Aktuell über Dienste
mit AV-Verträgen / DPAs

sowie weitere Informationen zur Auftragsverarbeitung und Links zu Datenschutzerklärungen in der AV-Vertrag.org Datenbank:

Liste mit Auftragsverarbeitern und Informationen zum AV-Vertrag / DPA / SCCs / DSE
Inkl. AV-Vertrag-Ratgeber

Hinweis: Die Inhalte können die rechtliche Beratung im Einzelfall nicht ersetzen. Maßgeblich für die Aktualität bzw. Richtigkeit der Daten ist das letzte Bearbeitungsdatum da Einträge durch unabhängige Dritte auf der Datenbank vorgenommen werden, wird um Ihre Information und angemessene Frist zur Korrektur gebeten.

Liste mit Diensten bzw. Anbietern und Hinweisen zur Auftragsverarbeitung

Hier finden Sie unsere Datenbank mit zahlreichen Diensten und Anbietern, welche oft durch Verantwortliche in Anspruch genommen werden. Bitte beachten Sie, dass in der Liste sowohl Auftragsverarbeiter (Positiv-Einträge) als auch Gemeinsame Verantwortliche und Anbieter zu denen keine direkte Beziehung besteht (Negativ-Einträge) aufgeführt werden.
Wollen Sie mit einem Anbieter einen AV-Vertrag schließen, können Sie sich hier informieren (“Hinweise zum Vertragsschluss”). Durch Klick auf den Namen des Eintrags gelangen Sie ggf. zu weiteren Informationen und können die angegebenen Inhalte kommentieren und Änderungen vorschlagen. Wir freuen uns auf Ihre Kommentare.

Dienst / Unternehmen

01051 Telecom
Fritz-Vomfelde-Str. 34
40547 Düsseldorf

Verfügbare Informationen
✔ Sitz des Anbieters / Unternehmens
✔ Datenverarbeitende Beziehung
✔ AV-Vertrag / DPA angeboten?
✔ Hinweise zum Vertragsschluss
✔ Link zur Datenschutzerklärung
Letzte Bearbeitung
10.06.2021 12:20 Uhr
Dienst / Unternehmen

1&1 Versatel Deutschland GmbH
Wanheimer Straße 90
40468 Düsseldorf

Verfügbare Informationen
✔ Sitz des Anbieters / Unternehmens
✔ Datenverarbeitende Beziehung
✔ AV-Vertrag / DPA angeboten?
✔ Hinweise zum Vertragsschluss
✔ Link zur Datenschutzerklärung
Letzte Bearbeitung
10.06.2021 12:21 Uhr
Dienst / Unternehmen

Smartsheet Inc.

10500 NE 8th St Suite 1300

Bellevue, Washington, 98004

Verfügbare Informationen
✔ Sitz des Anbieters / Unternehmens
✔ Datenverarbeitende Beziehung
✔ AV-Vertrag / DPA angeboten?
✔ Hinweise zum Vertragsschluss
✔ Link zur Datenschutzerklärung
Letzte Bearbeitung
18.06.2021 11:48 Uhr
Dienst / Unternehmen

11880 Internet Services AG
Hohenzollernstr. 24
45128 Essen

Verfügbare Informationen
✔ Sitz des Anbieters / Unternehmens
✔ Datenverarbeitende Beziehung
✔ AV-Vertrag / DPA angeboten?
✔ Hinweise zum Vertragsschluss
✔ Link zur Datenschutzerklärung
Letzte Bearbeitung
02.09.2021 18:51 Uhr
Dienst / Unternehmen

12systems® GmbH
Am Speicher XI 11
28217 Bremen

Verfügbare Informationen
✔ Sitz des Anbieters / Unternehmens
✔ Datenverarbeitende Beziehung
✔ AV-Vertrag / DPA angeboten?
✔ Hinweise zum Vertragsschluss
✔ Link zur Datenschutzerklärung
Letzte Bearbeitung
02.09.2021 19:30 Uhr

Weitere Ergebnisse können über die Suchfunktion abgerufen werden.

AV-Vertrag-Ratgeber / FAQ zur Auftragsverarbeitung

Inhaltsverzeichnis

Wann muss ein Auftragsverarbeitungsvertrag abgeschlossen werden?

Der Abschluss eines Auftragsverarbeitungsvertrags (kurz: AV-Vertrag) bzw. engl. Data Processing Agreement (kurz: DPA) ist gemäß Art. 28 III DSGVO zwingend erforderlich, wenn ein Auftragsverarbeitungsverhältnis eingegangen wird. Auftragsverarbeitung ist gegeben, wenn ein Auftragsverarbeiter (Art. 4 Nr.8 DSGVO) im Auftrag eines Verantwortlichen (Art. 4 Nr.7 DSGVO) personenbezogene Daten (Art. 4 Nr.1 DSGVO) verarbeitet (Art. 4 Nr.2 DSGVO).

Schwierigkeiten bereitet mitunter die Beurteilung, ob eine natürliche oder juristische Person ein Auftragsverarbeiter ist. Entscheidendes Kriterium ist dabei die Weisungsgebundenheit des Auftragsnehmers. Er handelt im Auftrag des Verantwortlichen und hat im Gegensatz zu diesem keine Entscheidungsbefugnis über die Mittel und Zwecke der Datenverarbeitung. Er verfolgt keine über die Datenverarbeitung als solche hinausgehenden Ziele. Außerdem muss die Datenverarbeitung durch den Auftragnehmer gerade der beabsichtigte Schwerpunkt des Auftrags sein und kein wesentliches Beiwerk der zu erbringenden Dienstleistung.

Auftragsverarbeitung liegt daher beispielsweise in der Regel vor bei:

Keine Auftragsverarbeiter sind demgegenüber insbesondere Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, Wirtschaftsprüfer, externe Betriebsärzte); Postdienste und Inkassobüros.

Besteht Unsicherheit darüber, ob eine Auftragsverarbeitung vorliegt, besteht die Möglichkeit einer Anfrage bei dem jeweils zuständigen Landesdatenschutzbeauftragten.

Was muss ein AV-Vertrag beinhalten?

Ein AV-Vertrag muss beinhalten:

Welche Arten der Verarbeitung im Sinne des Art. 4 Nr.2 DSGVO gibt es?

Die DSGVO definiert „Verarbeitung“ als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“, woraufhin eine Reihe von Beispielen folgt. Diese „Arten“ der Verarbeitung müssen im AV-Vertrag konkret und abschließend benannt werden, sind jedoch ohne weitere Erläuterung anhand des Gesetzestextes nur schwer zu verstehen und abzugrenzen.

Erheben

Erheben ist das Beschaffen von Daten über den Betroffenen. Solange die Beschaffung gezielt erfolgt, spielt die Art und Weise keine Rolle.

Erfassen

Erfassen ist das Aufschreiben oder sonstige Aufnehmen der beschaffenen Daten.

Speichern

Speichern ist das Aufbewahren von Daten auf einem Datenträger zur weiteren Verarbeitung. Wird eine nicht gezielt beschaffte Information bei Kenntnisnahme nicht gelöscht, liegt eine Speicherung vor.

Organisieren

Diese sich überschneidenden Begriffe meinen das Aufbauen einer wie auch immer gearteten Struktur innerhalb der Daten, wobei deren Komplexität oder Sinnhaftigkeit keine Rolle spielt.

Anpassen

Beide Begriffe bezeichnen die Abänderung der vorhandenen Daten durch inhaltliche Umgestaltung. Unterschiede bestehen bei der Zielrichtung, wobei eine Anpassung etwa die fortlaufende Aktualisierung von Daten sein soll, während die Korrektur einer unrichtigen Angabe eine Veränderung ist.

Auslesen

Beim Auslesen wird insbesondere ein vorhandener Datensatz konsultiert, während beim Abfragen eine externe Datenbank genutzt wird.

Verwenden

Der Begriff der Verwendung umfasst alle Arten des zweckgerichteten Gebrauchens oder der internen Nutzung von Daten, die nicht von den übrigen Beispielen erfasst werden. Es handelt sich um einen sogenannten „Auffangtatbestand“.

Offenlegen

Die Offenlegung personenbezogener Daten kann durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung erfolgen. Dabei ist weder die Art der Bekanntgabe noch die tatsächliche Kenntnisnahme des Empfängers relevant. Die Weitergabe innerhalb einer Stelle oder von einem Auftragsverarbeiter an den Verantwortlichen ist jedoch keine Offenlegung, sondern Verwendung!

