Auftragsverarbeitungsvertrag (AV-Vertrag) | IT-Medienrecht

Erfahren Sie, wann ein Auftragsverarbeitungsvertrag (AV-Vertrag) nötig ist, was er regelt & wie Sie DSGVO-Bußgelder vermeiden. Jetzt informieren!

Wichtigste Punkte

Zweck und Anwendungsbereich

Der Auftragsverarbeitungsvertrag (auch Data Processing Agreement, DPA genannt) dient dem Schutz personenbezogener Daten, wenn diese im Auftrag verarbeitet werden. Sobald ein Verantwortlicher (das beauftragende Unternehmen) einen externen Dienstleister einschaltet, der für ihn personenbezogene Daten erhebt, nutzt oder speichert, schreibt die DSGVO vertragliche Garantien für den Datenschutz vor. Typische Beispiele: Cloud-Dienste, Hosting-Provider, Newsletter-Versanddienst, Analytic-Tools oder externe Lohnbuchhaltung. Durch den AV-Vertrag wird sichergestellt, dass der Dienstleister Daten nur nach Weisung des Verantwortlichen und im Rahmen der DSGVO verarbeitet.

Gesetzliche Anforderungen (Art. 28 DSGVO)

Art. 28 DSGVO legt detailliert fest, welche Punkte ein AV-Vertrag mindestens regeln muss:

Pflichten von Verantwortlichem und Auftragsverarbeiter

Pflichten des Verantwortlichen Pflichten des Auftragsverarbeiters
Sorgfältige Auswahl des Verarbeiters Daten nur nach Weisung verarbeiten
Weisungen klar erteilen und dokumentieren Sicherheitsmaßnahmen auf aktuellem Stand halten
Überprüfungen/Audits durchführen Datenschutzverstöße dem Verantwortlichen melden (Art. 33 DSGVO)
Information der Betroffenen Unterstützende Tätigkeiten (z.B. Hilfe bei Auskunftsersuchen) ohne unzumutbare Verzögerung erbringen
Führen eines Verzeichnisses von Verarbeitungstätigkeiten

Der Abschluss eines AV-Vertrags allein genügt nicht – beide Seiten müssen die vereinbarten Pflichten laufend erfüllen:

Beide Seiten sollten den AV-Vertrag schriftlich oder in Textform abschließen (DSGVO verlangt Schriftform, elektronisch wird aber akzeptiert) und gut archivieren.

Konsequenzen und Bedeutung für Startups

Verstößt ein Unternehmen gegen Art. 28 DSGVO, indem es personenbezogene Daten ohne erforderlichen AV-Vertrag durch Dritte verarbeiten lässt, drohen empfindliche Bußgelder (in schweren Fällen bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes). Zudem besteht im Datenschutzrecht das Risiko von Schadensersatzansprüchen betroffener Personen bei Datenpannen.

Für Startups ist es daher essentiell, frühzeitig einen Überblick über alle ausgelagerten Datenverarbeitungen zu gewinnen. Typischerweise werden Dienste wie Web-Analytics, Cloud-Hosting, externe Support-Dienstleister oder Marketing-Tools genutzt. Bei all diesen muss geprüft werden, ob ein Auftragsverhältnis vorliegt und ein AV-Vertrag benötigt wird. Die meisten großen Dienstleister bieten bereits vorformulierte AV-Verträge an, die nur noch abgeschlossen (oft online) werden müssen. Es ist ratsam, diese Dokumente sorgfältig aufzubewahren und regelmäßig zu überprüfen, ob die Verarbeitungen noch im vereinbarten Rahmen stattfinden.

TL;DR: Das Wichtigste zum AV-Vertrag auf einen Blick

Der Auftragsverarbeitungsvertrag (AV-Vertrag) ist ein unverzichtbares Dokument nach Art. 28 DSGVO, das die datenschutzrechtlichen Pflichten zwischen einem datenverarbeitenden Unternehmen (Verantwortlicher) und einem externen Dienstleister (Auftragsverarbeiter) regelt. Er schützt vor hohen Bußgeldern und ist bei jeder externen Verarbeitung personenbezogener Daten zwingend erforderlich.

Häufige Fehler und Fallstricke beim AV-Vertrag

Trotz klarer gesetzlicher Vorgaben kommt es in der Praxis immer wieder zu Fehlern beim Abschluss und der Umsetzung von AV-Verträgen. Zu den häufigsten gehören: