sowie weitere Informationen zur Auftragsverarbeitung und Links zu Datenschutzerklärungen in der AV-Vertrag.org Datenbank:
- Sitz des Anbieters
- Datenverarbeitende Beziehung
- AV-Vertrag angeboten?
- Hinweise zum Vertragsschluss
- DSE
Liste mit Auftragsverarbeitern und Informationen zum AV-Vertrag / DPA / SCCs / DSE
Inkl. AV-Vertrag-Ratgeber
Hinweis: Die Inhalte können die rechtliche Beratung im Einzelfall nicht ersetzen. Maßgeblich für die Aktualität bzw. Richtigkeit der Daten ist das letzte Bearbeitungsdatum da Einträge durch unabhängige Dritte auf der Datenbank vorgenommen werden, wird um Ihre Information und angemessene Frist zur Korrektur gebeten.
Liste mit Diensten bzw. Anbietern und Hinweisen zur Auftragsverarbeitung
Hier finden Sie unsere Datenbank mit zahlreichen Diensten und Anbietern, welche oft durch Verantwortliche in Anspruch genommen werden. Bitte beachten Sie, dass in der Liste sowohl Auftragsverarbeiter (Positiv-Einträge) als auch Gemeinsame Verantwortliche und Anbieter zu denen keine direkte Beziehung besteht (Negativ-Einträge) aufgeführt werden.
Wollen Sie mit einem Anbieter einen AV-Vertrag schließen, können Sie sich hier informieren (“Hinweise zum Vertragsschluss”). Durch Klick auf den Namen des Eintrags gelangen Sie ggf. zu weiteren Informationen und können die angegebenen Inhalte kommentieren und Änderungen vorschlagen. Wir freuen uns auf Ihre Kommentare.
1&1 Versatel Deutschland GmbH
Wanheimer Straße 90
40468 Düsseldorf
Smartsheet Inc.
10500 NE 8th St Suite 1300
Bellevue, Washington, 98004
Weitere Ergebnisse können über die Suchfunktion abgerufen werden.
AV-Vertrag-Ratgeber / FAQ zur Auftragsverarbeitung
Wann muss ein Auftragsverarbeitungsvertrag abgeschlossen werden?
Der Abschluss eines Auftragsverarbeitungsvertrags (kurz: AV-Vertrag) bzw. engl. Data Processing Agreement (kurz: DPA) ist gemäß Art. 28 III DSGVO zwingend erforderlich, wenn ein Auftragsverarbeitungsverhältnis eingegangen wird. Auftragsverarbeitung ist gegeben, wenn ein Auftragsverarbeiter (Art. 4 Nr.8 DSGVO) im Auftrag eines Verantwortlichen (Art. 4 Nr.7 DSGVO) personenbezogene Daten (Art. 4 Nr.1 DSGVO) verarbeitet (Art. 4 Nr.2 DSGVO).
Schwierigkeiten bereitet mitunter die Beurteilung, ob eine natürliche oder juristische Person ein Auftragsverarbeiter ist. Entscheidendes Kriterium ist dabei die Weisungsgebundenheit des Auftragsnehmers. Er handelt im Auftrag des Verantwortlichen und hat im Gegensatz zu diesem keine Entscheidungsbefugnis über die Mittel und Zwecke der Datenverarbeitung. Er verfolgt keine über die Datenverarbeitung als solche hinausgehenden Ziele. Außerdem muss die Datenverarbeitung durch den Auftragnehmer gerade der beabsichtigte Schwerpunkt des Auftrags sein und kein wesentliches Beiwerk der zu erbringenden Dienstleistung.
Auftragsverarbeitung liegt daher beispielsweise in der Regel vor bei:
- Outsourcing von Datenbeständen (insbesondere Cloud-Computing)
- Webhosting, E-Mail-Hosting, Filehosting etc.
- Verarbeitung von Kundendaten in einem Callcenter (ohne dass dort Entscheidungsbefugnisse bestehen)
- Löschung von Datenträgern
- Bei Inanspruchnahme sogenannter „Lettershops“
- Beauftragung eines IT-Dienstleisters zur Wartung der IT-Infrastruktur (insbesondere „Fernwartung“)
Keine Auftragsverarbeiter sind demgegenüber insbesondere Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, Wirtschaftsprüfer, externe Betriebsärzte); Postdienste und Inkassobüros.
Besteht Unsicherheit darüber, ob eine Auftragsverarbeitung vorliegt, besteht die Möglichkeit einer Anfrage bei dem jeweils zuständigen Landesdatenschutzbeauftragten.
Was muss ein AV-Vertrag beinhalten?
Ein AV-Vertrag muss beinhalten:
- Gegenstand des Auftrags (konkrete Bezeichnung der Dienstleistungen)
- Dauer des Auftrags
- Der Beginn der Vertragslaufzeit ist eindeutig festzulegen
- Der Vertrag kann auch auf unbestimmte Dauer geschlossen werden
- Es muss die Möglichkeit der Vertragsbeendigung bestehen
- Art der Verarbeitung (entsprechend der Definition von Art. 4 Nr.2 DSGVO)
- Art der personenbezogenen Daten (entsprechend der Definitionen von Art. 4,13,14 und 15 DSGVO); dies dient auch zur Bestimmung des erforderlichen Schutzniveaus
- Personenbezogene Daten gemäß Art, 4 Nr.1 DSGVO: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (insbesondere Name, Geburtsdatum, Adresse, Kennnummern…)
- Art. 13, 14 und 15 regeln Informationspflichten des Verantwortlichen und Auskunftsrechte des Betroffenen
- Kategorien betroffener Personen (beispielsweise Kinder, Jugendliche, Beihilfeberechtigte, Beschäftigte, Lieferanten etc.)
- Rechte und Pflichten, insb.Weisungsbefugnisse, des Auftraggebers (siehe unten)
- Weisungsberechtigte des Auftraggebers
- Weisungsempfänger beim Auftragsnehmer
- Für Weisung zu nutzende Kommunikationskanäle (genaue Adresse/E-Mail/Telefonnummer) Ansprechpartner sind nicht zwingend zu benennen. Es ist aber empfehlenswert, die jeweiligen Ansprechpartner anzugeben und festzulegen wie diese erreichbar sind, um der Entstehung von Unklarheiten vorzubeugen.
- Pflichten des Auftragnehmers
- Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzung des Schutzes personenbezogener Daten
- Unterauftragsverhältnisse mit Subunternehmern (Art. 28 III 2 lit. d DSGVO)
- Technische und organisatorische Maßnahmen nach Art. 32 DSGVO (Art. 28 III 2 lit. c DSGVO) Die Maßnahmen müssen laut Gesetz nicht zwingend m Einzelnen genannt werden. Dem Verantwortlichen wird so aber die Prüfung der Angemessenheit der Maßnahmen deutlich erleichtert. Die Formulierung der Maßnahmen im Vertrag ist allein deshalb dringend zu empfehlen, als dass den Verantwortlichen eine Rechenschaftspflicht trifft, welcher er dann wesentlich besser nachkommen kann (siehe unten).
- Verpflichtung des Auftragnehmers nach Beendigung des Auftrags gemäß Art. 28 III 2 lit. g DSGVO (siehe unten)
- Vergütung, Haftung und gegebenenfalls Vertragsstrafe
Welche Arten der Verarbeitung im Sinne des Art. 4 Nr.2 DSGVO gibt es?
Die DSGVO definiert „Verarbeitung“ als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“, woraufhin eine Reihe von Beispielen folgt. Diese „Arten“ der Verarbeitung müssen im AV-Vertrag konkret und abschließend benannt werden, sind jedoch ohne weitere Erläuterung anhand des Gesetzestextes nur schwer zu verstehen und abzugrenzen.
Erheben
Erheben ist das Beschaffen von Daten über den Betroffenen. Solange die Beschaffung gezielt erfolgt, spielt die Art und Weise keine Rolle.
Erfassen
Erfassen ist das Aufschreiben oder sonstige Aufnehmen der beschaffenen Daten.
Speichern
Speichern ist das Aufbewahren von Daten auf einem Datenträger zur weiteren Verarbeitung. Wird eine nicht gezielt beschaffte Information bei Kenntnisnahme nicht gelöscht, liegt eine Speicherung vor.
Organisieren
Diese sich überschneidenden Begriffe meinen das Aufbauen einer wie auch immer gearteten Struktur innerhalb der Daten, wobei deren Komplexität oder Sinnhaftigkeit keine Rolle spielt.
Anpassen
Beide Begriffe bezeichnen die Abänderung der vorhandenen Daten durch inhaltliche Umgestaltung. Unterschiede bestehen bei der Zielrichtung, wobei eine Anpassung etwa die fortlaufende Aktualisierung von Daten sein soll, während die Korrektur einer unrichtigen Angabe eine Veränderung ist.
Auslesen
Beim Auslesen wird insbesondere ein vorhandener Datensatz konsultiert, während beim Abfragen eine externe Datenbank genutzt wird.
Verwenden
Der Begriff der Verwendung umfasst alle Arten des zweckgerichteten Gebrauchens oder der internen Nutzung von Daten, die nicht von den übrigen Beispielen erfasst werden. Es handelt sich um einen sogenannten „Auffangtatbestand“.
Offenlegen
Die Offenlegung personenbezogener Daten kann durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung erfolgen. Dabei ist weder die Art der Bekanntgabe noch die tatsächliche Kenntnisnahme des Empfängers relevant. Die Weitergabe innerhalb einer Stelle oder von einem Auftragsverarbeiter an den Verantwortlichen ist jedoch keine Offenlegung, sondern Verwendung!
Abgleichen
Abgleich ist die Überprüfung, ob die in mehreren Datensystemen über einen Betroffenen gespeicherten Daten konsistent sind oder ob bestimmte Daten in zwei unterschiedlichen Dateien vorhanden sind.
Verknüpfen
Verknüpfung ist die Zusammenführung von personenbezogenen Daten über einen Betroffenen aus mehreren Dateisystemen. Umfasst ist auch die Verbindung von mehreren Betroffenen über ein verbindendes Merkmal.
Einschränken
Der Begriff der Einschränkung wird in Art. 4 Nr.3 DSGVO definiert als „die Markierung personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung enzuschränken“.
Löschen
Löschen ist die Eliminierung von Daten auf einem elektronischen Dateiträger.
Vernichten
Vernichtung ist die Zerstörung eines physischen Datenträgers (z.B. einer Papierakte).
Was sind die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters?
Der AV-Vertrag soll die Rechte und Pflichten des Verantwortlichen sowie des Auftragsverarbeiters enthalten. Gemäß Art. 28 III 2 DSGVO müssen die folgenden Punkte geregelt sein:
- Weisungsgebundenheit (Art. 28 III 2 lit. a DSGVO): Der Auftragsverarbeiter ist weisungsgebunden, handelt also nur auf dokumentierte Weisung des Verantwortlichen. Somit muss er auf der Erteilung einer Weisung durch den Verantwortlichen beharren.
- Vertraulichkeit (Art. 28 III 2 lit. b DSGVO): alle Personen, die der Auftragsverarbeiter zur Datenverarbeitung einsetzt, müssen zur Vertraulichkeit verpflichtet sein oder einer gesetzlichen Verschwiegenheitspflicht unterliegen. Der Auftragsverarbeiter muss entsprechende Verschwiegenheitsverpflichtungen jederzeit nachweisen können.
- Technische und organisatorische Sicherungsmaßnahmen (Art. 28 III 2 lit. c DSGVO): Der Auftragsverarbeiter muss sich verpflichten, alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen zu ergreifen. Deren Umfang ist nach dem Stand der Technik und unter Berücksichtigung der betroffenen Daten angemessen zu bestimmen (siehe unten).
Dem Verantwortlichen treffen Pflichten in Bezug auf die Rechte betroffener Personen (Art. 12-22 DSGVO) wie vor allem Auskunfts- und Berichtigungsrechte. Der Auftragsverarbeiter hat den Verantwortlichen nach Möglichkeit mit technischen und organisatorischen Maßnahmen bei der Erfüllung dieser Pflichten zu unterstützen (Art. 28 III 2 lit. e DSGVO). Es empfiehlt sich, diese Unterstützungspflichten möglichst konkret im AV-Vertrag festzuschreiben.
Weitere Pflichten treffen den Verantwortlichen aus Art. 32-36 DSGVO. Der Auftragsverarbeiter hat ihn auch dabei hinsichtlich
- technischer und organisatorischer Sicherungsmaßnahmen durch den Verantwortlichen (Art. 32 DSGVO),
- Meldungen von Datenschutzverletzungen an Aufsichtsbehörden (Art. 33 DSGVO),
- der Benachrichtigung der Betroffenen bei Datenschutzverletzungen (Art. 34 DSGVO),
- der Durchführung von Datenschutz-Folgeabschätzungen und gegebenenfalls der Kontaktierung der Aufsichtsbehörde (Art. 35, 36 DSGVO)
zu unterstützen (Art. 28 III lit. f. DSGVO).
Abschließend ist der Auftragsverarbeiter verpflichtet, dem Verantwortlichen alle Informationen zur Verfügung zu stellen, die er benötigt, um die Befolgung seiner Pflichten gemäß Art. 28 DSGVO nachweisen zu können (Art. 28 III 2 lit. h DSGVO). Dies geht mit der Verpflichtung zur Einräumung von Überprüfungsrechten einher (siehe unten). Hält der Auftragsverarbeiter eine Weisung des Verantwortlichen für datenschutzrechtswidrig, muss er ihn darauf hinweisen.
Was sind „technische und organisatorische Maßnahmen“ im Sinne des Art. 32 DSGVO?
Art. 32 DSGVO verlangt von Verantwortlichen und Auftragsverarbeitern, technische und organisatorische Maßnahmen festzulegen, um ein angemessenes Datenschutzniveau sicherzustellen. Die Maßnahmen müssen geeignet sein, das entsprechende Schutzniveau zu erreichen. Es sind aber auch die wirtschaftlichen Interessen des Verarbeiters als Grenze des Zumutbaren zu berücksichtigen. Erfasst sind alle Handlungen, die sich auf den technischen Vorgang der Verarbeitung oder seine äußeren Rahmenbedingungen mit dem Ziel richten, diese in Einklang mit den Vorgaben der Verordnung zu bringen.
Technische Maßnahmen im Sinne der Norm sind alle Vorkehrungen und Verfahrensweisen, deren Schutzwirkung auf der Funktonalität technischer Hilfsmittel beruht, welche sich auf die Datenverarbeitung unmittelbar oder mittelbar physisch auswirken (beispielsweise Wegschließen von Datenträgern; Maßnahmen, die den Zutritt Unbefugter verhindern sollen; Verschlüsselung und Passwortsicherung oder sonstige Maßnahmen der Zugriffs- und Weitergabekontrolle). Organisatorische Maßnahmen sind dagegen auf die äußeren Bedingungen des technischen Verarbeitungsprozesses gerichtet (beispielsweise Einhaltung des Vier-Augen-Prinzips; Protokollierungen; Stichprobenüberprüfungen; Mitarbeiterschulungen).
Art. 32 I Hs.2 enthält einen (nicht abschließenden) Katalog möglicher Maßnahmen, insbesondere die Pseudonymisierung (lit. a). Der Verarbeiter hat zu prüfen, ob er den Zweck seiner Tätigkeit auch ohne konkreten Personenbezug erreichen kann. Eine Pseudonymisierung löst den Personenbezug von Daten soweit auf, dass ein Rückschluss auf eine bestimmte Person nicht mehr erfolgen kann, ohne dass zusätzliche Informationen (etwa in Form eines Identifizierungsschlüssels) hinzugezogen werden.
Gemäß Art. 32 I Hs.2 lit. b schließen die Maßnahmen die Fähigkeit ein, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen. Das „Gebot der Vertraulichkeit“ dient dem Ziel, Informationen vor unbefugter Preisgabe zu schützen und sensible Daten ausschließlich Befugten zugänglich zu machen. Konkrete Umsetzungsmaßnahmen können etwa Zutritts-, Zugriffs- Zugangs- oder Weitergabekontrollen sein. Es muss beispielsweise sichergestellt sein, dass ein Dritter nicht nur durch Angabe von Namen und Geburtsdatum sensible Informationen erhält. „Integrität“ meint den Schutz von Daten vor Manipulation. Dies erfordert einerseits die Unversehrtheit der Daten als solche, andererseits ebenso die korrekte Funktionsfähigkeit von Systemen. Mögliche Maßnahmen sind Mitarbeiterschulungen, Firewalls, Antivirenprogramme, Backup- und Sicherungskonzepte (inklusive Offline-Sicherungen, um Daten notfalls wieder herstellen zu können) sowie elektronische Signaturen mit asymmetrischer Verschlüsselung. „Verfügbarkeit“ bezeichnet die Wahrscheinlichkeit, dass ein System eine geforderte Leistung tatsächlich erbringt – gemeint ist also der Schutz vor zufälliger Zerstörung und zufälligem Datenverlust durch umfangreiche Back-up-Vorsorge. Eine Ergänzung erfährt dies durch das „Prinzip der Belastbarkeit“, womit die „Resilienz“ des Systems – also die Fähigkeit zur Bewältigung von Gefahrenlagen wie Störungen unter Aufrechterhaltung der Leistungsfähigkeit.
Gemäß Art. 32 I Hs.2 lit. c ist die Fähigkeit erfasst, die Verfügbarkeit von personenbezogenen Daten und den Zugang zu ihnen bei einem Zwischenfall rasch wiederherzustellen. Diesbezüglich kommen die Sicherstellung von Notstromversorgung und Vertretungspläne als geeignete Maßnahmen in Betracht. Die Wirksamkeit all dieser Maßnahmen muss nicht nur einmalig sichergestellt, sondern regelmäßig durch geeignete Verfahren kritisch überprüft werden (Art. 32 I Hs.2 lit. d).
Durch das Zusammenspiel der entsprechenden Maßnahmen soll ein dem Risiko angemessenes Schutzniveau erreicht werden. Die Höhe des Risikos richtet sich nach Art, Umständen und Zweck der Verarbeitung sowie der Höhe des drohenden Schadens. Abzustellen ist auf die Wahrscheinlichkeit des Eintritts eines physischen, materiellen oder immateriellen Schadens. Das Risiko ist dann unter Berücksichtigung des technisch Machbaren ins Verhältnis zu setzen zu den wirtschaftlichen Belastungen des Verarbeiters.
Was ist bei der Vernichtung personenbezogener Daten im Auftrag zu beachten?
Der Verantwortlich ist auch dann verpflichtet, für die Einhaltung der Datenschutzvorschriften zu sorgen, wenn der Auftragsverarbeiter mit der Vernichtung personenbezogener Daten beauftragt ist. Ein Entsorgungskonzept darf sich nicht auf Maßnahmen zur Vernichtung der Datenträger beschränken, sondern muss auch die Sammlung und (Zwischen-)Lagerung, den Transport, die Organisation und die gegebenenfalls mit externen Entsorgungsunternehmen zu vereinbarenden Regelungen beinhalten.
Es ist ratsam, wenn sich der Verantwortliche bereits vor Vertragsunterzeichnung vor Ort davon überzeugt, dass der potentielle Auftragsverarbeiter tatsächlich eine datenschutzkonforme Entsorgung gewährleisten kann. Die ordnungsgemäße Durchführung der Vernichtung sollte – gegebenenfalls unter Vereinbarung eines Rechts auf unangemeldete Kontrollen – stichprobenartig untersucht werden.
Bei der Vernichtung personenbezogener Daten sind im AV-Vertrag somit insbesondere auch zu regeln:
- Festlegung der Art und Menge der zu entsorgenden Datenträger und das dabei zu beachtende Schutzniveau
- Auswahl eines geeigneten Vernichtungsverfahrens
- Bestimmung von Ort und Zeit der Vernichtung (etwa beim Verantwortlichen oder Betriebsstätte des Auftragsverarbeiters)
- Die dabei zu ergreifenden Maßnahmen der Zugangskontrolle
- Festlegung der Verantwortlichkeiten für die Aufbewahrung und den Transport der Datenträger
- Festlegung der dabei zu ergreifenden Maßnahmen der Transportkontrolle (bspw. Beschreibung von Transportwegen und Transportbehältnissen)
- Gewährleistung des Auftragsverarbeiters, dass Unbefugte keine Kenntnis von Dateninhalten erlangen können
- Informationspflichten des Auftragsverarbeiters in bestimmten Ausnahmenfällen (bspw. bei Betriebsstörungen oder Verstößen)
- Berechtigung des Verantwortlichen zur Durchführung von Überprüfungen bei Aufbewahrung, Transport und Vernichtung von Datenträgern
- Festlegung von Art und Form von Bescheinigungen, welche der Auftragsverarbeiter bei Abholung bzw. nach jedem Entsorgungsvorgang an den Verantwortlichen auszustellen hat