gehaltsabrechnung durchzuführen.
  • Ein Call-Center erhebt Daten bei den Kunden des Auftraggebers.
  • Eine Marketing-Agentur verarbeitet Kundendaten, um Statistiken oder einen Newsletter zu erstellen.

Keine Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) liegt bei einer sogenannten Funktionsübertragung vor. Dabei ist die genaue Abgrenzung von Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) und Funktionsübertragung bei vielen Dienstleistungen nicht immer eindeutig. Man kann sich jedoch merken, dass der externe Dienstleister im Rahmen einer Funktionsübertragung nicht weisungsgebunden ist, sondern frei entscheiden kann, was mit den Daten des Unternehmens geschieht und ein eigenes Interesse an den Daten des Unternehmens hat.

Eine Funktionsübertragung liegt somit bspw. vor, wenn ein Dienstleister für seinen Auftraggeber Dienstfahrzeuge anmietet oder ein Inkassounternehmen die Forderungen seines Auftraggebers durchsetzt.

2. Wer ist von den Vorschriften zur Auftragsverarbeitung betroffen?

datenschutz10

In fast jedem Unternehmen kommt Datenverarbeitung im Auftrag zum Einsatz – und häufig wissen die betroffenen Unternehmen davon nicht mal etwas. Denn allzu häufig übersehen Unternehmen, dass die Vorschriften der Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) auch im Rahmen von Wartung- und Prüfungsverträgen Anwendung finden. Und zwar auch dann, wenn gar kein Zugriff auf personenbezogene Daten erfolgt. Es genügt, wenn der Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

Die Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) nach Art. 28 DSGVO umfasst zum Beispiel folgende Fälle:

  • Ein Unternehmen beauftragt einen Programmierer mit der Installation, Pflege, Überprüfung und Korrektur von Software.
  • Ein Unternehmen nutzt einen exrerne Newslettersoftware
  • Das Hosting von Webseiten
  • Ein Unternehmen beauftragt einen IT-Dienstleister mit der Überprüfung, Reparatur oder dem Austausch von Hardware.
  • Ein Unternehmen beauftragt einen externen Dienstleister mit der Aktenvernichtung.

Die bloße Möglichkeit des Datenzugriffs durch den Auftragnehmer genügt dabei schon. Es kommt also nicht darauf an, ob der beauftragte Dienstleister tatsächlich auf die Daten zugreift.

Das bedeutet: Sobald ein externer Dienstleister im Rahmen eines Auftrags irgendeine Möglichkeit hat, auf personenbezogene Daten zuzugreifen, sollte eingehend geprüft werden, ob die Vorschriften der Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) Anwendung finden.

3. Was sind personenbezogene Daten?

Die Vorschriften zur Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) finden nur Anwendung, wenn es sich bei den Daten um personenbezogene Daten handelt. Doch wann sind Daten eigentlich personenbezogen? Das Bundesdatenschutzgesetz definiert personenbezogene Daten als Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 BDSG alt/ Artikel 4 DSGVO).

Das bedeutet: Alle Informationen, über die irgendwie ein Personenbezug hergestellt werden kann, fallen auch unter den Begriff der personenbezogenen Daten. Folgende Daten sind daher personenbezogen:

  • Name und Anschrift,
  • E-Mail-Adresse,
  • Telefonnummer und
  • Kontodaten.

Müssen sich also Kunden mit ihrer E-Mail-Adresse für einen Newsletter anmelden, handelt es sich bei den E-Mail-Adressen um personenbezogene Daten. Auch ein Login-Name ist personenbezogen, wenn er mit einem echten Namen oder der E-Mail-Adresse verknüpft ist. Sogar IP-Adressen, die zum Beispiel durch Google Analytics erhoben werden, stellen personenbezogene Daten dar, wenn der Anbieter von Online-Diensten über rechtliche Mittel zur Identifizierung der hinter der IP-Adresse stehenden Personen verfügt (dazu EuGH, Urteil vom 19.10.2016 (C-582/14).

4. Müssen sich die externen Dienstleister nicht um den Datenschutz kümmern?

datenschutz3

Nein. Das beauftragende Unternehmen darf sich nicht darauf verlassen, dass der Dienstleister das Datenschutzrecht einhält. Der Auftraggeber muss sich selbst um die Datensicherheit kümmern, er ist der Hauptverantwortliche für den Datenschutz.

Um dieser Verantwortung nachzukommen, müssen die Parteien vor Beginn der Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) einen Vertrag abschließen, dessen Inhalt das Datenschutzrecht in Art. 28 DSGVO (vorher § 11 Abs. 2 Satz 2 BDSG) genau vorgibt.
Zudem muss der Auftraggeber in regelmäßigen Abständen kontrollieren, ob der Auftragnehmer die Vorgaben des Bundesdatenschutzgesetzes einhält. Dazu kann er

  • Vor-Ort-Kontrollen durchführen,
  • das Testat eines Sachverständigen einholen,
  • den Bericht des eigenen Datenschutzbeauftragten einholen oder
  • eine schriftliche Auskunft des Auftragnehmers einholen.

Welche Maßnahme das beauftragende Unternehmen konkret ergreifen muss und in welchen zeitlichen Abständen Kontrollen durchzuführen sind, lässt das Datenschutzgesetz offen. Maßgeblich sind insbesondere der Umfang der Datenverarbeitung, das Gefährdungspotenzial für die Betroffenen und die Sensibilität der verarbeiteten Daten.

Das bedeutet: Erlaubt ein Unternehmen einer PR-Agentur, auf Millionen von Kundendaten zuzugreifen, um eine neue Marketing-Strategie zu entwickeln, werden regelmäßig Vor-Ort-Kontrollen notwendig sein. Wird die PR-Agentur hingegen von einem kleinen Unternehmen beauftragt, das lediglich 100 Kundendaten gespeichert hat, dürfte eine schriftliche Auskunft des Auftragnehmers in der Regel genügen.

Wichtig: Die Kontrollen sind unbedingt zu protokollieren. Dies schreibt erstens das Gesetz vor. Zweitens gelingt nur so im Streitfall gegenüber der zuständigen Aufsichtsbehörde auch der Nachweis, dass eine Kontrolle tatsächlich stattgefunden hat.

5. Was passiert, wenn ich keinen Vertrag zur Auftragsverarbeitung abschließe?

Hat das Unternehmen mit dem externen Dienstleister keinen den Anforderungen des § 11 Abs. 2 Satz 2 BDSG/ Art. 28 DSGVO entsprechenden Vertrag geschlossen, kann es schnell richtig teuer werden. Nach § 43 Abs. 1 Nr. 2b, Abs. 3 BDSG konnten die zuständige Aufsichtsbehörden Bußgelder von bis zu 50.000 Euro verhängen, wenn der Auftrag zur Datenverarbeitung „nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt“ wird. Nach der DSGVO sind es nun Bußgelder bis zu 20 Millionen Euro.

Das bedeutet: Haben die Parteien keinen Vertrag zur Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) geschlossen oder entspricht dieser nicht den Anforderungen des Art. 28 DSGVO (vorher § 11 Abs. 2 Satz 2 BDSG), kann die zuständige Aufsichtsbehörde das Unternehmen zur Kasse bitten. Der Abschluss eines Vertrags zur Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) sollte also weit oben auf der Agenda stehen.

Daneben können auch die Personen, deren Daten betroffen sind, vom Auftraggeber und Auftragnehmer Schadensersatz verlangen. Beide Parteien haben dabei die Möglichkeit, ihre Unschuld nachzuweisen und so eine Ersatzpflicht zu verhindern. Dafür müssen sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.

Dabei gilt für das beauftragende Unternehmen: Hat das Unternehmen mit dem externen Dienstleister keinen Vertrag über die Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) geschlossen, wird sich ein Unschuldsnachweis kaum führen lassen.

6. Was passiert bei Dienstleistern aus dem Ausland?

datenschutz5

Erhebt ein Unternehmen Daten im Inland, dürfen sie ohne Zustimmung der betroffenen Personen oder eine gesetzliche Erlaubnis nur dann ins Ausland abgeführt werden, wenn es sich um Mitgliedstaaten der EU oder des Europäischen Wirtschaftsraums handelt (vgl. § 3 Abs. 8 Satz 3 BDSG). Die Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) in Drittstaaten (bspw. in den USA) ist nur zulässig, wenn und soweit das BDSG dies erlaubt (vgl. u. a. § 28 BDSG),

  • eine spezielle gesetzliche Regelung dies erlaubt,
  • der Betroffene freiwillig und gemäß § 13 Abs. 2 Telemediengesetz (TMG) bewusst und eindeutig in die Datenverarbeitung eingewilligt hat.

Die Folge: Soll eine Marketing-Firma in den USA mit der Erstellung eines Newsletters beauftragt werden und erhält diese dafür Zugriff auf die Kundendaten, benötigt sie dafür die Einwilligung sämtlicher Personen, denen die Daten gehören.

7. Verträge zur Auftragsverarbeitung: Was muss dort geregelt werden?

Was genau in den Verträgen zur Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) geregelt werden muss, beschreibt nun Art. 28 DSGVO (vorher  § 11 Abs. 2 Satz 2 BDSG). Danach müssen in einer Vereinbarung zur Datenverarbeitung im Auftrag Regelungen zu folgenden 10 Punkte enthalten sein:

  • der Gegenstand und die Dauer des Auftrags,
  • der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten,
  • die Art der Daten und der Kreis der Betroffenen,
  • die nach Art. 32 DSGVO zu treffenden technischen und organisatorischen Maßnahmen,
  • die Berichtigung, Löschung und Sperrung von Daten,
  • die bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  • die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  • die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  • mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  • der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  • die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

8. Kann ich als Agentur einen Muster-Vertrag für die Auftragsverarbeitung nutzen?

datenschutz1

Wenn Sie als Agentur beispielsweise die Google Analytics Daten, die Facebook Seiten oder Daten von Facebook Audiences für Ihre Kunden verwalten, müssen Sie einen AV-Vertrag (alte Bezeichnung ADV)-Vertrag mit Google abschließen. 

Seit der verbindlichen Geltung der DSGVO ab dem 25. Mai 2018 wurde die Datenschutzgrundverordnung (DSGVO) in allen Mitgliedstaaten unmittelbar geltendes Recht. Es gibt nur ein einheitliches Regelwerk in der gesamten EU zum Schutz personenbezogener Daten.

Auch die Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) wird dann in § 28 DSGVO geregelt. Die bisherige Rechtslage ändert sich also. Diesen Anforderunen dürften viele kostenlose Muster im Netz nicht mehr genügen.

Praxis Tipp:

Nutzen Sie als Agentur, Hoster und Webdesigner einfach eRecht24 Premium. Dort finden Sie auch ein anwaltlich erstelltes rechtssicheres Muster für einen AV-Vertrag.

9. Reicht es nicht, wenn ich einen Datenschutzbeauftragten bestelle?

Allein mit der Bestellung eines Datenschutzbeauftragten ist es leider nicht getan. Das Datenschutzgesetz schreibt den Abschluss eines Vertrags zur Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) zwingend – und bußgeldbewährt - vor. Das beauftragende Unternehmen muss jedoch regelmäßig kontrollieren, ob der Dienstleister die Vorgaben zum Datenschutz auch einhält. Dieser Pflicht kann das Unternehmen nachkommen, indem es seinen eigenen Datenschutzbeauftragten losschickt, um die Datensicherheit beim Auftragnehmer zu prüfen.

Unter Umständen kann auch der externe Dienstleister dazu verpflichtet sein, einen Datenschutzbeauftragten zu bestellen. Besteht eine solche Pflicht, müssen Auftraggeber und Auftragnehmer dies auch im Vertrag zur Auftragsverarbeitung ((alte Bezeichnung: Auftragsdatenverarbeitung) regeln. In welchen Fällen der externe Dienstleister einen Datenschutzbeauftragten bestellen muss, ergabt sich aus § 4f Abs. 1 Satz 3 BDSG, nun gilt dafür Artikel 38 DSGVO:

Die Bestellung eines Datenschutzbeauftragten ist Pflicht, wenn in einem Unternehmen in der Regel mindestens 10 Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt sind.

Das bedeutet: Verarbeitet etwa eine PR-Agentur Kundendaten, um eine neue Marketing-Strategie zu entwickeln und sind in dieser Agentur 10 oder mehr Arbeitnehmer oder freie Mitarbeiter tätig, muss die Agentur einen Datenschutzbeauftragten bestellen. Die Pflicht zur Bestellung eines Datenschutzbeauftragten muss auch im Vertrag zur Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) geregelt werden. Außerdem muss das beauftragende Unternehmen kontrollieren, dass der externe Dienstleister seinen Pflichten auch tatsächlich nachkommt und einen Datenschutzbeauftragten bestellt.

10. Muss ich die Auftragsverarbeitung in meiner Datenschutzerklärung erwähnen?

datenschutz6

 

Auch im Rahmen der Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) verarbeitet ein externer Dienstleister (also etwa Google beim Google Analytics) als „verlängerter Arm“ des Unternehmens personenbezogene Daten des Nutzers. Darauf sollte das beauftragende Unternehmen in der Datenschutzerklärung unbedingt hinweisen. Findet sich in der Datenschutzerklärung kein Hinweis auf die Verarbeitung der Daten, kann es richtig teuer werden: Datenschutzbehörden können Datenschutzverstöße mit einem Bußgeld von bis zu 20 Millionen Euro ahnden. Außerdem drohen dem Auftragsgeber wettbewerbsrechtliche Abmahnungen von Konkurrenten.

11. Was ändert sich bei der Auftragsverarbeitung durch die DSGVO?

Seit dem 25. Mai 2018 gilt müssen alle Unternehmen, die ihre Daten im Auftrag verarbeiten lassen, die Regelungen der DSGVO beachten.

Durch die Datenschutzgrundverordnung, die seit Mai 2018 vollumfänglich und einheitlich in der Europäischen Union gilt, werden Webseitenbetreiber und besonders Shopbetreiber und Dienstleister verstärkt in die Pflicht genommen. Die DSGVO räumt dem Datenschutz der Verbraucher einen größeren Stellenwert ein, als dieser bislang durch die nationalen Regelungen erfahren hat und vereinheitlicht die Anforderungen, die bei der Verarbeitung von sogenannten personenbezogenen Daten einzuhalten sind.

Die bisherige Rechtslage in Deutschland zur Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) hat mit der DSGVO einige wichtige Änderungen erfahren.

11.1 Überblick über die Neuregelungen durch die DSGVO

Artikel DSGVO enthält gleich einen ganzen Katalog von Vorschriften zur Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung). Die bestehenden Regelungen in § 11 BDSG werden durch diesen ergänzt. Insbesondere kommen folgende Neuregelungen auf die Auftragsgeber und Auftragsnehmer zu:

  • Es heisst "Auftragsverarbeitung", nicht mehr "Auftragsdatenverarbeitung"
    Die erste Änderung ist rein sprachlicher Natur. Aus der "Auftragsdatenverarbeitung (ADV)" wird die "Auftragsverarbeitung (AV)".

  • Hinweis auf Subunternehmer
    Anders als das BDSG legt die DSGVO fest, dass Auftragsnehmer Subunternehmer nur einsetzen dürfen, wenn der Auftragsgeber eine schriftliche Genehmigung hierzu erteilt hat. Zudem muss dem beauftragenden Unternehmen ein jederzeitiges Widerspruchsrecht eingeräumt werden.

  • Verpflichtung zur Verschwiegenheit
    Der Auftragsnehmer muss gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben.

