Aktuell über Dienste
mit AV-Verträgen / DPAs

sowie weitere Informationen zur Auftragsverarbeitung und Links zu Datenschutzerklärungen in der AV-Vertrag.org Datenbank:

  • Sitz des Anbieters
  • Datenverarbeitende Beziehung
  • AV-Vertrag angeboten?
  • Hinweise zum Vertragsschluss
  • DSE

Liste mit Auftragsverarbeitern und Informationen zum AV-Vertrag / DPA / SCCs / DSE
Inkl. AV-Vertrag-Ratgeber

Hinweis: Die Inhalte können die rechtliche Beratung im Einzelfall nicht ersetzen. Maßgeblich für die Aktualität bzw. Richtigkeit der Daten ist das letzte Bearbeitungsdatum da Einträge durch unabhängige Dritte auf der Datenbank vorgenommen werden, wird um Ihre Information und angemessene Frist zur Korrektur gebeten.

Direkt zum AV-Vertrag-Ratgeber mit FAQ zur Auftragsverarbeitung gehen

Liste mit Diensten bzw. Anbietern und Hinweisen zur Auftragsverarbeitung

Hier finden Sie unsere Datenbank mit zahlreichen Diensten und Anbietern, welche oft durch Verantwortliche in Anspruch genommen werden. Bitte beachten Sie, dass in der Liste sowohl Auftragsverarbeiter (Positiv-Einträge) als auch Gemeinsame Verantwortliche und Anbieter zu denen keine direkte Beziehung besteht (Negativ-Einträge) aufgeführt werden.
Wollen Sie mit einem Anbieter einen AV-Vertrag schließen, können Sie sich hier informieren (“Hinweise zum Vertragsschluss”). Durch Klick auf den Namen des Eintrags gelangen Sie ggf. zu weiteren Informationen und können die angegebenen Inhalte kommentieren und Änderungen vorschlagen. Wir freuen uns auf Ihre Kommentare.

ANZEIGE
Erstelle Deinen eigenen AV-Vertrag mit diesem einfachen Generator nach DSGVO - Geeignet für Selbstständige und Dienstleister
  • Für die Verwendung mit Deinen Auftraggebern oder zur Regelung der Zusammenarbeit mit Deinen Auftragnehmern.
  • Angaben einfach im Online-Formular eingeben
  • Der AV-Vertrag entsteht direkt vor Deinen Augen
  • Download als Word- und PDF-Datei möglich
  • Nach anwaltlich geprüftem Vertragsmuster
AV-Vertrag Generator jetzt starten!
Dienst / Unternehmen

01051 Telecom

01051 Telecom
Fritz-Vomfelde-Str. 34
40547 Düsseldorf

Verfügbare Informationen
✔ Sitz des Anbieters / Unternehmens
✔ Datenverarbeitende Beziehung
✔ AV-Vertrag / DPA angeboten?
✔ Hinweise zum Vertragsschluss
✔ Link zur Datenschutzerklärung
Letzte Bearbeitung
03.06.2022 14:59 Uhr
Informationen anzeigen
Dienst / Unternehmen

1 Point Interactive

1 Point Interactive
P.O. Box 351681 Toledo
Ohio 43635

Verfügbare Informationen
✔ Sitz des Anbieters / Unternehmens
✔ Datenverarbeitende Beziehung
✔ AV-Vertrag / DPA angeboten?
✔ Hinweise zum Vertragsschluss
✔ Link zur Datenschutzerklärung
Letzte Bearbeitung
24.05.2022 17:11 Uhr
Informationen anzeigen
Dienst / Unternehmen

1&1 Versatel

1&1 Versatel Deutschland GmbH
Wanheimer Straße 90
40468 Düsseldorf

Verfügbare Informationen
✔ Sitz des Anbieters / Unternehmens
✔ Datenverarbeitende Beziehung
✔ AV-Vertrag / DPA angeboten?
✔ Hinweise zum Vertragsschluss
✔ Link zur Datenschutzerklärung
Letzte Bearbeitung
02.06.2022 13:22 Uhr
Informationen anzeigen
Dienst / Unternehmen

10,000ft

Smartsheet Inc.
10500 NE 8th St Suite 1300
Bellevue, Washington, 98004

Verfügbare Informationen
✔ Sitz des Anbieters / Unternehmens
✔ Datenverarbeitende Beziehung
✔ AV-Vertrag / DPA angeboten?
✔ Hinweise zum Vertragsschluss
✔ Link zur Datenschutzerklärung
Letzte Bearbeitung
10.01.2022 19:50 Uhr
Informationen anzeigen
Dienst / Unternehmen

10Duke

10Duke Software Ltd.
85 Bayham Street
London
England NW1 0AG, GB

Verfügbare Informationen
✔ Sitz des Anbieters / Unternehmens
✔ Datenverarbeitende Beziehung
✔ AV-Vertrag / DPA angeboten?
✔ Hinweise zum Vertragsschluss
✔ Link zur Datenschutzerklärung
Letzte Bearbeitung
24.05.2022 15:52 Uhr
Informationen anzeigen

Weitere Ergebnisse können über die Suchfunktion abgerufen werden.

Zurück nach oben zum Anfang der Liste gehen

AV-Vertrag-Ratgeber / FAQ zur Auftragsverarbeitung

Inhaltsverzeichnis

Wann muss ein Auftragsverarbeitungsvertrag abgeschlossen werden?

Der Abschluss eines Auftragsverarbeitungsvertrags (kurz: AV-Vertrag) bzw. engl. Data Processing Agreement (kurz: DPA) ist gemäß Art. 28 III DSGVO zwingend erforderlich, wenn ein Auftragsverarbeitungsverhältnis eingegangen wird. Auftragsverarbeitung ist gegeben, wenn ein Auftragsverarbeiter (Art. 4 Nr.8 DSGVO) im Auftrag eines Verantwortlichen (Art. 4 Nr.7 DSGVO) personenbezogene Daten (Art. 4 Nr.1 DSGVO) verarbeitet (Art. 4 Nr.2 DSGVO).

Schwierigkeiten bereitet mitunter die Beurteilung, ob eine natürliche oder juristische Person ein Auftragsverarbeiter ist. Entscheidendes Kriterium ist dabei die Weisungsgebundenheit des Auftragsnehmers. Er handelt im Auftrag des Verantwortlichen und hat im Gegensatz zu diesem keine Entscheidungsbefugnis über die Mittel und Zwecke der Datenverarbeitung. Er verfolgt keine über die Datenverarbeitung als solche hinausgehenden Ziele. Außerdem muss die Datenverarbeitung durch den Auftragnehmer gerade der beabsichtigte Schwerpunkt des Auftrags sein und kein wesentliches Beiwerk der zu erbringenden Dienstleistung.

Auftragsverarbeitung liegt daher beispielsweise in der Regel vor bei:

  • Outsourcing von Datenbeständen (insbesondere Cloud-Computing)
  • Webhosting, E-Mail-Hosting, Filehosting etc.
  • Verarbeitung von Kundendaten in einem Callcenter (ohne dass dort Entscheidungsbefugnisse bestehen)
  • Löschung von Datenträgern
  • Bei Inanspruchnahme sogenannter „Lettershops“
  • Beauftragung eines IT-Dienstleisters zur Wartung der IT-Infrastruktur (insbesondere „Fernwartung“)

Keine Auftragsverarbeiter sind demgegenüber insbesondere Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, Wirtschaftsprüfer, externe Betriebsärzte); Postdienste und Inkassobüros.

Besteht Unsicherheit darüber, ob eine Auftragsverarbeitung vorliegt, besteht die Möglichkeit einer Anfrage bei dem jeweils zuständigen Landesdatenschutzbeauftragten.

Was muss ein AV-Vertrag beinhalten?

Ein AV-Vertrag muss beinhalten:

  • Gegenstand des Auftrags (konkrete Bezeichnung der Dienstleistungen)
  • Dauer des Auftrags
  • Der Beginn der Vertragslaufzeit ist eindeutig festzulegen
  • Der Vertrag kann auch auf unbestimmte Dauer geschlossen werden
  • Es muss die Möglichkeit der Vertragsbeendigung bestehen
  • Art der Verarbeitung (entsprechend der Definition von Art. 4 Nr.2 DSGVO)
  • Art der personenbezogenen Daten (entsprechend der Definitionen von Art. 4,13,14 und 15 DSGVO); dies dient auch zur Bestimmung des erforderlichen Schutzniveaus
  • Personenbezogene Daten gemäß Art, 4 Nr.1 DSGVO: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (insbesondere Name, Geburtsdatum, Adresse, Kennnummern…)
  • Art. 13, 14 und 15 regeln Informationspflichten des Verantwortlichen und Auskunftsrechte des Betroffenen
  • Kategorien betroffener Personen (beispielsweise Kinder, Jugendliche, Beihilfeberechtigte, Beschäftigte, Lieferanten etc.)
  • Rechte und Pflichten, insb.Weisungsbefugnisse, des Auftraggebers (siehe unten)
  • Weisungsberechtigte des Auftraggebers
  • Weisungsempfänger beim Auftragsnehmer
  • Für Weisung zu nutzende Kommunikationskanäle (genaue Adresse/E-Mail/Telefonnummer) Ansprechpartner sind nicht zwingend zu benennen. Es ist aber empfehlenswert, die jeweiligen Ansprechpartner anzugeben und festzulegen wie diese erreichbar sind, um der Entstehung von Unklarheiten vorzubeugen.
  • Pflichten des Auftragnehmers
  • Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzung des Schutzes personenbezogener Daten
  • Unterauftragsverhältnisse mit Subunternehmern (Art. 28 III 2 lit. d DSGVO)
  • Technische und organisatorische Maßnahmen nach Art. 32 DSGVO (Art. 28 III 2 lit. c DSGVO) Die Maßnahmen müssen laut Gesetz nicht zwingend m Einzelnen genannt werden. Dem Verantwortlichen wird so aber die Prüfung der Angemessenheit der Maßnahmen deutlich erleichtert. Die Formulierung der Maßnahmen im Vertrag ist allein deshalb dringend zu empfehlen, als dass den Verantwortlichen eine Rechenschaftspflicht trifft, welcher er dann wesentlich besser nachkommen kann (siehe unten).
  • Verpflichtung des Auftragnehmers nach Beendigung des Auftrags gemäß Art. 28 III 2 lit. g DSGVO (siehe unten)
  • Vergütung, Haftung und gegebenenfalls Vertragsstrafe

Welche Arten der Verarbeitung im Sinne des Art. 4 Nr.2 DSGVO gibt es?

Die DSGVO definiert „Verarbeitung“ als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“, woraufhin eine Reihe von Beispielen folgt. Diese „Arten“ der Verarbeitung müssen im AV-Vertrag konkret und abschließend benannt werden, sind jedoch ohne weitere Erläuterung anhand des Gesetzestextes nur schwer zu verstehen und abzugrenzen.

Die DSGVO definiert „Verarbeitung“ als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“, woraufhin eine Reihe von Beispielen folgt. Diese „Arten“ der Verarbeitung müssen im AV-Vertrag konkret und abschließend benannt werden, sind jedoch ohne weitere Erläuterung anhand des Gesetzestextes nur schwer zu verstehen und abzugrenzen.

Erheben

Erheben ist das Beschaffen von Daten über den Betroffenen. Solange die Beschaffung gezielt erfolgt, spielt die Art und Weise keine Rolle.

Erfassen

Erfassen ist das Aufschreiben oder sonstige Aufnehmen der beschaffenen Daten.

Speichern

Speichern ist das Aufbewahren von Daten auf einem Datenträger zur weiteren Verarbeitung. Wird eine nicht gezielt beschaffte Information bei Kenntnisnahme nicht gelöscht, liegt eine Speicherung vor.

Organisieren

Diese sich überschneidenden Begriffe meinen das Aufbauen einer wie auch immer gearteten Struktur innerhalb der Daten, wobei deren Komplexität oder Sinnhaftigkeit keine Rolle spielt.

Anpassen

Beide Begriffe bezeichnen die Abänderung der vorhandenen Daten durch inhaltliche Umgestaltung. Unterschiede bestehen bei der Zielrichtung, wobei eine Anpassung etwa die fortlaufende Aktualisierung von Daten sein soll, während die Korrektur einer unrichtigen Angabe eine Veränderung ist.

Auslesen

Beim Auslesen wird insbesondere ein vorhandener Datensatz konsultiert, während beim Abfragen eine externe Datenbank genutzt wird.

Verwenden

Der Begriff der Verwendung umfasst alle Arten des zweckgerichteten Gebrauchens oder der internen Nutzung von Daten, die nicht von den übrigen Beispielen erfasst werden. Es handelt sich um einen sogenannten „Auffangtatbestand“.

Offenlegen

Die Offenlegung personenbezogener Daten kann durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung erfolgen. Dabei ist weder die Art der Bekanntgabe noch die tatsächliche Kenntnisnahme des Empfängers relevant. Die Weitergabe innerhalb einer Stelle oder von einem Auftragsverarbeiter an den Verantwortlichen ist jedoch keine Offenlegung, sondern Verwendung!

Abgleichen

Abgleich ist die Überprüfung, ob die in mehreren Datensystemen über einen Betroffenen gespeicherten Daten konsistent sind oder ob bestimmte Daten in zwei unterschiedlichen Dateien vorhanden sind.

Verknüpfen

Verknüpfung ist die Zusammenführung von personenbezogenen Daten über einen Betroffenen aus mehreren Dateisystemen. Umfasst ist auch die Verbindung von mehreren Betroffenen über ein verbindendes Merkmal.

Einschränken

Der Begriff der Einschränkung wird in Art. 4 Nr.3 DSGVO definiert als „die Markierung personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung enzuschränken“.

Löschen

Löschen ist die Eliminierung von Daten auf einem elektronischen Dateiträger.

Vernichten

Vernichtung ist die Zerstörung eines physischen Datenträgers (z.B. einer Papierakte).

Was sind die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters?

Der AV-Vertrag soll die Rechte und Pflichten des Verantwortlichen sowie des Auftragsverarbeiters enthalten. Gemäß Art. 28 III 2 DSGVO müssen die folgenden Punkte geregelt sein:

  • Weisungsgebundenheit (Art. 28 III 2 lit. a DSGVO): Der Auftragsverarbeiter ist weisungsgebunden, handelt also nur auf dokumentierte Weisung des Verantwortlichen. Somit muss er auf der Erteilung einer Weisung durch den Verantwortlichen beharren.
  • Vertraulichkeit (Art. 28 III 2 lit. b DSGVO): alle Personen, die der Auftragsverarbeiter zur Datenverarbeitung einsetzt, müssen zur Vertraulichkeit verpflichtet sein oder einer gesetzlichen Verschwiegenheitspflicht unterliegen. Der Auftragsverarbeiter muss entsprechende Verschwiegenheitsverpflichtungen jederzeit nachweisen können.
  • Technische und organisatorische Sicherungsmaßnahmen (Art. 28 III 2 lit. c DSGVO): Der Auftragsverarbeiter muss sich verpflichten, alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen zu ergreifen. Deren Umfang ist nach dem Stand der Technik und unter Berücksichtigung der betroffenen Daten angemessen zu bestimmen (siehe unten).

Dem Verantwortlichen treffen Pflichten in Bezug auf die Rechte betroffener Personen (Art. 12-22 DSGVO) wie vor allem Auskunfts- und Berichtigungsrechte. Der Auftragsverarbeiter hat den Verantwortlichen nach Möglichkeit mit technischen und organisatorischen Maßnahmen bei der Erfüllung dieser Pflichten zu unterstützen (Art. 28 III 2 lit. e DSGVO). Es empfiehlt sich, diese Unterstützungspflichten möglichst konkret im AV-Vertrag festzuschreiben.

Weitere Pflichten treffen den Verantwortlichen aus Art. 32-36 DSGVO. Der Auftragsverarbeiter hat ihn auch dabei hinsichtlich

  • technischer und organisatorischer Sicherungsmaßnahmen durch den Verantwortlichen (Art. 32 DSGVO),
  • Meldungen von Datenschutzverletzungen an Aufsichtsbehörden (Art. 33 DSGVO),
  • der Benachrichtigung der Betroffenen bei Datenschutzverletzungen (Art. 34 DSGVO),
  • der Durchführung von Datenschutz-Folgeabschätzungen und gegebenenfalls der Kontaktierung der Aufsichtsbehörde (Art. 35, 36 DSGVO)

zu unterstützen (Art. 28 III lit. f. DSGVO).

Abschließend ist der Auftragsverarbeiter verpflichtet, dem Verantwortlichen alle Informationen zur Verfügung zu stellen, die er benötigt, um die Befolgung seiner Pflichten gemäß Art. 28 DSGVO nachweisen zu können (Art. 28 III 2 lit. h DSGVO). Dies geht mit der Verpflichtung zur Einräumung von Überprüfungsrechten einher (siehe unten). Hält der Auftragsverarbeiter eine Weisung des Verantwortlichen für datenschutzrechtswidrig, muss er ihn darauf hinweisen.

Was sind „technische und organisatorische Maßnahmen“ im Sinne des Art. 32 DSGVO?

Art. 32 DSGVO verlangt von Verantwortlichen und Auftragsverarbeitern, technische und organisatorische Maßnahmen festzulegen, um ein angemessenes Datenschutzniveau sicherzustellen. Die Maßnahmen müssen geeignet sein, das entsprechende Schutzniveau zu erreichen. Es sind aber auch die wirtschaftlichen Interessen des Verarbeiters als Grenze des Zumutbaren zu berücksichtigen. Erfasst sind alle Handlungen, die sich auf den technischen Vorgang der Verarbeitung oder seine äußeren Rahmenbedingungen mit dem Ziel richten, diese in Einklang mit den Vorgaben der Verordnung zu bringen.

Technische Maßnahmen im Sinne der Norm sind alle Vorkehrungen und Verfahrensweisen, deren Schutzwirkung auf der Funktonalität technischer Hilfsmittel beruht, welche sich auf die Datenverarbeitung unmittelbar oder mittelbar physisch auswirken (beispielsweise Wegschließen von Datenträgern; Maßnahmen, die den Zutritt Unbefugter verhindern sollen; Verschlüsselung und Passwortsicherung oder sonstige Maßnahmen der Zugriffs- und Weitergabekontrolle). Organisatorische Maßnahmen sind dagegen auf die äußeren Bedingungen des technischen Verarbeitungsprozesses gerichtet (beispielsweise Einhaltung des Vier-Augen-Prinzips; Protokollierungen; Stichprobenüberprüfungen; Mitarbeiterschulungen).

Art. 32 I Hs.2 enthält einen (nicht abschließenden) Katalog möglicher Maßnahmen, insbesondere die Pseudonymisierung (lit. a). Der Verarbeiter hat zu prüfen, ob er den Zweck seiner Tätigkeit auch ohne konkreten Personenbezug erreichen kann. Eine Pseudonymisierung löst den Personenbezug von Daten soweit auf, dass ein Rückschluss auf eine bestimmte Person nicht mehr erfolgen kann, ohne dass zusätzliche Informationen (etwa in Form eines Identifizierungsschlüssels) hinzugezogen werden.

Gemäß Art. 32 I Hs.2 lit. b schließen die Maßnahmen die Fähigkeit ein, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen. Das „Gebot der Vertraulichkeit“ dient dem Ziel, Informationen vor unbefugter Preisgabe zu schützen und sensible Daten ausschließlich Befugten zugänglich zu machen. Konkrete Umsetzungsmaßnahmen können etwa Zutritts-, Zugriffs- Zugangs- oder Weitergabekontrollen sein. Es muss beispielsweise sichergestellt sein, dass ein Dritter nicht nur durch Angabe von Namen und Geburtsdatum sensible Informationen erhält. „Integrität“ meint den Schutz von Daten vor Manipulation. Dies erfordert einerseits die Unversehrtheit der Daten als solche, andererseits ebenso die korrekte Funktionsfähigkeit von Systemen. Mögliche Maßnahmen sind Mitarbeiterschulungen, Firewalls, Antivirenprogramme, Backup- und Sicherungskonzepte (inklusive Offline-Sicherungen, um Daten notfalls wieder herstellen zu können) sowie elektronische Signaturen mit asymmetrischer Verschlüsselung. „Verfügbarkeit“ bezeichnet die Wahrscheinlichkeit, dass ein System eine geforderte Leistung tatsächlich erbringt – gemeint ist also der Schutz vor zufälliger Zerstörung und zufälligem Datenverlust durch umfangreiche Back-up-Vorsorge. Eine Ergänzung erfährt dies durch das „Prinzip der Belastbarkeit“, womit die „Resilienz“ des Systems – also die Fähigkeit zur Bewältigung von Gefahrenlagen wie Störungen unter Aufrechterhaltung der Leistungsfähigkeit.

