Worum geht's?
Den Begriff „Auftragsverarbeitung“ (vor der DSGVO: Auftragsdatenverarbeitung) hat fast jeder schon einmal gehört. Doch viele Unternehmer und Webseitenbetreiber wissen nicht, was dieser Begriff praktisch bedeutet. Dabei ist ein AV-Vertrag (alt: ADV-Vertrag) für die meisten von ihnen ein Muss: Wer Tools wie Google Analytics nutzt, seine Website bei einem Provider hosten lässt oder Newsletter mit einer Software erstellt, muss mit den jeweiligen Anbietern einen AV-Vertrag abschließen. Aber auch Agenturen und Webdesigner benötigen häufig eine vertragliche Vereinbarung zur Auftragsverarbeitung. Wir zeigen Ihnen, was Sie wirklich zu AV-Verträgen wissen müssen und was sich durch die Datenschutz-Grundverordnung geändert hat.
1. Auftragsverarbeitung: Was ist das überhaupt?
(Fast) immer, wenn andere Unternehmen Zugriff auf Kundendaten haben, bewegen Sie sich im Bereich der Auftragsverarbeitung. Diese liegt vor, wenn personenbezogene Daten im Auftrag und weisungsgebunden durch externe Dienstleister erhoben, verarbeitet oder übermittelt werden. Der externe Dienstleister, der die Datenverarbeitung verwaltet, wird auch Auftragsverarbeiter genannt. Die Verantwortung für die ordnungsgemäße Datenverarbeitung und den Schutz der Daten verbleibt jedoch beim Auftraggeber. Der externe Dienstleister wird bei der Auftragsverarbeitung nur unterstützend tätig, er ist sozusagen der „verlängerte Arm“ des Auftraggebers. Was er in keinem Fall darf, ist, die Daten für eigene Zwecke zu verwenden.
Personenbezogene Daten sind Daten, mit denen sich eine Person eindeutig identifizieren lässt, also z.B. ihr Name, ihre Anschrift, Kontodaten oder die private Telefonnummer. Müssen sich z.B. Kunden mit ihrer E-Mail-Adresse für einen Newsletter anmelden, handelt es sich bei den E-Mail-Adressen um personenbezogene Daten. Auch ein Login-Name ist personenbezogen, wenn er mit einem echten Namen oder der E-Mail-Adresse verknüpft ist.
Gesetzlich geregelt war die Auftragsdatenverarbeitung vor der Datenschutzgrundverordnung (DSGVO) im Bundesdatenschutzgesetz. Seit 2018 finden sich die entsprechenden Regelungen in Art. 28 DSGVO. Und diese nimmt Webseitenbetreiber, Onlineshop-Inhaber, Anbieter von Tools und Diensten sowie Dienstleister wie Agenturen und Webdesigner verstärkt in die Pflicht: Denn laut DSGVO haben Verbraucher umfassende Rechte, was den Umgang und die Verarbeitung ihrer personenbezogenen Daten angeht.
Datensicherheit und Datenschutz stehen an oberster Stelle – und das nicht nur, wenn ein Unternehmen oder eine Behörde selbst diese Daten erhebt, sondern auch, wenn Dritte in die Datenverarbeitung und -weitergabe involviert sind. Damit ein solches Outsourcing die Anforderungen der DSGVO erfüllt, müssen Auftraggeber und Auftragsverarbeiter die Auftragsverarbeitung vertraglich regeln – und zwar in einem sogenannten AV-Vertrag.
Ob und wann ein solcher erforderlich ist, hängt davon ab, ob tatsächlich eine Auftragsverarbeitung vorliegt.
Wann liegt eine Auftragsverarbeitung vor?
In fast jeder Firma werden Daten im Auftrag erhoben und verarbeitet. Häufig wissen die betroffenen Firmen davon nicht einmal etwas. Bringen wir mit einigen Beispielen einmal etwas Licht ins Dunkle.