  • Unterstützung des Auftragsgebers
    Der Auftragsnehmer hat sich zu verpflichten, das beauftragende Unternehmen zu unterstützen, wenn Betroffene ihre Rechte nach der DSGVO diesem gegenüber geltend machen.

  • Keine Pflicht, AV Verträge (alte Bezeichnung ADV-Verträge) schriftlich abzuschließen
    AV-Verträge (alte Bezeichnung ADV-Verträge) können mit der DSGVO nun auch elektronisch abgeschlossen werden.
  • Neue Bußgeldregelungen
    Die DSGVO sieht weitaus höhere Bußgelder auch im Bereich Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) vor als das bisher nach dem BDSG der Fall war.

 

11.2 Auftragsverarbeitung und DSGVO: Was bedeutet das konkret für Webseitenbetreiber Hoster, Designer und Agenturen?

Eine besondere Rolle kommt bei der Anwendung der DSGVO der Auftragsverarbeitung zu. Diese wurde bisher als Auftragsdatenverarbeitung bezeichnet, erhält aber durch Art. 28 DSGVO eine neue Bezeichnung.

Unter Auftragsverarbeitung (kurz: AV) im Sinne der Datenschutzgrundverordnung versteht man die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch Dritte. Diese liegt u. a. dann vor, wenn die Daten des Users durch den Webseitenbetreiber weitergegeben werden – zum Beispiel an externe Dienstleister, die bestimmte Aufgaben für den Betreiber übernehmen (sogenanntes Outsourcing). Regelmäßig passiert das im Rahmen von

  • Lohn-, Gehalts- und Personalmanagement
  • Rechnungs- und Forderungsmanagement
  • Hosting- und Serververträgen
  • Softwareverträgen
  • Nutzung von Cloud-Diensten
  • E-Mail-Vereinbarungen.

Da die DSGVO den Schutz der Verbraucher in den Fokus rückt, ist dieser Schutz auch bei der AV (alte Bezeichnung ADV) zu berücksichtigen, denn hierdurch wird der Zugriff auf die Daten von Kunden bzw. Usern ermöglicht. DSGVO-konformes Outsourcing verlangt von Ihnen, dass Sie die Weitergabe von persönlichen Daten Ihrer Kunden bzw. User in speziellen Verträgen regeln.

Diese Verträge zur Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) zwischen Ihnen als Auftraggeber und dem externen Dienstleister als Auftragnehmer wurden bisher in § 11 BDSG geregelt. Durch die DSGVO entstehen über die bisherige Regelung hinausgehende Anforderungen, sodass Sie als Webseitenbetreiber die bestehenden Verträge dahingehend überprüfen müssen – und Altverträge nach Bedarf zeitnah ersetzen sollten.

Wichtig sind für einen DSGVO-konformen AV (alte Bezeichnung ADV) zwischen Ihnen und Auftragnehmern insbesondere die folgenden Inhalte:

  • Inhalt der Verarbeitungstätigkeit
  • Dauer der Verarbeitungstätigkeit
  • Art und Weise der Verarbeitungstätigkeit
  • Art und Kategorie der betroffenen Daten
  • Umfang der Weisungsbefugnisse
  • Existenz einer Verschwiegenheitsverpflichtung
  • Vorliegen der technischen und organisatorischen Rahmenbedingungen gem. Art. 32 DSGVO
  • Regelungen für externe Dienstleister und Subunternehmer
  • Klauseln zur Mitwirkung bei Auskunftsrechten der Betroffenen und der damit verbundenen Meldepflicht
  • Informationspflicht des Auftragnehmers zur Einhaltung der Regelungen und Vorschriften
  • Abwicklung von Rückgabe und / oder Löschung der personenbezogenen Daten nach Beendigung der Verarbeitungstätigkeit
  • Umfang der Mitwirkung bei Kontrollen und Überprüfungen.

Wichtig für Sie als Auftraggeber: Bei Datenschutzverstößen sind Sie auch nach den Regelungen der DSGVO der erste Ansprechpartner für den oder die Betroffenen. Jedoch geht die DSGVO bei der Haftung weiter als das Bundesdatenschutzgesetz: Gemäß Art. 82 DSGVO haften der Auftraggeber und der Auftragnehmer gemeinsam gegenüber dem Betroffenen. Die Haftung des Auftragnehmers ist dabei auf die Verstöße beschränkt, die sich aus der Verletzung seiner Pflichten aus dem konkreten AV (alte Bezeichnung ADV) heraus ergeben.

11.3 Wie gehe ich die Umstellung auf DSGVO-konforme Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) an?

Damit Sie nach dem 25. Mai 2018 auf der rechtlich sicheren Seite stehen, ist eine Überprüfung bereits bestehender AV (alte Bezeichnung ADV) dringend angezeigt. Checken Sie diese in Bezug auf die oben aufgeführten Rahmenbedingungen und Kriterien und schließen Sie neue Verträge ab, wenn alte Verträge den gesetzlichen Anforderungen nicht genügen.

Unsere Liste der wichtigsten Unternehmen, die im Rahmen von online Shops und Internetdienstleistungen von Relevanz sind, kann wichtige Hilfestellung leisten.

Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) durch Provider

Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) durch Newsletter-Dienste

Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) durch Google

  • Google Analytics: Den aktuellen Google Analytics AV-Vertrag (alte Bezeichnung ADV-Vertrag) finden Sie, wenn Sie sich in Ihrem Google-Analytics-Konto unter Verwaltung --> Kontoeinstellungen einloggen, finden Sie dort den "Zusatz zur Datenverarbeitung".

Praxistipp: Als Unternehmer sind Sie in der Pflicht, für den Schutz von Userdaten zu sorgen. Natürlich erfordert das die Mitwirkung der externen Dienstleister – werden Sie aktiv und sprechen Sie Ihre Partner auf das Thema DSGVO-konforme Auftragsverarbeitung (alte Bezeichnung Auftragsdatenverarbeitung) an.

Sören Siebert
Sören SiebertRechtsanwalt

Als Shop- bzw. Webseitenbetreiber sollten Sie Ihre ausgelagerten Verarbeitungstätigkeiten genau unter die Lupe nehmen und bei den jeweiligen Partnern nachhaken: Verträge, die nicht den Anforderungen der DSGVO entsprechen, verstoßen in jedem Fall gegen die europäische Richtlinie und können Bußgelder und Sanktionen nach sich ziehen.

Neu nach DSGVO: keine Schriftform mehr erforderlich

Die DSGVO enthält aber auch eine wichtige Erleichterung für Unternehmen beim Abschluss eines AV-Vertrages (alte Bezeichnung ADV-Vertrag): Diese Verträge müssen nicht mehr ausgedruckt, unterschrieben und Post verschickt werden. Die DSGVO erlaubt nun auch den Abschluss auf elektronischem Wege.

Anbieter, die mit Ihren Kunden AV Verträge (alte Bezeichnung ADV-Verträge) abschließen, können diese also ab dem 25. Mai 2018 dann auch online zur Verfügung stellen. Wichtig ist aber, dass der Abschluss der Verträge und die Zuordnung zu einem konkreten Kunden trotzdem rechtssicher dokumentiert werden muss.

Google zum Beispiel hat diesen elektronischen Abschluss für Google Analytics bereits umgesetzt:

Wenn Sie sich in Ihrem Google-Analytics-Konto unter Verwaltung --> Kontoeinstellungen einloggen, findne Sie dort den "Zusatz zur Datenverarbeitung".

Neue Bußgeldregelungen durch die DSGVO

Entspricht die Vereinbarung zur Auftrags(daten)verarbeitung nicht den Anforderungen der DSGVO, begehen Unternehmen eine Ordnungswidrigkeit, die nach Art. 83 Abs. 4 lit. a DSGVO mit einem Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden kann.

Praxis-Tipp: Bei eRecht24 Premium  finden Sie Agentur und Webdesigner einen Muster AV-Vertrag (alte Bezeichnung ADV-Vertrag), den Sie mit Ihren Kunden abschließen können.

Sören Siebert
Sören SiebertRechtsanwalt

12. Checkliste zur Auftragsverarbeitung

AV-Vertrag abschließen!

Unternehmen, die Kundendaten an externen Dienstleister zur Bearbeitung weiter geben, müssen einen schriftlichen AV-Vertrag (alte Bezeichnung ADV-Vertrag) abschließen, dessen Inhalt die DSGVO konkret vorgibt.

Kontrolle protokollieren!

Das beauftragende Unternehmen muss kontrollieren, dass sich der Auftragsnehmer an das Datenschutzrecht hält. Dazu kann er Vor-Ort-Kontrollen durchführen, das Testat eines Sachverständigen einholen, den Bericht des eigenen Datenschutzbeauftragten einholen oder eine schriftliche Auskunft des Auftragnehmers einholen. Die Kontrollen sind zu protokollieren.

Achtung bei Auftragnehmern im Ausland!

Ein AV-Vertrag (alte Bezeichnung ADV-Vertrag) mit Anbietern außerhalb der EU (so genannte Drittstaaten) ist im Moment kaum möglich. Hier benötigen Sie oft eine gesetzliche Regelung dies erlaubt oder die Betroffenen müssen in die Datenverarbeitung einwilligen.

Hinweis auf Auftragsverarbeitung!

Auf die Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) sollte in der Datenschutzerklärung hingewiesen werden.

Muster-Verträge prüfen!

Vor der Verwendung von Muster-Verträgen zur Auftragsverarbeitung (alte Bezeichnung: Auftragsdatenverarbeitung) sollte geprüft werden, ob diese der aktuellen Rechtslage und der seit Mai 2018 geltenden DSGVO entsprechen.

AV-Vertrag bei eRecht24-Premium

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Rechtsanwältin Annika Haucke
Annika Haucke
Rechtsanwältin

Annika Haucke ist Rechtsanwältin und Journalistin (Freie Journalistenschule). Als Fachredakteurin von eRecht24 bereitet sie Beiträge verständlich auf und gibt praxisnahe Handlungsempfehlungen. Rechtsanwältin Haucke ist auf Medienrecht spezialisiert und hat darüber hinaus mehrjährige redaktionelle Erfahrung in weiteren Rechtsgebieten, z.B. Steuer-und Medizinrecht. Seit 2013 veröffentlichte sie eine Vielzahl von Artikeln und Ratgebern, u. a. bei Stiftung Warentest, Tagesspiegel Background und Computerwoche.

Kevin
Wie sieht es bei Online-Lernplattformen wie z.B. Udemy, die u.A. Werbung durch Affiliates betreiben.

Braucht man dort einen AV-Vertrag als deutscher Dozent, wenn man lediglich die Kurse verkauft?

1
Ina
Angeblich ist die letzte Bearbeitung heute am 02. November 2020 gewesen.Mich wundert es auch, dass dieser Artikel immer noch den Stand von vor 25. Mai 2018 hat. Wann wird dieser Artikel denn aktualisiert?
1
It´s us
Es ist ja alles schön und gut und nach dem ich mir gefühlt 100 Seiten zu dem Thema Auftragsverarbe itungsvertrag durchgelesen habe, bleibt eine Frage auf allen Seiten ungeklärt!!Was mache ich mit den Veträgen? Muss ich diese auf der Webseite für die Besucher einsichtig machen oder sogar als PDF Download zur Verfügung stellen? Oder reicht es diese zu haben und auf das Vorhandensein in der Datenschutzerkl ärung hinzuweisen? Oder reicht es sogar nur auf die Auftragsverarbe itung hinzuweisen, sodass dem Besucher der Webseite unbekannt bleibt, ob ich den nötigen Vertrag abgeschlossen habe??
6
Tobias
Die hier genannten Informationen sind seit Inkrafttreten der DSGVO veraltet und es überrascht mich doch sehr, dass sich hier keiner um eine (korrekte) Aktualisierung bemüht.Kurzum: Einen ADV-Vertrag (ADV = Auftragsdatenve rarbeitung) gibt es nicht mehr. Seit der DSGVO wurde dieser gänzlich durch den sogenannten AVV (Auftragsverarb eitungsvertrag) ersetzt.
0
Matthias Muth
Hallo,ich habe Ihre Darstellungen mit großem Interesse gelesen. -die Abgrenzung Verantwortliche r - Auftragsdatenve rarbeiter ist immer wieder ein Thema. Kann ich auch heute noch den Aspekt der Funktionsübertragung anwenden?
3
T.
Heißt es nicht Auftragsverarbe itung nach DSGVO? Auftragsdatenve rarbeitung ist doch ein alter BDSG Begriff?
2
Matthias
Mein größtes Fragezeichen ist immer noch der Punkt, dass ich sehr oft zu hören bekomme, dass das DPA in der Privacy Policy mit inkludiert oder es auf einer Webseite zu finden ist. eRecht24 verweist hier ja selber auf das online "Data Processing Addendum". Das kann man zwar auch downloaden, ist aber keinem Kunden zugeordnet. Und nun? Dann nutzt also jeder in der EU Mailchimp illegal und kann abgemahnt werden, weil kein, nach DSGVO, konformer Vertrag vorliegt?!"Wichtig ist aber, dass der Abschluss der Verträge und die Zuordnung zu einem konkreten Kunden trotzdem rechtssicher dokumentiert werden muss."Mailchimp ist ja auch nicht der einzige Anbieter der das so macht. Wäre super wenn sich hierzu nochmal eine Fachstimme zu Wort melden würde :).Grüße - Matthias
2
Phil
Nach Auskunft von Wix.com stellen sie eine Vereinbarung unter diesem Link zur Verfügung: https://de.wix.com/about/privacy-dpa-usersIst das wirklich ausreichend?
3
#DSB
Letzte Bearbeitung: 11. Juli 2019 - Wix.com stellt bis dato immer noch keinen Vertrag zur AV zur Verfügung. Kann eine Webseite die mit Wix.com erstellt wurde dann ohne AV-Vertrag überhaupt datenschutzkonf orm verwendet werden? Schließlich wird die komplette IP-Adresse jedes Webseitenbesuch ers an US-Server übermittelt . Bei Google findet wenigstens noch eine Anonymisierung statt.Muß ein Webseitenbetrei ber mit Sanktionen durch deutsche Aufsichtsbehörden rechnen?
0
Chris
Bedeutet dies dann, wenn ich Dropshipping mit den Produktion und dem Versand der in meinem Onlineshop generierten Bestellungen betreibe, muss ich in der Datenschutzerkl ärung das ausführende Unternehmen veröffentliche n und gebe meinen Kunden damit preis, wo sie eigentlich direkt bestellen könnten?
-2

Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Die 6 gängigsten Cookie Consent Tools
Weiterlesen...
CYBERLAW in Südafrika - E-Commerce, Verbraucherschutz, Datenschutz und Haftung
Weiterlesen...
EuGH erklärt Privacy-Shield-Abkommen für ungültig
Weiterlesen...
Die DSGVO und Datenpannen: Wann sind Sie zu einer Meldung verpflichtet?
Weiterlesen...
Social Media Guidelines: Wie kommunizieren Ihre Mitarbeiter bei Facebook & Co?
Weiterlesen...
Videokonferenzen und Datenschutz: Der große Vergleichstest zu Zoom und Co.
Weiterlesen...
E-Privacy-Verordnung: Die DSGVO war erst der Anfang
Weiterlesen...
Wann die Bestellung eines Datenschutzbeauftragten für Ihr Unternehmen unabdingbar ist
Weiterlesen...
WordPress Tools & Plugins: Was ist nach DSGVO noch erlaubt?
Weiterlesen...
Home Office wegen Corona: Was Unternehmer und Mitarbeiter zu Datenschutz und Arbeitsrecht beachten müssen (mit Generator...
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Support