Gemäß Art. 32 I Hs.2 lit. c ist die Fähigkeit erfasst, die Verfügbarkeit von personenbezogenen Daten und den Zugang zu ihnen bei einem Zwischenfall rasch wiederherzustellen. Diesbezüglich kommen die Sicherstellung von Notstromversorgung und Vertretungspläne als geeignete Maßnahmen in Betracht. Die Wirksamkeit all dieser Maßnahmen muss nicht nur einmalig sichergestellt, sondern regelmäßig durch geeignete Verfahren kritisch überprüft werden (Art. 32 I Hs.2 lit. d).

Durch das Zusammenspiel der entsprechenden Maßnahmen soll ein dem Risiko angemessenes Schutzniveau erreicht werden. Die Höhe des Risikos richtet sich nach Art, Umständen und Zweck der Verarbeitung sowie der Höhe des drohenden Schadens. Abzustellen ist auf die Wahrscheinlichkeit des Eintritts eines physischen, materiellen oder immateriellen Schadens. Das Risiko ist dann unter Berücksichtigung des technisch Machbaren ins Verhältnis zu setzen zu den wirtschaftlichen Belastungen des Verarbeiters.

Was ist bei der Vernichtung personenbezogener Daten im Auftrag zu beachten?

Der Verantwortlich ist auch dann verpflichtet, für die Einhaltung der Datenschutzvorschriften zu sorgen, wenn der Auftragsverarbeiter mit der Vernichtung personenbezogener Daten beauftragt ist. Ein Entsorgungskonzept darf sich nicht auf Maßnahmen zur Vernichtung der Datenträger beschränken, sondern muss auch die Sammlung und (Zwischen-)Lagerung, den Transport, die Organisation und die gegebenenfalls mit externen Entsorgungsunternehmen zu vereinbarenden Regelungen beinhalten.

Es ist ratsam, wenn sich der Verantwortliche bereits vor Vertragsunterzeichnung vor Ort davon überzeugt, dass der potentielle Auftragsverarbeiter tatsächlich eine datenschutzkonforme Entsorgung gewährleisten kann. Die ordnungsgemäße Durchführung der Vernichtung sollte – gegebenenfalls unter Vereinbarung eines Rechts auf unangemeldete Kontrollen – stichprobenartig untersucht werden.

Bei der Vernichtung personenbezogener Daten sind im AV-Vertrag somit insbesondere auch zu regeln:

  • Festlegung der Art und Menge der zu entsorgenden Datenträger und das dabei zu beachtende Schutzniveau
  • Auswahl eines geeigneten Vernichtungsverfahrens
  • Bestimmung von Ort und Zeit der Vernichtung (etwa beim Verantwortlichen oder Betriebsstätte des Auftragsverarbeiters)
  • Die dabei zu ergreifenden Maßnahmen der Zugangskontrolle
  • Festlegung der Verantwortlichkeiten für die Aufbewahrung und den Transport der Datenträger
  • Festlegung der dabei zu ergreifenden Maßnahmen der Transportkontrolle (bspw. Beschreibung von Transportwegen und Transportbehältnissen)
  • Gewährleistung des Auftragsverarbeiters, dass Unbefugte keine Kenntnis von Dateninhalten erlangen können
  • Informationspflichten des Auftragsverarbeiters in bestimmten Ausnahmenfällen (bspw. bei Betriebsstörungen oder Verstößen)
  • Berechtigung des Verantwortlichen zur Durchführung von Überprüfungen bei Aufbewahrung, Transport und Vernichtung von Datenträgern
  • Festlegung von Art und Form von Bescheinigungen, welche der Auftragsverarbeiter bei Abholung bzw. nach jedem Entsorgungsvorgang an den Verantwortlichen auszustellen hat

Was ist bei einem Auftragsverhältnis über Fernwartung zu beachten?

Häufig ist die Wartung der Hard- und Software durch eigenes Personal nicht mehr zu bewältigen, sodass externe Sachverständige eingeschaltet werden. Diese können vor Ort tätig werden. In der Regel erfolgt deren Leistung jedoch per Teleservice, wodurch ein Fall der Fernwartung entsteht. Dies kann mit der Offenbarung personenbezogener Daten einhergehen, während bei Wartung vor Ort noch gewisse Eingriffsmöglichkeiten des eigenen Personals bestehen, ist bei der Fernwartung kaum ersichtlich, welche konkreten Personen an der Datenverarbeitung beteiligt sind. Die Fernwartung ist daher datenschutzrechtlich besonders problematisch.

Es ist somit insbesondere auf die Einhaltung der folgenden, im AV-Vertrag festzulegenden, Regeln zu achten:

  • Art und Umfang der Fernwartung sowie Abgrenzung der Kompetenzen und Pflichten zwischen dem Personal des Verantwortlichen und dem Personal des Auftragsverarbeiters sind durch den Verantwortlichen zu definieren.
  • Es empfiehlt sich, empfindliche Vertragsstrafen für den Fall der Zuwiderhandlung festzulegen.
  • Die Weitergabe der im Rahmen des Auftragsverhältnisses anfallenden personenbezogenen Daten ist zu untersagen.
  • Es ist eine eigene Benutzererkennung für die Durchführung der Fernwartung einzurichten, deren Passwort nach jedem Wartungsvorgang zu ändern ist.
  • Um zu gewährleisten, dass unbefugte Versuche des Einwählens unterbunden werden, ist die für die Fernwartung erforderliche Verbindung oder Freischaltung (nach einem Authentifikationsprozess) durch den Verantwortlichen aufzubauen (bspw. durch ein Call-Back-Verfahren). Die Verbindung ist nach Abschluss der Wartungsarbeiten zu deaktivieren.
  • Soll für die Datenverarbeitung das Internet genutzt werden, müssen sowohl der Verantwortliche als auch der Auftragsverarbeiter durch geeignete Firewall-Systeme gesichert sein.
  • Der Verantwortliche darf dem Auftragsverarbeiter für die Fernwartung nur diejenigen Zugriffsmöglichkeiten eröffnen, die für die Erbringung von dessen Leistung zwingend erforderlich ist.
  • Sofern irgend möglich sollten keine Funktionen freigeschaltet werden, welche die Übertragung oder Auswertung von Datenbeständen des Verantwortlichen zulassen
  • Sollte eine Übertragung personenbezogener Daten zwingend erforderlich sein, dürfen diese vom Auftragsverarbeiter maximal temporär gespeichert werden.
  • Der Verantwortliche ist verpflichtet, die im Rahmen der Fernwartung vorgenommenen Aktivitäten nach Möglichkeit online mitzuverfolgen, sodass er diese gegebenenfalls abbrechen kann.
  • Alle Aktivitäten im Rahmen der Fernwartung sind aufzuzeichnen und die entsprechenden Aufzeichnungen auszuwerten. Vollständig zu protokollieren sind bei Fernwartungs- sowie Systemadministrationsaktivitäten insbesondere:
  • Systemgenerierung und Modifikation von Systemparametern
  • Einrichten von Benutzern
  • Verwaltung von Befugnis-tabellen
  • Änderungen der Dateiorganisation
  • Durchführung von Backup., Restore-, und sonstigen Datensicherungsmaßnahmen
  • Aufruf von Administrations-Tools
  • Versuche des unbefugten Einloggens sowie der Überschreitung von Befugnissen
  • Datenübermittlungen
  • Benutzung von automatisierten Abrufverfahren
  • Eingabe, Veränderung und Löschung durch den Auftragsverarbeiter
  • Aufrufe besonders „sensibler“ Programme
  • Soweit zur Sicherung der Vertraulichkeit der übertragenen Daten eine Verschlüsselung erforderlich ist, muss die Protokollierung unverschlüsselt erfolgen, um eine effektive Kontrolle des Verantwortlichen zu gewährleisten.

Was ist bei Outsourcing des Datenbestandes zu beachten?

Sollen Datenbestände oder Teile von Datenbeständen im Rahmen von Auftragsverarbeitung ausgelagert werden, so muss der Zugriff und die Kenntnisnahme der Datenbestände durch den Auftragsverarbeiter ausgeschlossen werden. Dies kann beispielsweise durch Verschlüsselung – zwingend auch auf dem Übertragungsweg – erfolgen, wobei grundsätzlich die Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik für kryptografische Verfahren zu beachten ist. Zur Durchführung der Verschlüsselung kann ein virtuelles privates Netzwerk (VPN) eingerichtet werden. Dabei wird zwar die öffentliche Telekommunikationsstruktur genutzt, die Sicherheit der Daten aber mittels sogenannter Tunneling- und Sicherheitsprotokolle geschützt. Über die bereits dargestellten Sicherheitsmaßnahmen hinaus erfordert das Outsourcing von Datenbeständen weitere Sicherheitsmaßnahmen, insbesondere ist der physische Schutz aller Server durch Zugangskontrollmaßnahmen sicherzustellen. Soweit Datenzugriffe auf den Server erfolgen, müssen diese protokolliert werden. Eine entsprechende Überwachung ist insbesondere dann erforderlich, wenn der Zugriff mittels administrativer Berechtigung erfolgt.
Werden die personenbezogenen Daten von verschiedenen Dienstleistern in eine zentrale Datenbank ausgelagert, müssen die Datenbestände zwingend logisch getrennt voneinander gespeichert werden. Es ist durch geeignete Maßnahmen sicherzustellen, dass jeder Verantwortliche nur auf „seine“ Daten zugreifen kann. Allerdings weisen zentrale Datenbanken einen umfassenden vernetzbaren Datenbestand auf und sind daher einer erhöhten Gefahr unzulässiger Nutzung ausgesetzt, zumal ein Missbrauch einer solchen Datenbank regelmäßig besonders schwer wiegt. Somit ist es ratsam, zentrale Datensammlungen soweit möglich verhindern oder zumindest ihre Anzahl möglichst niedrig zu halten.
Gegebenenfalls kann es, gerade für kleinere Unternehmen ohne entsprechend qualifizierte Mitarbeiter, sinnvoll sein, den sogenannten Backup-Service zu nutzen, den einige Hersteller von Standardanwendungssystemen anbieten. Dabei wird die eigene Datensicherung von Experten auf ihre Funktonalität untersucht, sodass Fehler oder Unstimmigkeiten frühzeitig entdeckt und korrigiert werden können. Bei der Inanspruchnahme eines solchen Services sollte die Überprüfung der Backup-Datenträger möglichst in den Räumlichkeiten des Verantwortlichen und unter Aufsicht seiner Mitarbeiter erfolgen, insbesondere um sicherzustellen, dass der Auftragsverarbeiter keine unzulässigen Kopien erstellt.
Soll die Systemadministration ausgelagert werden, entspricht dies auch im Hinblick auf den erforderlichen Datenschutzmaßstab im Wesentlichen einer Fernwartung, sodass die diesbezüglichen Erläuterungen verwiesen werden kann (siehe oben).

Was ist bei Programmerstellung im Auftrag zu beachten?

Wird der Auftragsverarbeiter mit der Entwicklung von Programmen (auch Apps) beauftragt, so sollten ihm keine Echtdaten zur Verfügung gestellt werden. Auch zu Testzwecken sollte er insbesondere keine personenbezogenen Daten erhalten.
Der Verantwortliche erhält vom Entwickler in der Regel nicht den sogenannten Quellcode (Programmlogik), sondern nur den maschinell erzeugten Objektcode. Der Verantwortliche sollte allerdings in der Lage sein, notfalls auch auf den Quellcode zugreifen zu können. Der Quellcode ist daher bei einer vertrauenswürdigen Person oder Instanz zu hinterlegen, die dem Verantwortlichen gegebenenfalls den Zugriff gestattet. Diese Fälle sind vertraglich festzulegen.

Was ist beim Einsatz von Subunternehmern zu beachten?

Im AV-Vertrag müssen die Bedingungen für einen möglichen Einsatz von „weiteren Auftragsverarbeitern“ – also Unterauftragsnehmern (Subunternehmern) –  klar festgelegt sein und Art. 28 II, IV DSGVO entsprechen. Will der Auftragsverarbeiter einen Unter-Auftragsverarbeiter einbeziehen, ist die Genehmigung des Verantwortlichen erforderlich. Wurde eine solche Genehmigung vorab erteilt, so steht dem Verantwortlichen nichtsdestotrotz ein Einspruchsrecht gegen die Einbeziehung (oder Auswechslung) eines Unter-Auftragsverarbeiters.
Dementsprechend trifft den Auftragsverarbeiter, auch wenn zuvor eine Genehmigung erteilt wurde, eine umfassende Informationspflicht. Dieser tut der Auftragsverarbeiter nicht genüge, indem er dem Verantwortlichen – etwa durch Veröffentlichung auf seiner Homepage – die Möglichkeit zur Kenntnisnahme gibt. Eine etwaige Vereinbarung im AV-Vertrag, wonach der Verantwortliche verpflichtet ist, die Homepage des Auftragsverarbeiters regelmäßig zu überprüfen, entbindet den Auftragsverarbeiter nicht von seiner Informationspflicht.
Der Auftragsverarbeiter ist verpflichtet, dem Unter-Auftragsverarbeiter dieselben Datenschutzpflichten aufzuerlegen, die ihn selbst gemäß dem AV-Vertrag mit dem Verantwortlichen treffen. Der Unter-Auftragsnehmer hat seinerseits geeignete technische und organisatorische Maßnahmen für die Datenverarbeitung zu garantieren. Für eine Verletzung von Datenschutzpflichten durch den Unter-Auftragsverarbeiter haftet grundsätzlich der Auftragsverarbeiter gegenüber dem Verantwortlichen.

Welche Pflichten bestehen nach Ende des Auftragsverarbeitungsverhältnisses?

Wenn der Auftragsverarbeiter seine Verarbeitungsleistung erbracht hat, endet zwar das Auftragsverhältnis, der Auftragsverarbeiter ist jedoch noch nicht aller Pflichten ledig. Nach Ende des Auftragsverarbeitungsverhältnisses soll der Auftragsverarbeiter grundsätzlich keine Zugriffsmöglichkeit auf die betroffenen personenbezogenen Daten mehr haben, um Risiken für die Rechte und Pflichten der Betroffenen zu vermeiden.
Der Auftragsverarbeiter ist daher gemäß Art. 28 III 2 lit.g DSGVO verpflichtet, alle personenbezogenen Daten zu löschen oder zurückzugeben und die vorhandenen Kopien zu löschen. Diesbezüglich steht dem Verantwortlichen ein Wahlrecht zu. Allerdings bezieht sich die Option der „Rückgabe“ primär auf die Verwendung physischer Datenträger, wie beispielsweise externe Festplatten oder Speicherkarten.
Ausnahmsweise können vorrangige mitgliedstaatliche oder unionsrechtliche Speicherpflichten bestehen, die es erforderlich machen, dass der Auftragsverarbeiter die personenbezogenen Daten über die Beendigung des Auftragsverhältnisses hinaus vorbehält. Solche Aufbewahrungs- oder Speicherpflichten kommen etwa im Steuerrecht (§ 147 AO), im Telekommunikationsrecht (bspw. § 113b I Nr.1 TKG) oder im Arbeitsrecht (§ 17 I MindestlohnG) in Betracht.

Welche weitergehenden Vereinbarungen können in einem AV-Vertrag getroffen werden?

Neben dem dargestellten „Pflichtinhalt“ des Vertrags, können weitere Vereinbarungen sinnvoll sein. Es ist empfehlenswert, Regelungen zu treffen, die personenbezogene Daten vor Zugriffen Dritter etwa per Pfändung, Beschlagnahme, Zwangsvollstreckung oder bei Insolvenz des Auftragsverarbeiters schützen. Der Auftragsverarbeiter sollte verpflichtet sein, den Verantwortlichen in einem solchen Fall unverzüglich zu informieren. Weiterhin sollten bezüglich der verarbeiteten Daten und Datenträger Zurückbehaltungsrechte (z.B. § 273 BGB) vertraglich ausgeschlossen werden. Es ist auch ratsam, für den Fall von Vertragsverletzungen Vertragsstrafen, Möglichkeiten zur außerordentlichen Kündigung und mögliche Schadensersatzansprüche im AV-Vertrag zu verankern.

Welche Form muss beim Abschluss eines AV-Vertrages gewahrt werden?

Gemäß Art. 28 IX DSGVO ist der Vertrag „schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann“. Grundsätzlich ist somit die Schriftform gemäß § 126 BGB zu wahren. Diese unterscheidet sich von der sogenannten „Textform“ insbesondere dadurch, dass zu ihrer Wahrung eine Unterschrift erforderlich ist.
Das Vertragsdokument kann auch in „elektronischer Format“ vorliegen. Das elektronische Format ist nicht gleichbedeutend mit der elektronischen Form gemäß § 126a BGB. Diese zeichnet sich vor allem dadurch aus, dass das fragliche elektronische Dokument mit einer qualifizierten elektronischen Signatur versehen wird, welche die persönliche Unterschrift ersetzt. Das bedeutet jedoch nicht, dass die bloße Textform ausreichend ist.
Die elektronische Form bedarf keiner Verkörperung, etwa in Form eines Ausdrucks. Sie hat aber Dokumentations-, Beweissicherungs- und Authentizitätssicherungszwecke zu erfüllen, wodurch Rechtssicherheit gewährleistet werden soll. Somit muss die Echtheit des Dokuments sichergestellt sein. Eine einfache E-Mail (ohne elektronische Signaturen) reicht daher nicht aus.
Das Formerfordernis trifft sowohl den AV-Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter (Art. 28 III DSGVO) als auch das Vertragsverhältnis zwischen dem Auftragsverarbeiter und einem etwaigen Unter-Auftragsverarbeiter (Art. 28 IV DSGVO).

Was ist bei der Auswahl des Auftragsverarbeiters zu beachten?

Gemäß Art. 24 DSGVO liegt Datenschutz im Pflichtenkreis des Verantwortlichen. Der Verantwortliche muss den Auftragsverarbeiter sorgfältig auswählen. Bei der Auswahl ist darauf zu achten, dass der Auftragsverarbeiter im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen hinreichende Garantien dafür bietet, dass technische und organisatorische Maßnahmen durchgeführt werden, die einen angemessenen Schutz für die Verarbeitung von personenbezogenen Daten gewährleisten (Art. 28 Abs.1 DSGVO i.V.m. Art. 32 Abs.1 DSGVO).
Gemäß § 28 V DSGVO kann es der Verantwortliche als „Faktor“ für den Nachweis über die Geeignetheit des Auftragsverarbeiters heranziehen, wenn dieser genehmigte Verhaltensregeln gemäß Art. 40 DSGVO befolgt oder sich einem genehmigten Zertifizierungsverfahren unterzieht.
Bei der Beauftragung eines Auftragsverarbeiters aus einem Drittland (nicht Mitglied der europäischen Union oder des europäischen Wirtschaftsraumes) sind zusätzlich die Art. 44 ff. DSGVO zu berücksichtigen. Eine Datenübermittlung in ein Drittland oder an eine internationale Organisation ist zulässig, wenn

  • ein Angemessenheitsbeschluss der EU-Kommission vorliegt (Art. 45 DSGVO)
  • geeignete Garantien – insbesondere in Form von Standardvertragsklauseln (SCCs) bestehen (Art. 46 DSGVO)
  • eine Ausnahme gemäß Art. 49 DSGVO zulässig ist.

Außerdem ist zu berücksichtigen, dass Art. 28 I DSGVO nicht (ausschließlich) auf den Zeitpunkt der Begründung des Auftragsverhältnisses abstellt. Dies gebietet die Schlussfolgerung, dass den Verantwortlichen neben einer Auswahlpflicht auch eine fortwährende Überprüfungspflicht trifft („arbeitet nur mit“). Bietet der Auftragsverarbeiter nicht mehr die erforderlichen hinreichenden Garantien oder stellt der Verantwortliche im Nachhinein fest, dass der Auftragsverarbeiter die Voraussetzungen nie erfüllt hat, ist er verpflichtet, die Zusammenarbeit mit dem Auftragsverarbeiter zu beenden und weitere Datenverarbeitungen zu unterbinden.
Der Auftragsverarbeiter muss dementsprechend Überprüfungen ermöglichen und dazu beitragen, dass der Verantwortliche seiner Pflicht nachkommen kann (Art. 28 III 2 lit h DSGVO). Die Überprüfung der Einhaltung der datenschutzrechtlichen Anforderungen muss allerdings nicht notwendigerweise durch Vor-Ort-Kontrollen erfolgen. Entscheidend ist die Überprüfung des Datenschutzkonzepts des Auftragsverarbeiters durch eigenes Personal oder einen Sachverständigen. Bei konkreten Anlässen oder Anhaltspunkten für ein Fehlverhalten des Auftragsverarbeiters kann jedoch eine Prüfung Vor-Ort geboten sein.

Welchen Dokumentationspflichten unterliegen der Verantwortliche und der Auftragsverarbeiter?

Der Verantwortliche
Den Verantwortlichen trifft gemäß Art. 5 II DSGVO eine allgemeine Rechenschaftspflicht. Im Rahmen der Auftragsverarbeitung hat er insbesondere die Kriterien für die Auswahl des Auftragsverarbeiters, die Beachtung der Vorgaben des Art. 32 DSGVO sowie die Durchführung und das Ergebnis einer etwaigen Vor-Ort-Überprüfung zu dokumentieren. Zudem bestehen allgemeine Dokumentationspflichten, wie vor allem die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 I DSGVO). Das Verzeichnis ist auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen und hat die folgenden Angaben zu enthalten: Das Verzeichnis hat die folgenden Angaben zu enthalten:

  • Name und Kontaktdaten des Verantwortlichen, seines Vertreters sowie des Datenschutzbeauftragten
  • die Verarbeitungszwecke
  • eine Beschreibung der Kategorien betroffener Personen und Daten
  • die Kategorien von Empfängern, gegenüber denen die Daten offengelegt werden
  • ggf. Übermittlungen von Daten an Drittländer oder internationale Organisationen
  • soweit möglich die vorgesehenen Fristen zur Löschung von Daten
  • soweit möglich eine Beschreibung der getroffenen Schutzmaßnahmen

Außerdem muss der Verantwortliche den Betroffenen darüber informieren, wer Empfänger der personenbezogenen Daten ist. Er hat eine Verletzung des Schutzes personenbezogener Daten grundsätzlich unverzüglich der zuständigen Aufsichtsbehörde zu melden (Art. 33 DSGVO). In Betracht kommt in diesem Fall auch eine Pflicht zur Benachrichtigung der betroffenen Person, sofern ein hohes Risiko für deren persönliche Rechte und Freiheiten besteht (Art. 34 DSGVO).

Der Auftragsverarbeiter
Der Auftragsverarbeiter unterliegt ebenfalls Dokumentationspflichten. Gemäß Art. 30 II DSGVO hat er ähnlich der Verpflichtung des Verantwortlichen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen vorgenommenen Verarbeitungstätigkeiten zu führen. Das Verzeichnis hat die folgenden Angaben zu enthalten:

  • Name und Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag er tätig ist, der jeweiligen Vertreter sowie des Datenschutzbeauftragten
  • Die Kategorien der Verarbeitung, die jeweils durchgeführt werden
  • ggf. Übermittlungen von Daten an Drittländer oder internationale Organisationen inklusive Nennung des Drittlandes und ggf. Dokumentation der geeigneten Garantien
  • eine allgemeine Beschreibung der getroffenen technischen und organisatorischen Maßnahmen im Sinne des Art. 32 I DSGVO

Das Verzeichnis ist schriftlich beziehungsweise in einem elektronischen Format zu führen und auf Anfrage der Aufsichtsbehörde zur Verfügung gestellt werden.
Des Weiteren sind alle Weisungen des Verantwortlichen sowie nach Beendigung des Auftragsverhältnisses die Löschung beziehungsweise Rückgabe der Daten zu dokumentieren. Eine Dokumentation empfiehlt sich ebenfalls hinsichtlich Prozessen für die Durchsetzung von Betroffenenrechten (Art. 28 III 2 lit. e DSGVO) sowie der Melde- und Benachrichtigungspflicht bei Datenschutzverletzungen (Art. 33, 34 DSGVO).

Wer haftet für Schäden bei Verstößen?

Gemäß Art 82 II 1 DSGVO haftet jeder an einer Verarbeitung beteiligte Verantwortliche für einen Schaden, der durch eine nicht den Vorgaben DSGVO entsprechende Datenverarbeitung entstanden ist. Den Auftragsverarbeiter trifft eine Schadensersatzpflicht nur, wenn er seine Pflichten aus dem AV-Vertrag, insbesondere der Beachtung und Befolgung der Anweisungen des Verantwortlichen, nicht erfüllt hat.
Der Begriff des Schadens ist hierbei weit auszulegen, um sicherzustellen, dass der Betroffene wirksam geschützt ist. In Betracht kommt unter anderem ein Ersatzanspruch aufgrund von:

  • Diskriminierung
  • Identitätsdiebstahl oder –betrug
  • Rufschädigung
  • Verlust von der Vertraulichkeit des Berufsgeheimnisses unterliegenden personenbezogen Daten
  • unbefugter Aufhebung der Pseudonymisierung
  • Jedem finanziellen Verlust oder anderen erheblichen wirtschaftlichen Nachteilen

Die Höhe des Anspruchs bei immateriellen Schäden beurteilt sich nach der inhaltlichen Schwere und Dauer der Rechtsverletzung. Der Betrag soll zwar einerseits keine Strafwirkung enthalten, aber andererseits dennoch so hoch beziffert sein, dass er geeignet ist, zur Sicherung der praktischen Wirksamkeit der Verordnung beizutragen.
Sind mehrere Verantwortliche oder Auftragsverarbeiter für einen Schaden infolge einer Datenverarbeitung verantwortlich, so haften sie gegenüber dem Geschädigten grundsätzlich als Gesamtschuldner (Art. 82 IV DSGVO). So wird sichergestellt, dass für den Betroffenen ein wirksamer Schadensersatzanspruch besteht: Der Betroffene kann wählen, wen er in voller Höhe in Anspruch nehmen möchte. Der Verantwortliche oder Auftragsverarbeiter, der den vollen Schadensersatz geleistet hat, kann auf den jeweils anderen (gegebenenfalls anteilig) zurückgreifen (Art. 82 V DSGVO). Ein Verantwortlicher oder Auftragsverarbeiter kann sich jedoch aus der Haftung lösen, indem er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. Mit „verantwortlich sein“ ist „Verschulden“ gemeint, welches grundsätzlich vermutet wird. Um diese Vermutung zu widerlegen, hat der in Anspruch Genommene die Beweislast dafür zu tragen, dass er weder vorsätzlich noch fahrlässig im Sinne des § 276 Abs.2 BGB gehandelt hat.

Was passiert, wenn der Auftragsverarbeiter seine Befugnisse überschreitet?

Eine Auftragsverarbeitung setzt voraus, dass der Auftragsverarbeiter nicht befugt ist, über die Mittel und Zwecke der Verarbeitung zu bestimmen. Maßt er sich dies dennoch an, so liegt ein Fall des sogenannten Aufgabenexzesses des Auftragsverarbeiters vor. Gemäß § 28 X DSGVO wird er dann wie ein Verantwortlicher behandelt. Der Auftragsverarbeiter unterliegt denselben Pflichten wie der Verantwortliche und haftet genauso wie der Verantwortliche.

Welche Konsequenzen hat das Unterlassen des Abschlusses eines AV-Vertrages?

Bei Verstößen gegen die DSGVO droht neben Schadensersatzforderungen der Betroffenen (siehe oben) eine durch die jeweils zuständige Aufsichtsbehörde verhängte „wirksame, verhältnismäßige und abschreckende“ Geldbuße (Art. 82 I DSGVO). Fehlen Regelungen zur Auftragsverarbeitung oder sind diese unvollständig, kann das Bußgeld gemäß Art. 82 IV DSGVO bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes betragen. Gegen das mittelständische deutsche Unternehmen Kolibri Image erging aufgrund eines fehlenden AV-Vertrags seitens des Hamburger Datenschutzbeauftragten ein Bußgeldbescheid in Höhe von 5.000€1. Der Bescheid wurde zwar anschließend aufgrund von Umständen des Einzelfalls zurückgenommen, zeigt aber auf, dass keinesfalls leichtfertig auf den Abschluss eines AV-Vertrages verzichtet werden sollte. Bestehen hinsichtlich der Frage, ob eine Auftragsverarbeitung vorliegt oder nicht, Unsicherheiten, so empfiehlt sich eine Anfrage an die Aufsichtsbehörde in Form des zuständigen Datenschutzbeauftragen.

Gibt die für die Erstellung eines AV-Vertrages Formulierungshilfen?

Bei der Erstellung eines Auftragsverarbeitungsvertrages kann auf online verfügbare Musterverträge und Formulierungshilfen zurückgegriffen werden. Hiermit sei exemplarisch insbesondere verwiesen auf:

Ist die Eingehung eines Auftragsverhältnisses empfehlenswert? Was sind typischerweise Vor- und Nachteile der Auftragsverarbeitung?

In Anbetracht des dargestellten umfassenden Pflichtenkatalogs, der mit der Auftragsverarbeitung einhergeht, stellt sich die Frage, ob sich die Eingehung eines Auftragsverarbeitungsverhältnisses lohnt.

Vorteile
Die Auftragsverarbeitung bringt aus Sicht des Verantwortlichen typischerweise einige Vorteile mit sich:

  • Der Einsatz von externem Personal kann Kosten einsparen.
  • Unter Umständen kann eine sonst erforderliche Weiterqualifizierung des Personals unterbleiben.
  • Das eigene Personal kann sich auf seine eigentlichen Kernaufgaben konzentrieren.
  • Für die Dauer des Vertragsverhältnisses mit dem Auftragsverarbeiter besteht Planungssicherheit.
  • Es besteht ein hohes Maß an Flexibilität.
  • Der Verantwortliche ist von gegebenenfalls erforderlichen Aufrüstungen der Hard- und Software unabhängig.
  • Die Datenverarbeitung gewinnt in der Regel an Effizienz.
  • Das entsprechend qualifizierte Personal des Auftragsverarbeiters garantiert idealerweise effektiven Datenschutz.

Außerdem besteht eine rechtliche Privilegierung der Datenweitergabe im Rahmen einer Auftragsverarbeitung: Grundsätzlich bedarf eine Datenweitergabe einer sogenannten Rechtsgrundlage gemäß Art. 6-10 DSGVO, regelmäßig wird dies die Einwilligung der betroffenen Person sein. Für die Weitergabe personenbezogener Daten an den Auftragsverarbeiter hingegen keine weitere Rechtsgrundlage erforderlich als diejenige, auf welche sich der Verantwortliche für die Verarbeitung der Daten ohnehin stützt.
Nachteile
Dem gegenüber gehen mit der Einbeziehung eines Auftragsverarbeiters naheliegende Nachteile einher: Der Verantwortliche hat die Datenverarbeitung faktisch nicht mehr in der Hand, trägt aber die Schadens- und Haftungsrisiken wenn eine Datenverarbeitung unsachgemäß erfolgt oder sich der Auftragsverarbeiter nicht an die Vorgaben hält. Hinzu tritt, dass die dennoch erforderlichen Datenschutz- und Datensicherungsmaßnahmen so aufwendig werden, dass das etwaige Ziel der Kostenersparnis nicht erreicht wird. Auch sollte vor der Entscheidung für eine Auftragsverarbeitung berücksichtigt werden, dass sich diese unter Umständen nur schwer wieder rückgängig machen lässt. Wurde das eigene „Know-how“ erst einmal aufgegeben, lässt es sich häufig nicht kurzfristig wiederaufbauen.
Abwägung
Die Entscheidung zur Eingehung eines Auftragsverarbeitungsverhältnisses ist somit unter Umständen durchaus komplex und erfordert eine sorgfältige Abwägung. Stark simplifiziert gilt in der Regel jedoch: je einfacher und je weniger grundrechtsrelevant die fragliche Tätigkeit desto eher wird sich die Erledigung durch einen Auftragsverarbeiter lohnen – je sensibler die betroffenen Daten desto höher sind in puncto Sicherheitsmaßnahmen die Anforderungen an eine Auftragsverarbeitung und desto eher kann es sinnvoll sein, die fragliche Tätigkeit vollumfänglich selbst zu erfüllen.

Wann muss ein Datenschutzbeauftragter bestellt werden?

Gemäß Art. 37 I DSGVO müssen der Verantwortliche und der Auftragsverarbeiter einen Datenschutzbeauftragten bestellen, wenn
  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird (mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln),
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche wegen ihrer Art, ihres Umfangs oder ihres Zwecks die umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung von Daten gemäß Art. 9 oder Art. 10 DSGVO besteht.

Art. 9 DSGVO regelt die Verarbeitung besonderer Kategorien personenbezogener Daten, welche aufgrund ihrer Sensibilität restriktiver zu handhaben ist. Umfasst sind Daten, aus denen, die ethnische Herkunft, politische Meinungen, religiöse bzw. weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit hervorgehen, Gesundheitsdaten, Daten über das Sexualleben oder die sexuelle Orientierung einer Person sowie genetische oder biometrische Daten zur eindeutigen Identifizierung. Art. 10 DSGVO bestimmt die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten.
Art. 37 IV DSGVO enthält eine Öffnungsklausel für weitergehende Regelungen der Mitgliedstaaten. Der Bundesgesetzgeber hat davon mit Erlass des § 38 I BDSG Gebrauch gemacht. Demnach haben der Verantwortliche und der Auftragsverarbeiter auch dann einen Datenschutzbeauftragten zu benennen, wenn

  • sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen,
  • Verarbeitungen vornehmen, die der Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO unterliegen (es besteht voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen) oder
  • personenbezogene Daten geschäftsmäßig zum Zweck der (auch anonymisierten) Übermittlung oder der Markt-/Meinungsforschung verarbeiten.
In anderen Fällen muss kein, kann aber ein, Datenschutzbeauftragter bestellt werden.