-
ein Lohnbüro mit der Lohn- und Gehaltsabrechnung Ihres Unternehmens beauftragen.
-
ein Callcenter Zufriedenheitsbefragungen Ihrer Kunden durchführen lassen.
-
eine Marketing-Agentur beauftragen, Statistiken oder Newsletter für Ihre Kunden zu erstellen.
-
einen Programmierer mit der Installation, Pflege, Überprüfung und Korrektur von Software beauftragen.
-
selbst in Ihrem Unternehmen Tools wie Google Analytics, SaaS-Lösungen oder eine externe Newslettersoftware verwenden.
-
Ihre Website durch einen Hosting-Anbieter hosten lassen.
-
einen IT-Dienstleister mit der Überprüfung, Reparatur oder dem Austausch von Hardware beauftragen.
-
Ihre Aktenvernichtung an einen externen Dienstleister auslagern.
Damit eine Auftragsverarbeitung vorliegt, muss der beauftragte Dienstleister – also z.B. das Callcenter, die Agentur oder das Lohnbüro – aber gar nicht tatsächlich auf die personenbezogenen Daten von Mitarbeitern, Kunden und Nutzern zugreifen. Es reicht bereits aus, dass ein Zugriff theoretisch möglich ist. Erstellen Sie Ihren AV-Vertrag bei eRecht24 Premium mit unserer Datenschutz-Management-System.
Wann liegt keine Auftragsverarbeitung vor?
Keine Auftragsverarbeitung liegt hingegen bei einer sogenannten Funktionsübertragung vor. Während der Dienstleister bei der Auftragsverarbeitung im Auftrag als „verlängerter Arm“ des Auftraggebers tätig wird, ist er im Rahmen einer Funktionsübertragung nicht weisungsgebunden. Stattdessen kann er frei entscheiden, was mit den Daten des Unternehmens geschieht und hat somit ein eigenes Interesse an den Daten.
In folgenden Fällen würde keine Auftragsverarbeitung, sondern eine Funktionsübertragung vorliegen:
- Eine Firma mietet für einen Auftraggeber Dienstfahrzeuge an.
- Ein Inkassounternehmen treibt in Ihrem Auftrag offene Forderungen ein.
- Sie beauftragen ein Reisebüro, eine Dienstreise zu organisieren.
Die Abgrenzung zwischen Auftragsverarbeitung und Funktionsübertragung ist nicht immer eindeutig. So fällt etwa die Auslagerung der reinen Gehalts- und Lohnabrechnung unter die Auftragsverarbeitung. Lagert das betreffende Unternehmen jedoch zusätzlich noch die Lohnberechnung, die Finanzbuchhaltung oder die gesamte Personalverwaltung aus, kann es sich dabei auch um eine Funktionsübertragung handeln.
2. Wer muss sich bei der Auftragsverarbeitung um den Datenschutz kümmern?
Liegt eine Auftragsverarbeitung vor, stellt sich die Frage, wer sich um den Schutz der erhobenen und verarbeiteten personenbezogenen Daten kümmern muss. Nicht selten herrscht der Irrglaube vor, dass der Datenschutz allein Aufgabe des Dienstleisters ist. Dies ist jedoch nicht der Fall. Beauftragen Sie einen externen Dienstleister wie z.B. eine Agentur oder einen Freelancer, dürfen Sie sich nicht darauf verlassen, dass diese sämtliche Datenschutzanforderungen einhalten. Sie müssen als Auftraggeber selbst für die Sicherheit der personenbezogenen Daten sorgen – denn Sie sind und bleiben auch beim Outsourcing der Verantwortliche für den Datenschutz.
Dazu gehört nicht nur der Abschluss eines AV-Vertrags mit dem Dienstleister, sondern auch die regelmäßige Kontrolle, ob Ihr Auftragnehmer die Vorgaben der DSGVO einhält. Möglich ist dies durch:
- Vor-Ort-Kontrollen
- Testat eines Sachverständigen
- Bericht des eigenen Datenschutzbeauftragten
- Schriftliche Auskunft des Auftragnehmers
Wichtig vor allem: Umfang der Datenverarbeitung
Welche konkreten Maßnahmen zum Datenschutz Sie ergreifen müssen und in welchen zeitlichen Abständen die Kontrollen durchzuführen sind, lässt das Datenschutzgesetz jedoch offen. Maßgeblich sind hier insbesondere der Umfang der Datenverarbeitung, das Gefährdungspotenzial für die Betroffenen und die Sensibilität der verarbeiteten Daten.
Ein Beispiel: Erlaubt eine Firma einer PR-Agentur, auf Millionen von Kundendaten zuzugreifen, um eine neue Marketing-Strategie zu entwickeln, werden regelmäßige Vor-Ort-Kontrollen notwendig sein. Wird die PR-Agentur hingegen von einer kleineren Firma beauftragt, die lediglich 100 Kundendaten gespeichert hat, dürfte eine schriftliche Auskunft des Auftragnehmers genügen.
Wie auch immer die Kontrolle gewährleistet wird – sie ist in jedem Fall zu protokollieren. Abgesehen von der ohnehin gesetzlich vorgeschriebenen Dokumentationspflicht lässt sich so bei einem vermuteten Datenschutzverstoß gegenüber der Aufsichtsbehörde nachweisen, dass eine Kontrolle des Unternehmens stattgefunden hat.
PRAXIS-TIPP
Sind Sie Auftraggeber, stellen Sie sicher, dass Ihre Kontrollrechte gegenüber dem auftragsverarbeitenden Unternehmen nicht zu sehr aufgeweicht werden. Als Auftragsverarbeiter sollten Sie hingegen darauf achten, dass Ihnen der Auftraggeber keine unverhältnismäßigen Einsichtsrechte in die interne Dokumentation vorschreibt.
Liegt tatsächlich ein DSGVO-Verstoß vor, haften Auftraggeber und Auftragnehmer gemeinsam gegenüber dem Betroffenen. Die Haftung des Auftragnehmers ist dabei auf die Verstöße beschränkt, die sich aus der Pflichtverletzung aus dem konkreten AV-Vertrag ergeben. Der Auftraggeber ist und bleibt bei Datenschutzverstößen der erste Ansprechpartner für den oder die Betroffenen.
3. Was ist ein Auftragsverarbeitungs-Vertrag (AV-Vertrag) gemäß der DSGVO?
Ein Auftragsverarbeitungs-Vertrag (AV-Vertrag) ist ein rechtliches Dokument, das Unternehmen benötigen, wenn sie externe Dienstleister beauftragen, Kundendaten im Rahmen der EU-Datenschutz-Grundverordnung (DSGVO) zu verarbeiten. Der Vertrag regelt die Bedingungen, unter denen der Auftragsverarbeiter die Daten im Auftrag des Unternehmens verarbeiten darf.
4. Wann brauche ich einen AV-Vertrag?
Sobald ein externer Dienstleister im Rahmen eines Auftrags Zugriff auf personenbezogene Daten von Dritten hat, sollten Sie eingehend prüfen, ob eine Auftragsverarbeitung gegeben ist. Dann benötigen Sie einen entsprechenden Vertrag über die Auftragsverarbeitung (AV-Vertrag), in welchem Rechte und Pflichten beiden Parteien geregelt sind. Wichtiger Bestandteil sind im Auftragsverarbeitungsvertrag die technischen und organisatorischen Maßnahmen, mit denen Auftragsnehmer die Datensicherheit, der ihnen überlassenen personenbezogenen Daten gewährleisten.
Wir haben Ihnen bereits einige Beispiele gezeigt, wann eine Auftragsverarbeitung vorliegt: Zum einen, wenn Sie einen externen Dienstleister beauftragen (z.B. Lohnbüro, Marketing-Agentur, Callcenter) oder Tools oder Dienste externer Anbieter nutzen (z.B. Newslettersoftware, Google Analytics, Websitehosting).
Zum anderen wird ein Auftragsverarbeitungsvertrag erforderlich, wenn Sie selbst durch Ihre Tätigkeit auf fremde Nutzer- oder Kundendaten zugreifen können – etwa, weil Sie als Agentur oder Webdesigner die Marketingstrategie eines Kunden umsetzen, eine Website erstellen oder einen Onlineshop relaunchen. Nutzen Sie dann zusätzlich Drittanbietertools – weil Sie z.B. Google Analytics für die Kundenwebsite verwenden – benötigen Sie mehrere AV-Verträge: Zum einen für Ihr Auftragsverarbeitungsverhältnis mit Ihrem Auftraggeber und zum anderen mit Google.
Erstellt Ihre Agentur im Auftrag von Kunden Webseiten, beauftragen Sie in der Regel
externe Dienstleister, um die Seite hosten zu lassen. Da der Hoster – tatsächlich oder theoretisch – Zugriff auf Drittdaten (etwa denen des Agenturkunden) hat, muss Ihre Agentur mit diesem einen AV-Vertrag abschließen – aber auch mit dem auftraggebenden Kunden.
Sie benötigen also zwei Verträge zur Auftragsverarbeitung. Erstellen Sie auch die Datenschutzerklärung für die Kundenwebsite, gehört in diese unter dem Punkt „Hosting“ aber nur Ihre Agentur und nicht der Hosting-Anbieter. Ihr Kunde schließt den Vertrag über das Webhosting ja eben nicht mit dem Hosting-Anbieter, sondern mit Ihrer Agentur ab. Sie müssen ihm im AV-Vertrag aber mitteilen, welchen Hoster Sie als Unterauftragsverarbeiter einsetzen.
Für welche Tools und Anbieter brauche ich einen AV-Vertrag?
DSGVO-konformes Outsourcing verlangt von Ihnen, dass Sie die Datenweitergabe von persönlichen Kundendaten in speziellen Auftragsverarbeitungsverträgen regeln. Hier liegt die Notwendigkeit eines Auftragsverarbeitungsvertrags vor, wenn Sie:
- Google Analytics oder andere Tracking Software nutzen.
- Ihre Website durch einen Webhosting-Anbieter hosten lassen.
- Softwarelösungen wie Mailchimp für Ihre Newsletter verwenden.
- Tools wie Calendly zur Terminverarbeitung nutzen.
- Ihr Rechenzentrum ganz oder teilweise outsourcen.
- Eine externe Buchhaltungssoftware verwenden.
- Clouddienste wie Google Drive oder Dropbox nutzen.
- Fernwartungssysteme wie z.B. TeamViewer einsetzen.
Was ist mit Dienstleistern im Ausland?
Dienstleister aus dem Ausland lassen sich problemlos einschalten, wenn es sich bei den Ländern um Mitgliedsstaaten der EU oder des europäischen Wirtschaftsraumes (EWR) handelt. Diese sind nämlich keine Drittstaaten im Sinne der DSGVO, sondern erfüllen – dadurch, dass die DSGVO in der gesamten EU und im EWR gilt – das gleiche Schutzniveau wie Deutschland.
Eine Datenerhebung, -verarbeitung oder -übermittlung in Nicht-EU-Länder oder die USA ist laut Datenschutzgrundverordnung hingegen nur unter bestimmten Voraussetzungen möglich – und zwar, wenn das Drittland ein mit der DSGVO vergleichbares Schutzniveau aufweist. Wer Tools und Dienste von US-Anbietern wie Zoom oder Google Analytics nutzen will, benötigt u. a. die ausdrückliche Einwilligung sämtlicher Personen, denen die Daten gehören und muss prüfen, ob der US-Anbieter unter dem neuen Datenschutzabkommen "Data Privacy Framework" zwischen EU und USA zertifiziert ist.
