Aktuell über Dienste
mit AV-Verträgen / DPAs

sowie weitere Informationen zur Auftragsverarbeitung und Links zu Datenschutzerklärungen in der AV-Vertrag.org Datenbank:

Liste mit Auftragsverarbeitern und Informationen zum AV-Vertrag / DPA / SCCs / DSE
Inkl. AV-Vertrag-Ratgeber

Hinweis: Die Inhalte können die rechtliche Beratung im Einzelfall nicht ersetzen. Maßgeblich für die Aktualität bzw. Richtigkeit der Daten ist das letzte Bearbeitungsdatum da Einträge durch unabhängige Dritte auf der Datenbank vorgenommen werden, wird um Ihre Information und angemessene Frist zur Korrektur gebeten.

Liste mit Diensten bzw. Anbietern und Hinweisen zur Auftragsverarbeitung

Hier finden Sie unsere Datenbank mit zahlreichen Diensten und Anbietern, welche oft durch Verantwortliche in Anspruch genommen werden. Bitte beachten Sie, dass in der Liste sowohl Auftragsverarbeiter (Positiv-Einträge) als auch Gemeinsame Verantwortliche und Anbieter zu denen keine direkte Beziehung besteht (Negativ-Einträge) aufgeführt werden.
Wollen Sie mit einem Anbieter einen AV-Vertrag schließen, können Sie sich hier informieren (“Hinweise zum Vertragsschluss”). Durch Klick auf den Namen des Eintrags gelangen Sie ggf. zu weiteren Informationen und können die angegebenen Inhalte kommentieren und Änderungen vorschlagen. Wir freuen uns auf Ihre Kommentare.

ANZEIGE
Erstelle Deinen eigenen AV-Vertrag mit diesem einfachen Generator nach DSGVO - Geeignet für Selbstständige und Dienstleister
Dienst / Unternehmen

01051 Telecom
Fritz-Vomfelde-Str. 34
40547 Düsseldorf

Verfügbare Informationen
✔ Sitz des Anbieters / Unternehmens
✔ Datenverarbeitende Beziehung
✔ AV-Vertrag / DPA angeboten?
✔ Hinweise zum Vertragsschluss
✔ Link zur Datenschutzerklärung
Letzte Bearbeitung
03.06.2022 14:59 Uhr
Dienst / Unternehmen

1 Point Interactive
P.O. Box 351681 Toledo
Ohio 43635

Verfügbare Informationen
✔ Sitz des Anbieters / Unternehmens
✔ Datenverarbeitende Beziehung
✔ AV-Vertrag / DPA angeboten?
✔ Hinweise zum Vertragsschluss
✔ Link zur Datenschutzerklärung
Letzte Bearbeitung
24.05.2022 17:11 Uhr
Dienst / Unternehmen

1&1 Versatel Deutschland GmbH
Wanheimer Straße 90
40468 Düsseldorf

Verfügbare Informationen
✔ Sitz des Anbieters / Unternehmens
✔ Datenverarbeitende Beziehung
✔ AV-Vertrag / DPA angeboten?
✔ Hinweise zum Vertragsschluss
✔ Link zur Datenschutzerklärung
Letzte Bearbeitung
02.06.2022 13:22 Uhr
Dienst / Unternehmen

Smartsheet Inc.
10500 NE 8th St Suite 1300
Bellevue, Washington, 98004

Verfügbare Informationen
✔ Sitz des Anbieters / Unternehmens
✔ Datenverarbeitende Beziehung
✔ AV-Vertrag / DPA angeboten?
✔ Hinweise zum Vertragsschluss
✔ Link zur Datenschutzerklärung
Letzte Bearbeitung
10.01.2022 19:50 Uhr
Dienst / Unternehmen

10Duke Software Ltd.
85 Bayham Street
London
England NW1 0AG, GB

Verfügbare Informationen
✔ Sitz des Anbieters / Unternehmens
✔ Datenverarbeitende Beziehung
✔ AV-Vertrag / DPA angeboten?
✔ Hinweise zum Vertragsschluss
✔ Link zur Datenschutzerklärung
Letzte Bearbeitung
24.05.2022 15:52 Uhr

Weitere Ergebnisse können über die Suchfunktion abgerufen werden.

AV-Vertrag-Ratgeber / FAQ zur Auftragsverarbeitung

Inhaltsverzeichnis

Wann muss ein Auftragsverarbeitungsvertrag abgeschlossen werden?

Der Abschluss eines Auftragsverarbeitungsvertrags (kurz: AV-Vertrag) bzw. engl. Data Processing Agreement (kurz: DPA) ist gemäß Art. 28 III DSGVO zwingend erforderlich, wenn ein Auftragsverarbeitungsverhältnis eingegangen wird. Auftragsverarbeitung ist gegeben, wenn ein Auftragsverarbeiter (Art. 4 Nr.8 DSGVO) im Auftrag eines Verantwortlichen (Art. 4 Nr.7 DSGVO) personenbezogene Daten (Art. 4 Nr.1 DSGVO) verarbeitet (Art. 4 Nr.2 DSGVO).

Schwierigkeiten bereitet mitunter die Beurteilung, ob eine natürliche oder juristische Person ein Auftragsverarbeiter ist. Entscheidendes Kriterium ist dabei die Weisungsgebundenheit des Auftragsnehmers. Er handelt im Auftrag des Verantwortlichen und hat im Gegensatz zu diesem keine Entscheidungsbefugnis über die Mittel und Zwecke der Datenverarbeitung. Er verfolgt keine über die Datenverarbeitung als solche hinausgehenden Ziele. Außerdem muss die Datenverarbeitung durch den Auftragnehmer gerade der beabsichtigte Schwerpunkt des Auftrags sein und kein wesentliches Beiwerk der zu erbringenden Dienstleistung.

Auftragsverarbeitung liegt daher beispielsweise in der Regel vor bei:

Keine Auftragsverarbeiter sind demgegenüber insbesondere Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, Wirtschaftsprüfer, externe Betriebsärzte); Postdienste und Inkassobüros.

Besteht Unsicherheit darüber, ob eine Auftragsverarbeitung vorliegt, besteht die Möglichkeit einer Anfrage bei dem jeweils zuständigen Landesdatenschutzbeauftragten.

Was muss ein AV-Vertrag beinhalten?

Ein AV-Vertrag muss beinhalten:

Welche Arten der Verarbeitung im Sinne des Art. 4 Nr.2 DSGVO gibt es?

Die DSGVO definiert „Verarbeitung“ als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“, woraufhin eine Reihe von Beispielen folgt. Diese „Arten“ der Verarbeitung müssen im AV-Vertrag konkret und abschließend benannt werden, sind jedoch ohne weitere Erläuterung anhand des Gesetzestextes nur schwer zu verstehen und abzugrenzen.

Die DSGVO definiert „Verarbeitung“ als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“, woraufhin eine Reihe von Beispielen folgt. Diese „Arten“ der Verarbeitung müssen im AV-Vertrag konkret und abschließend benannt werden, sind jedoch ohne weitere Erläuterung anhand des Gesetzestextes nur schwer zu verstehen und abzugrenzen.

Erheben

Erheben ist das Beschaffen von Daten über den Betroffenen. Solange die Beschaffung gezielt erfolgt, spielt die Art und Weise keine Rolle.

Erfassen

Erfassen ist das Aufschreiben oder sonstige Aufnehmen der beschaffenen Daten.

Speichern

Speichern ist das Aufbewahren von Daten auf einem Datenträger zur weiteren Verarbeitung. Wird eine nicht gezielt beschaffte Information bei Kenntnisnahme nicht gelöscht, liegt eine Speicherung vor.

Organisieren

Diese sich überschneidenden Begriffe meinen das Aufbauen einer wie auch immer gearteten Struktur innerhalb der Daten, wobei deren Komplexität oder Sinnhaftigkeit keine Rolle spielt.

Anpassen

Beide Begriffe bezeichnen die Abänderung der vorhandenen Daten durch inhaltliche Umgestaltung. Unterschiede bestehen bei der Zielrichtung, wobei eine Anpassung etwa die fortlaufende Aktualisierung von Daten sein soll, während die Korrektur einer unrichtigen Angabe eine Veränderung ist.

Auslesen

Beim Auslesen wird insbesondere ein vorhandener Datensatz konsultiert, während beim Abfragen eine externe Datenbank genutzt wird.

Verwenden

Der Begriff der Verwendung umfasst alle Arten des zweckgerichteten Gebrauchens oder der internen Nutzung von Daten, die nicht von den übrigen Beispielen erfasst werden. Es handelt sich um einen sogenannten „Auffangtatbestand“.

Offenlegen

Die Offenlegung personenbezogener Daten kann durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung erfolgen. Dabei ist weder die Art der Bekanntgabe noch die tatsächliche Kenntnisnahme des Empfängers relevant. Die Weitergabe innerhalb einer Stelle oder von einem Auftragsverarbeiter an den Verantwortlichen ist jedoch keine Offenlegung, sondern Verwendung!

Abgleichen

Abgleich ist die Überprüfung, ob die in mehreren Datensystemen über einen Betroffenen gespeicherten Daten konsistent sind oder ob bestimmte Daten in zwei unterschiedlichen Dateien vorhanden sind.

Verknüpfen

Verknüpfung ist die Zusammenführung von personenbezogenen Daten über einen Betroffenen aus mehreren Dateisystemen. Umfasst ist auch die Verbindung von mehreren Betroffenen über ein verbindendes Merkmal.

Einschränken

Der Begriff der Einschränkung wird in Art. 4 Nr.3 DSGVO definiert als „die Markierung personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung enzuschränken“.

Löschen

Löschen ist die Eliminierung von Daten auf einem elektronischen Dateiträger.

Vernichten

Vernichtung ist die Zerstörung eines physischen Datenträgers (z.B. einer Papierakte).

Was sind die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters?

Der AV-Vertrag soll die Rechte und Pflichten des Verantwortlichen sowie des Auftragsverarbeiters enthalten. Gemäß Art. 28 III 2 DSGVO müssen die folgenden Punkte geregelt sein:

Dem Verantwortlichen treffen Pflichten in Bezug auf die Rechte betroffener Personen (Art. 12-22 DSGVO) wie vor allem Auskunfts- und Berichtigungsrechte. Der Auftragsverarbeiter hat den Verantwortlichen nach Möglichkeit mit technischen und organisatorischen Maßnahmen bei der Erfüllung dieser Pflichten zu unterstützen (Art. 28 III 2 lit. e DSGVO). Es empfiehlt sich, diese Unterstützungspflichten möglichst konkret im AV-Vertrag festzuschreiben.

Weitere Pflichten treffen den Verantwortlichen aus Art. 32-36 DSGVO. Der Auftragsverarbeiter hat ihn auch dabei hinsichtlich

zu unterstützen (Art. 28 III lit. f. DSGVO).

Abschließend ist der Auftragsverarbeiter verpflichtet, dem Verantwortlichen alle Informationen zur Verfügung zu stellen, die er benötigt, um die Befolgung seiner Pflichten gemäß Art. 28 DSGVO nachweisen zu können (Art. 28 III 2 lit. h DSGVO). Dies geht mit der Verpflichtung zur Einräumung von Überprüfungsrechten einher (siehe unten). Hält der Auftragsverarbeiter eine Weisung des Verantwortlichen für datenschutzrechtswidrig, muss er ihn darauf hinweisen.

Was sind „technische und organisatorische Maßnahmen“ im Sinne des Art. 32 DSGVO?

Art. 32 DSGVO verlangt von Verantwortlichen und Auftragsverarbeitern, technische und organisatorische Maßnahmen festzulegen, um ein angemessenes Datenschutzniveau sicherzustellen. Die Maßnahmen müssen geeignet sein, das entsprechende Schutzniveau zu erreichen. Es sind aber auch die wirtschaftlichen Interessen des Verarbeiters als Grenze des Zumutbaren zu berücksichtigen. Erfasst sind alle Handlungen, die sich auf den technischen Vorgang der Verarbeitung oder seine äußeren Rahmenbedingungen mit dem Ziel richten, diese in Einklang mit den Vorgaben der Verordnung zu bringen.

Technische Maßnahmen im Sinne der Norm sind alle Vorkehrungen und Verfahrensweisen, deren Schutzwirkung auf der Funktonalität technischer Hilfsmittel beruht, welche sich auf die Datenverarbeitung unmittelbar oder mittelbar physisch auswirken (beispielsweise Wegschließen von Datenträgern; Maßnahmen, die den Zutritt Unbefugter verhindern sollen; Verschlüsselung und Passwortsicherung oder sonstige Maßnahmen der Zugriffs- und Weitergabekontrolle). Organisatorische Maßnahmen sind dagegen auf die äußeren Bedingungen des technischen Verarbeitungsprozesses gerichtet (beispielsweise Einhaltung des Vier-Augen-Prinzips; Protokollierungen; Stichprobenüberprüfungen; Mitarbeiterschulungen).

Art. 32 I Hs.2 enthält einen (nicht abschließenden) Katalog möglicher Maßnahmen, insbesondere die Pseudonymisierung (lit. a). Der Verarbeiter hat zu prüfen, ob er den Zweck seiner Tätigkeit auch ohne konkreten Personenbezug erreichen kann. Eine Pseudonymisierung löst den Personenbezug von Daten soweit auf, dass ein Rückschluss auf eine bestimmte Person nicht mehr erfolgen kann, ohne dass zusätzliche Informationen (etwa in Form eines Identifizierungsschlüssels) hinzugezogen werden.

Gemäß Art. 32 I Hs.2 lit. b schließen die Maßnahmen die Fähigkeit ein, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen. Das „Gebot der Vertraulichkeit“ dient dem Ziel, Informationen vor unbefugter Preisgabe zu schützen und sensible Daten ausschließlich Befugten zugänglich zu machen. Konkrete Umsetzungsmaßnahmen können etwa Zutritts-, Zugriffs- Zugangs- oder Weitergabekontrollen sein. Es muss beispielsweise sichergestellt sein, dass ein Dritter nicht nur durch Angabe von Namen und Geburtsdatum sensible Informationen erhält. „Integrität“ meint den Schutz von Daten vor Manipulation. Dies erfordert einerseits die Unversehrtheit der Daten als solche, andererseits ebenso die korrekte Funktionsfähigkeit von Systemen. Mögliche Maßnahmen sind Mitarbeiterschulungen, Firewalls, Antivirenprogramme, Backup- und Sicherungskonzepte (inklusive Offline-Sicherungen, um Daten notfalls wieder herstellen zu können) sowie elektronische Signaturen mit asymmetrischer Verschlüsselung. „Verfügbarkeit“ bezeichnet die Wahrscheinlichkeit, dass ein System eine geforderte Leistung tatsächlich erbringt – gemeint ist also der Schutz vor zufälliger Zerstörung und zufälligem Datenverlust durch umfangreiche Back-up-Vorsorge. Eine Ergänzung erfährt dies durch das „Prinzip der Belastbarkeit“, womit die „Resilienz“ des Systems – also die Fähigkeit zur Bewältigung von Gefahrenlagen wie Störungen unter Aufrechterhaltung der Leistungsfähigkeit.

Gemäß Art. 32 I Hs.2 lit. c ist die Fähigkeit erfasst, die Verfügbarkeit von personenbezogenen Daten und den Zugang zu ihnen bei einem Zwischenfall rasch wiederherzustellen. Diesbezüglich kommen die Sicherstellung von Notstromversorgung und Vertretungspläne als geeignete Maßnahmen in Betracht. Die Wirksamkeit all dieser Maßnahmen muss nicht nur einmalig sichergestellt, sondern regelmäßig durch geeignete Verfahren kritisch überprüft werden (Art. 32 I Hs.2 lit. d).

Durch das Zusammenspiel der entsprechenden Maßnahmen soll ein dem Risiko angemessenes Schutzniveau erreicht werden. Die Höhe des Risikos richtet sich nach Art, Umständen und Zweck der Verarbeitung sowie der Höhe des drohenden Schadens. Abzustellen ist auf die Wahrscheinlichkeit des Eintritts eines physischen, materiellen oder immateriellen Schadens. Das Risiko ist dann unter Berücksichtigung des technisch Machbaren ins Verhältnis zu setzen zu den wirtschaftlichen Belastungen des Verarbeiters.

Was ist bei der Vernichtung personenbezogener Daten im Auftrag zu beachten?

Der Verantwortlich ist auch dann verpflichtet, für die Einhaltung der Datenschutzvorschriften zu sorgen, wenn der Auftragsverarbeiter mit der Vernichtung personenbezogener Daten beauftragt ist. Ein Entsorgungskonzept darf sich nicht auf Maßnahmen zur Vernichtung der Datenträger beschränken, sondern muss auch die Sammlung und (Zwischen-)Lagerung, den Transport, die Organisation und die gegebenenfalls mit externen Entsorgungsunternehmen zu vereinbarenden Regelungen beinhalten.

Es ist ratsam, wenn sich der Verantwortliche bereits vor Vertragsunterzeichnung vor Ort davon überzeugt, dass der potentielle Auftragsverarbeiter tatsächlich eine datenschutzkonforme Entsorgung gewährleisten kann. Die ordnungsgemäße Durchführung der Vernichtung sollte – gegebenenfalls unter Vereinbarung eines Rechts auf unangemeldete Kontrollen – stichprobenartig untersucht werden.

Bei der Vernichtung personenbezogener Daten sind im AV-Vertrag somit insbesondere auch zu regeln:

Was ist bei einem Auftragsverhältnis über Fernwartung zu beachten?

Häufig ist die Wartung der Hard- und Software durch eigenes Personal nicht mehr zu bewältigen, sodass externe Sachverständige eingeschaltet werden. Diese können vor Ort tätig werden. In der Regel erfolgt deren Leistung jedoch per Teleservice, wodurch ein Fall der Fernwartung entsteht. Dies kann mit der Offenbarung personenbezogener Daten einhergehen, während bei Wartung vor Ort noch gewisse Eingriffsmöglichkeiten des eigenen Personals bestehen, ist bei der Fernwartung kaum ersichtlich, welche konkreten Personen an der Datenverarbeitung beteiligt sind. Die Fernwartung ist daher datenschutzrechtlich besonders problematisch.

Es ist somit insbesondere auf die Einhaltung der folgenden, im AV-Vertrag festzulegenden, Regeln zu achten:

Was ist bei Outsourcing des Datenbestandes zu beachten?

Sollen Datenbestände oder Teile von Datenbeständen im Rahmen von Auftragsverarbeitung ausgelagert werden, so muss der Zugriff und die Kenntnisnahme der Datenbestände durch den Auftragsverarbeiter ausgeschlossen werden. Dies kann beispielsweise durch Verschlüsselung – zwingend auch auf dem Übertragungsweg – erfolgen, wobei grundsätzlich die Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik für kryptografische Verfahren zu beachten ist. Zur Durchführung der Verschlüsselung kann ein virtuelles privates Netzwerk (VPN) eingerichtet werden. Dabei wird zwar die öffentliche Telekommunikationsstruktur genutzt, die Sicherheit der Daten aber mittels sogenannter Tunneling- und Sicherheitsprotokolle geschützt. Über die bereits dargestellten Sicherheitsmaßnahmen hinaus erfordert das Outsourcing von Datenbeständen weitere Sicherheitsmaßnahmen, insbesondere ist der physische Schutz aller Server durch Zugangskontrollmaßnahmen sicherzustellen. Soweit Datenzugriffe auf den Server erfolgen, müssen diese protokolliert werden. Eine entsprechende Überwachung ist insbesondere dann erforderlich, wenn der Zugriff mittels administrativer Berechtigung erfolgt.
Werden die personenbezogenen Daten von verschiedenen Dienstleistern in eine zentrale Datenbank ausgelagert, müssen die Datenbestände zwingend logisch getrennt voneinander gespeichert werden. Es ist durch geeignete Maßnahmen sicherzustellen, dass jeder Verantwortliche nur auf „seine“ Daten zugreifen kann. Allerdings weisen zentrale Datenbanken einen umfassenden vernetzbaren Datenbestand auf und sind daher einer erhöhten Gefahr unzulässiger Nutzung ausgesetzt, zumal ein Missbrauch einer solchen Datenbank regelmäßig besonders schwer wiegt. Somit ist es ratsam, zentrale Datensammlungen soweit möglich verhindern oder zumindest ihre Anzahl möglichst niedrig zu halten.
Gegebenenfalls kann es, gerade für kleinere Unternehmen ohne entsprechend qualifizierte Mitarbeiter, sinnvoll sein, den sogenannten Backup-Service zu nutzen, den einige Hersteller von Standardanwendungssystemen anbieten. Dabei wird die eigene Datensicherung von Experten auf ihre Funktonalität untersucht, sodass Fehler oder Unstimmigkeiten frühzeitig entdeckt und korrigiert werden können. Bei der Inanspruchnahme eines solchen Services sollte die Überprüfung der Backup-Datenträger möglichst in den Räumlichkeiten des Verantwortlichen und unter Aufsicht seiner Mitarbeiter erfolgen, insbesondere um sicherzustellen, dass der Auftragsverarbeiter keine unzulässigen Kopien erstellt.
Soll die Systemadministration ausgelagert werden, entspricht dies auch im Hinblick auf den erforderlichen Datenschutzmaßstab im Wesentlichen einer Fernwartung, sodass die diesbezüglichen Erläuterungen verwiesen werden kann (siehe oben).

Was ist bei Programmerstellung im Auftrag zu beachten?

Wird der Auftragsverarbeiter mit der Entwicklung von Programmen (auch Apps) beauftragt, so sollten ihm keine Echtdaten zur Verfügung gestellt werden. Auch zu Testzwecken sollte er insbesondere keine personenbezogenen Daten erhalten.
Der Verantwortliche erhält vom Entwickler in der Regel nicht den sogenannten Quellcode (Programmlogik), sondern nur den maschinell erzeugten Objektcode. Der Verantwortliche sollte allerdings in der Lage sein, notfalls auch auf den Quellcode zugreifen zu können. Der Quellcode ist daher bei einer vertrauenswürdigen Person oder Instanz zu hinterlegen, die dem Verantwortlichen gegebenenfalls den Zugriff gestattet. Diese Fälle sind vertraglich festzulegen.

Was ist beim Einsatz von Subunternehmern zu beachten?

Im AV-Vertrag müssen die Bedingungen für einen möglichen Einsatz von „weiteren Auftragsverarbeitern“ – also Unterauftragsnehmern (Subunternehmern) –  klar festgelegt sein und Art. 28 II, IV DSGVO entsprechen. Will der Auftragsverarbeiter einen Unter-Auftragsverarbeiter einbeziehen, ist die Genehmigung des Verantwortlichen erforderlich. Wurde eine solche Genehmigung vorab erteilt, so steht dem Verantwortlichen nichtsdestotrotz ein Einspruchsrecht gegen die Einbeziehung (oder Auswechslung) eines Unter-Auftragsverarbeiters.
Dementsprechend trifft den Auftragsverarbeiter, auch wenn zuvor eine Genehmigung erteilt wurde, eine umfassende Informationspflicht. Dieser tut der Auftragsverarbeiter nicht genüge, indem er dem Verantwortlichen – etwa durch Veröffentlichung auf seiner Homepage – die Möglichkeit zur Kenntnisnahme gibt. Eine etwaige Vereinbarung im AV-Vertrag, wonach der Verantwortliche verpflichtet ist, die Homepage des Auftragsverarbeiters regelmäßig zu überprüfen, entbindet den Auftragsverarbeiter nicht von seiner Informationspflicht.
Der Auftragsverarbeiter ist verpflichtet, dem Unter-Auftragsverarbeiter dieselben Datenschutzpflichten aufzuerlegen, die ihn selbst gemäß dem AV-Vertrag mit dem Verantwortlichen treffen. Der Unter-Auftragsnehmer hat seinerseits geeignete technische und organisatorische Maßnahmen für die Datenverarbeitung zu garantieren. Für eine Verletzung von Datenschutzpflichten durch den Unter-Auftragsverarbeiter haftet grundsätzlich der Auftragsverarbeiter gegenüber dem Verantwortlichen.

Welche Pflichten bestehen nach Ende des Auftragsverarbeitungsverhältnisses?

Wenn der Auftragsverarbeiter seine Verarbeitungsleistung erbracht hat, endet zwar das Auftragsverhältnis, der Auftragsverarbeiter ist jedoch noch nicht aller Pflichten ledig. Nach Ende des Auftragsverarbeitungsverhältnisses soll der Auftragsverarbeiter grundsätzlich keine Zugriffsmöglichkeit auf die betroffenen personenbezogenen Daten mehr haben, um Risiken für die Rechte und Pflichten der Betroffenen zu vermeiden.
Der Auftragsverarbeiter ist daher gemäß Art. 28 III 2 lit.g DSGVO verpflichtet, alle personenbezogenen Daten zu löschen oder zurückzugeben und die vorhandenen Kopien zu löschen. Diesbezüglich steht dem Verantwortlichen ein Wahlrecht zu. Allerdings bezieht sich die Option der „Rückgabe“ primär auf die Verwendung physischer Datenträger, wie beispielsweise externe Festplatten oder Speicherkarten.
Ausnahmsweise können vorrangige mitgliedstaatliche oder unionsrechtliche Speicherpflichten bestehen, die es erforderlich machen, dass der Auftragsverarbeiter die personenbezogenen Daten über die Beendigung des Auftragsverhältnisses hinaus vorbehält. Solche Aufbewahrungs- oder Speicherpflichten kommen etwa im Steuerrecht (§ 147 AO), im Telekommunikationsrecht (bspw. § 113b I Nr.1 TKG) oder im Arbeitsrecht (§ 17 I MindestlohnG) in Betracht.

Welche weitergehenden Vereinbarungen können in einem AV-Vertrag getroffen werden?

Neben dem dargestellten „Pflichtinhalt“ des Vertrags, können weitere Vereinbarungen sinnvoll sein. Es ist empfehlenswert, Regelungen zu treffen, die personenbezogene Daten vor Zugriffen Dritter etwa per Pfändung, Beschlagnahme, Zwangsvollstreckung oder bei Insolvenz des Auftragsverarbeiters schützen. Der Auftragsverarbeiter sollte verpflichtet sein, den Verantwortlichen in einem solchen Fall unverzüglich zu informieren. Weiterhin sollten bezüglich der verarbeiteten Daten und Datenträger Zurückbehaltungsrechte (z.B. § 273 BGB) vertraglich ausgeschlossen werden. Es ist auch ratsam, für den Fall von Vertragsverletzungen Vertragsstrafen, Möglichkeiten zur außerordentlichen Kündigung und mögliche Schadensersatzansprüche im AV-Vertrag zu verankern.

Welche Form muss beim Abschluss eines AV-Vertrages gewahrt werden?

Gemäß Art. 28 IX DSGVO ist der Vertrag „schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann“. Grundsätzlich ist somit die Schriftform gemäß § 126 BGB zu wahren. Diese unterscheidet sich von der sogenannten „Textform“ insbesondere dadurch, dass zu ihrer Wahrung eine Unterschrift erforderlich ist.
Das Vertragsdokument kann auch in „elektronischer Format“ vorliegen. Das elektronische Format ist nicht gleichbedeutend mit der elektronischen Form gemäß § 126a BGB. Diese zeichnet sich vor allem dadurch aus, dass das fragliche elektronische Dokument mit einer qualifizierten elektronischen Signatur versehen wird, welche die persönliche Unterschrift ersetzt. Das bedeutet jedoch nicht, dass die bloße Textform ausreichend ist.
Die elektronische Form bedarf keiner Verkörperung, etwa in Form eines Ausdrucks. Sie hat aber Dokumentations-, Beweissicherungs- und Authentizitätssicherungszwecke zu erfüllen, wodurch Rechtssicherheit gewährleistet werden soll. Somit muss die Echtheit des Dokuments sichergestellt sein. Eine einfache E-Mail (ohne elektronische Signaturen) reicht daher nicht aus.
Das Formerfordernis trifft sowohl den AV-Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter (Art. 28 III DSGVO) als auch das Vertragsverhältnis zwischen dem Auftragsverarbeiter und einem etwaigen Unter-Auftragsverarbeiter (Art. 28 IV DSGVO).

Was ist bei der Auswahl des Auftragsverarbeiters zu beachten?

Gemäß Art. 24 DSGVO liegt Datenschutz im Pflichtenkreis des Verantwortlichen. Der Verantwortliche muss den Auftragsverarbeiter sorgfältig auswählen. Bei der Auswahl ist darauf zu achten, dass der Auftragsverarbeiter im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen hinreichende Garantien dafür bietet, dass technische und organisatorische Maßnahmen durchgeführt werden, die einen angemessenen Schutz für die Verarbeitung von personenbezogenen Daten gewährleisten (Art. 28 Abs.1 DSGVO i.V.m. Art. 32 Abs.1 DSGVO).
Gemäß § 28 V DSGVO kann es der Verantwortliche als „Faktor“ für den Nachweis über die Geeignetheit des Auftragsverarbeiters heranziehen, wenn dieser genehmigte Verhaltensregeln gemäß Art. 40 DSGVO befolgt oder sich einem genehmigten Zertifizierungsverfahren unterzieht.
Bei der Beauftragung eines Auftragsverarbeiters aus einem Drittland (nicht Mitglied der europäischen Union oder des europäischen Wirtschaftsraumes) sind zusätzlich die Art. 44 ff. DSGVO zu berücksichtigen. Eine Datenübermittlung in ein Drittland oder an eine internationale Organisation ist zulässig, wenn

Außerdem ist zu berücksichtigen, dass Art. 28 I DSGVO nicht (ausschließlich) auf den Zeitpunkt der Begründung des Auftragsverhältnisses abstellt. Dies gebietet die Schlussfolgerung, dass den Verantwortlichen neben einer Auswahlpflicht auch eine fortwährende Überprüfungspflicht trifft („arbeitet nur mit“). Bietet der Auftragsverarbeiter nicht mehr die erforderlichen hinreichenden Garantien oder stellt der Verantwortliche im Nachhinein fest, dass der Auftragsverarbeiter die Voraussetzungen nie erfüllt hat, ist er verpflichtet, die Zusammenarbeit mit dem Auftragsverarbeiter zu beenden und weitere Datenverarbeitungen zu unterbinden.
Der Auftragsverarbeiter muss dementsprechend Überprüfungen ermöglichen und dazu beitragen, dass der Verantwortliche seiner Pflicht nachkommen kann (Art. 28 III 2 lit h DSGVO). Die Überprüfung der Einhaltung der datenschutzrechtlichen Anforderungen muss allerdings nicht notwendigerweise durch Vor-Ort-Kontrollen erfolgen. Entscheidend ist die Überprüfung des Datenschutzkonzepts des Auftragsverarbeiters durch eigenes Personal oder einen Sachverständigen. Bei konkreten Anlässen oder Anhaltspunkten für ein Fehlverhalten des Auftragsverarbeiters kann jedoch eine Prüfung Vor-Ort geboten sein.

Welchen Dokumentationspflichten unterliegen der Verantwortliche und der Auftragsverarbeiter?

Der Verantwortliche
Den Verantwortlichen trifft gemäß Art. 5 II DSGVO eine allgemeine Rechenschaftspflicht. Im Rahmen der Auftragsverarbeitung hat er insbesondere die Kriterien für die Auswahl des Auftragsverarbeiters, die Beachtung der Vorgaben des Art. 32 DSGVO sowie die Durchführung und das Ergebnis einer etwaigen Vor-Ort-Überprüfung zu dokumentieren. Zudem bestehen allgemeine Dokumentationspflichten, wie vor allem die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 I DSGVO). Das Verzeichnis ist auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen und hat die folgenden Angaben zu enthalten: Das Verzeichnis hat die folgenden Angaben zu enthalten:

Außerdem muss der Verantwortliche den Betroffenen darüber informieren, wer Empfänger der personenbezogenen Daten ist. Er hat eine Verletzung des Schutzes personenbezogener Daten grundsätzlich unverzüglich der zuständigen Aufsichtsbehörde zu melden (Art. 33 DSGVO). In Betracht kommt in diesem Fall auch eine Pflicht zur Benachrichtigung der betroffenen Person, sofern ein hohes Risiko für deren persönliche Rechte und Freiheiten besteht (Art. 34 DSGVO).

Der Auftragsverarbeiter
Der Auftragsverarbeiter unterliegt ebenfalls Dokumentationspflichten. Gemäß Art. 30 II DSGVO hat er ähnlich der Verpflichtung des Verantwortlichen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen vorgenommenen Verarbeitungstätigkeiten zu führen. Das Verzeichnis hat die folgenden Angaben zu enthalten:

Das Verzeichnis ist schriftlich beziehungsweise in einem elektronischen Format zu führen und auf Anfrage der Aufsichtsbehörde zur Verfügung gestellt werden.
Des Weiteren sind alle Weisungen des Verantwortlichen sowie nach Beendigung des Auftragsverhältnisses die Löschung beziehungsweise Rückgabe der Daten zu dokumentieren. Eine Dokumentation empfiehlt sich ebenfalls hinsichtlich Prozessen für die Durchsetzung von Betroffenenrechten (Art. 28 III 2 lit. e DSGVO) sowie der Melde- und Benachrichtigungspflicht bei Datenschutzverletzungen (Art. 33, 34 DSGVO).

Wer haftet für Schäden bei Verstößen?

Gemäß Art 82 II 1 DSGVO haftet jeder an einer Verarbeitung beteiligte Verantwortliche für einen Schaden, der durch eine nicht den Vorgaben DSGVO entsprechende Datenverarbeitung entstanden ist. Den Auftragsverarbeiter trifft eine Schadensersatzpflicht nur, wenn er seine Pflichten aus dem AV-Vertrag, insbesondere der Beachtung und Befolgung der Anweisungen des Verantwortlichen, nicht erfüllt hat.
Der Begriff des Schadens ist hierbei weit auszulegen, um sicherzustellen, dass der Betroffene wirksam geschützt ist. In Betracht kommt unter anderem ein Ersatzanspruch aufgrund von:

Die Höhe des Anspruchs bei immateriellen Schäden beurteilt sich nach der inhaltlichen Schwere und Dauer der Rechtsverletzung. Der Betrag soll zwar einerseits keine Strafwirkung enthalten, aber andererseits dennoch so hoch beziffert sein, dass er geeignet ist, zur Sicherung der praktischen Wirksamkeit der Verordnung beizutragen.
Sind mehrere Verantwortliche oder Auftragsverarbeiter für einen Schaden infolge einer Datenverarbeitung verantwortlich, so haften sie gegenüber dem Geschädigten grundsätzlich als Gesamtschuldner (Art. 82 IV DSGVO). So wird sichergestellt, dass für den Betroffenen ein wirksamer Schadensersatzanspruch besteht: Der Betroffene kann wählen, wen er in voller Höhe in Anspruch nehmen möchte. Der Verantwortliche oder Auftragsverarbeiter, der den vollen Schadensersatz geleistet hat, kann auf den jeweils anderen (gegebenenfalls anteilig) zurückgreifen (Art. 82 V DSGVO). Ein Verantwortlicher oder Auftragsverarbeiter kann sich jedoch aus der Haftung lösen, indem er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. Mit „verantwortlich sein“ ist „Verschulden“ gemeint, welches grundsätzlich vermutet wird. Um diese Vermutung zu widerlegen, hat der in Anspruch Genommene die Beweislast dafür zu tragen, dass er weder vorsätzlich noch fahrlässig im Sinne des § 276 Abs.2 BGB gehandelt hat.

Was passiert, wenn der Auftragsverarbeiter seine Befugnisse überschreitet?

Eine Auftragsverarbeitung setzt voraus, dass der Auftragsverarbeiter nicht befugt ist, über die Mittel und Zwecke der Verarbeitung zu bestimmen. Maßt er sich dies dennoch an, so liegt ein Fall des sogenannten Aufgabenexzesses des Auftragsverarbeiters vor. Gemäß § 28 X DSGVO wird er dann wie ein Verantwortlicher behandelt. Der Auftragsverarbeiter unterliegt denselben Pflichten wie der Verantwortliche und haftet genauso wie der Verantwortliche.

Welche Konsequenzen hat das Unterlassen des Abschlusses eines AV-Vertrages?

Bei Verstößen gegen die DSGVO droht neben Schadensersatzforderungen der Betroffenen (siehe oben) eine durch die jeweils zuständige Aufsichtsbehörde verhängte „wirksame, verhältnismäßige und abschreckende“ Geldbuße (Art. 82 I DSGVO). Fehlen Regelungen zur Auftragsverarbeitung oder sind diese unvollständig, kann das Bußgeld gemäß Art. 82 IV DSGVO bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes betragen. Gegen das mittelständische deutsche Unternehmen Kolibri Image erging aufgrund eines fehlenden AV-Vertrags seitens des Hamburger Datenschutzbeauftragten ein Bußgeldbescheid in Höhe von 5.000€1. Der Bescheid wurde zwar anschließend aufgrund von Umständen des Einzelfalls zurückgenommen, zeigt aber auf, dass keinesfalls leichtfertig auf den Abschluss eines AV-Vertrages verzichtet werden sollte. Bestehen hinsichtlich der Frage, ob eine Auftragsverarbeitung vorliegt oder nicht, Unsicherheiten, so empfiehlt sich eine Anfrage an die Aufsichtsbehörde in Form des zuständigen Datenschutzbeauftragen.

Gibt die für die Erstellung eines AV-Vertrages Formulierungshilfen?

Bei der Erstellung eines Auftragsverarbeitungsvertrages kann auf online verfügbare Musterverträge und Formulierungshilfen zurückgegriffen werden. Hiermit sei exemplarisch insbesondere verwiesen auf:

Ist die Eingehung eines Auftragsverhältnisses empfehlenswert? Was sind typischerweise Vor- und Nachteile der Auftragsverarbeitung?

In Anbetracht des dargestellten umfassenden Pflichtenkatalogs, der mit der Auftragsverarbeitung einhergeht, stellt sich die Frage, ob sich die Eingehung eines Auftragsverarbeitungsverhältnisses lohnt.

Vorteile
Die Auftragsverarbeitung bringt aus Sicht des Verantwortlichen typischerweise einige Vorteile mit sich:

Außerdem besteht eine rechtliche Privilegierung der Datenweitergabe im Rahmen einer Auftragsverarbeitung: Grundsätzlich bedarf eine Datenweitergabe einer sogenannten Rechtsgrundlage gemäß Art. 6-10 DSGVO, regelmäßig wird dies die Einwilligung der betroffenen Person sein. Für die Weitergabe personenbezogener Daten an den Auftragsverarbeiter hingegen keine weitere Rechtsgrundlage erforderlich als diejenige, auf welche sich der Verantwortliche für die Verarbeitung der Daten ohnehin stützt.
Nachteile
Dem gegenüber gehen mit der Einbeziehung eines Auftragsverarbeiters naheliegende Nachteile einher: Der Verantwortliche hat die Datenverarbeitung faktisch nicht mehr in der Hand, trägt aber die Schadens- und Haftungsrisiken wenn eine Datenverarbeitung unsachgemäß erfolgt oder sich der Auftragsverarbeiter nicht an die Vorgaben hält. Hinzu tritt, dass die dennoch erforderlichen Datenschutz- und Datensicherungsmaßnahmen so aufwendig werden, dass das etwaige Ziel der Kostenersparnis nicht erreicht wird. Auch sollte vor der Entscheidung für eine Auftragsverarbeitung berücksichtigt werden, dass sich diese unter Umständen nur schwer wieder rückgängig machen lässt. Wurde das eigene „Know-how“ erst einmal aufgegeben, lässt es sich häufig nicht kurzfristig wiederaufbauen.
Abwägung
Die Entscheidung zur Eingehung eines Auftragsverarbeitungsverhältnisses ist somit unter Umständen durchaus komplex und erfordert eine sorgfältige Abwägung. Stark simplifiziert gilt in der Regel jedoch: je einfacher und je weniger grundrechtsrelevant die fragliche Tätigkeit desto eher wird sich die Erledigung durch einen Auftragsverarbeiter lohnen – je sensibler die betroffenen Daten desto höher sind in puncto Sicherheitsmaßnahmen die Anforderungen an eine Auftragsverarbeitung und desto eher kann es sinnvoll sein, die fragliche Tätigkeit vollumfänglich selbst zu erfüllen.

Wann muss ein Datenschutzbeauftragter bestellt werden?

Gemäß Art. 37 I DSGVO müssen der Verantwortliche und der Auftragsverarbeiter einen Datenschutzbeauftragten bestellen, wenn

Art. 9 DSGVO regelt die Verarbeitung besonderer Kategorien personenbezogener Daten, welche aufgrund ihrer Sensibilität restriktiver zu handhaben ist. Umfasst sind Daten, aus denen, die ethnische Herkunft, politische Meinungen, religiöse bzw. weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit hervorgehen, Gesundheitsdaten, Daten über das Sexualleben oder die sexuelle Orientierung einer Person sowie genetische oder biometrische Daten zur eindeutigen Identifizierung. Art. 10 DSGVO bestimmt die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten.
Art. 37 IV DSGVO enthält eine Öffnungsklausel für weitergehende Regelungen der Mitgliedstaaten. Der Bundesgesetzgeber hat davon mit Erlass des § 38 I BDSG Gebrauch gemacht. Demnach haben der Verantwortliche und der Auftragsverarbeiter auch dann einen Datenschutzbeauftragten zu benennen, wenn

In anderen Fällen muss kein, kann aber ein, Datenschutzbeauftragter bestellt werden.