Abgleichen

Abgleich ist die Überprüfung, ob die in mehreren Datensystemen über einen Betroffenen gespeicherten Daten konsistent sind oder ob bestimmte Daten in zwei unterschiedlichen Dateien vorhanden sind.

Verknüpfen

Verknüpfung ist die Zusammenführung von personenbezogenen Daten über einen Betroffenen aus mehreren Dateisystemen. Umfasst ist auch die Verbindung von mehreren Betroffenen über ein verbindendes Merkmal.

Einschränken

Der Begriff der Einschränkung wird in Art. 4 Nr.3 DSGVO definiert als „die Markierung personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung enzuschränken“.

Löschen

Löschen ist die Eliminierung von Daten auf einem elektronischen Dateiträger.

Vernichten

Vernichtung ist die Zerstörung eines physischen Datenträgers (z.B. einer Papierakte).

Was sind die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters?

Der AV-Vertrag soll die Rechte und Pflichten des Verantwortlichen sowie des Auftragsverarbeiters enthalten. Gemäß Art. 28 III 2 DSGVO müssen die folgenden Punkte geregelt sein:

Dem Verantwortlichen treffen Pflichten in Bezug auf die Rechte betroffener Personen (Art. 12-22 DSGVO) wie vor allem Auskunfts- und Berichtigungsrechte. Der Auftragsverarbeiter hat den Verantwortlichen nach Möglichkeit mit technischen und organisatorischen Maßnahmen bei der Erfüllung dieser Pflichten zu unterstützen (Art. 28 III 2 lit. e DSGVO). Es empfiehlt sich, diese Unterstützungspflichten möglichst konkret im AV-Vertrag festzuschreiben.

Weitere Pflichten treffen den Verantwortlichen aus Art. 32-36 DSGVO. Der Auftragsverarbeiter hat ihn auch dabei hinsichtlich

zu unterstützen (Art. 28 III lit. f. DSGVO).

Abschließend ist der Auftragsverarbeiter verpflichtet, dem Verantwortlichen alle Informationen zur Verfügung zu stellen, die er benötigt, um die Befolgung seiner Pflichten gemäß Art. 28 DSGVO nachweisen zu können (Art. 28 III 2 lit. h DSGVO). Dies geht mit der Verpflichtung zur Einräumung von Überprüfungsrechten einher (siehe unten). Hält der Auftragsverarbeiter eine Weisung des Verantwortlichen für datenschutzrechtswidrig, muss er ihn darauf hinweisen.

Was sind „technische und organisatorische Maßnahmen“ im Sinne des Art. 32 DSGVO?

Art. 32 DSGVO verlangt von Verantwortlichen und Auftragsverarbeitern, technische und organisatorische Maßnahmen festzulegen, um ein angemessenes Datenschutzniveau sicherzustellen. Die Maßnahmen müssen geeignet sein, das entsprechende Schutzniveau zu erreichen. Es sind aber auch die wirtschaftlichen Interessen des Verarbeiters als Grenze des Zumutbaren zu berücksichtigen. Erfasst sind alle Handlungen, die sich auf den technischen Vorgang der Verarbeitung oder seine äußeren Rahmenbedingungen mit dem Ziel richten, diese in Einklang mit den Vorgaben der Verordnung zu bringen.

Technische Maßnahmen im Sinne der Norm sind alle Vorkehrungen und Verfahrensweisen, deren Schutzwirkung auf der Funktonalität technischer Hilfsmittel beruht, welche sich auf die Datenverarbeitung unmittelbar oder mittelbar physisch auswirken (beispielsweise Wegschließen von Datenträgern; Maßnahmen, die den Zutritt Unbefugter verhindern sollen; Verschlüsselung und Passwortsicherung oder sonstige Maßnahmen der Zugriffs- und Weitergabekontrolle). Organisatorische Maßnahmen sind dagegen auf die äußeren Bedingungen des technischen Verarbeitungsprozesses gerichtet (beispielsweise Einhaltung des Vier-Augen-Prinzips; Protokollierungen; Stichprobenüberprüfungen; Mitarbeiterschulungen).

Art. 32 I Hs.2 enthält einen (nicht abschließenden) Katalog möglicher Maßnahmen, insbesondere die Pseudonymisierung (lit. a). Der Verarbeiter hat zu prüfen, ob er den Zweck seiner Tätigkeit auch ohne konkreten Personenbezug erreichen kann. Eine Pseudonymisierung löst den Personenbezug von Daten soweit auf, dass ein Rückschluss auf eine bestimmte Person nicht mehr erfolgen kann, ohne dass zusätzliche Informationen (etwa in Form eines Identifizierungsschlüssels) hinzugezogen werden.

Gemäß Art. 32 I Hs.2 lit. b schließen die Maßnahmen die Fähigkeit ein, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen. Das „Gebot der Vertraulichkeit“ dient dem Ziel, Informationen vor unbefugter Preisgabe zu schützen und sensible Daten ausschließlich Befugten zugänglich zu machen. Konkrete Umsetzungsmaßnahmen können etwa Zutritts-, Zugriffs- Zugangs- oder Weitergabekontrollen sein. Es muss beispielsweise sichergestellt sein, dass ein Dritter nicht nur durch Angabe von Namen und Geburtsdatum sensible Informationen erhält. „Integrität“ meint den Schutz von Daten vor Manipulation. Dies erfordert einerseits die Unversehrtheit der Daten als solche, andererseits ebenso die korrekte Funktionsfähigkeit von Systemen. Mögliche Maßnahmen sind Mitarbeiterschulungen, Firewalls, Antivirenprogramme, Backup- und Sicherungskonzepte (inklusive Offline-Sicherungen, um Daten notfalls wieder herstellen zu können) sowie elektronische Signaturen mit asymmetrischer Verschlüsselung. „Verfügbarkeit“ bezeichnet die Wahrscheinlichkeit, dass ein System eine geforderte Leistung tatsächlich erbringt – gemeint ist also der Schutz vor zufälliger Zerstörung und zufälligem Datenverlust durch umfangreiche Back-up-Vorsorge. Eine Ergänzung erfährt dies durch das „Prinzip der Belastbarkeit“, womit die „Resilienz“ des Systems – also die Fähigkeit zur Bewältigung von Gefahrenlagen wie Störungen unter Aufrechterhaltung der Leistungsfähigkeit.

Gemäß Art. 32 I Hs.2 lit. c ist die Fähigkeit erfasst, die Verfügbarkeit von personenbezogenen Daten und den Zugang zu ihnen bei einem Zwischenfall rasch wiederherzustellen. Diesbezüglich kommen die Sicherstellung von Notstromversorgung und Vertretungspläne als geeignete Maßnahmen in Betracht. Die Wirksamkeit all dieser Maßnahmen muss nicht nur einmalig sichergestellt, sondern regelmäßig durch geeignete Verfahren kritisch überprüft werden (Art. 32 I Hs.2 lit. d).

Durch das Zusammenspiel der entsprechenden Maßnahmen soll ein dem Risiko angemessenes Schutzniveau erreicht werden. Die Höhe des Risikos richtet sich nach Art, Umständen und Zweck der Verarbeitung sowie der Höhe des drohenden Schadens. Abzustellen ist auf die Wahrscheinlichkeit des Eintritts eines physischen, materiellen oder immateriellen Schadens. Das Risiko ist dann unter Berücksichtigung des technisch Machbaren ins Verhältnis zu setzen zu den wirtschaftlichen Belastungen des Verarbeiters.

Was ist bei der Vernichtung personenbezogener Daten im Auftrag zu beachten?

Der Verantwortlich ist auch dann verpflichtet, für die Einhaltung der Datenschutzvorschriften zu sorgen, wenn der Auftragsverarbeiter mit der Vernichtung personenbezogener Daten beauftragt ist. Ein Entsorgungskonzept darf sich nicht auf Maßnahmen zur Vernichtung der Datenträger beschränken, sondern muss auch die Sammlung und (Zwischen-)Lagerung, den Transport, die Organisation und die gegebenenfalls mit externen Entsorgungsunternehmen zu vereinbarenden Regelungen beinhalten.

Es ist ratsam, wenn sich der Verantwortliche bereits vor Vertragsunterzeichnung vor Ort davon überzeugt, dass der potentielle Auftragsverarbeiter tatsächlich eine datenschutzkonforme Entsorgung gewährleisten kann. Die ordnungsgemäße Durchführung der Vernichtung sollte – gegebenenfalls unter Vereinbarung eines Rechts auf unangemeldete Kontrollen – stichprobenartig untersucht werden.

Bei der Vernichtung personenbezogener Daten sind im AV-Vertrag somit insbesondere auch zu regeln: