AGB Dienstleistungsvertrag

AV-Vertrag DSGVO-sicher in AGB integrieren: Geht das?

Fachlich geprüft von: Rechtsanwalt Lev Lexow Rechtsanwalt Lev Lexow
(16 Bewertungen, 2.94 von 5)

Das Wichtigste in Kürze

  • Beauftragt ein Unternehmen ein anderes Unternehmen, personenbezogene Daten von Kunden oder Mitarbeitenden zu verarbeiten, liegt eine Auftragsverarbeitung vor.
  • Diese muss schriftlich zwischen den beiden Parteien in einem AV-Vertrag geregelt werden.
  • Statt ein eigenständiges Vertragsdokument zu verfassen, können Sie den AV-Vertrag in Ihre AGB aufnehmen – so wird er mit Vertragsschluss wirksam.

Worum geht's?

Wer personenbezogene Daten von Kunden eines anderen Unternehmens verarbeitet oder einen externen Dienstleister mit der Verarbeitung beauftragt, benötigt meist einen AV-Vertrag. Dieser regelt die Einzelheiten der Auftragsverarbeitung zwischen Auftragnehmer und Auftraggeber. Fehlt der AV-Vertrag oder weist Fehler auf, kann das im Falle eines DSGVO-Verstoßes zu hohen Bußgeldern führen. Er muss jedoch zwingend nicht als separates Dokument abgeschlossen werden – Sie können ihn stattdessen auch als allgemeine Geschäftsbedingungen (AGB) ausgestalten. Wie das geht und worauf Sie achten sollten, erfahren Sie jetzt.

 

1. Auftragsverarbeitung, AV-Vertrag und AGB-Dienstleistungsvertrag: Was ist das eigentlich?

Egal ob Ihr Unternehmen Webhosting und Cloudspeicherung anbietet, Sie im Rahmen eines Gewinnspiels E-Mail-Adressen erheben oder Ihre Lohnbuchhaltung an eine externe Firma (nicht Steuerberater) auslagern: In allen Fällen liegt eine Auftragsverarbeitung vor – und Sie benötigen einen AV-Vertrag.

Was ist eine Auftragsverarbeitung?

Sobald ein Unternehmen (Auftraggeber) einen externen Dienstleister (Auftragnehmer) beauftragt, weisungsgebunden personenbezogene Daten zu verarbeiten, liegt eine Auftragsverarbeitung vor. Das wäre beispielsweise der Fall, wenn Ihre Firma:

  • Tracking Software wie Google Analytics verwendet
  • Externe Dienstleister für Newsletter, Marketingaktionen oder Buchhaltung beauftragt
  • Das Rechenzentrum ganz oder teilweise outsourct
  • Fernwartungssysteme einsetzt

Da der externe Dienstleister – also beispielsweise ein Unternehmen, das für Sie die Buchhaltung oder Gehaltsabrechnung durchführt – Zugriff auf die Daten Ihrer Kunden und Mitarbeitenden hat, müssen Sie den Datenschutz dieser sensiblen personenbezogenen Daten vertraglich in der Geschäftsbeziehung regeln. Möglich macht das der AV-Vertrag, der vor Beginn der Auftragsverarbeitung geschlossen werden muss.

Als personenbezogene Daten gelten alle Angaben, mit denen eine Person identifiziert werden kann. Dazu gehören zum Beispiel Name, E-Mail, Adresse und Kontonummer, aber auch IP-Adresse und Standortdaten.

Was regelt der AV-Vertrag?

Der AV-Vertrag bestimmt den rechtlichen Rahmen der Auftragsverarbeitung. Die Vertragsbedingungen im AV-Vertrag legen fest, welche Rechte und Pflichten Auftraggeber und Auftragnehmer hinsichtlich der Verarbeitung und der Sicherheit personenbezogener Daten des Auftraggebers haben.

Dabei geht es auch um die Haftungsverteilung: Indem Sie die Haftung bei der Datenverarbeitung durch das andere Unternehmen vertraglich regeln, können Sie sich im Fall eines Datenschutzverstoßes vor Abmahnungen und DSGVO-Bußgeldern schützen. Das ist wichtig, da diese Bußgelder bis zu 20 Millionen Euro betragen können.

Wann muss ich einen AV-Vertrag abschließen?

Ein Auftragsverarbeitungsvertrag (AV-Vertrag) ist abzuschließen, sobald es sich gemäß Art. 28 DSGVO um eine Auftragsverarbeitung handelt. Das heißt, wenn:

  • die Verarbeitung personenbezogener Daten im Zentrum der Aktivität steht.
  • eine klare Weisungsgebundenheit vorliegt.
  • es keine spezifischen zusätzlichen Regelungen gibt, die eine erhöhte Vertraulichkeit in der Dienstleistung separat regeln.

Beim AV-Vertrag handelt es sich um eine Zusatzvereinbarung zum eigentlichen Dienstleistungsvertrag mit AGB.

Sören Siebert
Sören SiebertRechtsanwalt

Was ist ein AGB-Dienstleistungsvertrag?

Im Falle eines Dienstleistungsvertrag wird gegen Vergütung eine Dienstleistung erbracht. Das klassische Beispiel für einen Dienstleistungsvertrag ist der Arbeitsvertrag zwischen Arbeitgeber und Arbeitnehmer. Grundsätzlich spielt es bei einem Dienstleistungsvertrag aber keine Rolle, ob der Dienstverpflichtete in einem festen Arbeitsverhältnis mit dem Unternehmen steht. Das heißt, ein Dienstleistungsvertrag kann sowohl mit angestellten Arbeitnehmern als auch mit Selbstständigen und freien Mitarbeitern geschlossen werden.

Die einzelnen Punkte für jeden Vertrag über Dienstleistungen müssen nicht immer wieder neugestaltet werden, sondern können in den Allgemeinen Geschäftsbedingungen (AGB) des Unternehmens geregelt werden.

Die AGB bestehen zusätzlich zum ursprünglichen Dienstleistungsvertrag. Sie regeln unter anderem den Bereich der Geltung, Vertragsgegenstand, Zahlungsbedingungen sowie Haftung des Dienstvertrags. Durch die AGB wird eine einheitliche Abwicklung für jeden Kunden gewährleistet, gesetzliche Regelungen werden ergänzt und unbestimmte Rechtsbegriffe konkretisiert.

Die AGB müssen so formuliert sein, dass sie auch ein juristischer Laie verstehen kann. Sobald es ungewöhnliche Bestimmungen gibt, werden diese nicht Teil des AGB-Dienstleistungsvertrags, sondern müssen separat zwischen den Vertragsparteien geregelt werden.

Zusätzlich zum Dienstleistungsvertrag und den Allgemeinen Geschäftsbedingungen muss die Auftragsverarbeitung in einem AV-Vertrag geregelt werden.

2. Worauf muss ich beim AV-Vertrag achten?

Möchten Sie einen AV-Vertrag abschließen, sollte dieser in jedem Fall vollständig sein. Im Hinblick auf die Verarbeitung personenbezogener Daten sollten folgende Inhalte enthalten sein:

  • Gegenstand der Verarbeitung
  • Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten, die verarbeitet werden
  • Kreis der betroffenen Personen (Nutzer, Kunde o.ä.)
  • Rechte und Pflichten des Verantwortlichen
  • Technische und organisatorische Maßnahmen (TOM) nach § 32 DSGVO
  • Vereinbarungen zu Unterauftragsverhältnissen
  • Kontrollrechte des Auftraggebers und Duldungs- sowie Mitwirkungspflichten des externen Dienstleisters
  • Umfang der Weisungsbefugnisse des Auftraggebers gegenüber dem Auftragnehmer
  • Rückgabe überlassener Datenträger sowie Löschung der Daten nach Auftragsbeendigung

Ein Muss für jeden AV-Vertrag ist die Aufzählung der Subdienstleister sowie eine detaillierte Liste konkreter technischer und organisatorischer Maßnahmen (TOMs). Achten Sie auch darauf, dass der Zweck der Datenverarbeitung und die verarbeiteten Datenkategorien enthalten sind.

Sind Sie Auftraggeber, sollten Sie sicherstellen, dass Ihre Kontrollrechte gegenüber dem auftragsverarbeitenden Unternehmen nicht zu sehr aufgeweicht werden. Sind Sie hingegen Auftragsverarbeiter, sollte Ihnen der Auftraggeber vertraglich keine unverhältnismäßigen Einsichtsrechte in die interne Dokumentation vorschreiben. Das heißt, Sie müssen zwar transparent nachweisen können, wie Sie die personenbezogenen Daten Ihres Kunden schützen – Sie müssen sich aber auch nicht komplett entblößen.

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden

3. Muss ich einen AV-Vertrag immer separat abschließen?

Es ist äußerst wichtig, dass Sie und Ihre Vertragspartner AV-Verträge abschließen, sobald gemäß Datenschutzgrundverordnung eine Auftragsverarbeitung vorliegt. In der Praxis wird dies allerdings häufig übersehen. Sie setzen sich damit dem Risiko eines unnötigen Bußgeldverfahrens aus, das Sie leicht mit einem ordnungsgemäßen AV-Vertrag abwenden können.

Sie sind jedoch nicht verpflichtet, einen AV-Vertrag separat abzuschließen. Anstatt den AV-Vertrag als eigenständiges Dokument im Original per Papier oder mit digitaler Unterschrift an die Vertragspartei zu senden, gibt es eine effizientere und einfachere Lösung, mit der Sie rechtlich auf der sicheren Seite sind – und die von den Datenschutzbehörden akzeptiert wird.

AV-Vertrag als AGB in den Angebotsprozess integrieren

Sie können den AV-Vertrag als AGB in Ihren Angebotsprozess integrieren. Der eigentliche AV-Vertrag wird in AGB-Form umgeschrieben und den Allgemeinen Geschäftsbedingungen beigefügt. So wird der AV-Vertrag zukünftig mit jedem Angebot – wie herkömmliche AGB – zusammen mit dem eigentlichen Dienstleistungsvertrag abgeschlossen.

Der Vorteil: Sie haben automatisch mit jedem Kunden, der Sie beauftragt, einen AV-Vertrag. So sind Sie vor einer Haftung bei der Datenverarbeitung personenbezogener Daten geschützt und vermeiden das Risiko möglicher Bußgelder aufgrund fehlender oder fehlerhafter AV-Verträge.

Jetzt Business mit AV-Vertrag absichern

Kanzlei Siebert Lexow Lang

Da jedes Unternehmen individuelle Prozesse hat und deren Umsetzung entsprechend angepasst werden sollte, ist es sinnvoll, sich von einem Anwalt juristisch beraten zu lassen. Die Datenschutz-Experten der Kanzlei Siebert Lexow Lang unterstützen Sie bei der Umsetzung Ihres AV-Vertrages als AGB.

Jetzt Business mit AV-Vertrag absichern

4. FAQ: Häufige Fragen zu AGB und Dienstleistungsvertrag

Was fällt unter einen Dienstleistungsvertrag?

Unter einem Dienstleistungs- oder auch Dienstvertrag versteht man einen Vertrag, in der sich der Dienstverpflichtete zur Leistung eines Dienstes verpflichtet. Die andere Partei – der Dienstberechtigte – verpflichtet sich im Gegenzug, eine vereinbarte Vergütung für die Dienstleistung zu zahlen.

Was muss in den Allgemeinen Geschäftsbedingungen stehen?

Allgemeine Geschäftsbedingungen (AGB) sind vorformulierte Vertragsbedingungen und Standardisierungen, die der Vereinfachung von Verträgen dienen. Was konkret in den AGB stehen soll, kann jeder Unternehmer individuell festlegen. Zu den standardmäßigen Angaben zählen z.B. Preisgestaltung, Fristen, Vertragsgegenstand, Anwendungsbereich, Haftungsbeschränkung und Widerrufsbelehrung.

Was gilt: Vertrag oder AGB?

AGB gelten nur dann, wenn sie durch eine wirksame Einbeziehung Bestandteil des ursprünglichen Vertrags geworden sind. Das heißt: Der Vertragspartner muss mit den Allgemeinen Geschäftsbedingungen einverstanden sein. Ist er das nicht, gilt zwar der Vertrag, nicht aber die AGB. Stattdessen greifen die gesetzlichen Bestimmungen.

 

 

Sophie Suske
Sophie Suske, M.A.
Legal Writerin, freiberuflich

Sophie Suske hat einen Masterabschluss in Sprach- und Kommunikationswissenschaften. Angefangen in der juristischen Redaktion eines Legal Tech Start Ups bereichert sie seit 2022 mit ihrer Expertise das Redaktionsteam von eRecht24 als freie Legal Writerin. Ihre inhaltlichen Schwerpunkte liegen dabei im Datenschutz, E-Commerce- und Markenrecht.

Rechtsanwalt Lev Lexow
Lev Lexow
Rechtsanwalt in der Kanzlei Siebert Lexow

Lev Lexow ist ein auf Datenschutz und Internetrecht spezialisierter Rechtsanwalt, Autor und Inhaber der Kanzlei Siebert Lexow. Im Zuge der DSGVO ließ sich Lev Lexow zum TÜV-zertifizierten Datenschutzberauftragten sowie Auditor ausbilden und vertieft seither seine Kenntnisse und Expertise im Datenschutzrecht. Als Head of Legal unterstützt und berät er eRecht24 in allen datenschutzrechtlichen Fragen und veröffentlicht regelmäßig praktische Ratgeber und Anleitungen für unsere Nutzer. Lev Lexow publizierte zudem eine Vielzahl an Kommentaren und Interviews und hält regelmäßig Webinare und Vorträge, insbesondere zum Dauerthema DSGVO.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details