Wie es weitergeht mit dem „Privacy Shield 2.0“ haben wir Ihnen in unserem aktuellen Artikel „EU-US Data Privacy Framework“ zusammengefasst.
5. Was passiert, wenn ich keinen Vertrag zur Auftragsverarbeitung abschließe?
Ohne AV-Vertrag besteht keine Rechtsgrundlage für die Datenverarbeitung durch den Auftragsverarbeiter. Haben Sie keinen AV-Vertrag abgeschlossen, obwohl die DSGVO einen vorsieht, kann es daher schnell richtig teuer werden: Die Datenschutzgrundverordnung sieht bei Verstößen DSGVO-Bußgelder von bis zu 20 Millionen Euro bzw. 4 % des weltweiten Vorjahresumsatzes vor – je nachdem, welcher Wert höher ist. Unternehmen, die die DSGVO nicht ernst nehmen, müssen außerdem mit Abmahnungen von Wettbewerbern und einem Gerichtsverfahren rechnen.
Daneben können auch die Personen, deren Daten betroffen sind, vom Auftraggeber und Auftragsverarbeiter Schadensersatz verlangen. Beide Parteien haben die Möglichkeit, ihre Unschuld zu beweisen und so eine Ersatzpflicht zu verhindern. Dafür müssen sie nachweisen, dass sie nicht für den Datenschutzverstoß verantwortlich sind. Ein solcher Nachweis wird ohne vorliegenden AV-Vertrag jedoch kaum für eine der beiden Parteien möglich sein.
6. Was muss im AV-Vertrag geregelt werden?
Was genau in den Verträgen zur Auftragsverarbeitung geregelt werden muss, beschreibt Art. 28 DSGVO. Demnach müssen Regelungen zu den folgenden Inhalten enthalten sein:
- Inhalt der Verarbeitungstätigkeit, Gegenstand des Auftrags
- Dauer der Datenverarbeitung
- Art und Weise der Verarbeitungstätigkeit; Umfang, Art und Zweck der vorgesehenen Datenerhebung, -verarbeitung oder -nutzung
- Art und Kategorie der betroffenen Daten
- Kreis der Betroffenen
- Umfang der Weisungsbefugnisse
- Existenz einer Verschwiegenheitsverpflichtung
- Vorliegen geeigneter technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO
- Regelungen für externe Dienstleister und Subunternehmer, z.B. hinsichtlich Berichtigung, Löschung und Sperrung von Daten
- Pflichten des Auftragnehmers, insbesondere bezüglich Kontrollen
- Entsprechende Duldungs- und Mitwirkungspflichten des Auftragnehmers
- Ggf. Berechtigung zu Unterauftragsverhältnissen
- Klauseln zur Mitwirkung bei Auskunftsrechten der Betroffenen und der damit verbundenen Meldepflicht bei Verstößen gegen die DSGVO
- Informationspflicht des Auftragnehmers zur Einhaltung der Regelungen
- Abwicklung von Rückgabe und/oder Löschung der personenbezogenen Daten nach Beendigung der Verarbeitungstätigkeit
Kann ich einfach einen Muster-Vertrag für die Auftragsverarbeitung nutzen?
Grundsätzlich können Sie einen Mustervertrag oder eine Vorlage nutzen, wenn Sie die DSGVO-Auftragsverarbeitung vertraglich regeln wollen. Bei kostenlosen Mustern aus dem Internet stellt sich jedoch immer die Frage nach der Rechtssicherheit. Achten Sie in jedem Fall darauf, von welcher Quelle der Vertrag stammt. Er sollte entweder von den Datenschutzbehörden bereitgestellt oder durch einen Anwalt geprüft worden sein. Zudem müssen Sie das Muster auf Ihren Fall anpassen.
Sollten Sie als Dienstleister, Webdesigner oder Agentur selbst einen AV-Vertrag für die Datenverarbeitung zwischen Ihnen und Ihre EU-Kunden benötigen, empfehlen wir Ihnen eRecht24 Premium. Dort finden Sie ein anwaltlich erstelltes rechtssicheres Muster für einen AV-Vertrag.
Reicht es nicht, wenn ich einen Datenschutzbeauftragten bestelle?
Die Bestellung eines Datenschutzbeauftragten ist Pflicht, wenn in einem Unternehmen mindestens 20 Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt sind. Für Sie als Verantwortlichen ist es allein mit der Bestellung eines Datenschutzbeauftragten jedoch leider nicht getan.
Besteht eine Pflicht zum Datenschutzbeauftragten, muss diese durch den Verantwortlichen ebenfalls im Vertrag zur Auftragsverarbeitung geregelt werden. Außerdem muss die beauftragende Firma kontrollieren, dass der externe Dienstleister seinen Pflichten auch tatsächlich nachkommt und einen Datenschutzbeauftragten bestellt. Dies kann sie beispielsweise durch ihren eigenen Datenschutzbeauftragten sicherstellen, der die Sicherheit der Datenverarbeitungen von Auftragsverarbeitern prüft.
7. Woher bekomme ich einen AV-Vertrag?
Die DSGVO enthält eine wichtige Erleichterung für Unternehmen: AV-Verträge müssen nicht mehr ausgedruckt, unterschrieben und per Post verschickt werden, sondern lassen sich auch auf elektronischem Wege abschließen. Wichtig ist, dass der Abschluss der Verträge und die Zuordnung zu einem konkreten Kunden rechtssicher dokumentiert wird. Woher bekommen Sie nun aber einen Auftragsverarbeitungsvertrag?
AV-Verträge mit Drittanbieterdiensten und Toolanbietern
Wenn Sie als Onlineshop- oder Webseitenbetreiber für Ihr Business externe Dienstleister, Tools und Drittanbieterdienste nutzen, stellen diese Ihnen in der Regel einen AV-Vertrag bereit. Sie finden den entsprechenden Vertrag bei SaaS-Lösungen und Plattformen häufig in Ihrem Kundenkonto. Alternativ haben wir Ihnen die AV-Verträge für einige gängige Toolanbieter und Provider in der folgenden Liste verlinkt:
- Wix
- DomainFactory
- 1&1
- Jimdo: Bestandteil der AGB
- all-inkl.com: AV-Vertrag im Kundenkonto abrufbar
- Strato
- Mailjet
- Klick-Tipp: AV-Vertrag im Kundenkonto abrufbar
- Newsletter2Go
- CleverReach
- rapidmail
- Google Analytics: Anleitung
Auch mit unserem Datenschutz-Management-System können Sie AV-Verträge erstellen. Probieren Sie es gleich aus!
AV-Verträge für Webdesigner, Agenturen und Co.
Sind Sie als Agentur, Hoster, Webdesigner oder anderer Dienstleister selbst mit der Datenverarbeitung fremder Kundendaten befasst, benötigen Sie für den entsprechenden Auftraggeber ebenfalls einen vollständigen, korrekten und DSGVO-konformen AV-Vertrag. Als eRecht24 Premium-Mitglied können Sie unser oben verlinkte Muster zum Auftragsverarbeitungsvertrag nutzen. Alternativ gibt es aber eine bessere Möglichkeit, mit dem Sie das Thema AV-Vertrag und Auftragsverarbeitung ein für alle Mal abhaken können: Und zwar, indem Sie den AV-Vertrag DSGVO-sicher in Ihre AGB integrieren.
Die DSGVO verpflichtet Sie nämlich nicht, einen Auftragsverarbeitungsvertrag separat abzuschließen. Sie können ihn stattdessen auch in Ihre AGB aufnehmen. Das hat den Vorteil, dass der AV-Vertrag zukünftig automatisch mit jedem angenommenen Angebot abgeschlossen wird und Sie somit vor einer Haftung bei der Verarbeitung personenbezogener Daten geschützt sind.
8. FAQ: Häufige Fragen zur Auftragsverarbeitung